Successfully reported this slideshow.

More Related Content

Passwörter lang oder kurz?

  1. 1. OMM Solutions TECHtalk #7 < OMM Solutions GmbH > 1 www.tech-talks.eu
  2. 2. Einmal im Monat ist TECHtalk Zeit! First come first served! < OMM Solutions GmbH > 2
  3. 3. Talk: Passwörter lang oder kurz? Speaker: Malte Horstmann 3< OMM Solutions GmbH >
  4. 4. Drauf • Was passiert da draußen? • Verkauf von geklauten Datenbanken • Wie werden Passwörter eigentlich gehackt? • Statistiken nutzen • Durchprobieren • Und was soll ich nun machen? • K4/Ui2$-Lo7.3Ad§2ß1P2s oder KlausBäckt8NackteFlüße. • Passwort-Manager • MFA/2FA Nicht-drauf • Primzahlen • RSA, ECC • KDF • Kryptographie im Detail • höhere Mathematik • Owasp • SSH • PGP • S/Mime Agenda < OMM Solutions GmbH > 4
  5. 5. Yes, you‘ve been! Have you been pwned? • s***a@****e • Neteller • Account balances, Dates of birth, Email addresses, Genders, IP addresses, Names, Phone numbers, Physical addresses, Security questions and answers, Website activity • m*******r@g*****m • Dropbox, Patreon • Email addresses, Passwords; Email addresses, Payment histories, Physical addresses, Private messages, Website activity • p***h@g*****m • Dropbox, Adobe, … in total 7 Accounts • Dates of birth, Email addresses, Genders, IP addresses, Passwords, Security questions and answers, Usernames, Website activity, Password hints, Passwords, Usernames, Account balances, Email addresses, IP addresses • a****8@****e • Adobe, Last.fm, moneybookers • Email addresses, Password hints, Passwords, Usernames, Website activity, IP addresses, Names, Phone numbers, Physical addresses erstes Learning: https://haveibeenpwned.com eintragen und benachrichtigen lassen < OMM Solutions GmbH > 5
  6. 6. Wo landen meine Passwörter? • Täglich werden Datenbanken geklaut (und verkauft) • …. • Mai 2012 (2016): LinkedIn: 164 Millionen E-Mail Adressen + Passwörter • Mitte 2012 (2016): Dropbox: 68 Millionen E-Mail Adressen + Passwörter • Herbst 2016: Exploit.In: 593 Millionen E-Mail Adressen inkl. verschiedener Passwörter • Dez 2016: Anti Public Combo List: 458 Millionen E-Mail Adressen + Passwörter • Aug 2017: Onliner Spambot: 711 Millionen Email-Adressen zu großen Teilen mit Passwörtern • Bis heute: 233 Webseiten/Portale • Statische Daten aus den Datensätzen • 75% der Passwörter wurde mehr als einmal verwendet • 306 Millionen Passwörter verfügbar • 4,7 Milliarden Accounts Was passiert da draußen? < OMM Solutions GmbH > 6 Wurden deine Passwörter schon einmal genackt?  https://haveibeenpwned.com/Passwords Solche Services nie mit aktuell verwendeten Passwörtern ausprobieren!
  7. 7. Dann kann man sie immer noch erraten… Wie hackt man Passwörter? • Grundlage • Datenbanken speichern Passwörter als Hashes • asd123 -> 0x428a04b…. • Hash nicht umkehrbar • Wird die Datenbank geklaut, weiß der Dieb die Passwörter nicht  Angreifer probieren alle möglichen Passwörter durch • Online • Angreifer muss online sein und hat Verzögerungen • Nach n Versuchen blockiert der Server (hoffentlich) • Offline • Angreifer kann so viel versuchen und so schnell wie er möchte • Hash-Werte (SHA-256) berechnen • moderner PC: 100.000.000 Hashes/s • moderne Grafikkarte (~1000€): 4.000.000.000 Hashes/s • Extreme Optimierung durch Statistiken, Passwort-Muster, und AI • 42% aller Passwörter verwenden nur Kleinbuchstaben • Buchstabe ‚e‘ kommt in 50% aller Passwörter vor; ‚f‘ nur in 8% • Menschen verwenden meistens sehr ähnliche Muster (GkkkkkZZ) Passwortlänge und Entropie • 95 druckbare Zeichen • Beispiel: aA2.-$ • 956 ≈ 240 Möglichkeiten  40 Bit Entropie • <5 Minuten auf einer modernen Grafikkarte  50 Bit Entropie • 8 verschiedene Zeichen • <4 Tagen auf einer modernen Grafikkarte  60 Bit Entropie • 10 verschieden Zeichen • > 3000 Tage auf einer modernen Grafikkarte Und wenn meine Passwörter noch nicht geknackt wurden? < OMM Solutions GmbH > 7
  8. 8. Es kommt auf die Länge an… und nicht immer auf Bill Burr (NIST) hören. • 6 zufällig gewählte Zeichen: ≈ 40 Bit Entropie • Eine (!) Grafikkarte in wenigen Minuten bis Stunden • 10 und mehr zufällig gewählte Zeichen: > 65 Bit Entropie • > 3000 Tage auf einer Grafikkarte • Die Sicherheit reduziert sich drastisch wenn Passwörter keine Zufallskombinationen sind! • “B0!58%i+2-” = mehrere Wochen auf Tausenden Rechnern • Tr0ub4dour0711!” = wenige Minuten auf einer (!) Grafikkarte • Schlechte Passwörter • Erratbare Begriffe: “Stuttgart”, “franzxaver” • Namen oder Stichtage: “Klaus”, “09sep2001” • Wort aus dem Wörterbuch, auch Verfremdung hilft nicht: “Lichtgeschwindigkeit”, “Sh3ttl4nd-TerrIer”, “Tr0ub4dour” • Wortkombinationen: “Adam.2+%;7Eva” Was soll ich nun machen? < OMM Solutions GmbH > 8
