blog:content:digitale_selbstverteidigung
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
blog:content:digitale_selbstverteidigung [2024/01/09 20:31] – password manager: init l.behm | blog:content:digitale_selbstverteidigung [2024/01/09 22:39] – [Was kann ich selbst tun?] qbi | ||
---|---|---|---|
Zeile 67: | Zeile 67: | ||
* https:// | * https:// | ||
* https:// | * https:// | ||
- | * Stand der Technik: Passwörter wiederverwenden sorgt sehr häufig für Kompromittierung von vielen Accounts wenn eine Webanwendung | + | * Stand der Technik: Passwörter wiederverwenden sorgt sehr häufig für Kompromittierung von vielen Accounts, wenn eine Webanwendung |
* Cognitive load reduzieren für Passwörter ausdenken und merken. | * Cognitive load reduzieren für Passwörter ausdenken und merken. | ||
* Passwort-Manager erleichtert die Dokumentation von vielen Passwörtern. | * Passwort-Manager erleichtert die Dokumentation von vielen Passwörtern. | ||
- | * Ermöglicht auch sicheren Austausch von Passwörtern in einer Gruppe falls erforderlich. (generell sollten immer Anwenderspezifische | + | * Ermöglicht auch sicheren Austausch von Passwörtern in einer Gruppe, falls erforderlich. (generell sollten immer anwenderspezifische |
==== Bin ich betroffen? ==== | ==== Bin ich betroffen? ==== | ||
Zeile 87: | Zeile 87: | ||
* Gebt eure Passwörter nicht an andere weiter! | * Gebt eure Passwörter nicht an andere weiter! | ||
- | * Gebt eure Passwörter nicht an andere Unternehmen weiter die sagen das "es total super sicher alles knorke hier " ist: [[https:// | + | * Gebt eure Passwörter nicht an andere Unternehmen weiter, die sagen das "es total super sicher alles knorke hier " ist: [[https:// |
- | * https:// | + | |
- | * Anwender nicht dazu zwingen Passwörter häufig zu ändern. | + | |
- | * Passwörter ändern wenn eine Kompromittierung und deren Behebung festgestellt / vermutet wurde. | + | * Lange Passwörter! Z.B. von Passphrase/ |
+ | * Gutes SecOps! | ||
+ | * https:// | ||
+ | * Wenn du deine Kennwörter nicht kennst, kannst du sie auch nicht (versehentlich) weitergeben. | ||
+ | * Phishing: Gebt nie euren Passwortmanager-Zugang an andere weiter. | ||
+ | * Folter funktioniert auch in 2024+ | ||
+ | * Anwender nicht dazu zwingen, Passwörter häufig zu ändern. | ||
+ | * Passwörter ändern, wenn eine Kompromittierung und deren Behebung festgestellt / vermutet wurde. | ||
* Macht sichere Backups! | * Macht sichere Backups! | ||
- | | + | * Auch von zusätzlichen Zugangsschlüsseln wie z.B. Schlüsseldatei |
+ | | ||
* Ggf. aufschreiben und wirklich gut ablegen? Vorsicht bei Hausdurchsuchung! | * Ggf. aufschreiben und wirklich gut ablegen? Vorsicht bei Hausdurchsuchung! | ||
* Denkt über einen sicheren Zugang zum Passwortmanager nach. | * Denkt über einen sicheren Zugang zum Passwortmanager nach. | ||
* Masterpasswort muss auch die Passwort-Datenbank (geheimes Schlüsselmaterial) verschlüsseln. | * Masterpasswort muss auch die Passwort-Datenbank (geheimes Schlüsselmaterial) verschlüsseln. | ||
- | * Ggf. | + | * Ggf. Schlüsseldatei, |
* Erschwert Späh-Angriffe: | * Erschwert Späh-Angriffe: | ||
* Passwort-Eingabefelder: | * Passwort-Eingabefelder: | ||
Zeile 108: | Zeile 116: | ||
=== Persönliche Nutzung: Usecase === | === Persönliche Nutzung: Usecase === | ||
- | == KepassXC: Rechner, Smartphone, | + | == KepassXC: Rechner, |
