![Page 1: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/1.jpg)
Die Kunst ein starkes Passwort zu finden und zuschützen
Stefan Schumacher
Magdeburger Institut für Sicherheitsforschung
Brandenburger Linux-Infotag
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 1 / 24
![Page 2: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/2.jpg)
Über mich
Berater für Unternehmenssicherheit mit Schwerpunkt auf SocialEngineering, Security Awareness und Counter Intelligencewww.Kaishakunin.com
Direktor des Magdeburger Instituts für Sicherheitsforschungwww.sicherheitsforschung-magdeburg.de
Herausgeber des Magdeburger Journals zur Sicherheitsforschungim Meine Verlagwww.wissens-werk.de/index.php/mjs
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 2 / 24
![Page 3: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/3.jpg)
Übersicht
1 Motivation
2 Was gefährdet mein Passwort?
3 Sicherheitsregeln
4 Passwortgenerierung
5 Zusammenfassung
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 3 / 24
![Page 4: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/4.jpg)
1 Motivation
2 Was gefährdet mein Passwort?
3 Sicherheitsregeln
4 Passwortgenerierung
5 Zusammenfassung
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 4 / 24
![Page 5: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/5.jpg)
Wo ist das Problem?
Passwort: das Authentifizierungsmerkmal schlechthinder Schlüssel zu einem Konto/Systemleider häufig unterschätztinteressanter Angriffspunkt
I sowohl technischer Mittel (Wörterbuchangriffe, Tastaturrekorder)I als auch sozialer (Social Engineering)
Hinweise zur Erzeugung und zum Gebrauch von Passwortensowohl sozialer als auch technischer Natur
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 4 / 24
![Page 6: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/6.jpg)
Wo ist das Problem?
Passwort: das Authentifizierungsmerkmal schlechthinder Schlüssel zu einem Konto/Systemleider häufig unterschätztinteressanter Angriffspunkt
I sowohl technischer Mittel (Wörterbuchangriffe, Tastaturrekorder)I als auch sozialer (Social Engineering)
Hinweise zur Erzeugung und zum Gebrauch von Passwortensowohl sozialer als auch technischer Natur
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 4 / 24
![Page 7: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/7.jpg)
Wo ist das Problem?
Passwort: das Authentifizierungsmerkmal schlechthinder Schlüssel zu einem Konto/Systemleider häufig unterschätztinteressanter Angriffspunkt
I sowohl technischer Mittel (Wörterbuchangriffe, Tastaturrekorder)I als auch sozialer (Social Engineering)
Hinweise zur Erzeugung und zum Gebrauch von Passwortensowohl sozialer als auch technischer Natur
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 4 / 24
![Page 8: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/8.jpg)
1 Motivation
2 Was gefährdet mein Passwort?
3 Sicherheitsregeln
4 Passwortgenerierung
5 Zusammenfassung
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 5 / 24
![Page 9: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/9.jpg)
soziale Ebene? technische Ebene?
technische Ebene: alles was irgendwie mit Strom zu tun hat undwo man im Idealfall gegentreten kannsoziale Ebene: Schnittstellen und Protokolle des menschlichenMiteinandersleider nicht debugbar
»If you think technology can solve your security problems, then youdon’t understand the problems and you don’t understand thetechnology« - Bruce Schneieroder: Man kann soziale Probleme nicht mit technischen Mittelnlösen
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 5 / 24
![Page 10: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/10.jpg)
soziale Ebene? technische Ebene?
technische Ebene: alles was irgendwie mit Strom zu tun hat undwo man im Idealfall gegentreten kannsoziale Ebene: Schnittstellen und Protokolle des menschlichenMiteinandersleider nicht debugbar»If you think technology can solve your security problems, then youdon’t understand the problems and you don’t understand thetechnology« - Bruce Schneieroder: Man kann soziale Probleme nicht mit technischen Mittelnlösen
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 5 / 24
![Page 11: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/11.jpg)
soziale Ebene? technische Ebene?