  9. 9. Nochmal als Tabelle < OMM Solutions GmbH > 9
  10. 10. maschinelle zufällige Kombinationen sind besser • Zufällig maschinell generierte Passwörtern mit 12 und mehr Zeichen “FDaob^^.spNc” • > 70 Bit Entropie  Problem: Wie merke ich mir eine solche Kombination? • Einfacher: • Kombination aus mind. vier seltenen zufällig gewählten Wörtern “MagenStockSchereSchlauch” • > 80 Bit Entropie • Noch leichter: PassSätze • komplett absurde Sätze wie: KlausBäckt8NackteFlüße. • 120 Bit Entropie  Problem: Ich will doch nicht jedes Mal so ein langes Passwort eingeben Frage: Warum ist KlausBäckt8NackteFlüße. kein gutes Passwort mehr? Übrigens: Dein Passwort darf auch Leerzeichen und Emojis enthalten. Was soll ich nun machen? < OMM Solutions GmbH > 10
  11. 11. Die kurze Einarbeitung lohnt sich Passwortmanager nutzen • Ein Master-Kennwort schützt die anderen Kennwörter • Für jeden Account ein eigenes Passwort • Je nach Passwortmanager kann man die Passwörter direkt in Login-Seiten einfüllen lassen • Meine Empfehlung Keepass + KeePassHttp + chromeIPass • Weitere Passwort-Manager • 1Password • LastPass • … < OMM Solutions GmbH > 11 Passwortmanager installieren und nutzen  http://keepass.info/download.html
  12. 12. OTP und 2FA sind zwei Beispiele davon Multi-Faktor Authentifizierung Weitere Gefahren • Social Engineering • Phising • Brute Force Attacken • Shoulder Surfing • Key-Logger • … Lösungsmöglichkeiten • Authentifizierung über „wer du bist“ • Biometrie • Fingerabdruck, Stimme, Retina, DNA(?) • Authentifizierung über „was du hast“ • Hardware-Token • Software • Mobile Phone • Bekannt: Google Authenticator und Authy < OMM Solutions GmbH > 12
  13. 13. • Have you been pwned? • https://haveibeenpwned.com/ • Introducing 306 Million Freely Downloadable Pwned Passwords • https://www.troyhunt.com/introducing-306-million-freely-downloadable-pwned-passwords/ • How Big is your Haystack …and how well hidden is YOUR needle? • https://www.grc.com/haystack.htm • How Artificial Intelligence Can Be Used For Password Guessing • https://hackernoon.com/how-artificial-intelligence-can-be-used-for-password-guessing- cf4fd4184a46 • https://arxiv.org/abs/1709.00440 • Make users' passwords 5-6 orders of magnitude harder to crack. • https://www.korelogic.com/Resources/Presentations/bsidesavl_pathwell_2014-06.pdf • Die besten Passwort-Manager • https://www.computerwoche.de/a/die-besten-passwort-manager,2519783 < OMM Solutions GmbH > 13
  14. 14. https://xkcd.com/936/ Xkcd erklärts < OMM Solutions GmbH > 14
  15. 15. Vielen Dank für Eure Aufmerksamkeit! 15< OMM Solutions GmbH >
  16. 16. Ihr persönlicher Ansprechpartner Fragen oder Interesse? < OMM Solutions GmbH > 16 Malte Horstmann Sales & Processes OMM Solutions GmbH Vor dem Lauch 4 70567 Stuttgart Germany mh@omm-solutions.de +49 (0)711 67 47 05 11
  17. 17. 17< OMM Solutions GmbH > www.omm-solutions.de OMM Solutions GmbH Vor dem Lauch 4 70567 Stuttgart Geschäftsführer Martin Allmendinger Malte Horstmann Olaf Horstmann Kontakt Telefon: +49 711 6747 051-0 E-Mail: info@omm-solutions.de Umsatzsteuer-ID: DE295716572 Sitz der Gesellschaft: Stuttgart Amtsgericht Stuttgart, HRB 749562 Impressum

Editor's Notes

  • https://www.grc.com/haystack.htm
  • https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a270c40
    GeForce GTX 1080 Ti 
    1.000€

    In 2012 gabs schon jemand der mit 25Grafikkarten mehr als 300 Mrd. Hashes generiert hat
    http://www.zdnet.com/article/25-gpus-devour-password-hashes-at-up-to-348-billion-per-second/

    Hash-Werte (bcrypt) berechnen
    moderner PC: 3.000 Hashes/s
    moderne Grafikkarte: 20.000 Hashes/s


    955 ≈ 233 Möglichkeiten
    33 Bit Entropie
    <5 Tage auf einer modernen Grafikkarte

    3000 Tage / 20 Garfikkarten = 150 Tage

    Rainbow-Tables

    https://www.korelogic.com/Resources/Presentations/bsidesavl_pathwell_2014-06.pdf

    Nur 10% aller Passwörter mit Groß/Kleinschreibung+Zahlen+Symbole
    Symbol ist meißtens „!“

  • ×