Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Passwörter taugen nichts mrmcd100b, Hanno Böck,

Veröffentlicht von:Benjamin Böhmer Geändert vor über 7 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Passwörter taugen nichts mrmcd100b, Hanno Böck,"—  Präsentation transkript:

1 Passwörter taugen nichts mrmcd100b, 21. - 23.7.06 Hanno Böck, http://www.hboeck.de/

2 Passwörter? ● geheim ● gott ● linux ● Name von Freundin, Mutter, Kind

3 flirtlife.de ● 12345613751.4 ● ficken4040.4 ● 123453670.4 ● hallo3620.4 ● 1234567892600.3 ● schatz2530.3 ● 123456782150.2 ● daniel2150.2

4 Gute Passwörter ● c@|4(aj.:* ● jgx.~0=:"2 ● $%@gvg`4$! ● |x-$d"m1uz ● fm9m,5e9v# ● pwgen -cAnys 10 5

5 Je Zugang ein Passwort? ● Linux-Login, GPG-Passwort, Crypto-Partition ● Webmail auf gmx.de, web.de ● >10 schlecht administrierte phpBB-Foren ● Wikipedia, icq, jabber, Google, flickr ● Mein Blog, mein Wiki, meine Bildergalerie ● ssh-Accounts, Freenode-Registrierung ● Cisco-VPN an der Uni

6 Phishing

7 Passwort-Hashes ● Rainbow-Tables Lösung: Salt ● Brute Force-Angriffe, bspw. John the Ripper

8 Passwort Policy ● Mindestens 10 Zeichen ● Jeweils mind. 10% Buchstaben, Zahlen und Sonderzeichen ● Keine zwei gleichen Zeichen hintereinander

9 Beispiele? ● a1#a1#a1#a1# ● g3#3img3#3im ● 1q“W3e$R5t ● 1234abcd!“§$

10 Sicherheitsparameter ● Szenario Schlüssellängen ● Annahme: Angreifer (NSA o. ä.) hat deutlich höhere Rechenkapazitäten ● Skalierung der Sicherheitsparameter

11 Sicherheitsparameter ● Beispiel: RSA-1024 evtl. angreifbar, Umstieg auf RSA- 2048/4096 machbar. ● SHA-1 durch SHA-256/512 ersetzbar.

12 Moore's Law ● The complexity for minimum component costs has increased at a rate of roughly a factor of two per year

13 Thesen ● Nicht skalierbare Sicherheits- parameter schlechte Idee ● Evolution hält sich nicht an Moore's Law ● Skalierbarkeit von Passwörtern stark begrenzt, Skalierbarkeit von Angriffen nicht

14 Alternativen? ● Client-Zertifikate ● ssh-Public-Keys ● ssl-Client-Zertifikate ● HBCI mit Keyfile, Chipkarte ● Smartcards generell

15 SSL/TLS-Clientzertifikate ● Authentifizierung in Webanwendungen möglich ● Kaum genutzt ● Login bei CAcert möglich

16 HBCI ● HBCI ist keine so schlechte Idee, insb. mit Chipkarte ● Freie Implementierungen: aqbanking, moneypenny ● HBCI mit PIN/TAN, iTAN: Grausamer Unfug!

17 Crypto-Cards ● FSF-Fellowship: 1024-Bit ● 2048/4096-Bit-Karten teuer ● Prinzipiell GPG, SSH, SSL/X.509 problemlos möglich

18 Cardreader ● Schonmal im Saturn einen Cardreader gekauft? ● Treiber? ● Cardreader kaum per default erhältlich

19 Chipkarte passwortgeschützt? ● These: Eine Chipkarte ohne Passwort ist besser als ein Passwort alleine ● Jeder Angriff auf Chipkarte erfordert physischen Zugriff, Angriffe auf Passwörter meist passiv und virtuell

20 Beyond Chipcards ● Biometrie ● RFID ● Trusted Computing ● ?

21 Biometrie ● Vollständig neuartige Probleme („Schlüsselklau“) ● Massive Privacy-Implikationen ● Sicherheit ebenfalls nicht beliebig skalierbar ● Schlüsselspuren

22 RFID ● Neue Probleme (Auslesbarkeit) ● Privacy ● Kaum Sicherheitsvorteile ● Vorteile nur im Anwendungskomfort

23 Trusted Computing ● Bekannte Probleme, Privatsphäre, Kontrollierbarkeit ● Praktisch alle für den Nutzer sinnvollen Anwendungen von TCG sind auch mit Chipkarten lösbar

24 Fragen? Hanno Böck http://www.hboeck.de

Herunterladen ppt "Passwörter taugen nichts mrmcd100b, Hanno Böck,"

Ähnliche Präsentationen

Was bedeutet das aus dem Hawaiianischen kommende Wort Wikiwiki?