technische Ebene: alles was irgendwie mit Strom zu tun hat undwo man im Idealfall gegentreten kannsoziale Ebene: Schnittstellen und Protokolle des menschlichenMiteinandersleider nicht debugbar»If you think technology can solve your security problems, then youdon’t understand the problems and you don’t understand thetechnology« - Bruce Schneieroder: Man kann soziale Probleme nicht mit technischen Mittelnlösen
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 5 / 24
![Page 12: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/12.jpg)
http://www.landschaftsmuseum.de/Bilder/Faustkeil_URO-2.jpg
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 6 / 24
![Page 13: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/13.jpg)
Deus Ex Machina
Verbindungsübernahme oder AbhörmaßnahmenI Kryptographie (SSH, SSL, VPN, GPG ...)I vertrauenswürdige Kanäle
KlartextpasswörterI Dienste austauschen (telnet, rsh, ftp ssh)
Tastaturrekorder, Wanzen, KamerasI Rechner und Umgebung prüfenI Sichtschutz
Kompromittierende StrahlungI gewollte Strahlung (Wlan, Bluetooth, IrDa) eingrenzenI Schirmung (Faradayscher Käfig, Hühnerdraht)I Kryptographie
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 7 / 24
![Page 14: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/14.jpg)
Was ist Social Engineering
jeder hält sich für unfehlbar und unbetrügbardarum funktioniert Betrug so wunderbarSocial Engineering: Maßnahmen, um Menschen zu hacken, stattMaschinenoder schlicht: TrickbetrugStefan Schumacher (2010)Psychologische Grundlagen des Social-Engineeringin: Die Datenschleuder. Das wissenschaftliche Fachblatt für denDatenreisendenS. 52-59, 2010, Chaos Computer Club Hamburg, ISSN: 0930-1054
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 8 / 24
![Page 15: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/15.jpg)
Sicherheitsstrategie
Verteidigung in der Tiefe: Verwundbare Teile des Netzwerkesabschotten und sichernPhysikalischen Zugriff auf Rechner unterbinden.Rechte der Benutzer soweit es geht einschränken, dabei abernatürlich nicht übertreiben. Zu starke Einschränkungen werdengerne umgangen.Benutzer unbedingt über Social-Engineering-Angriffe informierenund von Gegenmaßnahmen in Kenntnis setzen.Proaktive Passwortprüfungenrechtliche Maßnahmen (Abmahnungen, Kündigungen etc.) gegenVerstöße
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 9 / 24
![Page 16: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/16.jpg)
1 Motivation
2 Was gefährdet mein Passwort?
3 Sicherheitsregeln
4 Passwortgenerierung
5 Zusammenfassung
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 10 / 24
![Page 17: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/17.jpg)
Feind hört mit!
Passwörter müssen unbedingt geheimgehalten werden!nicht weitersagennicht aufschreiben
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 10 / 24
![Page 18: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/18.jpg)
Wie werden Passwörter gespeichert?
Passwörter im Klartext können einfach ausgelesen werdenPasswörter werden gehashtMathematische Einwegfunktion:Hash über Passwort bilden ist einfachPasswort aus Hash rekonstruieren ist schwerHash kann nicht zurückgerechnet werdenCRC32, MD5, SHA1, RMD160, Blowfish ...
passworttest:$1$Di2VQknM$Vfbi9OkGZKN5Wxi0ypZeT1:1007:100::0:0::/home/passworttest:/bin/csh
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 11 / 24
![Page 19: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/19.jpg)
Wie werden Passwörter gespeichert?
