Passwort-Manager

Warum ist es relevant?

Motivation:
- Demonstrationstools:
  - https://haveibeenpwned.com/
  - https://sec.hpi.de/ilc/
Stand der Technik: Passwörter wiederverwenden sorgt sehr häufig für Kompromittierung von vielen Accounts, wenn eine Webanwendung gehackt wird oder Daten geleakt werden.
Cognitive load reduzieren für Passwörter ausdenken und merken.
Passwort-Manager erleichtert die Dokumentation von vielen Passwörtern.
Ermöglicht auch sicheren Austausch von Passwörtern in einer Gruppe, falls erforderlich. (generell sollten immer anwenderspezifische Zugangsdaten eingerichtet werden)

Bin ich betroffen?

Persönlicher Passwortmanager:
- Pers. Computer / Notebook / Tablet
- Smartphones
- Online-Banking
- EC / Kreditkarte: Kreditkartenprüfnummer / CVV (Card Verification Value)
Arbeiten in Teams:
- Sichere Dokumentation von Zugangsdaten zu Anwendungen/Diensten, wenn wirklich nur einzelne Accounts einrichtbar sind (nicht nutzerspezifische)

Was kann ich selbst tun?

Allgemeine Gefahrenhinweise

Gebt eure Passwörter nicht an andere weiter!
Gebt eure Passwörter nicht an andere Unternehmen weiter, die sagen das „es total super sicher alles knorke hier “ ist: Last Pass, 1Password, Dashlane, NordPass
Gute Passwörter!
- https://xkcd.com/936/
- Lange Passwörter! Z.B. von Passphrase/Satz ableiten.
Gutes SecOps!
- https://xkcd.com/538/
- Wenn du deine Kennwörter nicht kennst, kannst du sie auch nicht (versehentlich) weitergeben.
- Phishing: Gebt nie euren Passwortmanager-Zugang an andere weiter.
- Folter funktioniert auch in 2024+
Anwender nicht dazu zwingen, Passwörter häufig zu ändern.
Passwörter ändern, wenn eine Kompromittierung und deren Behebung festgestellt / vermutet wurde.
Macht sichere Backups!
- Auch von zusätzlichen Zugangsschlüsseln wie z.B. Schlüsseldatei
Sorgt dafür, dass ihr eure Master-Passwörter nicht vergesst!
- Ggf. aufschreiben und wirklich gut ablegen? Vorsicht bei Hausdurchsuchung!
Denkt über einen sicheren Zugang zum Passwortmanager nach.
- Masterpasswort muss auch die Passwort-Datenbank (geheimes Schlüsselmaterial) verschlüsseln.
- Ggf. Schlüsseldatei, Hardware-Token
Erschwert Späh-Angriffe:
- Passwort-Eingabefelder: Deaktiviert „letzten Buchstaben anzeigen“ auf Smartphone-System.
- Bitte keine PostIts. Auch nicht unter der Tastatur.
- Viele Billig-Androids werden noch immer mit Malware ab-Werk-vorinstalliert ausgeliefert. Eventuell ist bereits ein Keylogger installiert?
Fingerabdruckscanner sind noch immer unsicher. Revocation ist schmerzhaft.
Passwortmanager mit Browser-Plugin:
- Passwortmanager können z.B. direkt ausfüllen.
- Passwortmanager bietet Hostname-Matching und schützt dadurch gegen Phishing mit Hostname-Ähnlichkeiten.

Persönliche Nutzung: Usecase

KepassXC: Rechner, Android-Smartphone, Mobile Nutzung

https://keepassxc.org/
Umsetzung:
- Filestorage über SaaS-Dropbox-ähnlichen Onlinedienst. Z.B. iCloud
- Sync-Anwendung auf jedem Gerät einrichten
- KeepassXC-Datenbank im synchronisierten Verzeichnis
- Auf iOS (KeePassXC nicht verfügbar): Strongbox
- Sync geht auch mittels syncthing oder NextCloud
Thread-Modell:
- Angreifer könnten Zugriff auf Datenbankdatei erlangen
- Sehr gutes Master-Passwort notwendig
- zusätzliche Schlüsseldatei außerhalb der synchronisierten Verzeichnisse
- ggf. zusätzlich mit Hardwarekey / Token sichern
- Achtung: geht davon aus, dass auf einem Android auch die Schlüsseldatei geklaut wird.
TODO sollten wir mal mit YubiKey testen

SSH / Challenge-Response-Authentification

YubiKey+OpenSSH
Bitte überlasst libpam-ssh-Authentification nicht einem Cloud-Provider
Further research is needed

Digitale Selbstversorger:innen

Vaultwarden

Persönliche Nutzung: Anwendungen

KeePassXC

Es funktioniert auf allen Platformen außer iOS
Es gibt Browser-Extensions.
Bietet Passwortgenerator, Auto-Type (Ctrl+V: switched zum Browser und tippt automatisch Username + Passwort)
Säubert Zwischenablage

Bitwarden

Cloud-Based auf MS Azure
Bekommt von Infosec-Community viel Aufmerksamkeit
Hat (inzwischen) akzeptable Crypto: Ableitung der Sicherheit von Master-Passwort
Clients bieten Passwortgenerator, TOTP-Generator, Passwort-Prüfung gegen HIBP
Auch Metadaten (Username, Kommentar, Ordner-Struktur) werden verschlüsselt

Vaultwarden

Selfhosting, Web-Based
Community-Fork von Bitwarden: Implementierung des Servers in Rust
Kompatibel mit offiziellen Bitwarden-Client-Apps: Smartphone-Apps und Browser-Extensions

Browser-interner Passwortmanager

Ist ein sehr beliebtes Angriffsziel.
Führt i.d.R. unweigerlich zu Browser-Synchronisierung über eine Hersteller-Cloud.
- Browser-Hersteller-Clouds sind sehr beliebtes Angriffsziel: siehe Okta-Hack'23 via Google-TOTP-Authenticator-App
MUSS mit Master-Passwort gesichert sein
Auto-Ausfüllen muss deaktiviert sein
- Gefahr: Angreifer könnten den Browser-Passwortmanager Eingabefelder ausfüllen lassen und deren Inhalt abgreifen.
Thread-Model-Hinweis: Wenn Browser gehackt wird um auf Browser-internen-Passwortmanager zuzugreifen, dann ist der gesamte Browser / User-Account (z.B. inkl. Session-Cookies/-Tokens) als kompromittiert zu erachten.

Arbeiten in Teams

Fühlt ihr euch für euer Team zuständig?
- Kontrolliert doch mal unter der Tastatur eurer Abteilung.
Lasst SSO nicht von zentralen Cloud-Dienst machen.

TOTP-Authenticator-Apps

Android: Aegis Authenticator

Google Authenticator

Cloud-Sync deaktivieren! Beispiel-Drama: https://retool.com/blog/mfa-isnt-mfa