Was bedeutet das aus dem Hawaiianischen kommende Wort Wikiwiki?
Gefahren im Internet Hacker Viren Phishing.

Gefahren im Internet Hacker Viren Phishing.
Die in der Hand (oben) gehaltene Siliziumscheibe ist unten vergrößert und mit farbigem Licht ausgeleuchtet abgebildet. Man erkennt Reihen integrierter.

Die in der Hand (oben) gehaltene Siliziumscheibe ist unten vergrößert und mit farbigem Licht ausgeleuchtet abgebildet. Man erkennt Reihen integrierter.
Praxisvolks & Haupschule der Diözese Linz, 12. Mai 2011

Praxisvolks & Haupschule der Diözese Linz, 12. Mai 2011
Passwörter.

Passwörter.
Computer und Netzwerk Schule Opfikon To do and not to do Januar 2012.

Computer und Netzwerk Schule Opfikon To do and not to do Januar 2012.
1 Nutzen Sie diese Powerpoint-Präsentation beim Selbstlernen oder in Veranstaltungen zur Einführung in das jeweilige Thema. Einführung Lernmodul Nutzungsbedingungen:

1 Nutzen Sie diese Powerpoint-Präsentation beim Selbstlernen oder in Veranstaltungen zur Einführung in das jeweilige Thema. Einführung Lernmodul Nutzungsbedingungen:
Absicherung eines produktiven Webservers und Entdeckung von Angreifern

Absicherung eines produktiven Webservers und Entdeckung von Angreifern
Hanno Langweg 1 Nachwuchstag IT-Sicherheit Sicherheit digitaler Signaturen gegenüber Angriffen Trojanischer Pferde Einführung Schutzbedürfnisse Sicheres.

Hanno Langweg 1 Nachwuchstag IT-Sicherheit Sicherheit digitaler Signaturen gegenüber Angriffen Trojanischer Pferde Einführung Schutzbedürfnisse Sicheres.
Passwortregeln Jedes System der FIRMA ist durch eine Passwortsicherung vor unerlaubtem Zugriff geschützt.

Passwortregeln Jedes System der FIRMA ist durch eine Passwortsicherung vor unerlaubtem Zugriff geschützt.
Passwörter: 1.Allgemein 2.Hash Code 3.Bruteforce 4.Phishing 5.Wardriving 6.Sicheres Passwort.

Passwörter: 1.Allgemein 2.Hash Code 3.Bruteforce 4.Phishing 5.Wardriving 6.Sicheres Passwort.
Soziale Netzwerke Dein Vorname Zuname.

Soziale Netzwerke Dein Vorname Zuname.
Passwortsicherheit Tim S, Nils B und Felix R..

Passwortsicherheit Tim S, Nils B und Felix R..
2014 W. Schindler, IKBBeraten-planen-kooperieren.

2014 W. Schindler, IKBBeraten-planen-kooperieren.
1 Geschäftsmodelle im Internet Berlin, 28. September 2011 SuMa-eV Kongresses 2011: Geld verdienen im Internet? Dr. Ferdinand Pavel, DIW-econ GmbH.

1 Geschäftsmodelle im Internet Berlin, 28. September 2011 SuMa-eV Kongresses 2011: Geld verdienen im Internet? Dr. Ferdinand Pavel, DIW-econ GmbH.
Konzeptionelle Anbindung einer Zwei- Faktor-Authentifizierung am IT Center Moritz Haine Seminarvortrag 20.01.2016 1 von 23.

Konzeptionelle Anbindung einer Zwei- Faktor-Authentifizierung am IT Center Moritz Haine Seminarvortrag von 23.
DatenschutzPC-VirenSpywareSchädlingeAbwehr 100 200 300 400 500.

DatenschutzPC-VirenSpywareSchädlingeAbwehr
Informatikdienste Zugang zu Internetdiensten nach der Ablösung von UniAccess 12. Oktober 2011 12. Okt. 2011Seite 1.

Informatikdienste Zugang zu Internetdiensten nach der Ablösung von UniAccess 12. Oktober Okt. 2011Seite 1.
Vorbereitet zur Rechenübung – Die HAITI-Methode LiT-Shortcut Unterstützung der Selbstlernphase Studierender zur Vorbereitung auf Rechenübungen.

Vorbereitet zur Rechenübung – Die HAITI-Methode LiT-Shortcut Unterstützung der Selbstlernphase Studierender zur Vorbereitung auf Rechenübungen.
„PGP für alle“ Leitfaden Grundlagen der Sicherheit Andreas Friedrich / Benny Neugebauer Johannes Petrick / Patrick Rutter Brandenburg, 12. Januar 2010.

„PGP für alle“ Leitfaden Grundlagen der Sicherheit Andreas Friedrich / Benny Neugebauer Johannes Petrick / Patrick Rutter Brandenburg, 12. Januar 2010.

Ähnliche Präsentationen

Google-Anzeigen