====== Passwort-Manager ====== ===== Warum ist es relevant? ===== * Motivation: * Demonstrationstools: * https://haveibeenpwned.com/ * https://sec.hpi.de/ilc/ * Stand der Technik: Passwörter wiederverwenden sorgt sehr häufig für Kompromittierung von vielen Accounts, wenn eine Webanwendung gehackt wird oder Daten geleakt werden. * Cognitive load reduzieren für Passwörter ausdenken und merken. * Passwort-Manager erleichtert die Dokumentation von vielen Passwörtern. * Ermöglicht auch sicheren Austausch von Passwörtern in einer Gruppe, falls erforderlich. (generell sollten immer anwenderspezifische Zugangsdaten eingerichtet werden) ===== Bin ich betroffen? ===== * Persönlicher Passwortmanager: * Pers. Computer / Notebook / Tablet * Smartphones * Online-Banking * EC / Kreditkarte: Kreditkartenprüfnummer / CVV (Card Verification Value) * Arbeiten in Teams: * Sichere Dokumentation von Zugangsdaten zu Anwendungen/Diensten, wenn wirklich nur einzelne Accounts einrichtbar sind (nicht nutzerspezifische) ===== Was kann ich selbst tun? ===== ==== Allgemeine Gefahrenhinweise ==== * Gebt eure Passwörter nicht an andere weiter! * Gebt eure Passwörter nicht an andere Unternehmen weiter, die sagen das "es total super sicher alles knorke hier " ist: [[https://www.heise.de/news/Passwortmanager-LastPass-Hacker-haben-Zugriff-auf-Kennworttresore-von-Kunden-7441929.html|Last]][[https://www.wired.com/story/lastpass-engineer-breach-security-roundup/|Pass]], [[https://www.bleepingcomputer.com/news/security/1password-discloses-security-incident-linked-to-okta-breach/|1Password]], Dashlane, NordPass * Gute Passwörter! * https://xkcd.com/936/ * Lange Passwörter! Z.B. von Passphrase/Satz ableiten. * Gutes SecOps! * https://xkcd.com/538/ * Wenn du deine Kennwörter nicht kennst, kannst du sie auch nicht (versehentlich) weitergeben. * Phishing: Gebt nie euren Passwortmanager-Zugang an andere weiter. * Folter funktioniert auch in 2024+ * Anwender nicht dazu zwingen, Passwörter häufig zu ändern. * Passwörter ändern, wenn eine Kompromittierung und deren Behebung festgestellt / vermutet wurde. * Macht sichere Backups! * Auch von zusätzlichen Zugangsschlüsseln wie z.B. Schlüsseldatei * Sorgt dafür, dass ihr eure Master-Passwörter nicht vergesst! * Ggf. aufschreiben und wirklich gut ablegen? Vorsicht bei Hausdurchsuchung! * Denkt über einen sicheren Zugang zum Passwortmanager nach. * Masterpasswort muss auch die Passwort-Datenbank (geheimes Schlüsselmaterial) verschlüsseln. * Ggf. Schlüsseldatei, Hardware-Token * Erschwert Späh-Angriffe: * Passwort-Eingabefelder: Deaktiviert "letzten Buchstaben anzeigen" auf Smartphone-System. * Bitte keine PostIts. Auch nicht //unter// der Tastatur. * Viele Billig-Androids werden noch immer mit Malware ab-Werk-vorinstalliert ausgeliefert. Eventuell ist bereits ein Keylogger installiert? * Fingerabdruckscanner sind noch immer unsicher. Revocation ist schmerzhaft. * Passwortmanager mit Browser-Plugin: * Passwortmanager können z.B. direkt ausfüllen. * Passwortmanager bietet Hostname-Matching und schützt dadurch gegen Phishing mit Hostname-Ähnlichkeiten. ==== Persönliche Nutzung: Usecase ==== === KepassXC: Rechner, Android-Smartphone, Mobile Nutzung === * https://keepassxc.org/ * Umsetzung: * Filestorage über SaaS-Dropbox-ähnlichen Onlinedienst. Z.B. iCloud * Sync-Anwendung auf jedem Gerät einrichten * KeepassXC-Datenbank im synchronisierten Verzeichnis * Auf iOS (KeePassXC nicht verfügbar): Strongbox * Sync geht auch mittels syncthing oder NextCloud * Thread-Modell: * Angreifer könnten Zugriff auf Datenbankdatei erlangen * Sehr gutes Master-Passwort notwendig * zusätzliche Schlüsseldatei außerhalb der synchronisierten Verzeichnisse * ggf. zusätzlich mit Hardwarekey / Token sichern * Achtung: geht davon aus, dass auf einem Android auch die Schlüsseldatei geklaut wird. * TODO sollten wir mal mit YubiKey testen === SSH / Challenge-Response-Authentification === * YubiKey+OpenSSH * Bitte überlasst libpam-ssh-Authentification nicht einem Cloud-Provider * Further research is needed === Digitale Selbstversorger:innen === * Vaultwarden ==== Persönliche Nutzung: Anwendungen ==== === KeePassXC === * Es funktioniert auf allen Platformen außer iOS * Es gibt Browser-Extensions. * Bietet Passwortgenerator, Auto-Type (Ctrl+V: switched zum Browser und tippt automatisch Username + Passwort) * Säubert Zwischenablage === Bitwarden === * Cloud-Based auf MS Azure * Bekommt von Infosec-Community viel Aufmerksamkeit * Hat (inzwischen) akzeptable Crypto: Ableitung der Sicherheit von Master-Passwort * Clients bieten Passwortgenerator, TOTP-Generator, Passwort-Prüfung gegen HIBP * Auch Metadaten (Username, Kommentar, Ordner-Struktur) werden verschlüsselt === Vaultwarden === * Selfhosting, Web-Based * Community-Fork von Bitwarden: Implementierung des Servers in Rust * Kompatibel mit offiziellen Bitwarden-Client-Apps: Smartphone-Apps und Browser-Extensions === Browser-interner Passwortmanager === * Ist ein sehr beliebtes Angriffsziel. * Führt i.d.R. unweigerlich zu Browser-Synchronisierung über eine Hersteller-Cloud. * Browser-Hersteller-Clouds sind sehr beliebtes Angriffsziel: siehe Okta-Hack'23 via Google-TOTP-Authenticator-App * MUSS mit Master-Passwort gesichert sein * Auto-Ausfüllen //muss// deaktiviert sein * Gefahr: Angreifer könnten den Browser-Passwortmanager Eingabefelder ausfüllen lassen und deren Inhalt abgreifen. * Thread-Model-Hinweis: Wenn Browser gehackt wird um auf Browser-internen-Passwortmanager zuzugreifen, dann ist der gesamte Browser / User-Account (z.B. inkl. Session-Cookies/-Tokens) als kompromittiert zu erachten. ==== Arbeiten in Teams ==== * Fühlt ihr euch für euer Team zuständig? * Kontrolliert doch mal unter der Tastatur eurer Abteilung. * Lasst SSO nicht von zentralen Cloud-Dienst machen. ==== TOTP-Authenticator-Apps ==== === Android: Aegis Authenticator === * https://getaegis.app/ * [[https://github.com/beemdevelopment/Aegis|Github]], [[https://play.google.com/store/apps/details?id=com.beemdevelopment.aegis|PlayStore]], [[https://f-droid.org/en/packages/com.beemdevelopment.aegis|F-Droid]] === Google Authenticator === * Cloud-Sync deaktivieren! Beispiel-Drama: https://retool.com/blog/mfa-isnt-mfa