Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Passwörter lang oder kurz?

47 views

Published on

OMM TECHtalk #7
www.tech-talks.eu

Published in: Data & Analytics
  • Be the first to comment

  • Be the first to like this

Passwörter lang oder kurz?

  1. 1. OMM Solutions TECHtalk #7 < OMM Solutions GmbH > 1 www.tech-talks.eu
  2. 2. Einmal im Monat ist TECHtalk Zeit! First come first served! < OMM Solutions GmbH > 2
  3. 3. Talk: Passwörter lang oder kurz? Speaker: Malte Horstmann 3< OMM Solutions GmbH >
  4. 4. Drauf • Was passiert da draußen? • Verkauf von geklauten Datenbanken • Wie werden Passwörter eigentlich gehackt? • Statistiken nutzen • Durchprobieren • Und was soll ich nun machen? • K4/Ui2$-Lo7.3Ad§2ß1P2s oder KlausBäckt8NackteFlüße. • Passwort-Manager • MFA/2FA Nicht-drauf • Primzahlen • RSA, ECC • KDF • Kryptographie im Detail • höhere Mathematik • Owasp • SSH • PGP • S/Mime Agenda < OMM Solutions GmbH > 4
  5. 5. Yes, you‘ve been! Have you been pwned? • s***a@****e • Neteller • Account balances, Dates of birth, Email addresses, Genders, IP addresses, Names, Phone numbers, Physical addresses, Security questions and answers, Website activity • m*******r@g*****m • Dropbox, Patreon • Email addresses, Passwords; Email addresses, Payment histories, Physical addresses, Private messages, Website activity • p***h@g*****m • Dropbox, Adobe, … in total 7 Accounts • Dates of birth, Email addresses, Genders, IP addresses, Passwords, Security questions and answers, Usernames, Website activity, Password hints, Passwords, Usernames, Account balances, Email addresses, IP addresses • a****8@****e • Adobe, Last.fm, moneybookers • Email addresses, Password hints, Passwords, Usernames, Website activity, IP addresses, Names, Phone numbers, Physical addresses erstes Learning: https://haveibeenpwned.com eintragen und benachrichtigen lassen < OMM Solutions GmbH > 5
  6. 6. Wo landen meine Passwörter? • Täglich werden Datenbanken geklaut (und verkauft) • …. • Mai 2012 (2016): LinkedIn: 164 Millionen E-Mail Adressen + Passwörter • Mitte 2012 (2016): Dropbox: 68 Millionen E-Mail Adressen + Passwörter • Herbst 2016: Exploit.In: 593 Millionen E-Mail Adressen inkl. verschiedener Passwörter • Dez 2016: Anti Public Combo List: 458 Millionen E-Mail Adressen + Passwörter • Aug 2017: Onliner Spambot: 711 Millionen Email-Adressen zu großen Teilen mit Passwörtern • Bis heute: 233 Webseiten/Portale • Statische Daten aus den Datensätzen • 75% der Passwörter wurde mehr als einmal verwendet • 306 Millionen Passwörter verfügbar • 4,7 Milliarden Accounts Was passiert da draußen? < OMM Solutions GmbH > 6 Wurden deine Passwörter schon einmal genackt?  https://haveibeenpwned.com/Passwords Solche Services nie mit aktuell verwendeten Passwörtern ausprobieren!
  7. 7. Dann kann man sie immer noch erraten… Wie hackt man Passwörter? • Grundlage • Datenbanken speichern Passwörter als Hashes • asd123 -> 0x428a04b…. • Hash nicht umkehrbar • Wird die Datenbank geklaut, weiß der Dieb die Passwörter nicht  Angreifer probieren alle möglichen Passwörter durch • Online • Angreifer muss online sein und hat Verzögerungen • Nach n Versuchen blockiert der Server (hoffentlich) • Offline • Angreifer kann so viel versuchen und so schnell wie er möchte • Hash-Werte (SHA-256) berechnen • moderner PC: 100.000.000 Hashes/s • moderne Grafikkarte (~1000€): 4.000.000.000 Hashes/s • Extreme Optimierung durch Statistiken, Passwort-Muster, und AI • 42% aller Passwörter verwenden nur Kleinbuchstaben • Buchstabe ‚e‘ kommt in 50% aller Passwörter vor; ‚f‘ nur in 8% • Menschen verwenden meistens sehr ähnliche Muster (GkkkkkZZ) Passwortlänge und Entropie • 95 druckbare Zeichen • Beispiel: aA2.-$ • 956 ≈ 240 Möglichkeiten  40 Bit Entropie • <5 Minuten auf einer modernen Grafikkarte  50 Bit Entropie • 8 verschiedene Zeichen • <4 Tagen auf einer modernen Grafikkarte  60 Bit Entropie • 10 verschieden Zeichen • > 3000 Tage auf einer modernen Grafikkarte Und wenn meine Passwörter noch nicht geknackt wurden? < OMM Solutions GmbH > 7