Passwörter im Klartext können einfach ausgelesen werdenPasswörter werden gehashtMathematische Einwegfunktion:Hash über Passwort bilden ist einfachPasswort aus Hash rekonstruieren ist schwerHash kann nicht zurückgerechnet werdenCRC32, MD5, SHA1, RMD160, Blowfish ...
passworttest:$1$Di2VQknM$Vfbi9OkGZKN5Wxi0ypZeT1:1007:100::0:0::/home/passworttest:/bin/csh
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 11 / 24
![Page 20: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/20.jpg)
Wörterbuchangriffe
Passworthashes können zwar nicht erraten, aber verglichenwerdenPasswortdatei stehlenHash auf Wörterbuch anwendenerzeugte Hashes mit erbeuteter Liste vergleichenTreffer heißt, Passwort geknacktRainbowtables mit vorberechneten HashesThomas Roth: SHA-1-Hash aller 1-6 stelligen Passwörter erstellt,nutzte die GPU in Amazon Cloud Services, Dauer 50 Minuten,Kosten: 2 Euro
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 12 / 24
![Page 21: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/21.jpg)
WörterbuchangriffeKombinatorik
fröhliches Passwortraten: alle Kombinationen probierenAnzahl Kombinationen = verfuegbare BuchstabenPasswortlaenge
26 Buchstaben (a-z), 5 Stellen: 265 = 11.881.37699 Buchstaben, 10 Stellen: 9910 = 90.438.207.500.880.449.001Annahme: 5 Passwörter pro Sekunde 432000 pro Tag
265
432.000 = 27, 5 Tage(9910/432.000)/365000 ≈ 570 Millionen Jahrtausende
Annahme: 5.000 Passwörter pro Sekunde 432.000.000 pro Tag265
432.000.000 ≈ 40 Minuten(9910/432.000.55)/365000 ≈ 570 Tausend Jahrtausende
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 13 / 24
![Page 22: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/22.jpg)
WörterbuchangriffeKombinatorik
fröhliches Passwortraten: alle Kombinationen probierenAnzahl Kombinationen = verfuegbare BuchstabenPasswortlaenge
26 Buchstaben (a-z), 5 Stellen: 265 = 11.881.37699 Buchstaben, 10 Stellen: 9910 = 90.438.207.500.880.449.001Annahme: 5 Passwörter pro Sekunde 432000 pro Tag
265
432.000 = 27, 5 Tage(9910/432.000)/365000 ≈ 570 Millionen JahrtausendeAnnahme: 5.000 Passwörter pro Sekunde 432.000.000 pro Tag
265
432.000.000 ≈ 40 Minuten(9910/432.000.55)/365000 ≈ 570 Tausend Jahrtausende
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 13 / 24
![Page 23: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/23.jpg)
WörterbuchangriffeKombinatorik
fröhliches Passwortraten: alle Kombinationen probierenAnzahl Kombinationen = verfuegbare BuchstabenPasswortlaenge
26 Buchstaben (a-z), 5 Stellen: 265 = 11.881.37699 Buchstaben, 10 Stellen: 9910 = 90.438.207.500.880.449.001Annahme: 5 Passwörter pro Sekunde 432000 pro Tag
265
432.000 = 27, 5 Tage(9910/432.000)/365000 ≈ 570 Millionen JahrtausendeAnnahme: 5.000 Passwörter pro Sekunde 432.000.000 pro Tag
265
432.000.000 ≈ 40 Minuten(9910/432.000.55)/365000 ≈ 570 Tausend Jahrtausende
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 13 / 24
![Page 24: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/24.jpg)
WörterbuchangriffeGegenmaßnahme: Passwortwechsel
zweischneidiges Schwerttechnisch erzwingbar, aber umgehbar (Post-It)überhaupt notwendig? (570 Tausend Jahrtausende)Wenn Passwort sicher, eigentlich nichtAusspähen (Shoulder Surfing)?
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 14 / 24
![Page 25: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/25.jpg)
WörterbuchangriffeGegenmaßnahme: Passwortwechsel
zweischneidiges Schwerttechnisch erzwingbar, aber umgehbar (Post-It)überhaupt notwendig? (570 Tausend Jahrtausende)Wenn Passwort sicher, eigentlich nichtAusspähen (Shoulder Surfing)?
