Lösungen?

• Forderungen nach einem "Wahrheitsministerium"
• "Netzwerkdurchsetzungsgesetz"

• aber:
• Wie unterscheiden wir echte von gefakten Nachrichten?
• Wer definiert was richtig und was falsch ist?

Passwort Un/Sicherheit

Patrick Welzel / @kcirtapw
Justus Hoffmann / @wallpecker

• Was sind eigentlich Passwörter?
• Un/Sichere Passwörter
• Passwörter sicher verwenden
• Passwort Manager

Passwörter?

Passwörter!

• Zeichenkette
• PIN
• Parole

Passwörter!

Geheimnis: manche kennen es, manche nicht

Meistens kennen es nur wenige oder nur eine Person

Passwörter: Wozu?

Eigenschaft: nicht jeder kennt es
Wer es kennt, ist besonders!

Identifizierung über Kenntnis des Passworts

Unsichere Passwörter

Passwort ist geheimes Wissen

Nicht mehr geheim

Wie kommt es dazu, dass ein Passwort nicht mehr geheim ist?

• Passwort erzählen
• Passwort verlieren
• Passwort raten

Passwörter raten

• Je kürzer und simpler, desto einfacher zu erraten
• Einfaches oder kompliziertes Schema?
• Aber: wie oft/schnell kann ein Angreifer raten?

PINs

• meist 4-6 Ziffern
• Also NUR 1000 bzw 100.000 Möglichkeiten
• Maximal 3 Versuche

Sichere Passwörter

Sichere Passwörter

• Viele verschiedene Zeichen
• Lange Passwörter:
• 77bit ~ 13 Zeichen
• aber komplett zufällig!
• Schematas zum Erstellen von Passwörtern

Kleines Rechenbeispiel

Passwörter zum Erinnern

• Neben der eigentlichen Stärke des Passworts ist wichtig, dass man sie auch verwenden kann!
• Gegensatz? sicheres Passwort vs merkbares Passwort
• Gute Schematas helfen auch dabei

Schema: Anfangsbuchstabe eines Satzes

“Der Bulldozer vor dem Küchenfenster war ganz schön groß.”
~Per Anhalter durch die Galaxis

Passwort: DBvdKwgsg

Verbessern: DBv3dKwgsg%

Schema: Diceware

• Wortliste (6⁵ = 7776 Wörter)
• 5 Würfel → ein Wort
• Mehrere Wörter (≥6) zufällig auswählen
• Langes Passwort
• "viel Zufall"
• gut merkbar

Schema: Diceware

Passwortverwendung

• Sichere Passwörter schützen vor erraten oder durchprobieren von Passwörtern
• Richtiges Verwenden von Passwörtern vermeidet, dass ein Angreifer auf anderem Weg an Passwörter kommen kann

Unsichere Passwortverwendung

• Standardpasswörter weiterverwenden
• Passwörter wiederverwenden
• Phishing
• Social engineering
• Passwort sichtbar notiert

Standardpasswörter

• Passwörter in Geräten vom Hersteller gesetzt
• Passwörter stehen im Handbuch (oder im Netz)
• Häufiges Problem DSL-Routern
• In der Vergangenheit spektakuläre Hacks mit Standardpasswörtern
• großes Problem im Internet of Things

Passwörter wiederverwenden

• Gleiches Passwort bei unterschiedlichen Accounts
• 65% bis 92% verwenden Passwörter mehrmals
• Was passiert, wenn bei einem Anbieter die Passwortliste gestohlen wird?
• Dominoeffekt: Wird ein Account gestohlen, sind auch alle anderen weg
• solche Hacks passieren häufiger
• Als Anwender kann man nur Schaden begrenzen

HaveIBeenPwned.com

Top 10 Einbrüche

Phishing

• Meist E-Mail, die Nutzer auf nachgemachte Anbieterseite locken soll
• "Schlimme Dinge werden passieren, wenn du nicht sofort auf diesen Link gehst und dein Passwort eingibst"
• Qualität der E-Mails variiert
• Häufige Ziele: Bankkonten, Zahlungsdienstleister, Online-Spiele
• Schutz: Gesundes Misstrauen

Social engineering

• Trickbetrug, um Zielperson zu falschem Handeln zu bringen
• Häufig via Telefon oder Social Media
• Viele Varianten möglich
• Schutz: Gesundes Mißtrauen

Notierte Passwörter

• Passwort auf Post-It unter Tastatur
• Passwort auf Post-It am Monitor
• Passwort auf Zettel groß an der Wand
• Schutz: Aufgeschriebenes Passwort sicher verwahren (Panzerschrank)

Sichere Passwortverwendung

• Ein Passwort pro Anwendung
• Kein erratbares Schema
• Nicht sichtbar notiert
• Niemandem verraten

Passwortmanager

• Datenbank von Nutzername/Passwort
• Verschlüsselt mit einem Masterpasswort
• Nur Masterpasswort merken, trotzdem für jede Anwendung ein eigenes Passwort

Sicherheitsfragen

• Fragen bei 'Passwort zurücksetzen'-Funktion
• Antworten dürfen niemanden sonst bekannt sein
• Antworten nicht versehentlich ausplaudern

Hands-on: Sichere Online-Messenger

am Beispiel Jabber