SlideShare ist ein Scribd-Unternehmen logo

Authentifzierungsmethoden in der Praxis - Webmontag Würzburg 14.09.2015

Als PPTX, PDF herunterladen
Frank Thilo Röhl
Frank Thilo Röhl

SMS / Mobile Authentication / Security / FIDO / U2F /TPM / PKI

Technologie
1 von 20
Der 2. Faktor Webmontag – 14.09.2015 Aktuelle Authentifzierungsmethoden in der Praxis Dipl. Inform. Thilo Röhl www.pkienthusiast.com
Passwort Bingo
Die 10 häufigsten Passwörter 1. password 11. letmein 2. 123456 12. monkey 3. 12345678 13. 696969 4. 1234 14. abc123 5. qwerty 15. mustang 6. 12345 16. michael 7. dragon 17. shadow 8. pussy 18. master 9. baseball 19. jennifer 10. football 20. 11111 http://www.netzpiloten.de/die-25-haufigsten-passworter-und-pins/
Passwörter • Komplexe Passwörter landen auf dem Schreibtisch • Einfache Passwörter sind leicht zu knacken • "Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang“ • MsiaupmmZdMl • Ein Passwort – viele Dienste. Ein Dienst wird gehackt • Passwort Reset über Emailadresse - > Angriffe über gekapertes Emailkonto • Ersatz mit Google/Facebook Login ? • Keepass 2 auf mobilen Gerät – Passwortdatei über Google gesynced?
2 Faktor Authentifizierung • Starke Authentifizierung besteht aus zwei unabhängigen Faktoren • Etwas das ich besitze -> Ein Token, Ein Smartphone • Etwas dass ich weiß - > Ein Passwort, Bilderkombination • Etwas das ich habe -> Ein Fingerabdruck, Iris, Herzschlag, Stimme
Biometrie und NFC • Angriffe mit Klebemasse • Angriffe über die Funkschnittstelle und passives Abhören • Bisher wenig in der Masse, für den Business Bereich: Zentrale Verwaltung des Keymaterials nötig -> Datenschutz • Neuerdings auch implantierte NFC Chips, eigentlich eher für Pferde Bild © Computermagazin c't http://www.heise.de/newsticker/meldung/Biometrie-Verfassungsbeschwerde-Das- endlose-Warten-1667170.html?view=zoom;zoom=1
Mobile und SMS • Jeder hat ein Mobiltelefon • Keine Kosten für das Token • SMS nicht zuverlässig • Spezielle Trojaner für Mobiltelefone
Mobile und App • Google Authenticator • One App, Several Services -> Facebook, Google, Clavid.ch • Smartphones zunehmend verbreitet • Gerootete Smartphones ? Verlust von Smartphones ? • Nur mit Mobile Device Management zu empfehlen - > Umsetzung von Unternehmensrichtlinien
Passwortgeneratoren – Token ohne Rechner • Unabhängig von Software • Sehr sicher – verwenden internes Geheimnis, dass man sich nicht stehlen lassen sollte (RSA 03/2011) • Sehr zuverlässig • Verhindern das Teilen von Zugangsdaten nicht http://webcam/get_your_login
Token am Rechner – offener Stand FIDO U2F • FIDO ist ein Industriestandard mit vielen Partnern, hier U2F Standard • Unterstützung von Windows 10 und Google • Unterstützung aktuell (9/2015) von Chrome, noch kein Firefox Support • Keine Treiber, ab 35 € • Beispiel Yubikey NEO
Zertifikate im Rechner „Softwarezertifikate“ • Public Key Infrastruktur benötigt • Angriff vom Rechner aus möglich • Diebstahl wird nicht erkannt • PIN Eingabe sinnvoll • Lifecycle benötigt – Sperrliste Certificate Revocation List (CRL) muss immer verfügbar sein Certificate Authority User Zertifikat
Zertifikate im Rechner mit TPM geschützt • Trusted Platform Module • An den Rechner gebunden • Schützt Softwarezertifikate im Rechner • Vertrauen auf Hardwarelieferanten • Keine Kosten für zusätzliche Hardware • Diebstahl von Schlüsselmaterial bei richtiger Implementierung sehr aufwändig (Zugang Rechner nötig, Kryptoangriffe) • PIN sinnvoll Picture © by Wikipedia, Guillaume Piolle
Zertifikate am Rechner mit Smartcard geschützt • Angriffe auf das Schlüsselmaterial extrem erschwert • Benötigt Treiber für Smartcard, Benutzung von MS Minidrivern möglich • Beispiel Bankensektor : HBCI mit Smartcard • Chipkartenleser mit Display (Klasse 3) 65 €
Zwei Kunden – Analyse nach Nutzergruppe 70 000 Nutzer, Inhouse Service PKI, interne Nutzer Externe SMS 3 000 Nutzer, Cloud Service Token Mobile App App on Desktop Mobile SMS
Ausblick • Authentifizierung ganzheitlich betrachten, dazu auch Account Lifecycle und Passwort Resets ansehen • Mit Einbeziehung weitere Faktoren wie Zugangskontrollsysteme, Geolocation, Endgeräte, Historie der Transaktionen • Step Up Authentifikation - > Zusätzliche Authentifizierung bei kritischen Transaktionen wie Kontoüberweisung über einem Limit • Analyse der Transaktionen in Echtzeit • Aktuelle Empfehlungen des BSI beachten – Security ist ständig im Fluss
Homework 1: Facebook sichere Anmeldung • Kontoeinstellungen, Sicherheit • Aktivierung der Anmeldebestätigung per Handy • Aktivierung Codegenerator – mit Facebook App und auch mit Google Authenticator möglich • Optional : Zuverlässige Kontakte • Optional : Nachlasskontakt
Homework 2: Google 2 Schritt Anmeldung • https://myaccount.google.com • Anmeldungen und Sicherheit • Passwort und Anmeldeverfahren, FIDO Token:
Sicher ist, dass nichts sicher ist. Selbst das nicht. Ringelnatz, dt. Kabarettist • Keepass http://keepass.info/ • Sicher im Netz https://www.sicher-im-netz.de/passwort-wechsel-app-1 • Bundesamt Sicherheit Informationstechnik https://www.bsi-fuer- buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.html
Zusammenfassung • Passwörter • Biometrie / NFC • Mobile SMS • Mobile App • Token am Rechner nach FIDO Standard • Zertifikate im Rechner • Zertifikate im Rechner in einem TPM • Zertifikate am Rechner in einer Smartcard • Verweis auf BSI Empfehlung
PowerPoint zum Download

