Krautspace – Der Hackspace in Jena

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
blog:content:digitale_selbstverteidigung

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
blog:content:digitale_selbstverteidigung [2024/01/09 20:31] – password manager: init l.behmblog:content:digitale_selbstverteidigung [2024/01/09 22:39] – [Was kann ich selbst tun?] qbi
Zeile 67: Zeile 67:
       * https://haveibeenpwned.com/       * https://haveibeenpwned.com/
       * https://sec.hpi.de/ilc/       * https://sec.hpi.de/ilc/
-  * Stand der Technik: Passwörter wiederverwenden sorgt sehr häufig für Kompromittierung von vielen Accounts wenn eine Webanwendung gehakt/geleakt ist.+  * Stand der Technik: Passwörter wiederverwenden sorgt sehr häufig für Kompromittierung von vielen Accountswenn eine Webanwendung gehackt wird oder Daten geleakt werden.
   * Cognitive load reduzieren für Passwörter ausdenken und merken.   * Cognitive load reduzieren für Passwörter ausdenken und merken.
   * Passwort-Manager erleichtert die Dokumentation von vielen Passwörtern.   * Passwort-Manager erleichtert die Dokumentation von vielen Passwörtern.
-  * Ermöglicht auch sicheren Austausch von Passwörtern in einer Gruppe falls erforderlich. (generell sollten immer Anwenderspezifische Zugangsdaten eingerichtet werden)+  * Ermöglicht auch sicheren Austausch von Passwörtern in einer Gruppefalls erforderlich. (generell sollten immer anwenderspezifische Zugangsdaten eingerichtet werden)
  
 ==== Bin ich betroffen? ==== ==== Bin ich betroffen? ====
Zeile 87: Zeile 87:
  
   * Gebt eure Passwörter nicht an andere weiter!   * Gebt eure Passwörter nicht an andere weiter!
-  * Gebt eure Passwörter nicht an andere Unternehmen weiter die sagen das "es total super sicher alles knorke hier " ist: [[https://www.heise.de/news/Passwortmanager-LastPass-Hacker-haben-Zugriff-auf-Kennworttresore-von-Kunden-7441929.html|Last]][[https://www.wired.com/story/lastpass-engineer-breach-security-roundup/|Pass]], [[https://www.bleepingcomputer.com/news/security/1password-discloses-security-incident-linked-to-okta-breach/|1Password]], Dashlane, NordPass +  * Gebt eure Passwörter nicht an andere Unternehmen weiterdie sagen das "es total super sicher alles knorke hier " ist: [[https://www.heise.de/news/Passwortmanager-LastPass-Hacker-haben-Zugriff-auf-Kennworttresore-von-Kunden-7441929.html|Last]][[https://www.wired.com/story/lastpass-engineer-breach-security-roundup/|Pass]], [[https://www.bleepingcomputer.com/news/security/1password-discloses-security-incident-linked-to-okta-breach/|1Password]], Dashlane, NordPass 
-  * https://xkcd.com/936/ +  * Gute Passwörter! 
-  * Anwender nicht dazu zwingen Passwörter häufig zu ändern. +    * https://xkcd.com/936/ 
-  * Passwörter ändern wenn eine Kompromittierung und deren Behebung festgestellt / vermutet wurde.+    * Lange Passwörter! Z.B. von Passphrase/Satz ableiten. 
 +  * Gutes SecOps! 
 +    * https://xkcd.com/538/ 
 +    * Wenn du deine Kennwörter nicht kennst, kannst du sie auch nicht (versehentlich) weitergeben. 
 +    * Phishing: Gebt nie euren Passwortmanager-Zugang an andere weiter. 
 +    * Folter funktioniert auch in 2024+ 
 +  * Anwender nicht dazu zwingenPasswörter häufig zu ändern. 
 +  * Passwörter ändernwenn eine Kompromittierung und deren Behebung festgestellt / vermutet wurde.
   * Macht sichere Backups!   * Macht sichere Backups!
-  * Sorgt dafür dass ihr eure Master-Passwörter nicht vergesst!+    * Auch von zusätzlichen Zugangsschlüsseln wie z.B. Schlüsseldatei 
 +  * Sorgt dafürdass ihr eure Master-Passwörter nicht vergesst!
     * Ggf. aufschreiben und wirklich gut ablegen? Vorsicht bei Hausdurchsuchung!     * Ggf. aufschreiben und wirklich gut ablegen? Vorsicht bei Hausdurchsuchung!
   * Denkt über einen sicheren Zugang zum Passwortmanager nach.   * Denkt über einen sicheren Zugang zum Passwortmanager nach.
     * Masterpasswort muss auch die Passwort-Datenbank (geheimes Schlüsselmaterial) verschlüsseln.     * Masterpasswort muss auch die Passwort-Datenbank (geheimes Schlüsselmaterial) verschlüsseln.
-    * Ggf. +    * Ggf. Schlüsseldatei, Hardware-Token
   * Erschwert Späh-Angriffe:   * Erschwert Späh-Angriffe:
     * Passwort-Eingabefelder: Deaktiviert "letzten Buchstaben anzeigen" auf Smartphone-System.     * Passwort-Eingabefelder: Deaktiviert "letzten Buchstaben anzeigen" auf Smartphone-System.
Zeile 108: Zeile 116:
 === Persönliche Nutzung: Usecase === === Persönliche Nutzung: Usecase ===
  