+ | * https:// | ||
* Umsetzung: | * Umsetzung: | ||
- | * Filestorage über SaaS-Dropbox-ähnlichen Onlinedienst | + | * Filestorage über SaaS-Dropbox-ähnlichen Onlinedienst. Z.B. iCloud |
* Sync-Anwendung auf jedem Gerät einrichten | * Sync-Anwendung auf jedem Gerät einrichten | ||
* KeepassXC-Datenbank im synchronisierten Verzeichnis | * KeepassXC-Datenbank im synchronisierten Verzeichnis | ||
+ | * Auf iOS (KeePassXC nicht verfügbar): | ||
+ | * Sync geht auch mittels syncthing oder NextCloud | ||
* Thread-Modell: | * Thread-Modell: | ||
* Angreifer könnten Zugriff auf Datenbankdatei erlangen | * Angreifer könnten Zugriff auf Datenbankdatei erlangen | ||
Zeile 119: | Zeile 130: | ||
* zusätzliche Schlüsseldatei außerhalb der synchronisierten Verzeichnisse | * zusätzliche Schlüsseldatei außerhalb der synchronisierten Verzeichnisse | ||
* ggf. zusätzlich mit Hardwarekey / Token sichern | * ggf. zusätzlich mit Hardwarekey / Token sichern | ||
+ | * Achtung: geht davon aus, dass auf einem Android auch die Schlüsseldatei geklaut wird. | ||
+ | * TODO sollten wir mal mit YubiKey testen | ||
+ | |||
+ | == SSH / Challange-Response-Authentification == | ||
+ | |||
+ | * YubiKey+OpenSSH | ||
+ | * Bitte überlasst libpam-ssh-Authentification nicht einem Cloud-Provider | ||
+ | * Further research is needed | ||
+ | |||
+ | == Digitale Selbstversorger: | ||
+ | |||
+ | * Vaultwarden | ||
=== Persönliche Nutzung: Anwendungen === | === Persönliche Nutzung: Anwendungen === | ||
Zeile 131: | Zeile 154: | ||
== Bitwarden == | == Bitwarden == | ||
- | * Cloud-Based | + | * Cloud-Based |
* Bekommt von Infosec-Community viel Aufmerksamkeit | * Bekommt von Infosec-Community viel Aufmerksamkeit | ||
* Hat (inzwischen) akzeptable Crypto: Ableitung der Sicherheit von Master-Passwort | * Hat (inzwischen) akzeptable Crypto: Ableitung der Sicherheit von Master-Passwort | ||
+ | * Clients bieten Passwortgenerator, | ||
+ | * Auch Metadaten (Username, Kommentar, Ordner-Struktur) werden verschlüsselt | ||
== Vaultwarden == | == Vaultwarden == | ||
Zeile 139: | Zeile 164: | ||
* Selfhosting, | * Selfhosting, | ||
* Community-Fork von Bitwarden: Implementierung des Servers in Rust | * Community-Fork von Bitwarden: Implementierung des Servers in Rust | ||
- | * | + | * Kompatibel mit offiziellen Bitwarden-Client-Apps: |
- | == Browser-interner | + | == Browser-interner |
* Ist ein sehr beliebtes Angriffsziel. | * Ist ein sehr beliebtes Angriffsziel. | ||
Zeile 147: | Zeile 172: | ||
* Browser-Hersteller-Clouds sind sehr beliebtes Angriffsziel: | * Browser-Hersteller-Clouds sind sehr beliebtes Angriffsziel: | ||
* MUSS mit Master-Passwort gesichert sein | * MUSS mit Master-Passwort gesichert sein | ||
- | * Auto-Ausfüllen | + | * Auto-Ausfüllen |
* Gefahr: Angreifer könnten den Browser-Passwortmanager Eingabefelder ausfüllen lassen und deren Inhalt abgreifen. | * Gefahr: Angreifer könnten den Browser-Passwortmanager Eingabefelder ausfüllen lassen und deren Inhalt abgreifen. | ||
+ | * Thread-Model-Hinweis: | ||
=== Arbeiten in Teams === | === Arbeiten in Teams === | ||
Zeile 157: | Zeile 183: | ||
=== TOTP-Authenticator-Apps === | === TOTP-Authenticator-Apps === | ||
+ | |||
+ | == Android: Aegis Authenticator == | ||
+ | |||
+ | * https:// | ||
+ | * [[https:// | ||
== Google Authenticator == | == Google Authenticator == |