blog:content:digitale_selbstverteidigung
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
blog:content:digitale_selbstverteidigung [2023/06/22 20:03] – l.behm | blog:content:digitale_selbstverteidigung [2024/01/09 22:39] – [Was kann ich selbst tun?] qbi | ||
---|---|---|---|
Zeile 61: | Zeile 61: | ||
===== Passwort-Manager ===== | ===== Passwort-Manager ===== | ||
- | ===== Backup: Windows ===== | + | ==== Warum ist es relevant? |
+ | * Motivation: | ||
+ | * Demonstrationstools: | ||
+ | * https:// | ||
+ | * https:// | ||
+ | * Stand der Technik: Passwörter wiederverwenden sorgt sehr häufig für Kompromittierung von vielen Accounts, wenn eine Webanwendung gehackt wird oder Daten geleakt werden. | ||
+ | * Cognitive load reduzieren für Passwörter ausdenken und merken. | ||
+ | * Passwort-Manager erleichtert die Dokumentation von vielen Passwörtern. | ||
+ | * Ermöglicht auch sicheren Austausch von Passwörtern in einer Gruppe, falls erforderlich. (generell sollten immer anwenderspezifische Zugangsdaten eingerichtet werden) | ||
+ | |||
+ | ==== Bin ich betroffen? ==== | ||
+ | |||
+ | * Persönlicher Passwortmanager: | ||
+ | * Pers. Computer / Notebook / Tablet | ||
+ | * Smartphones | ||
+ | * Online-Banking | ||
+ | * EC / Kreditkarte: | ||
+ | * Arbeiten in Teams: | ||
+ | * Sichere Dokumentation von Zugangsdaten zu Anwendungen/ | ||
+ | |||
+ | ==== Was kann ich selbst tun? ==== | ||
+ | |||
+ | === Allgemeine Gefahrenhinweise === | ||
+ | |||
+ | * Gebt eure Passwörter nicht an andere weiter! | ||
+ | * Gebt eure Passwörter nicht an andere Unternehmen weiter, die sagen das "es total super sicher alles knorke hier " ist: [[https:// | ||
+ | * Gute Passwörter! | ||
+ | * https:// | ||
+ | * Lange Passwörter! Z.B. von Passphrase/ | ||
+ | * Gutes SecOps! | ||
+ | * https:// | ||
+ | * Wenn du deine Kennwörter nicht kennst, kannst du sie auch nicht (versehentlich) weitergeben. | ||
+ | * Phishing: Gebt nie euren Passwortmanager-Zugang an andere weiter. | ||
+ | * Folter funktioniert auch in 2024+ | ||
+ | * Anwender nicht dazu zwingen, Passwörter häufig zu ändern. | ||
+ | * Passwörter ändern, wenn eine Kompromittierung und deren Behebung festgestellt / vermutet wurde. | ||
+ | * Macht sichere Backups! | ||
+ | * Auch von zusätzlichen Zugangsschlüsseln wie z.B. Schlüsseldatei | ||
+ | * Sorgt dafür, dass ihr eure Master-Passwörter nicht vergesst! | ||
+ | * Ggf. aufschreiben und wirklich gut ablegen? Vorsicht bei Hausdurchsuchung! | ||
+ | * Denkt über einen sicheren Zugang zum Passwortmanager nach. | ||
+ | * Masterpasswort muss auch die Passwort-Datenbank (geheimes Schlüsselmaterial) verschlüsseln. | ||
+ | * Ggf. Schlüsseldatei, | ||
+ | * Erschwert Späh-Angriffe: | ||
+ | * Passwort-Eingabefelder: | ||
+ | * Bitte keine PostIts. Auch nicht //unter// der Tastatur. | ||
+ | * Viele Billig-Androids werden noch immer mit Malware ab-Werk-vorinstalliert ausgeliefert. Eventuell ist bereits ein Keylogger installiert? | ||
+ | * Fingerabdruckscanner sind noch immer unsicher. Revocation ist schmerzhaft. | ||
+ | * Passwortmanager mit Browser-Plugin: | ||
+ | * Passwortmanager können z.B. direkt ausfüllen. | ||
+ | * Passwortmanager bietet Hostname-Matching und schützt dadurch gegen Phishing mit Hostname-Ähnlichkeiten. | ||
+ | |||
+ | === Persönliche Nutzung: Usecase === | ||
+ | |||
+ | == KepassXC: Rechner, Android-Smartphone, | ||
+ | |||
+ | * https:// | ||
+ | * Umsetzung: | ||
+ | * Filestorage über SaaS-Dropbox-ähnlichen Onlinedienst. Z.B. iCloud | ||
+ | * Sync-Anwendung auf jedem Gerät einrichten | ||
+ | * KeepassXC-Datenbank im synchronisierten Verzeichnis | ||
+ | * Auf iOS (KeePassXC nicht verfügbar): | ||
+ | * Sync geht auch mittels syncthing oder NextCloud | ||
+ | * Thread-Modell: | ||
+ | * Angreifer könnten Zugriff auf Datenbankdatei erlangen | ||
+ | * Sehr gutes Master-Passwort notwendig | ||
+ | * zusätzliche Schlüsseldatei außerhalb der synchronisierten Verzeichnisse | ||
+ | * ggf. zusätzlich mit Hardwarekey / Token sichern | ||
+ | * Achtung: geht davon aus, dass auf einem Android auch die Schlüsseldatei geklaut wird. | ||