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 14 / 24
![Page 26: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/26.jpg)
WörterbuchangriffeGegenmaßnahme: langsamer Hash, hier: Blowfish
RUNDEN ZEIT
10 0.48s11 0.97s12 1.92s13 3.84s14 7.68s15 15.36s16 31.42s17 61.95s18 123.06s19 248.31s20 639.28s
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 15 / 24
![Page 27: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/27.jpg)
Passwörter raten
beliebte Social-Engineering-MethodePasswortwahl sagt einiges über den Benutzer ausmuss einfach merkbar sein naheliegendes DatumName des Sohnes/Tochter/Ehemann/Hund/Katze/Maus ...Postleitzahl, KFZ-Kennzeichen, Hochzeitstag, Geburtstagleicht herausfindbar (Pers-Akte, Lohnsteuerkarte, Blog,Homepage)Daher absolut verboten!
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 16 / 24
![Page 28: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/28.jpg)
Passwörter raten
beliebte Social-Engineering-MethodePasswortwahl sagt einiges über den Benutzer ausmuss einfach merkbar sein naheliegendes DatumName des Sohnes/Tochter/Ehemann/Hund/Katze/Maus ...Postleitzahl, KFZ-Kennzeichen, Hochzeitstag, Geburtstagleicht herausfindbar (Pers-Akte, Lohnsteuerkarte, Blog,Homepage)Daher absolut verboten!
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 16 / 24
![Page 29: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/29.jpg)
Passwörter recyclen?
mehrere Passwörter nötig RecyclingWebforen etc. werden oft angegriffenIst das Webforum vertrauenswürdig?Technisch einwandfrei? Oder gar Honeypot?
Auf keinen Fall überall das selbe Passwort verwenden!
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 17 / 24
![Page 30: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/30.jpg)
Passwörter recyclen?
mehrere Passwörter nötig RecyclingWebforen etc. werden oft angegriffenIst das Webforum vertrauenswürdig?Technisch einwandfrei? Oder gar Honeypot?
Auf keinen Fall überall das selbe Passwort verwenden!
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 17 / 24
![Page 31: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/31.jpg)
1 Motivation
2 Was gefährdet mein Passwort?
3 Sicherheitsregeln
4 Passwortgenerierung
5 Zusammenfassung
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 18 / 24
![Page 32: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/32.jpg)
Passwörter von Hand generieren
Einen Satz ausdenken und die Initialen zusammenziehenWem der große Wurf gelungen ,Eines Freundes Freund zu sein.- Friedrich Schiller, 1805
W d g W g , E F F z s . - F S , 1 8 0 5
Wörter und Zahlen mischen:R1i2n3g4p5a6r7a8b9e10l2L2e0s1s1i7n2g9GmoitatrhhoplEdLeetspeak: D03s Any1 in |-|3r3 5pE4|< 31337?
Dialekte: Vocheljesank in Machteburch;Motschekiebschen
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 18 / 24
![Page 33: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/33.jpg)
Passwörter von Hand generieren
Einen Satz ausdenken und die Initialen zusammenziehenWem der große Wurf gelungen ,Eines Freundes Freund zu sein.- Friedrich Schiller, 1805 W d g W g , E F F z s . - F S , 1 8 0 5
Wörter und Zahlen mischen:R1i2n3g4p5a6r7a8b9e10l2L2e0s1s1i7n2g9GmoitatrhhoplEdLeetspeak: D03s Any1 in |-|3r3 5pE4|< 31337?
Dialekte: Vocheljesank in Machteburch;Motschekiebschen
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 18 / 24
![Page 34: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/34.jpg)
Passwörter von Hand generieren
Einen Satz ausdenken und die Initialen zusammenziehenWem der große Wurf gelungen ,Eines Freundes Freund zu sein.- Friedrich Schiller, 1805 W d g W g , E F F z s . - F S , 1 8 0 5Wörter und Zahlen mischen:R1i2n3g4p5a6r7a8b9e10l2L2e0s1s1i7n2g9GmoitatrhhoplEd
Leetspeak: D03s Any1 in |-|3r3 5pE4|< 31337?
