Schlüsseltechnologie

STP004: Passwörter

Listen Later

Es geht um die Gretchenfrage der IT-Sicherheit. Wie müssen Passwörter aussehen?

Wie sollen sie gespeichert werden? Wieviel Salz muss an ein Passwort?
Kann man sie ersetzen? Und vor allem, wie würde Xyrill das alles machen, würde ihm doch endlich die Weltherrschaft übertragen?

Shownotes

Through twenty years of effort, we've successfully trained everyone to use passwords that are hard for humans to remember, but easy for computers to guess.

Wir haben zwanzig [mittlerweile dreißig – d. Red.] Jahre lang allen eingeredet, Passwörter zu verwenden, die schwer zu merken sind, aber leicht von Computern geraten werden können.

Quelle: Zitat aus XKCD Comic #936.

  • Motivation: Authentifizierung (Identitätsbeweis)

    • mögliche Auth.faktoren:
      • etwas, das ich weiß (z.B. Passwort, PIN, Sicherheitsfrage)
      • etwas, das ich habe (z.B. Chipkarte, Hardware-Token, TOTP/HOTP)
      • etwas, das ich bin (z.B. Fingerabdruck, Iris-Abbild)
      • Ein-Faktor-Auth. vs. Zwei-Faktor-Auth.

      • Theorie: Hash-Funktionen

        • Hash-Funktion:
          • Wikipedia sagt als Begriff "Streuwertfunktion", das erklärt es ganz gut
          • Anwendungsfelder: Hashtabellen, Prüfsummen
          • kryptografische Hash-Funktion:
            • kollisionsresistent und dadurch zur "Ein-Weg-Verschlüsselung" geeignet
            • typische Hash-Länge: 256 Bit = 32 Byte = 64 Hexadezimalziffern
            • Größenvergleich: 2^256 Nanosekunden = 3 Mio. Trio. Trio. Trio. Jahre
            • Ziel: Passwort nicht direkt auf dem Webserver speichern
              • Server speichert nur Hash vom Passwort
              • zur Überprüfung präsentiertes Passwort hashen und mit gespeichertem Hash vergleichen
              • Salting: zu jedem Hash noch ein Extra-Zufallstext, damit dasselbe Passwort nicht immer denselben Hash ergibt

              • Was können Nutzer machen, um sich zu schützen?

                • schwer ratbare Passwörter verwenden
                  • keine persönlichen Informationen hineinkodieren (Namen von Angehörigen oder nahestehenden Personen, Geburtsdaten, etc.)
                  • NICHT "passwort" oder "123456" oder "123qwe"
                  • z.B. XKCD-Schema: Wörterbuch aufschlagen, vier zufällige Wörter wählen
                  • NICHT bekannte Phrasen (z.B. Bibelverse)
                  • Passwörter nicht wiederverwenden
                    • Wenn überall das gleiche Passwort verwendet wird, sind alle Konten gleichzeitig offen.
                    • Mit dem Zugang zum E-Mail Konto kann die "Passwort zurücksetzen"-Funktion ausgenutzt werden.
                    • Wenn du nur ein starkes Passwort benutzt, dann das für das E-Mail-Konto.
                    • Passwort-Manager verwenden
                      • auf dem lokalen PC: KeePassXC
                      • oder cloud-basiert: Bitwarden (Server kann man auch selbst betreiben)
                      • oder für Nerds: pass
                      • Passwörter nicht mit anderen teilen, auch nicht "nur mal schnell"
                        • siehe IT-Support-Scam
                        • bei Mehrbenutzersystemen auch mehrere Benutzerkonten verwenden
                        • Passwort nur auf vertrauenswürdigen Seiten eingeben
                          • nicht Links in irgendwelchen Mails folgen (siehe Phishing-Scam), sondern direkt zur bekannten Webseite navigieren
                          • Passwort für Webseiten ändern, bei denen die Datenbanken gestohlen wurden
                            • in vielen Passwort-Managern als automatische Prüfung integriert

                            • Rant: Sicherheitsmaßnahmen, die nicht wirklich bessere Sicherheit bringen

                              • Sicherheitsfragen
                              • Passwortbeschränkungen: maximal N Zeichen, mindestens ein Sonderzeichen etc.
                              • Zwangswechsel nach N Monaten

                              • Was können Webseitenbetreiber machen, um Auth. sicher zu machen?

                                • Passwörter nur mit starken Hashes ablegen (Argon2, SCrypt, BCrypt, notfalls auch PBKDF2)
                                • 2FA unterstützen
                                • HIBP-API verwenden, um Passwort-Wiederverwendung zu erschweren

                                • Gibt es eine Alternative zu Passwörtern?

                                  • anderer Faktor (z.B. Hardware-Token oder Biometrie): nicht unbedingt besser, nur anders (Abwägungsfrage)
                                  • Zwei-Faktor-Auth.
                                  • Anmeldungslink per E-Mail
                                    • ...more
                                    View all episodesView all episodes
                                    Download on the App Store
                                    SchlüsseltechnologieBy Xyrillian Noises

                                    More shows like Schlüsseltechnologie

                                    View all
                                    Bits und so by Undsoversum GmbH

                                    Bits und so

                                    25 Listeners

                                    WRINT: Wer redet ist nicht tot by Holger Klein

                                    WRINT: Wer redet ist nicht tot

                                    15 Listeners

                                    Methodisch inkorrekt! by Methodisch inkorrekt!

                                    Methodisch inkorrekt!

                                    13 Listeners

                                    Apfelfunk by Malte Kirchner & Jean-Claude Frick

                                    Apfelfunk

                                    8 Listeners

                                    Das Wissen | SWR by SWR

                                    Das Wissen | SWR

                                    113 Listeners

                                    c’t uplink - der IT-Podcast aus Nerdistan by c’t Magazin

                                    c’t uplink - der IT-Podcast aus Nerdistan

                                    6 Listeners

                                    Stay Forever - Retrogames & Technik by Stay Forever Team

                                    Stay Forever - Retrogames & Technik

                                    34 Listeners

                                    Logbuch:Netzpolitik by Metaebene Personal Media - Tim Pritlove

                                    Logbuch:Netzpolitik

                                    5 Listeners

                                    Computer und Kommunikation by Deutschlandfunk

                                    Computer und Kommunikation

                                    10 Listeners

                                    Der KI-Podcast by ARD

                                    Der KI-Podcast

                                    12 Listeners

                                    KI-Update – ein heise-Podcast by Isabel Grünewald, heise online

                                    KI-Update – ein heise-Podcast

                                    2 Listeners

                                    Passwort - der Podcast von heise security by Dr. Christopher Kunz, Sylvester Tremmel

                                    Passwort - der Podcast von heise security

                                    3 Listeners

                                    Geschichten aus der Mathematik by detektor.fm – Das Podcast-Radio

                                    Geschichten aus der Mathematik

                                    2 Listeners

                                    UNFASSBAR – ein Simplicissimus Podcast by Simplicissimus

                                    UNFASSBAR – ein Simplicissimus Podcast

                                    25 Listeners

                                    Darknet Diaries Deutsch by heise online

                                    Darknet Diaries Deutsch

                                    0 Listeners