Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Gute und sichere Passwörter sind möglich…
Dr. Robert Formanek
3
Agenda
• Was sind Passwörter?
• Häufig genutzte Methoden zur Wahl eines Passwortes
• Ein bisschen Mathematik …
• Sind gängige Empfehlungen zu Passwörtern noch zeitgemäß?
• Konstruktion von Passwörtern
• Der „Hohenheimer Passwort-Generator“
• Passwort-Verwaltungsprogramme
• Demo KeePass
4
Was sind Passwörter?
• Passwörter authentifizieren an einem IT-System (keine Autorisierung).
• Passwörter sind nur einer berechtigten Person bekannt.
• Passwörter gewähren Vertraulichkeit.
• Erstellen / Änderung von Passwörtern ist meist trivial.
• Oftmals sind bestimmte Regeln zum Erstellen vorgeschrieben.
• Technik „schützt“ Passwörter.
5
Was sind Passwörter?
Passwörter werden mittels mathematischer Funktionen unumkehrbar und
kollisionsresistent „umgerechnet“, das Ergebnis wird auf dem Zielsystem
abgespeichert wird das betroffene System "gehackt" stehen (i. d. R.) keine
„lesbaren“ Passwörter zur Verfügung.
Passwort
Pa$$wrd
Hashwert
0x123a45b67c8
H
Hashfunktion
6
Was sind Passwörter?
• In der Regel befindet sich der Großbuchstabe am Anfang und die Zahl am
Ende, wobei die Ziffern zusätzlich in aufsteigender Reihenfolge angeordnet
werden.
• Sechs der 32 verfügbaren Sonderzeichen werden genutzt.
• Oftmals verwenden Nutzer nicht für jede Webseite und jeden Dienst ein
eigenes Passwort (privat wie beruflich).
• Durchschnittlich nutzt eine Person 26 passwortgeschützte Zugänge – und
verwendet dabei fünf Passwörter.
11
Ein bisschen Mathematik …
12
Ein bisschen Mathematik … Wirklich :-)
Berechnet man die Anzahl möglicher Kombinationen für ein Passwort mit
bestimmter Länge und bestimmten Zeichenvorrat ergibt sich:
• Bei einer Ziffer (0-9) Zehn verschiedene Möglichkeiten (=101).
• Bei zwei Ziffern (00-99) 100 Möglichkeiten (=102).
• Passwort mit einem Zeichensatz (a-z) 26 Möglichkeiten (=261).
• Passwort mit einem Zeichensatz und Länge 2 (aa-zz) 676 Möglichkeiten
(=262).
13
Ein bisschen Mathematik …
Die Stärke eines zufälligen Passworts hängt ab von einem Base-2-
Logarithmus, also log2 der Anzahl der möglichen Passwörter unter der
Voraussetzung, dass jedes Zeichen im Passwort unabhängig erzeugt wird.
Die Entropie als Maß für die Zufälligkeit einer Datenmenge lässt sich eindeutig
berechnen:
Wobei N die Anzahl aller verfügbaren Zeichen und L die Anzahl der möglichen
Zeichen im Passwort darstellt. Die Entropie als Exponent zur Basis 2 ist die
Anzahl aller möglichen und gleichwahrscheinlichen Kombinationen, die ein
Angreifer per Brute-Force „testen“ muss um das Passwort zu ermitteln Je
zufälliger ein Passwort desto „wertvoller“.
14
Ein bisschen Mathematik …
Eine aktuelle Grafikkarte kann 230 (≈ 1 Milliarde) Passwörter pro Sekunde
erproben. Ein Passwort mit lateinischem Zeichensatz und einer Länge 6 = 956
besitzt daher 735.091.890.625 Möglichkeiten (240 ≈ 40 Bit Entropie).
50 Bit Entropie (7 Zeichen): 12 Tage für einen dedizierten PC (Baujahr 2011)
52 Bit Entropie (8 Zeichen): Wenige Stunden (>1000 Rechner (Amazon EC2))
>65 Bit Entropie: >94 Jahre
240 Möglichkeiten
230 Möglichkeiten/s = 210s= 1024 s ≈ 17 min
15
Ein bisschen Mathematik …
Es ist signifikant
besser 10 Zeichen
zu nutzen …
… als ein
Sonderzeichen zu
verwenden.
16
Ein bisschen Mathematik …
Zeitdauer zur Berechnung eines Passworts in Relation ZeichenanzahlLänge
17
Empfehlungen zu Passwörtern zeitgemäß?
In der Deloitte-Studie „Technology, Media & Telecommunications Predictions“
wurden die gängigen Empfehlungen zur Passworterstellung mit den
wachsenden technischen Möglichkeiten von Angreifern verglichen.
„An eight-character password chosen from all 94 characters available on a
standard keyboard is one of 6.1 quadrillion (6,1 Billiarden) possible
combinations. In 2016 it would take about 5,5 hours to try every variation.”
„In a recent study of six million actual user-generated passwords, the 10.000
most common passwords would have accessed 98,1 percent of all
accounts.“
Durch gleichbleibende Verhaltensweisen und wachsende technische
Möglichkeiten reduziert sich der Aufwand zum erproben eines Passwortes
erheblich.
