Krautspace – Der Hackspace in Jena

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
blog:content:digitale_selbstverteidigung

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
blog:content:digitale_selbstverteidigung [2024/01/09 22:02] l.behmblog:content:digitale_selbstverteidigung [2024/01/09 22:39] – [Was kann ich selbst tun?] qbi
Zeile 67: Zeile 67:
       * https://haveibeenpwned.com/       * https://haveibeenpwned.com/
       * https://sec.hpi.de/ilc/       * https://sec.hpi.de/ilc/
-  * Stand der Technik: Passwörter wiederverwenden sorgt sehr häufig für Kompromittierung von vielen Accounts wenn eine Webanwendung gehakt/geleakt ist.+  * Stand der Technik: Passwörter wiederverwenden sorgt sehr häufig für Kompromittierung von vielen Accountswenn eine Webanwendung gehackt wird oder Daten geleakt werden.
   * Cognitive load reduzieren für Passwörter ausdenken und merken.   * Cognitive load reduzieren für Passwörter ausdenken und merken.
   * Passwort-Manager erleichtert die Dokumentation von vielen Passwörtern.   * Passwort-Manager erleichtert die Dokumentation von vielen Passwörtern.
-  * Ermöglicht auch sicheren Austausch von Passwörtern in einer Gruppe falls erforderlich. (generell sollten immer Anwenderspezifische Zugangsdaten eingerichtet werden)+  * Ermöglicht auch sicheren Austausch von Passwörtern in einer Gruppefalls erforderlich. (generell sollten immer anwenderspezifische Zugangsdaten eingerichtet werden)
  
 ==== Bin ich betroffen? ==== ==== Bin ich betroffen? ====
Zeile 87: Zeile 87:
  
   * Gebt eure Passwörter nicht an andere weiter!   * Gebt eure Passwörter nicht an andere weiter!
-  * Gebt eure Passwörter nicht an andere Unternehmen weiter die sagen das "es total super sicher alles knorke hier " ist: [[https://www.heise.de/news/Passwortmanager-LastPass-Hacker-haben-Zugriff-auf-Kennworttresore-von-Kunden-7441929.html|Last]][[https://www.wired.com/story/lastpass-engineer-breach-security-roundup/|Pass]], [[https://www.bleepingcomputer.com/news/security/1password-discloses-security-incident-linked-to-okta-breach/|1Password]], Dashlane, NordPass+  * Gebt eure Passwörter nicht an andere Unternehmen weiterdie sagen das "es total super sicher alles knorke hier " ist: [[https://www.heise.de/news/Passwortmanager-LastPass-Hacker-haben-Zugriff-auf-Kennworttresore-von-Kunden-7441929.html|Last]][[https://www.wired.com/story/lastpass-engineer-breach-security-roundup/|Pass]], [[https://www.bleepingcomputer.com/news/security/1password-discloses-security-incident-linked-to-okta-breach/|1Password]], Dashlane, NordPass
   * Gute Passwörter!   * Gute Passwörter!
     * https://xkcd.com/936/     * https://xkcd.com/936/
Zeile 96: Zeile 96:
     * Phishing: Gebt nie euren Passwortmanager-Zugang an andere weiter.     * Phishing: Gebt nie euren Passwortmanager-Zugang an andere weiter.
     * Folter funktioniert auch in 2024+     * Folter funktioniert auch in 2024+
-  * Anwender nicht dazu zwingen Passwörter häufig zu ändern. +  * Anwender nicht dazu zwingenPasswörter häufig zu ändern. 
-  * Passwörter ändern wenn eine Kompromittierung und deren Behebung festgestellt / vermutet wurde.+  * Passwörter ändernwenn eine Kompromittierung und deren Behebung festgestellt / vermutet wurde.
   * Macht sichere Backups!   * Macht sichere Backups!
     * Auch von zusätzlichen Zugangsschlüsseln wie z.B. Schlüsseldatei     * Auch von zusätzlichen Zugangsschlüsseln wie z.B. Schlüsseldatei
-  * Sorgt dafür dass ihr eure Master-Passwörter nicht vergesst!+  * Sorgt dafürdass ihr eure Master-Passwörter nicht vergesst!
     * Ggf. aufschreiben und wirklich gut ablegen? Vorsicht bei Hausdurchsuchung!     * Ggf. aufschreiben und wirklich gut ablegen? Vorsicht bei Hausdurchsuchung!
   * Denkt über einen sicheren Zugang zum Passwortmanager nach.   * Denkt über einen sicheren Zugang zum Passwortmanager nach.
Zeile 118: Zeile 118:
 == KepassXC: Rechner, Android-Smartphone, Mobile Nutzung == == KepassXC: Rechner, Android-Smartphone, Mobile Nutzung ==
  
