July 01, 2021

STP004: Passwörter

1 hour 30 minutes

Es geht um die Gretchenfrage der IT-Sicherheit. Wie müssen Passwörter aussehen?

Wie sollen sie gespeichert werden? Wieviel Salz muss an ein Passwort?

Kann man sie ersetzen? Und vor allem, wie würde Xyrill das alles machen, würde ihm doch endlich die Weltherrschaft übertragen?

Shownotes

Through twenty years of effort, we've successfully trained everyone to use passwords that are hard for humans to remember, but easy for computers to guess.

Wir haben zwanzig [mittlerweile dreißig – d. Red.] Jahre lang allen eingeredet, Passwörter zu verwenden, die schwer zu merken sind, aber leicht von Computern geraten werden können.

Quelle: Zitat aus XKCD Comic #936.

Motivation: Authentifizierung (Identitätsbeweis)

mögliche Auth.faktoren:

etwas, das ich weiß (z.B. Passwort, PIN, Sicherheitsfrage)

etwas, das ich habe (z.B. Chipkarte, Hardware-Token, TOTP/HOTP)

etwas, das ich bin (z.B. Fingerabdruck, Iris-Abbild)

Ein-Faktor-Auth. vs. Zwei-Faktor-Auth.

Theorie: Hash-Funktionen

Hash-Funktion:

Wikipedia sagt als Begriff "Streuwertfunktion", das erklärt es ganz gut

Anwendungsfelder: Hashtabellen, Prüfsummen

kryptografische Hash-Funktion:

kollisionsresistent und dadurch zur "Ein-Weg-Verschlüsselung" geeignet

typische Hash-Länge: 256 Bit = 32 Byte = 64 Hexadezimalziffern

Größenvergleich: 2^256 Nanosekunden = 3 Mio. Trio. Trio. Trio. Jahre

Ziel: Passwort nicht direkt auf dem Webserver speichern

Server speichert nur Hash vom Passwort

zur Überprüfung präsentiertes Passwort hashen und mit gespeichertem Hash vergleichen

Salting: zu jedem Hash noch ein Extra-Zufallstext, damit dasselbe Passwort nicht immer denselben Hash ergibt

Was können Nutzer machen, um sich zu schützen?

schwer ratbare Passwörter verwenden

keine persönlichen Informationen hineinkodieren (Namen von Angehörigen oder nahestehenden Personen, Geburtsdaten, etc.)

NICHT "passwort" oder "123456" oder "123qwe"

z.B. XKCD-Schema: Wörterbuch aufschlagen, vier zufällige Wörter wählen

NICHT bekannte Phrasen (z.B. Bibelverse)

Passwörter nicht wiederverwenden

Wenn überall das gleiche Passwort verwendet wird, sind alle Konten gleichzeitig offen.

Mit dem Zugang zum E-Mail Konto kann die "Passwort zurücksetzen"-Funktion ausgenutzt werden.

Wenn du nur ein starkes Passwort benutzt, dann das für das E-Mail-Konto.

Passwort-Manager verwenden

auf dem lokalen PC: KeePassXC

oder cloud-basiert: Bitwarden (Server kann man auch selbst betreiben)

oder für Nerds: pass

Passwörter nicht mit anderen teilen, auch nicht "nur mal schnell"

siehe IT-Support-Scam

bei Mehrbenutzersystemen auch mehrere Benutzerkonten verwenden

Passwort nur auf vertrauenswürdigen Seiten eingeben

nicht Links in irgendwelchen Mails folgen (siehe Phishing-Scam), sondern direkt zur bekannten Webseite navigieren

Passwort für Webseiten ändern, bei denen die Datenbanken gestohlen wurden

in vielen Passwort-Managern als automatische Prüfung integriert

Rant: Sicherheitsmaßnahmen, die nicht wirklich bessere Sicherheit bringen

Sicherheitsfragen

Passwortbeschränkungen: maximal N Zeichen, mindestens ein Sonderzeichen etc.

Zwangswechsel nach N Monaten

Was können Webseitenbetreiber machen, um Auth. sicher zu machen?

Passwörter nur mit starken Hashes ablegen (Argon2, SCrypt, BCrypt, notfalls auch PBKDF2)

2FA unterstützen

HIBP-API verwenden, um Passwort-Wiederverwendung zu erschweren

Gibt es eine Alternative zu Passwörtern?

anderer Faktor (z.B. Hardware-Token oder Biometrie): nicht unbedingt besser, nur anders (Abwägungsfrage)

Zwei-Faktor-Auth.

Anmeldungslink per E-Mail

...more

View all episodes

By Xyrillian Noises

July 01, 2021

STP004: Passwörter

1 hour 30 minutes

Es geht um die Gretchenfrage der IT-Sicherheit. Wie müssen Passwörter aussehen?