Dialekte: Vocheljesank in Machteburch;Motschekiebschen
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 18 / 24
![Page 35: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/35.jpg)
Passwörter von Hand generieren
Einen Satz ausdenken und die Initialen zusammenziehenWem der große Wurf gelungen ,Eines Freundes Freund zu sein.- Friedrich Schiller, 1805 W d g W g , E F F z s . - F S , 1 8 0 5Wörter und Zahlen mischen:R1i2n3g4p5a6r7a8b9e10l2L2e0s1s1i7n2g9GmoitatrhhoplEdLeetspeak: D03s Any1 in |-|3r3 5pE4|< 31337?
Dialekte: Vocheljesank in Machteburch;Motschekiebschen
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 18 / 24
![Page 36: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/36.jpg)
Passwörter von Hand generieren
Einen Satz ausdenken und die Initialen zusammenziehenWem der große Wurf gelungen ,Eines Freundes Freund zu sein.- Friedrich Schiller, 1805 W d g W g , E F F z s . - F S , 1 8 0 5Wörter und Zahlen mischen:R1i2n3g4p5a6r7a8b9e10l2L2e0s1s1i7n2g9GmoitatrhhoplEdLeetspeak: D03s Any1 in |-|3r3 5pE4|< 31337?
Dialekte: Vocheljesank in Machteburch;Motschekiebschen
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 18 / 24
![Page 37: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/37.jpg)
Passwörter von Hand generieren
Einen Satz ausdenken und die Initialen zusammenziehenWem der große Wurf gelungen ,Eines Freundes Freund zu sein.- Friedrich Schiller, 1805 W d g W g , E F F z s . - F S , 1 8 0 5Wörter und Zahlen mischen:R1i2n3g4p5a6r7a8b9e10l2L2e0s1s1i7n2g9GmoitatrhhoplEdLeetspeak: D03s Any1 in |-|3r3 5pE4|< 31337?
Dialekte: Vocheljesank in Machteburch;Motschekiebschen
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 18 / 24
![Page 38: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/38.jpg)
Passwörter automatisch generieren
shuffle(1): zufällig permutierte Liste der Argumente$shuffle -0 -p 4 0 1 2 3 4 5 6 7 8 96492
NIST FIPS PUB 181: Standard for Automated Password Generator(APG)
apg(1), pkgsrc/security/apg, implementiert den Standardgeneriert zufällige und aussprechbare Passwörter
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 19 / 24
![Page 39: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/39.jpg)
Passwörter automatisch generieren
shuffle(1): zufällig permutierte Liste der Argumente$shuffle -0 -p 4 0 1 2 3 4 5 6 7 8 96492
NIST FIPS PUB 181: Standard for Automated Password Generator(APG)apg(1), pkgsrc/security/apg, implementiert den Standardgeneriert zufällige und aussprechbare Passwörter
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 19 / 24
![Page 40: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/40.jpg)
Passwörter automatisch generieren
shuffle(1): zufällig permutierte Liste der Argumente$shuffle -0 -p 4 0 1 2 3 4 5 6 7 8 96492
NIST FIPS PUB 181: Standard for Automated Password Generator(APG)apg(1), pkgsrc/security/apg, implementiert den Standardgeneriert zufällige und aussprechbare Passwörter
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 19 / 24
![Page 41: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/41.jpg)
Apg
10 aussprechbare Passwörter der Länge 8 - 12$ apg -n 10 -a 0 -m 8 -x 12DahyRijHypjowrisEij8NuphyeulvukitsAcugHyd9kribazGucOt0knelunElon!Quow.yulWebgiesyflijyujIgtubemdor
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 20 / 24
![Page 42: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/42.jpg)
Apg
Zufallspasswörter der Länge 10-14aus Ziffern, Sonderzeichen, großen und kleine Buchstaben aber ohne”0”, ”1”, ”2”, ”3”ohne Vorkommen in »verbotenePasswörter«mit Zufallszahlen aus shuffle(1) als Initialisierungsvektor
$ find /etc/ | xargs md5 > /dev/null &$ apg -m 10 -x 14 black-M SNCL -E 0123 \-r /home/stefan/verbotenePasswörter \-c ‘shuffle -0 -p 8 0 1 ... 8 9 a b c ... X Y Z‘
5GapsUrEet=ral+opeapKawf4EujOtEpOrp;Om88ofCotpyulyuf.devav5KriWeb<
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 21 / 24
![Page 43: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/43.jpg)
Multifaktor-Authentifikation
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 22 / 24
![Page 44: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/44.jpg)
