Stand der Technik: Passwörter wiederverwenden sorgt sehr häufig für Kompromittierung von vielen Accounts, wenn eine Webanwendung gehackt wird oder Daten geleakt werden.
Cognitive load reduzieren für Passwörter ausdenken und merken.
Passwort-Manager erleichtert die Dokumentation von vielen Passwörtern.
Ermöglicht auch sicheren Austausch von Passwörtern in einer Gruppe, falls erforderlich. (generell sollten immer anwenderspezifische Zugangsdaten eingerichtet werden)
Sichere Dokumentation von Zugangsdaten zu Anwendungen/Diensten, wenn wirklich nur einzelne Accounts einrichtbar sind (nicht nutzerspezifische)
Was kann ich selbst tun?
Allgemeine Gefahrenhinweise
Gebt eure Passwörter nicht an andere weiter!
Gebt eure Passwörter nicht an andere Unternehmen weiter, die sagen das „es total super sicher alles knorke hier “ ist: LastPass, 1Password, Dashlane, NordPass
Filestorage über SaaS-Dropbox-ähnlichen Onlinedienst. Z.B. iCloud
Sync-Anwendung auf jedem Gerät einrichten
KeepassXC-Datenbank im synchronisierten Verzeichnis
Auf iOS (KeePassXC nicht verfügbar): Strongbox
Sync geht auch mittels syncthing oder NextCloud
Thread-Modell:
Angreifer könnten Zugriff auf Datenbankdatei erlangen
Sehr gutes Master-Passwort notwendig
zusätzliche Schlüsseldatei außerhalb der synchronisierten Verzeichnisse
ggf. zusätzlich mit Hardwarekey / Token sichern
Achtung: geht davon aus, dass auf einem Android auch die Schlüsseldatei geklaut wird.
TODO sollten wir mal mit YubiKey testen
SSH / Challenge-Response-Authentification
YubiKey+OpenSSH
Bitte überlasst libpam-ssh-Authentification nicht einem Cloud-Provider
Further research is needed
Digitale Selbstversorger:innen
Vaultwarden
Persönliche Nutzung: Anwendungen
KeePassXC
Es funktioniert auf allen Platformen außer iOS
Es gibt Browser-Extensions.
Bietet Passwortgenerator, Auto-Type (Ctrl+V: switched zum Browser und tippt automatisch Username + Passwort)
Säubert Zwischenablage
Bitwarden
Cloud-Based auf MS Azure
Bekommt von Infosec-Community viel Aufmerksamkeit
Hat (inzwischen) akzeptable Crypto: Ableitung der Sicherheit von Master-Passwort
Clients bieten Passwortgenerator, TOTP-Generator, Passwort-Prüfung gegen HIBP
Auch Metadaten (Username, Kommentar, Ordner-Struktur) werden verschlüsselt
Vaultwarden
Selfhosting, Web-Based
Community-Fork von Bitwarden: Implementierung des Servers in Rust
Kompatibel mit offiziellen Bitwarden-Client-Apps: Smartphone-Apps und Browser-Extensions
Browser-interner Passwortmanager
Ist ein sehr beliebtes Angriffsziel.
Führt i.d.R. unweigerlich zu Browser-Synchronisierung über eine Hersteller-Cloud.
Browser-Hersteller-Clouds sind sehr beliebtes Angriffsziel: siehe Okta-Hack'23 via Google-TOTP-Authenticator-App
MUSS mit Master-Passwort gesichert sein
Auto-Ausfüllen muss deaktiviert sein
Gefahr: Angreifer könnten den Browser-Passwortmanager Eingabefelder ausfüllen lassen und deren Inhalt abgreifen.
Thread-Model-Hinweis: Wenn Browser gehackt wird um auf Browser-internen-Passwortmanager zuzugreifen, dann ist der gesamte Browser / User-Account (z.B. inkl. Session-Cookies/-Tokens) als kompromittiert zu erachten.
Arbeiten in Teams
Fühlt ihr euch für euer Team zuständig?
Kontrolliert doch mal unter der Tastatur eurer Abteilung.
Lasst SSO nicht von zentralen Cloud-Dienst machen.