18
Konstruktion von Passwörtern
• Keine einfachen Begriffe (Pa$$w0rd, Adam&Eva01, WinterSemester2016,
G3h31m007).
• Konstruieren oder verwenden Sie einen Satz aus einem „privaten“ Umfeld.
• Verwandeln Sie bestimmte Buchstaben in Zahlen oder Sonderzeichen.
• Verwenden Sie „echten“ Zufall (der Wurf einer Münze entscheidet, ob ein
"und" im zugrundeliegenden Satz durch ein „u“ oder durch „&“ dargestellt
wird).
• Verwenden Sie zufällige, ganze Wörter:
erschöpfend Aquarium Membran Zahnseide Kellerassel.
19
Konstruktion von Passwörtern
Nur die ersten Buchstaben des Satzes „Morgens stehe ich auf und putze mir
meine Zähne drei Minuten lang.„
"MsiaupmmZdMl"
„1“ und „&“ substituieren „i“, „l“ und „und“:
"Ms1a&pmmZ3M1"
20
Der „Hohenheimer Passwort-Generator“
21
Der „Hohenheimer Passwort-Generator“
22
Der „Hohenheimer Passwort-Generator“
23
Der „Hohenheimer Passwort-Generator“
24
Der „Hohenheimer Passwort-Generator“
25
Der „Hohenheimer Passwort-Generator“
26
Passwort-Verwaltungsprogramme
Passwort-Verwaltungsprogramme speichern alle notwendigen Informationen
an einem zentralen Ort, wobei ein Zugriff mit einem „General-Kennwort“
gewährt wird.
• Lastpass ist ein Passwort-Verwaltungsprogramm für Google Chrome.
• 1Password ist ein Passwort-Verwaltungsprogramm für Apple.
• Keepass speichert Daten in einer verschlüsselten Datenbank-Datei. Dies
bietet erfahrenen Nutzern vielfältige Möglichkeiten. Integration mit
Browsern nur via Plugin.
• Dashlane nutzt für die Speicherung verschlüsselter Daten Amazon Web
Services (AWS).
• Enpass enthält einen ähnlichen Funktionsumfang wie KeePass,
Passwörter werden lokal gespeichert.
27
Demo „KeePass“
KeePass, ein frei erhältliches Programm zur Kennwortverwaltung,
verschlüsselt alle Einträge in einer Datenbank. Informationen zur Installation
und Konfiguration finden Sie hier.
• Keepass2Android (Android)
• KeePassX (Linux, Unix/Mac OS X, OS/2)
• 7Pass (Windows Phone)
• KeePassB (Blackberry)
• MiniKeePass
28
Wichtige Regeln für Passwörter
• Passwörter sind zufällig, lange und komplex.
• Passwörter enthalten keine „sinnvollen“ Wörter oder „bedeutungsvolle“
Zahlen aus Duden und anderen Lexika.
• Passwörter nur für einen Dienst verwenden.
• Passwörter können auf Papier notiert oder in speziellen Programmen
verwaltet werden.
• Ein regelmäßiges Ändern entfällt, sofern alle anderen Regeln eingehalten
werden.
• Bei vielen Hardware- und Softwareprodukten werden oft allgemein
bekannte Passwörter verwendet – ändern Sie das Passwort vor dem
Einsatz dieser Produkte.
29
Wichtige Regeln für Passwörter
Eine letzte Frage:
Was ist das beste Passwort?
1. MsiaupmmZdMl
2. Ms1a&pmmZ3M1
3. MorgensSteheIchAuf&PutzeMirMeinezähne3Minutenlang
4. Ersch][pfend/Aquarium&Membran$ZahnseideKellera$el
World longest iPhone Passcode
31
Fakultät/ Institut/ Projekt/ Zentrum XYZ
Vielen Dank für Ihre Aufmerksamkeit
Anhang 1 – Ansprechpartner
Fakultät/ Institut/ Fachbereich/ Zentrum XYZ
IT-Sicherheit
https://it-sicherheit.uni-hohenheim.de, Telefon 24440
Dr. Robert Formanek, [email protected]
IT-Service-Desk
https://kim.uni-hohenheim.de/it-service-desk, Telefon 24444
Datenschutz
Datenschutzbeauftragter Bernhard Witt, [email protected]
Stabsstelle Datenschutz, [email protected]
Anhang 2 – Weitere Seminare zur IT-Sicherheit
Sichere E-Mail - Wie kann ich verschlüsselte Nachrichten versenden?
Donnerstag, 17. Januar 2019 von 10:00 - 11:30 Uhr im HS 31 (F.I.T.)
Datenschutz und Sicherheit für Handys, Tablets und andere mobile Geräte
Dienstag, 12. Februar 2019 von 10:00 - 11:30 Uhr im HS 31 (F.I.T.)
Verschlüsselung leicht gemacht
Dienstag, 26. Februar 2019 von 10:00 - 11:30 Uhr im Multimedia-Raum, Alte
Botanik