-== KepassXC: Rechner, Smartphone, Mobil ==+== KepassXC: Rechner, Android-Smartphone, Mobile Nutzung ==
  
 +  * https://keepassxc.org/
   * Umsetzung:   * Umsetzung:
-    * Filestorage über SaaS-Dropbox-ähnlichen Onlinedienst+    * Filestorage über SaaS-Dropbox-ähnlichen Onlinedienst. Z.B. iCloud
     * Sync-Anwendung auf jedem Gerät einrichten     * Sync-Anwendung auf jedem Gerät einrichten
     * KeepassXC-Datenbank im synchronisierten Verzeichnis     * KeepassXC-Datenbank im synchronisierten Verzeichnis
 +    * Auf iOS (KeePassXC nicht verfügbar): Strongbox
 +    * Sync geht auch mittels syncthing oder NextCloud
   * Thread-Modell:   * Thread-Modell:
     * Angreifer könnten Zugriff auf Datenbankdatei erlangen     * Angreifer könnten Zugriff auf Datenbankdatei erlangen
Zeile 119: Zeile 130:
     * zusätzliche Schlüsseldatei außerhalb der synchronisierten Verzeichnisse     * zusätzliche Schlüsseldatei außerhalb der synchronisierten Verzeichnisse
     * ggf. zusätzlich mit Hardwarekey / Token sichern     * ggf. zusätzlich mit Hardwarekey / Token sichern
 +    * Achtung: geht davon aus, dass auf einem Android auch die Schlüsseldatei geklaut wird.
 +  * TODO sollten wir mal mit YubiKey testen
 +
 +== SSH / Challange-Response-Authentification ==
 +
 +  * YubiKey+OpenSSH
 +  * Bitte überlasst libpam-ssh-Authentification nicht einem Cloud-Provider
 +  * Further research is needed
 +
 +== Digitale Selbstversorger:innen ==
 +
 +  * Vaultwarden
  
 === Persönliche Nutzung: Anwendungen === === Persönliche Nutzung: Anwendungen ===
Zeile 131: Zeile 154:
 == Bitwarden == == Bitwarden ==
  
-  * Cloud-Based+  * Cloud-Based auf MS Azure
   * Bekommt von Infosec-Community viel Aufmerksamkeit   * Bekommt von Infosec-Community viel Aufmerksamkeit
   * Hat (inzwischen) akzeptable Crypto: Ableitung der Sicherheit von Master-Passwort   * Hat (inzwischen) akzeptable Crypto: Ableitung der Sicherheit von Master-Passwort
 +  * Clients bieten Passwortgenerator, TOTP-Generator, Passwort-Prüfung gegen HIBP
 +  * Auch Metadaten (Username, Kommentar, Ordner-Struktur) werden verschlüsselt
  
 == Vaultwarden == == Vaultwarden ==
Zeile 139: Zeile 164:
   * Selfhosting, Web-Based   * Selfhosting, Web-Based
   * Community-Fork von Bitwarden: Implementierung des Servers in Rust   * Community-Fork von Bitwarden: Implementierung des Servers in Rust
-  * +  * Kompatibel mit offiziellen Bitwarden-Client-Apps: Smartphone-Apps und Browser-Extensions
  
-== Browser-interner Passmanager ==+== Browser-interner Passwortmanager ==
  
   * Ist ein sehr beliebtes Angriffsziel.   * Ist ein sehr beliebtes Angriffsziel.
Zeile 147: Zeile 172:
     * Browser-Hersteller-Clouds sind sehr beliebtes Angriffsziel: siehe Okta-Hack'23 via Google-TOTP-Authenticator-App     * Browser-Hersteller-Clouds sind sehr beliebtes Angriffsziel: siehe Okta-Hack'23 via Google-TOTP-Authenticator-App
   * MUSS mit Master-Passwort gesichert sein   * MUSS mit Master-Passwort gesichert sein
-  * Auto-Ausfüllen MUSS deaktiviert sein+  * Auto-Ausfüllen //muss// deaktiviert sein
     * Gefahr: Angreifer könnten den Browser-Passwortmanager Eingabefelder ausfüllen lassen und deren Inhalt abgreifen.     * Gefahr: Angreifer könnten den Browser-Passwortmanager Eingabefelder ausfüllen lassen und deren Inhalt abgreifen.
 +  * Thread-Model-Hinweis: Wenn Browser gehackt wird um auf Browser-internen-Passwortmanager zuzugreifen, dann ist der gesamte Browser / User-Account (z.B. inkl. Session-Cookies/-Tokens) als kompromittiert zu erachten.
  
 === Arbeiten in Teams === === Arbeiten in Teams ===
Zeile 157: Zeile 183:
  
 === TOTP-Authenticator-Apps === === TOTP-Authenticator-Apps ===
 +
 +== Android: Aegis Authenticator ==
 +
 +  * https://getaegis.app/
 +  * [[https://github.com/beemdevelopment/Aegis|Github]], [[https://play.google.com/store/apps/details?id=com.beemdevelopment.aegis|PlayStore]], [[https://f-droid.org/en/packages/com.beemdevelopment.aegis|F-Droid]]
  
 == Google Authenticator == == Google Authenticator ==