Krautspace – Der Hackspace in Jena

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: putzplan
blog:content:digitale_selbstverteidigung

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
blog:content:digitale_selbstverteidigung [2023/07/06 19:00] l.behmblog:content:digitale_selbstverteidigung [2024/01/09 22:39] – [Was kann ich selbst tun?] qbi
Zeile 60: Zeile 60:
  
 ===== Passwort-Manager ===== ===== Passwort-Manager =====
 +
 +==== Warum ist es relevant? ====
 +
 +  * Motivation:
 +    * Demonstrationstools:
 +      * https://haveibeenpwned.com/
 +      * https://sec.hpi.de/ilc/
 +  * Stand der Technik: Passwörter wiederverwenden sorgt sehr häufig für Kompromittierung von vielen Accounts, wenn eine Webanwendung gehackt wird oder Daten geleakt werden.
 +  * Cognitive load reduzieren für Passwörter ausdenken und merken.
 +  * Passwort-Manager erleichtert die Dokumentation von vielen Passwörtern.
 +  * Ermöglicht auch sicheren Austausch von Passwörtern in einer Gruppe, falls erforderlich. (generell sollten immer anwenderspezifische Zugangsdaten eingerichtet werden)
 +
 +==== Bin ich betroffen? ====
 +
 +  * Persönlicher Passwortmanager:
 +    * Pers. Computer / Notebook / Tablet
 +    * Smartphones
 +    * Online-Banking
 +    * EC / Kreditkarte: Kreditkartenprüfnummer / CVV (Card Verification Value)
 +  * Arbeiten in Teams:
 +    * Sichere Dokumentation von Zugangsdaten zu Anwendungen/Diensten, wenn wirklich nur einzelne Accounts einrichtbar sind (nicht nutzerspezifische)
 +
 +==== Was kann ich selbst tun? ====
 +
 +=== Allgemeine Gefahrenhinweise ===
 +
 +  * Gebt eure Passwörter nicht an andere weiter!
 +  * Gebt eure Passwörter nicht an andere Unternehmen weiter, die sagen das "es total super sicher alles knorke hier " ist: [[https://www.heise.de/news/Passwortmanager-LastPass-Hacker-haben-Zugriff-auf-Kennworttresore-von-Kunden-7441929.html|Last]][[https://www.wired.com/story/lastpass-engineer-breach-security-roundup/|Pass]], [[https://www.bleepingcomputer.com/news/security/1password-discloses-security-incident-linked-to-okta-breach/|1Password]], Dashlane, NordPass
 +  * Gute Passwörter!
 +    * https://xkcd.com/936/
 +    * Lange Passwörter! Z.B. von Passphrase/Satz ableiten.
 +  * Gutes SecOps!
 +    * https://xkcd.com/538/
 +    * Wenn du deine Kennwörter nicht kennst, kannst du sie auch nicht (versehentlich) weitergeben.
 +    * Phishing: Gebt nie euren Passwortmanager-Zugang an andere weiter.
 +    * Folter funktioniert auch in 2024+
 +  * Anwender nicht dazu zwingen, Passwörter häufig zu ändern.
 +  * Passwörter ändern, wenn eine Kompromittierung und deren Behebung festgestellt / vermutet wurde.
 +  * Macht sichere Backups!
 +    * Auch von zusätzlichen Zugangsschlüsseln wie z.B. Schlüsseldatei
 +  * Sorgt dafür, dass ihr eure Master-Passwörter nicht vergesst!
 +    * Ggf. aufschreiben und wirklich gut ablegen? Vorsicht bei Hausdurchsuchung!
 +  * Denkt über einen sicheren Zugang zum Passwortmanager nach.
 +    * Masterpasswort muss auch die Passwort-Datenbank (geheimes Schlüsselmaterial) verschlüsseln.
 +    * Ggf. Schlüsseldatei, Hardware-Token
 +  * Erschwert Späh-Angriffe:
 +    * Passwort-Eingabefelder: Deaktiviert "letzten Buchstaben anzeigen" auf Smartphone-System.
 +    * Bitte keine PostIts. Auch nicht //unter// der Tastatur.
 +    * Viele Billig-Androids werden noch immer mit Malware ab-Werk-vorinstalliert ausgeliefert. Eventuell ist bereits ein Keylogger installiert?
 +  * Fingerabdruckscanner sind noch immer unsicher. Revocation ist schmerzhaft.
 +  * Passwortmanager mit Browser-Plugin:
