blog:content:digitale_selbstverteidigung
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
blog:content:digitale_selbstverteidigung [2024/01/09 21:13] – l.behm | blog:content:digitale_selbstverteidigung [2024/01/09 22:39] – [Was kann ich selbst tun?] qbi | ||
---|---|---|---|
Zeile 67: | Zeile 67: | ||
* https:// | * https:// | ||
* https:// | * https:// | ||
- | * Stand der Technik: Passwörter wiederverwenden sorgt sehr häufig für Kompromittierung von vielen Accounts wenn eine Webanwendung | + | * Stand der Technik: Passwörter wiederverwenden sorgt sehr häufig für Kompromittierung von vielen Accounts, wenn eine Webanwendung |
* Cognitive load reduzieren für Passwörter ausdenken und merken. | * Cognitive load reduzieren für Passwörter ausdenken und merken. | ||
* Passwort-Manager erleichtert die Dokumentation von vielen Passwörtern. | * Passwort-Manager erleichtert die Dokumentation von vielen Passwörtern. | ||
- | * Ermöglicht auch sicheren Austausch von Passwörtern in einer Gruppe falls erforderlich. (generell sollten immer Anwenderspezifische | + | * Ermöglicht auch sicheren Austausch von Passwörtern in einer Gruppe, falls erforderlich. (generell sollten immer anwenderspezifische |
==== Bin ich betroffen? ==== | ==== Bin ich betroffen? ==== | ||
Zeile 87: | Zeile 87: | ||
* Gebt eure Passwörter nicht an andere weiter! | * Gebt eure Passwörter nicht an andere weiter! | ||
- | * Gebt eure Passwörter nicht an andere Unternehmen weiter die sagen das "es total super sicher alles knorke hier " ist: [[https:// | + | * Gebt eure Passwörter nicht an andere Unternehmen weiter, die sagen das "es total super sicher alles knorke hier " ist: [[https:// |
* Gute Passwörter! | * Gute Passwörter! | ||
* https:// | * https:// | ||
Zeile 96: | Zeile 96: | ||
* Phishing: Gebt nie euren Passwortmanager-Zugang an andere weiter. | * Phishing: Gebt nie euren Passwortmanager-Zugang an andere weiter. | ||
* Folter funktioniert auch in 2024+ | * Folter funktioniert auch in 2024+ | ||
- | * Anwender nicht dazu zwingen Passwörter häufig zu ändern. | + | * Anwender nicht dazu zwingen, Passwörter häufig zu ändern. |
- | * Passwörter ändern wenn eine Kompromittierung und deren Behebung festgestellt / vermutet wurde. | + | * Passwörter ändern, wenn eine Kompromittierung und deren Behebung festgestellt / vermutet wurde. |
* Macht sichere Backups! | * Macht sichere Backups! | ||
* Auch von zusätzlichen Zugangsschlüsseln wie z.B. Schlüsseldatei | * Auch von zusätzlichen Zugangsschlüsseln wie z.B. Schlüsseldatei | ||
- | * Sorgt dafür dass ihr eure Master-Passwörter nicht vergesst! | + | * Sorgt dafür, dass ihr eure Master-Passwörter nicht vergesst! |
* Ggf. aufschreiben und wirklich gut ablegen? Vorsicht bei Hausdurchsuchung! | * Ggf. aufschreiben und wirklich gut ablegen? Vorsicht bei Hausdurchsuchung! | ||
* Denkt über einen sicheren Zugang zum Passwortmanager nach. | * Denkt über einen sicheren Zugang zum Passwortmanager nach. | ||
Zeile 118: | Zeile 118: | ||
== KepassXC: Rechner, Android-Smartphone, | == KepassXC: Rechner, Android-Smartphone, | ||
+ | * https:// | ||
* Umsetzung: | * Umsetzung: | ||
* Filestorage über SaaS-Dropbox-ähnlichen Onlinedienst. Z.B. iCloud | * Filestorage über SaaS-Dropbox-ähnlichen Onlinedienst. Z.B. iCloud | ||
Zeile 123: | Zeile 124: | ||
* KeepassXC-Datenbank im synchronisierten Verzeichnis | * KeepassXC-Datenbank im synchronisierten Verzeichnis | ||
* Auf iOS (KeePassXC nicht verfügbar): | * Auf iOS (KeePassXC nicht verfügbar): | ||
+ | * Sync geht auch mittels syncthing oder NextCloud | ||
* Thread-Modell: | * Thread-Modell: | ||
* Angreifer könnten Zugriff auf Datenbankdatei erlangen | * Angreifer könnten Zugriff auf Datenbankdatei erlangen | ||
Zeile 129: | Zeile 131: | ||
* ggf. zusätzlich mit Hardwarekey / Token sichern | * ggf. zusätzlich mit Hardwarekey / Token sichern | ||
* Achtung: geht davon aus, dass auf einem Android auch die Schlüsseldatei geklaut wird. | * Achtung: geht davon aus, dass auf einem Android auch die Schlüsseldatei geklaut wird. | ||
- | * ToDo: sollten wir mal mit YubiKey testen | + | * TODO sollten wir mal mit YubiKey testen |
+ | == SSH / Challange-Response-Authentification == | ||
+ | * YubiKey+OpenSSH | ||
+ | * Bitte überlasst libpam-ssh-Authentification nicht einem Cloud-Provider | ||
+ | * Further research is needed | ||
+ | |||
+ | == Digitale Selbstversorger: | ||
+ | |||
+ | * Vaultwarden | ||
=== Persönliche Nutzung: Anwendungen === | === Persönliche Nutzung: Anwendungen === | ||
Zeile 147: | Zeile 157: | ||
* Bekommt von Infosec-Community viel Aufmerksamkeit | * Bekommt von Infosec-Community viel Aufmerksamkeit | ||
* Hat (inzwischen) akzeptable Crypto: Ableitung der Sicherheit von Master-Passwort | * Hat (inzwischen) akzeptable Crypto: Ableitung der Sicherheit von Master-Passwort | ||
+ | * Clients bieten Passwortgenerator, | ||
* Auch Metadaten (Username, Kommentar, Ordner-Struktur) werden verschlüsselt | * Auch Metadaten (Username, Kommentar, Ordner-Struktur) werden verschlüsselt | ||
Zeile 161: | Zeile 172: | ||
* Browser-Hersteller-Clouds sind sehr beliebtes Angriffsziel: | * Browser-Hersteller-Clouds sind sehr beliebtes Angriffsziel: | ||
* MUSS mit Master-Passwort gesichert sein | * MUSS mit Master-Passwort gesichert sein | ||
- | * Auto-Ausfüllen | + | * Auto-Ausfüllen |
* Gefahr: Angreifer könnten den Browser-Passwortmanager Eingabefelder ausfüllen lassen und deren Inhalt abgreifen. | * Gefahr: Angreifer könnten den Browser-Passwortmanager Eingabefelder ausfüllen lassen und deren Inhalt abgreifen. | ||
+ | * Thread-Model-Hinweis: | ||
=== Arbeiten in Teams === | === Arbeiten in Teams === | ||
Zeile 171: | Zeile 183: | ||
=== TOTP-Authenticator-Apps === | === TOTP-Authenticator-Apps === | ||
+ | |||
+ | == Android: Aegis Authenticator == | ||
+ | |||
+ | * https:// | ||
+ | * [[https:// | ||
== Google Authenticator == | == Google Authenticator == |