+ | * TODO sollten wir mal mit YubiKey testen | ||
+ | |||
+ | == SSH / Challange-Response-Authentification == | ||
+ | |||
+ | * YubiKey+OpenSSH | ||
+ | * Bitte überlasst libpam-ssh-Authentification nicht einem Cloud-Provider | ||
+ | * Further research is needed | ||
+ | |||
+ | == Digitale Selbstversorger: | ||
+ | |||
+ | * Vaultwarden | ||
+ | |||
+ | === Persönliche Nutzung: Anwendungen === | ||
+ | |||
+ | == KeePassXC == | ||
+ | |||
+ | * Es funktioniert auf allen Platformen außer iOS | ||
+ | * Es gibt Browser-Extensions. | ||
+ | * Bietet Passwortgenerator, | ||
+ | * Säubert Zwischenablage | ||
+ | |||
+ | == Bitwarden == | ||
+ | |||
+ | * Cloud-Based auf MS Azure | ||
+ | * Bekommt von Infosec-Community viel Aufmerksamkeit | ||
+ | * Hat (inzwischen) akzeptable Crypto: Ableitung der Sicherheit von Master-Passwort | ||
+ | * Clients bieten Passwortgenerator, | ||
+ | * Auch Metadaten (Username, Kommentar, Ordner-Struktur) werden verschlüsselt | ||
+ | |||
+ | == Vaultwarden == | ||
+ | |||
+ | * Selfhosting, | ||
+ | * Community-Fork von Bitwarden: Implementierung des Servers in Rust | ||
+ | * Kompatibel mit offiziellen Bitwarden-Client-Apps: | ||
+ | |||
+ | == Browser-interner Passwortmanager == | ||
+ | |||
+ | * Ist ein sehr beliebtes Angriffsziel. | ||
+ | * Führt i.d.R. unweigerlich zu Browser-Synchronisierung über eine Hersteller-Cloud. | ||
+ | * Browser-Hersteller-Clouds sind sehr beliebtes Angriffsziel: | ||
+ | * MUSS mit Master-Passwort gesichert sein | ||
+ | * Auto-Ausfüllen //muss// deaktiviert sein | ||
+ | * Gefahr: Angreifer könnten den Browser-Passwortmanager Eingabefelder ausfüllen lassen und deren Inhalt abgreifen. | ||
+ | * Thread-Model-Hinweis: | ||
+ | |||
+ | === Arbeiten in Teams === | ||
+ | |||
+ | * Fühlt ihr euch für euer Team zuständig? | ||
+ | * Kontrolliert doch mal unter der Tastatur eurer Abteilung. | ||
+ | * Lasst SSO nicht von zentralen Cloud-Dienst machen. | ||
+ | |||
+ | === TOTP-Authenticator-Apps === | ||
+ | |||
+ | == Android: Aegis Authenticator == | ||
+ | |||
+ | * https:// | ||
+ | * [[https:// | ||
+ | |||
+ | == Google Authenticator == | ||
+ | |||
+ | * Cloud-Sync deaktivieren! Beispiel-Drama: | ||
+ | |||
+ | ===== Backup: Windows ===== | ||
+ | Unter Windows ist [[https:// | ||
===== Backup: Linux ===== | ===== Backup: Linux ===== | ||
Zeile 70: | Zeile 202: | ||
[[https:// | [[https:// | ||
+ | Timeshift unterstützt auf Systemen mit '' | ||
+ | |||
<code bash> | <code bash> | ||
+ | |||
+ | Zur Erstellung eines Backups empfiehlt sich dieses auf eine externe Festplatte zu installieren. | ||
+ | Eine externe Festplatte kann beispielsweise angezeigt werden mit: | ||
+ | |||
+ | <code bash> hwinfo --disk </ | ||
+ | |||
+ | <code bash> lsblk </ | ||
+ | |||
+ | <code bash> sudo fdisk –l </ | ||
+ | |||
+ | Wurde der Name der externen Disk eindeutig erkannt, so kann diese gemountet werden. Hierzu zunächst ein Mountpoint erstellt: | ||
+ | |||
+ | <code bash> sudo mkdir / | ||
+ | |||
+ | Anschließend die externe Festplatte mounten: | ||
+ | |||
+ | <code bash> sudo mount /dev/[sdX] / | ||
+ | |||
+ | Um zu überprüfen ob die Festplatte korrekt gemountet ist: | ||
+ | |||
+ | <code bash> findmnt </ | ||
+ | |||
+ | Nun kann ein Backup erstellt werden. | ||
+ | Hierzu Timeshift auf R-Sync einstellen: | ||
+ | |||
+ | <code bash> sudo timeshift --rsync </ | ||
+ | |||
+ | Danach die Festplatte für das Snapshot auswählen: | ||
+ | |||
+ | <code bash> sudo timeshift --snapshot-device /dev/[sdX] </ | ||
+ | |||
+ | Und das Backup erstellen. | ||
+ | |||
+ | <code bash> sudo timeshift --create --comments 'Hier Kommentar für Backup eintragen!' | ||
+ | |||
+ | Erstellte Backups lassen sich nachfolgend auflisten: | ||
+ | |||
+ | <code bash> sudo timeshift --list </ | ||
+ | |||
+ | Und wiederherstellen: | ||
+ | |||
+ | <code bash> sudo timeshift --restore </ | ||
+ | |||
+ | Anschließend kann ein erstelltes Backup ausgewählt werden. Nach Bestätigung wird der Wiederherstellungsvorgang durchgeführt. | ||
+ | |||
=== Borg === | === Borg === |