 +    * Passwortmanager können z.B. direkt ausfüllen.
 +    * Passwortmanager bietet Hostname-Matching und schützt dadurch gegen Phishing mit Hostname-Ähnlichkeiten.
 +
 +=== Persönliche Nutzung: Usecase ===
 +
 +== KepassXC: Rechner, Android-Smartphone, Mobile Nutzung ==
 +
 +  * https://keepassxc.org/
 +  * Umsetzung:
 +    * Filestorage über SaaS-Dropbox-ähnlichen Onlinedienst. Z.B. iCloud
 +    * Sync-Anwendung auf jedem Gerät einrichten
 +    * KeepassXC-Datenbank im synchronisierten Verzeichnis
 +    * Auf iOS (KeePassXC nicht verfügbar): Strongbox
 +    * Sync geht auch mittels syncthing oder NextCloud
 +  * Thread-Modell:
 +    * Angreifer könnten Zugriff auf Datenbankdatei erlangen
 +    * Sehr gutes Master-Passwort notwendig
 +    * zusätzliche Schlüsseldatei außerhalb der synchronisierten Verzeichnisse
 +    * ggf. zusätzlich mit Hardwarekey / Token sichern
 +    * Achtung: geht davon aus, dass auf einem Android auch die Schlüsseldatei geklaut wird.
 +  * TODO sollten wir mal mit YubiKey testen
 +
 +== SSH / Challange-Response-Authentification ==
 +
 +  * YubiKey+OpenSSH
 +  * Bitte überlasst libpam-ssh-Authentification nicht einem Cloud-Provider
 +  * Further research is needed
 +
 +== Digitale Selbstversorger:innen ==
 +
 +  * Vaultwarden
 +
 +=== Persönliche Nutzung: Anwendungen ===
 +
 +== KeePassXC ==
 +
 +  * Es funktioniert auf allen Platformen außer iOS
 +  * Es gibt Browser-Extensions.
 +  * Bietet Passwortgenerator, Auto-Type (Ctrl+V: switched zum Browser und tippt automatisch Username + Passwort)
 +  * Säubert Zwischenablage
 +
 +== Bitwarden ==
 +
 +  * Cloud-Based auf MS Azure
 +  * Bekommt von Infosec-Community viel Aufmerksamkeit
 +  * Hat (inzwischen) akzeptable Crypto: Ableitung der Sicherheit von Master-Passwort
 +  * Clients bieten Passwortgenerator, TOTP-Generator, Passwort-Prüfung gegen HIBP
 +  * Auch Metadaten (Username, Kommentar, Ordner-Struktur) werden verschlüsselt
 +
 +== Vaultwarden ==
 +
 +  * Selfhosting, Web-Based
 +  * Community-Fork von Bitwarden: Implementierung des Servers in Rust
 +  * Kompatibel mit offiziellen Bitwarden-Client-Apps: Smartphone-Apps und Browser-Extensions
 +
 +== Browser-interner Passwortmanager ==
 +
 +  * Ist ein sehr beliebtes Angriffsziel.
 +  * Führt i.d.R. unweigerlich zu Browser-Synchronisierung über eine Hersteller-Cloud.
 +    * Browser-Hersteller-Clouds sind sehr beliebtes Angriffsziel: siehe Okta-Hack'23 via Google-TOTP-Authenticator-App
 +  * MUSS mit Master-Passwort gesichert sein
 +  * Auto-Ausfüllen //muss// deaktiviert sein
 +    * Gefahr: Angreifer könnten den Browser-Passwortmanager Eingabefelder ausfüllen lassen und deren Inhalt abgreifen.
 +  * Thread-Model-Hinweis: Wenn Browser gehackt wird um auf Browser-internen-Passwortmanager zuzugreifen, dann ist der gesamte Browser / User-Account (z.B. inkl. Session-Cookies/-Tokens) als kompromittiert zu erachten.
 +
 +=== Arbeiten in Teams ===
 +
 +  * Fühlt ihr euch für euer Team zuständig?
 +    * Kontrolliert doch mal unter der Tastatur eurer Abteilung.
 +  * Lasst SSO nicht von zentralen Cloud-Dienst machen.
 +
 +=== TOTP-Authenticator-Apps ===
 +
 +== Android: Aegis Authenticator ==
 +
 +  * https://getaegis.app/
 +  * [[https://github.com/beemdevelopment/Aegis|Github]], [[https://play.google.com/store/apps/details?id=com.beemdevelopment.aegis|PlayStore]], [[https://f-droid.org/en/packages/com.beemdevelopment.aegis|F-Droid]]
 +
 +== Google Authenticator ==
 +
 +  * Cloud-Sync deaktivieren! Beispiel-Drama: https://retool.com/blog/mfa-isnt-mfa
  