Wie sollen sie gespeichert werden? Wieviel Salz muss an ein Passwort?

Kann man sie ersetzen? Und vor allem, wie würde Xyrill das alles machen, würde ihm doch endlich die Weltherrschaft übertragen?

Shownotes

Through twenty years of effort, we've successfully trained everyone to use passwords that are hard for humans to remember, but easy for computers to guess.

Wir haben zwanzig [mittlerweile dreißig – d. Red.] Jahre lang allen eingeredet, Passwörter zu verwenden, die schwer zu merken sind, aber leicht von Computern geraten werden können.

Quelle: Zitat aus XKCD Comic #936.

Motivation: Authentifizierung (Identitätsbeweis)

mögliche Auth.faktoren:

etwas, das ich weiß (z.B. Passwort, PIN, Sicherheitsfrage)

etwas, das ich habe (z.B. Chipkarte, Hardware-Token, TOTP/HOTP)

etwas, das ich bin (z.B. Fingerabdruck, Iris-Abbild)

Ein-Faktor-Auth. vs. Zwei-Faktor-Auth.

Theorie: Hash-Funktionen

Hash-Funktion:

Wikipedia sagt als Begriff "Streuwertfunktion", das erklärt es ganz gut

Anwendungsfelder: Hashtabellen, Prüfsummen

kryptografische Hash-Funktion:

kollisionsresistent und dadurch zur "Ein-Weg-Verschlüsselung" geeignet

typische Hash-Länge: 256 Bit = 32 Byte = 64 Hexadezimalziffern

Größenvergleich: 2^256 Nanosekunden = 3 Mio. Trio. Trio. Trio. Jahre

Ziel: Passwort nicht direkt auf dem Webserver speichern

Server speichert nur Hash vom Passwort

zur Überprüfung präsentiertes Passwort hashen und mit gespeichertem Hash vergleichen

Salting: zu jedem Hash noch ein Extra-Zufallstext, damit dasselbe Passwort nicht immer denselben Hash ergibt

Was können Nutzer machen, um sich zu schützen?

schwer ratbare Passwörter verwenden

keine persönlichen Informationen hineinkodieren (Namen von Angehörigen oder nahestehenden Personen, Geburtsdaten, etc.)

NICHT "passwort" oder "123456" oder "123qwe"

z.B. XKCD-Schema: Wörterbuch aufschlagen, vier zufällige Wörter wählen

NICHT bekannte Phrasen (z.B. Bibelverse)

Passwörter nicht wiederverwenden

Wenn überall das gleiche Passwort verwendet wird, sind alle Konten gleichzeitig offen.

Mit dem Zugang zum E-Mail Konto kann die "Passwort zurücksetzen"-Funktion ausgenutzt werden.

Wenn du nur ein starkes Passwort benutzt, dann das für das E-Mail-Konto.

Passwort-Manager verwenden

auf dem lokalen PC: KeePassXC

oder cloud-basiert: Bitwarden (Server kann man auch selbst betreiben)

oder für Nerds: pass

Passwörter nicht mit anderen teilen, auch nicht "nur mal schnell"

siehe IT-Support-Scam

bei Mehrbenutzersystemen auch mehrere Benutzerkonten verwenden

Passwort nur auf vertrauenswürdigen Seiten eingeben

nicht Links in irgendwelchen Mails folgen (siehe Phishing-Scam), sondern direkt zur bekannten Webseite navigieren

Passwort für Webseiten ändern, bei denen die Datenbanken gestohlen wurden

in vielen Passwort-Managern als automatische Prüfung integriert

Rant: Sicherheitsmaßnahmen, die nicht wirklich bessere Sicherheit bringen

Sicherheitsfragen

Passwortbeschränkungen: maximal N Zeichen, mindestens ein Sonderzeichen etc.

Zwangswechsel nach N Monaten

Was können Webseitenbetreiber machen, um Auth. sicher zu machen?

Passwörter nur mit starken Hashes ablegen (Argon2, SCrypt, BCrypt, notfalls auch PBKDF2)

2FA unterstützen

HIBP-API verwenden, um Passwort-Wiederverwendung zu erschweren

Gibt es eine Alternative zu Passwörtern?

anderer Faktor (z.B. Hardware-Token oder Biometrie): nicht unbedingt besser, nur anders (Abwägungsfrage)

Zwei-Faktor-Auth.

Anmeldungslink per E-Mail

...more

More shows like Schlüsseltechnologie

View all

Freak Show

9 Listeners

Lage der Nation - der Politik-Podcast aus Berlin

221 Listeners

Logbuch:Netzpolitik

6 Listeners

Share STP004: Passwörter

Sign up to save your podcasts

STP004: Passwörter

STP004: Passwörter

More shows like Schlüsseltechnologie

Freak Show

Lage der Nation - der Politik-Podcast aus Berlin

Logbuch:Netzpolitik