Krautspace – Der Hackspace in Jena

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: passwort_manager
hswiki:veranstaltungen:reihen:digitale_selbstverteidigung:passwort_manager

Inhaltsverzeichnis

Passwort-Manager

Warum ist es relevant?

  • Motivation:
  • Stand der Technik: Passwörter wiederverwenden sorgt sehr häufig für Kompromittierung von vielen Accounts, wenn eine Webanwendung gehackt wird oder Daten geleakt werden.
  • Cognitive load reduzieren für Passwörter ausdenken und merken.
  • Passwort-Manager erleichtert die Dokumentation von vielen Passwörtern.
  • Ermöglicht auch sicheren Austausch von Passwörtern in einer Gruppe, falls erforderlich. (generell sollten immer anwenderspezifische Zugangsdaten eingerichtet werden)

Bin ich betroffen?

  • Persönlicher Passwortmanager:
    • Pers. Computer / Notebook / Tablet
    • Smartphones
    • Online-Banking
    • EC / Kreditkarte: Kreditkartenprüfnummer / CVV (Card Verification Value)
  • Arbeiten in Teams:
    • Sichere Dokumentation von Zugangsdaten zu Anwendungen/Diensten, wenn wirklich nur einzelne Accounts einrichtbar sind (nicht nutzerspezifische)

Was kann ich selbst tun?

Allgemeine Gefahrenhinweise

  • Gebt eure Passwörter nicht an andere weiter!
  • Gebt eure Passwörter nicht an andere Unternehmen weiter, die sagen das „es total super sicher alles knorke hier “ ist: LastPass, 1Password, Dashlane, NordPass
  • Gute Passwörter!
  • Gutes SecOps!
    • https://xkcd.com/538/
    • Wenn du deine Kennwörter nicht kennst, kannst du sie auch nicht (versehentlich) weitergeben.
    • Phishing: Gebt nie euren Passwortmanager-Zugang an andere weiter.
    • Folter funktioniert auch in 2024+
  • Anwender nicht dazu zwingen, Passwörter häufig zu ändern.
  • Passwörter ändern, wenn eine Kompromittierung und deren Behebung festgestellt / vermutet wurde.
  • Macht sichere Backups!
    • Auch von zusätzlichen Zugangsschlüsseln wie z.B. Schlüsseldatei
  • Sorgt dafür, dass ihr eure Master-Passwörter nicht vergesst!
    • Ggf. aufschreiben und wirklich gut ablegen? Vorsicht bei Hausdurchsuchung!
  • Denkt über einen sicheren Zugang zum Passwortmanager nach.
    • Masterpasswort muss auch die Passwort-Datenbank (geheimes Schlüsselmaterial) verschlüsseln.
    • Ggf. Schlüsseldatei, Hardware-Token
  • Erschwert Späh-Angriffe:
    • Passwort-Eingabefelder: Deaktiviert „letzten Buchstaben anzeigen“ auf Smartphone-System.
    • Bitte keine PostIts. Auch nicht unter der Tastatur.
    • Viele Billig-Androids werden noch immer mit Malware ab-Werk-vorinstalliert ausgeliefert. Eventuell ist bereits ein Keylogger installiert?
  • Fingerabdruckscanner sind noch immer unsicher. Revocation ist schmerzhaft.
  • Passwortmanager mit Browser-Plugin:
    • Passwortmanager können z.B. direkt ausfüllen.
    • Passwortmanager bietet Hostname-Matching und schützt dadurch gegen Phishing mit Hostname-Ähnlichkeiten.

Persönliche Nutzung: Usecase

KepassXC: Rechner, Android-Smartphone, Mobile Nutzung

  • https://keepassxc.org/
  • Umsetzung:
    • Filestorage über SaaS-Dropbox-ähnlichen Onlinedienst. Z.B. iCloud
    • Sync-Anwendung auf jedem Gerät einrichten
    • KeepassXC-Datenbank im synchronisierten Verzeichnis
    • Auf iOS (KeePassXC nicht verfügbar): Strongbox
    • Sync geht auch mittels syncthing oder NextCloud
  • Thread-Modell:
    • Angreifer könnten Zugriff auf Datenbankdatei erlangen
    • Sehr gutes Master-Passwort notwendig
    • zusätzliche Schlüsseldatei außerhalb der synchronisierten Verzeichnisse
    • ggf. zusätzlich mit Hardwarekey / Token sichern
    • Achtung: geht davon aus, dass auf einem Android auch die Schlüsseldatei geklaut wird.
  • TODO sollten wir mal mit YubiKey testen

SSH / Challenge-Response-Authentification

  • YubiKey+OpenSSH
  • Bitte überlasst libpam-ssh-Authentification nicht einem Cloud-Provider
  • Further research is needed

Digitale Selbstversorger:innen

  • Vaultwarden

Persönliche Nutzung: Anwendungen

KeePassXC

  • Es funktioniert auf allen Platformen außer iOS
  • Es gibt Browser-Extensions.
  • Bietet Passwortgenerator, Auto-Type (Ctrl+V: switched zum Browser und tippt automatisch Username + Passwort)
  • Säubert Zwischenablage

Bitwarden

  • Cloud-Based auf MS Azure
  • Bekommt von Infosec-Community viel Aufmerksamkeit
  • Hat (inzwischen) akzeptable Crypto: Ableitung der Sicherheit von Master-Passwort
  • Clients bieten Passwortgenerator, TOTP-Generator, Passwort-Prüfung gegen HIBP
  • Auch Metadaten (Username, Kommentar, Ordner-Struktur) werden verschlüsselt

Vaultwarden

  • Selfhosting, Web-Based
  • Community-Fork von Bitwarden: Implementierung des Servers in Rust
  • Kompatibel mit offiziellen Bitwarden-Client-Apps: Smartphone-Apps und Browser-Extensions

Browser-interner Passwortmanager

  • Ist ein sehr beliebtes Angriffsziel.
  • Führt i.d.R. unweigerlich zu Browser-Synchronisierung über eine Hersteller-Cloud.
    • Browser-Hersteller-Clouds sind sehr beliebtes Angriffsziel: siehe Okta-Hack'23 via Google-TOTP-Authenticator-App
  • MUSS mit Master-Passwort gesichert sein
  • Auto-Ausfüllen muss deaktiviert sein
    • Gefahr: Angreifer könnten den Browser-Passwortmanager Eingabefelder ausfüllen lassen und deren Inhalt abgreifen.
  • Thread-Model-Hinweis: Wenn Browser gehackt wird um auf Browser-internen-Passwortmanager zuzugreifen, dann ist der gesamte Browser / User-Account (z.B. inkl. Session-Cookies/-Tokens) als kompromittiert zu erachten.

Arbeiten in Teams

  • Fühlt ihr euch für euer Team zuständig?
    • Kontrolliert doch mal unter der Tastatur eurer Abteilung.
  • Lasst SSO nicht von zentralen Cloud-Dienst machen.

TOTP-Authenticator-Apps

Android: Aegis Authenticator

Google Authenticator

hswiki/veranstaltungen/reihen/digitale_selbstverteidigung/passwort_manager.txt · Zuletzt geändert: 2024/03/21 20:15 von l.behm