 ===== Backup: Windows ===== ===== Backup: Windows =====
Zeile 70: Zeile 202:
  
 [[https://github.com/linuxmint/timeshift|Timeshift]] ist empfohlen für Desktop-Linux. [[https://github.com/linuxmint/timeshift|Timeshift]] ist empfohlen für Desktop-Linux.
-Timeshift unterstützt auf Systemen mit `btrfs`-Dateisystem die Nutzung von Snapshots.+Timeshift unterstützt auf Systemen mit ''btrfs''-Dateisystem die Nutzung von Snapshots.
  
 <code bash>sudo apt install timeshift</code> <code bash>sudo apt install timeshift</code>
 +
 +Zur Erstellung eines Backups empfiehlt sich dieses auf eine externe Festplatte zu installieren.
 +Eine externe Festplatte kann beispielsweise angezeigt werden mit:
 +
 +<code bash> hwinfo --disk </code>
 +
 +<code bash> lsblk </code>
 +
 +<code bash> sudo fdisk –l </code>
 +
 +Wurde der Name der externen Disk eindeutig erkannt, so kann diese gemountet werden. Hierzu zunächst ein Mountpoint erstellt:
 +
 +<code bash> sudo mkdir /[mountpoint] </code>
 +
 +Anschließend die externe Festplatte mounten:
 +
 +<code bash> sudo mount /dev/[sdX] /[mountpoint] </code>
 +
 +Um zu überprüfen ob die Festplatte korrekt gemountet ist:
 +
 +<code bash> findmnt </code>
 +
 +Nun kann ein Backup erstellt werden.
 +Hierzu Timeshift auf R-Sync einstellen:
 +
 +<code bash> sudo timeshift --rsync </code>
 +
 +Danach die Festplatte für das Snapshot auswählen:
 +
 +<code bash> sudo timeshift --snapshot-device /dev/[sdX] </code>
 +
 +Und das Backup erstellen. 
 +
 +<code bash> sudo timeshift --create --comments 'Hier Kommentar für Backup eintragen!' --tags D </code>
 +
 +Erstellte Backups lassen sich nachfolgend auflisten:
 +
 +<code bash> sudo timeshift --list </code>
 +
 +Und wiederherstellen:
 +
 +<code bash> sudo timeshift --restore </code>
 +
 +Anschließend kann ein erstelltes Backup ausgewählt werden. Nach Bestätigung wird der Wiederherstellungsvorgang durchgeführt.
 +
  
 === Borg === === Borg ===