4. Passwörter
• Komplexe Passwörter landen auf dem Schreibtisch
• Einfache Passwörter sind leicht zu knacken
• "Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang“
• MsiaupmmZdMl
• Ein Passwort – viele Dienste. Ein Dienst wird gehackt
• Passwort Reset über Emailadresse - > Angriffe über gekapertes
Emailkonto
• Ersatz mit Google/Facebook Login ?
• Keepass 2 auf mobilen Gerät – Passwortdatei über Google gesynced?
5. 2 Faktor Authentifizierung
• Starke Authentifizierung besteht aus zwei unabhängigen Faktoren
• Etwas das ich besitze -> Ein Token, Ein Smartphone
• Etwas dass ich weiß - > Ein Passwort, Bilderkombination
• Etwas das ich habe -> Ein Fingerabdruck, Iris, Herzschlag, Stimme
7. Mobile und SMS
• Jeder hat ein Mobiltelefon
• Keine Kosten für das Token
• SMS nicht zuverlässig
• Spezielle Trojaner für Mobiltelefone
8. Mobile und App
• Google Authenticator
• One App, Several Services -> Facebook, Google,
Clavid.ch
• Smartphones zunehmend verbreitet
• Gerootete Smartphones ? Verlust von
Smartphones ?
• Nur mit Mobile Device Management zu empfehlen - >
Umsetzung von Unternehmensrichtlinien
9. Passwortgeneratoren – Token ohne Rechner
• Unabhängig von Software
• Sehr sicher – verwenden internes Geheimnis, dass man sich nicht
stehlen lassen sollte (RSA 03/2011)
• Sehr zuverlässig
• Verhindern das Teilen von Zugangsdaten nicht
http://webcam/get_your_login
10. Token am Rechner –
offener Stand FIDO U2F
• FIDO ist ein Industriestandard mit vielen Partnern, hier U2F Standard
• Unterstützung von Windows 10 und Google
• Unterstützung aktuell (9/2015) von Chrome, noch kein Firefox
Support
• Keine Treiber, ab 35 €
• Beispiel Yubikey NEO
11. Zertifikate im Rechner „Softwarezertifikate“
• Public Key Infrastruktur benötigt
• Angriff vom Rechner aus möglich
• Diebstahl wird nicht erkannt
• PIN Eingabe sinnvoll
• Lifecycle benötigt – Sperrliste
Certificate Revocation List (CRL)
muss immer verfügbar sein
Certificate Authority
User Zertifikat
13. Zertifikate am Rechner mit Smartcard
geschützt
• Angriffe auf das Schlüsselmaterial extrem erschwert
• Benötigt Treiber für Smartcard, Benutzung
von MS Minidrivern möglich
• Beispiel Bankensektor : HBCI mit Smartcard
• Chipkartenleser mit Display (Klasse 3) 65 €
14. Zwei Kunden – Analyse nach Nutzergruppe
70 000 Nutzer, Inhouse Service
PKI, interne Nutzer Externe SMS
3 000 Nutzer, Cloud Service
Token Mobile App App on Desktop Mobile SMS
15. Ausblick
• Authentifizierung ganzheitlich betrachten, dazu auch Account Lifecycle und
Passwort Resets ansehen
• Mit Einbeziehung weitere Faktoren wie Zugangskontrollsysteme,
Geolocation, Endgeräte, Historie der Transaktionen
• Step Up Authentifikation - > Zusätzliche Authentifizierung bei kritischen
Transaktionen wie Kontoüberweisung über einem Limit
• Analyse der Transaktionen in Echtzeit
• Aktuelle Empfehlungen des BSI beachten – Security ist ständig im Fluss
16. Homework 1: Facebook sichere Anmeldung
• Kontoeinstellungen, Sicherheit
• Aktivierung der Anmeldebestätigung per Handy
• Aktivierung Codegenerator – mit Facebook App und auch mit Google
Authenticator möglich
• Optional : Zuverlässige Kontakte
• Optional : Nachlasskontakt
17. Homework 2: Google 2 Schritt Anmeldung
• https://myaccount.google.com
• Anmeldungen und Sicherheit
• Passwort und Anmeldeverfahren, FIDO Token:
18. Sicher ist, dass nichts sicher ist.
Selbst das nicht.
Ringelnatz, dt. Kabarettist
• Keepass http://keepass.info/
• Sicher im Netz
https://www.sicher-im-netz.de/passwort-wechsel-app-1
• Bundesamt Sicherheit Informationstechnik
https://www.bsi-fuer-
buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.html
19. Zusammenfassung
• Passwörter
• Biometrie / NFC
• Mobile SMS
• Mobile App
• Token am Rechner nach FIDO Standard
• Zertifikate im Rechner
• Zertifikate im Rechner in einem TPM
• Zertifikate am Rechner in einer Smartcard
• Verweis auf BSI Empfehlung