====== CryptoParty 13: Authentifizierung, Passwörter ====== 2013-09-30 Introvideo: [[https://www.youtube.com/watch?v=IFnCo1w_3ME|Passwörter]] (0'22") ===== Wie kann ich jemanden Authentifizieren? ===== * Etwas was Du weisst. * Etwas was Du hast. * Etwas was Du bist. Etwas was Du weisst: zB ein Passwort oder PIN Code. Etwas was Du hast: Ein Token (zB RSA Secure Token) Etwas was du bist: zB Finger, Iris, Venen === Passwort Stärke Check bei Webseiten === http://littlebigdetails.com/post/60075401204/dropbox-password-strength-is-indicated-by Gibt es auf vielen Webseiten inzwischen, wie gut dieser Check selbst ist wissen wir nicht. Daher, diesen Anzeigen nicht vertrauen, außer wenn sie ganz rot sind. :-) === Password Con === Dabei geht es um Authentifizierungsverfahren und -methoden sowie effiziente Angriffe gegen Authentifizierungsverfahren. [[http://passwordscon.org/|Password Con]] Es gibt Computer die 348 Milliarden Passwörter pro Sekunde ausprobieren können. [[https://securityledger.com/2012/12/new-25-gpu-monster-devours-passwords-in-seconds/|Passwort Cracki]] === Grundlegende Tipps für bessere Passwörter: === Passwörter niemals mehrfach verwenden Wenn eine Email Adresse als Username/Account Name verwendet wird, nicht das Passwort von dieser Email Adresse auch für den Account dort verwenden. Je länger ein Passwort ist, desto besser. Daher immer die maximale zugelassene Länge eines Passwortes ausnutzen Eine schöne Geschichte die das erklärt. (englisch) http://www.popehat.com/2013/09/08/size-matters/ Erkenntnis: Ich muß mir nicht alle Passwörter merken! Es gibt [[https://de.wikipedia.org/wiki/Rainbow_Table|Rainbowtable]] mit allen möglichen Passwörter bis zur Länge 8. https://www.freerainbowtables.com/ === Empfehlenswert === == Password Safe Apps == password-safe? http://passwordsafe.sourceforge.net/ was denkt ihr? ( das is vom bruce schneier) Nur für Windows verfügbar. 1Password https://agilebits.com/onepassword (Windows, OS X, iOS) KeePass (Windows, OS X, iOS) http://keepass.info/ Apple Keychain UPM http://upm.sourceforge.net open source?? Die häufigsten Passwörter: https://xato.net/wp-content/xup/passwordscloud.png == Multi-Factor Authentication == Secure Tokens (zB RSA Token) // RSA speichert seeds für die OTPs ( http://arstechnica.com/security/2011/06/rsa-finally-comes-clean-securid-is-compromised/ ) One time Pad Google Authenticator Twitter (Noch nicht in AT) Dropbox (via Google Authenticator) Gmail (via Google Authenticator) Microsoft (via Google Authenticator) Evernote (via Google Authenticator) LastPass (via Google Authenticator) Österreischiche Banken (RK, Erste, ...) (Mobile TAN) Kreditkarte? Fallback Methoden? Passwort? Biometrische Verfahren: (Grundsätzlich als unsicher zu betrachten) Fingerabdruck Scanner Iris Scanner Venen Scanner == Nicht empfehlenswert == https://www.passwordcard.org/ Yubikey (Nur unter Windows sinnvoll einsetzbar) Wer verschickt Passwörter im Klartext (und unverschlüsselt) per Email? (Und speichert sich offensichtlich auch im Klartext) http://plaintextoffenders.com/ iPhone 5S, biometrie, gute Idee? (Finger abdruck am iPhone?, kann nicht revoziert werden) Biometrie ist grundsätzlich keine gute Idee. Demo: John the Ripper oder Hashcat Demo um zu zeigen wie schnell manche Passwörter gecrackt werden können. -> kleine webapp basteln, datenbank herzeigen und md5 cracken? ->GPU für hashcat?