1 Motivation
2 Was gefährdet mein Passwort?
3 Sicherheitsregeln
4 Passwortgenerierung
5 Zusammenfassung
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 23 / 24
![Page 45: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/45.jpg)
Verwenden Sie kein Passwort das erraten werden kann!Verwenden Sie kein Passwort das in einem Wörterbuch steht!
Verwenden Sie ein langes Passwort mit Groß- undKleinschreibung, Zahlen und Sonderzeichen!Das Passwort muss geheim bleiben!Verwenden Sie nicht überall das selbe Passwort!Wechseln Sie Ihre Passwörter!
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 23 / 24
![Page 46: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/46.jpg)
Verwenden Sie kein Passwort das erraten werden kann!Verwenden Sie kein Passwort das in einem Wörterbuch steht!Verwenden Sie ein langes Passwort mit Groß- undKleinschreibung, Zahlen und Sonderzeichen!
Das Passwort muss geheim bleiben!Verwenden Sie nicht überall das selbe Passwort!Wechseln Sie Ihre Passwörter!
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 23 / 24
![Page 47: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/47.jpg)
Verwenden Sie kein Passwort das erraten werden kann!Verwenden Sie kein Passwort das in einem Wörterbuch steht!Verwenden Sie ein langes Passwort mit Groß- undKleinschreibung, Zahlen und Sonderzeichen!Das Passwort muss geheim bleiben!
Verwenden Sie nicht überall das selbe Passwort!Wechseln Sie Ihre Passwörter!
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 23 / 24
![Page 48: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/48.jpg)
Verwenden Sie kein Passwort das erraten werden kann!Verwenden Sie kein Passwort das in einem Wörterbuch steht!Verwenden Sie ein langes Passwort mit Groß- undKleinschreibung, Zahlen und Sonderzeichen!Das Passwort muss geheim bleiben!Verwenden Sie nicht überall das selbe Passwort!
Wechseln Sie Ihre Passwörter!
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 23 / 24
![Page 49: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/49.jpg)
Verwenden Sie kein Passwort das erraten werden kann!Verwenden Sie kein Passwort das in einem Wörterbuch steht!Verwenden Sie ein langes Passwort mit Groß- undKleinschreibung, Zahlen und Sonderzeichen!Das Passwort muss geheim bleiben!Verwenden Sie nicht überall das selbe Passwort!Wechseln Sie Ihre Passwörter!
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 23 / 24
![Page 50: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/50.jpg)
Verwenden Sie kein Passwort das erraten werden kann!Verwenden Sie kein Passwort das in einem Wörterbuch steht!Verwenden Sie ein langes Passwort mit Groß- undKleinschreibung, Zahlen und Sonderzeichen!Das Passwort muss geheim bleiben!Verwenden Sie nicht überall das selbe Passwort!Wechseln Sie Ihre Passwörter!
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 23 / 24
![Page 51: Die Kunst ein starkes Passwort zu finden und zu schützenblit.org/2011/zeitplan/attachments/74_HS02_2011-11... · Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag](https://reader033.vdocuments.site/reader033/viewer/2022042515/5f7d18e5cd585f71637808cf/html5/thumbnails/51.jpg)
Sicherheitsforschung-Magdeburg.deyoutube.de/sicherheitsforschung
Noch Fragen?
9475 1687 4218 026F 6ACF 89EE 8B63 6058 D015 B8EF
Stefan Schumacher (MIS) Sichere Passwörter Brandenburger Linux-Infotag 24 / 24