  8. 8. Es kommt auf die Länge an… und nicht immer auf Bill Burr (NIST) hören. • 6 zufällig gewählte Zeichen: ≈ 40 Bit Entropie • Eine (!) Grafikkarte in wenigen Minuten bis Stunden • 10 und mehr zufällig gewählte Zeichen: > 65 Bit Entropie • > 3000 Tage auf einer Grafikkarte • Die Sicherheit reduziert sich drastisch wenn Passwörter keine Zufallskombinationen sind! • “B0!58%i+2-” = mehrere Wochen auf Tausenden Rechnern • Tr0ub4dour0711!” = wenige Minuten auf einer (!) Grafikkarte • Schlechte Passwörter • Erratbare Begriffe: “Stuttgart”, “franzxaver” • Namen oder Stichtage: “Klaus”, “09sep2001” • Wort aus dem Wörterbuch, auch Verfremdung hilft nicht: “Lichtgeschwindigkeit”, “Sh3ttl4nd-TerrIer”, “Tr0ub4dour” • Wortkombinationen: “Adam.2+%;7Eva” Was soll ich nun machen? < OMM Solutions GmbH > 8
  9. 9. Nochmal als Tabelle < OMM Solutions GmbH > 9
  10. 10. maschinelle zufällige Kombinationen sind besser • Zufällig maschinell generierte Passwörtern mit 12 und mehr Zeichen “FDaob^^.spNc” • > 70 Bit Entropie  Problem: Wie merke ich mir eine solche Kombination? • Einfacher: • Kombination aus mind. vier seltenen zufällig gewählten Wörtern “MagenStockSchereSchlauch” • > 80 Bit Entropie • Noch leichter: PassSätze • komplett absurde Sätze wie: KlausBäckt8NackteFlüße. • 120 Bit Entropie  Problem: Ich will doch nicht jedes Mal so ein langes Passwort eingeben Frage: Warum ist KlausBäckt8NackteFlüße. kein gutes Passwort mehr? Übrigens: Dein Passwort darf auch Leerzeichen und Emojis enthalten. Was soll ich nun machen? < OMM Solutions GmbH > 10
  11. 11. Die kurze Einarbeitung lohnt sich Passwortmanager nutzen • Ein Master-Kennwort schützt die anderen Kennwörter • Für jeden Account ein eigenes Passwort • Je nach Passwortmanager kann man die Passwörter direkt in Login-Seiten einfüllen lassen • Meine Empfehlung Keepass + KeePassHttp + chromeIPass • Weitere Passwort-Manager • 1Password • LastPass • … < OMM Solutions GmbH > 11 Passwortmanager installieren und nutzen  http://keepass.info/download.html
  12. 12. OTP und 2FA sind zwei Beispiele davon Multi-Faktor Authentifizierung Weitere Gefahren • Social Engineering • Phising • Brute Force Attacken • Shoulder Surfing • Key-Logger • … Lösungsmöglichkeiten • Authentifizierung über „wer du bist“ • Biometrie • Fingerabdruck, Stimme, Retina, DNA(?) • Authentifizierung über „was du hast“ • Hardware-Token • Software • Mobile Phone • Bekannt: Google Authenticator und Authy < OMM Solutions GmbH > 12
  13. 13. • Have you been pwned? • https://haveibeenpwned.com/ • Introducing 306 Million Freely Downloadable Pwned Passwords • https://www.troyhunt.com/introducing-306-million-freely-downloadable-pwned-passwords/ • How Big is your Haystack …and how well hidden is YOUR needle? • https://www.grc.com/haystack.htm • How Artificial Intelligence Can Be Used For Password Guessing • https://hackernoon.com/how-artificial-intelligence-can-be-used-for-password-guessing- cf4fd4184a46 • https://arxiv.org/abs/1709.00440 • Make users' passwords 5-6 orders of magnitude harder to crack. • https://www.korelogic.com/Resources/Presentations/bsidesavl_pathwell_2014-06.pdf • Die besten Passwort-Manager • https://www.computerwoche.de/a/die-besten-passwort-manager,2519783 < OMM Solutions GmbH > 13
  14. 14. https://xkcd.com/936/ Xkcd erklärts < OMM Solutions GmbH > 14
  15. 15. Vielen Dank für Eure Aufmerksamkeit! 15< OMM Solutions GmbH >
  16. 16. Ihr persönlicher Ansprechpartner Fragen oder Interesse? < OMM Solutions GmbH > 16 Malte Horstmann Sales & Processes OMM Solutions GmbH Vor dem Lauch 4 70567 Stuttgart Germany mh@omm-solutions.de +49 (0)711 67 47 05 11
  17. 17. 17< OMM Solutions GmbH > www.omm-solutions.de OMM Solutions GmbH Vor dem Lauch 4 70567 Stuttgart Geschäftsführer Martin Allmendinger Malte Horstmann Olaf Horstmann Kontakt Telefon: +49 711 6747 051-0 E-Mail: info@omm-solutions.de Umsatzsteuer-ID: DE295716572 Sitz der Gesellschaft: Stuttgart Amtsgericht Stuttgart, HRB 749562 Impressum

×