 +  * https://keepassxc.org/
   * Umsetzung:   * Umsetzung:
     * Filestorage über SaaS-Dropbox-ähnlichen Onlinedienst. Z.B. iCloud     * Filestorage über SaaS-Dropbox-ähnlichen Onlinedienst. Z.B. iCloud
Zeile 123: Zeile 124:
     * KeepassXC-Datenbank im synchronisierten Verzeichnis     * KeepassXC-Datenbank im synchronisierten Verzeichnis
     * Auf iOS (KeePassXC nicht verfügbar): Strongbox     * Auf iOS (KeePassXC nicht verfügbar): Strongbox
 +    * Sync geht auch mittels syncthing oder NextCloud
   * Thread-Modell:   * Thread-Modell:
     * Angreifer könnten Zugriff auf Datenbankdatei erlangen     * Angreifer könnten Zugriff auf Datenbankdatei erlangen
Zeile 129: Zeile 131:
     * ggf. zusätzlich mit Hardwarekey / Token sichern     * ggf. zusätzlich mit Hardwarekey / Token sichern
     * Achtung: geht davon aus, dass auf einem Android auch die Schlüsseldatei geklaut wird.     * Achtung: geht davon aus, dass auf einem Android auch die Schlüsseldatei geklaut wird.
-  * ToDo: sollten wir mal mit YubiKey testen+  * TODO sollten wir mal mit YubiKey testen
  
 == SSH / Challange-Response-Authentification == == SSH / Challange-Response-Authentification ==
Zeile 170: Zeile 172:
     * Browser-Hersteller-Clouds sind sehr beliebtes Angriffsziel: siehe Okta-Hack'23 via Google-TOTP-Authenticator-App     * Browser-Hersteller-Clouds sind sehr beliebtes Angriffsziel: siehe Okta-Hack'23 via Google-TOTP-Authenticator-App
   * MUSS mit Master-Passwort gesichert sein   * MUSS mit Master-Passwort gesichert sein
-  * Auto-Ausfüllen MUSS deaktiviert sein+  * Auto-Ausfüllen //muss// deaktiviert sein
     * Gefahr: Angreifer könnten den Browser-Passwortmanager Eingabefelder ausfüllen lassen und deren Inhalt abgreifen.     * Gefahr: Angreifer könnten den Browser-Passwortmanager Eingabefelder ausfüllen lassen und deren Inhalt abgreifen.
-  * Thread-Model-Hinweis: Wenn Browser gehackt wird um auf Browser-internen-Passwortmanager zuzugreifen, dann ist der gesamte Browser / User-Account (z.B. inkl. Session-Cookies/-Tokens) als kompromitiert zu erachten.+  * Thread-Model-Hinweis: Wenn Browser gehackt wird um auf Browser-internen-Passwortmanager zuzugreifen, dann ist der gesamte Browser / User-Account (z.B. inkl. Session-Cookies/-Tokens) als kompromittiert zu erachten.
  
 === Arbeiten in Teams === === Arbeiten in Teams ===