Empfohlen

Developercamp 08032018 der-zweite_faktor_thilo_roehl
Developercamp 08032018 der-zweite_faktor_thilo_roehlDevelopercamp 08032018 der-zweite_faktor_thilo_roehl
Developercamp 08032018 der-zweite_faktor_thilo_roehlFrank Thilo Röhl
 
210824 Cyberrisiko im KMU - schulen Sie Ihre Mitarbeiter
210824 Cyberrisiko im KMU - schulen Sie Ihre Mitarbeiter210824 Cyberrisiko im KMU - schulen Sie Ihre Mitarbeiter
210824 Cyberrisiko im KMU - schulen Sie Ihre MitarbeiterThomas Brändle
 
Caja de herramientas
Caja de herramientasCaja de herramientas
Caja de herramientasAna Garcia Gutierrez
 
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)Miguel A. Amutio
 
Claves para la interoperabilidad de las Administraciones Públicas
Claves para la interoperabilidad de las Administraciones PúblicasClaves para la interoperabilidad de las Administraciones Públicas
Claves para la interoperabilidad de las Administraciones PúblicasMiguel A. Amutio
 
SQL-Updates mit der JDBC-API
SQL-Updates mit der JDBC-APISQL-Updates mit der JDBC-API
SQL-Updates mit der JDBC-APItutego
 
Die JSTL Tag-Library
Die JSTL Tag-LibraryDie JSTL Tag-Library
Die JSTL Tag-Librarytutego
 
PROYECTOS BILATERALES DE COOPERACIÓN ESPACIAL - Programas bilaterales
PROYECTOS BILATERALES DE COOPERACIÓN ESPACIAL - Programas bilateralesPROYECTOS BILATERALES DE COOPERACIÓN ESPACIAL - Programas bilaterales
PROYECTOS BILATERALES DE COOPERACIÓN ESPACIAL - Programas bilateraleseixcinc
 

Empfohlen

Developercamp 08032018 der-zweite_faktor_thilo_roehl
Developercamp 08032018 der-zweite_faktor_thilo_roehlDevelopercamp 08032018 der-zweite_faktor_thilo_roehl
Developercamp 08032018 der-zweite_faktor_thilo_roehlFrank Thilo Röhl
 
210824 Cyberrisiko im KMU - schulen Sie Ihre Mitarbeiter
210824 Cyberrisiko im KMU - schulen Sie Ihre Mitarbeiter210824 Cyberrisiko im KMU - schulen Sie Ihre Mitarbeiter
210824 Cyberrisiko im KMU - schulen Sie Ihre MitarbeiterThomas Brändle
 
Caja de herramientas
Caja de herramientasCaja de herramientas
Caja de herramientasAna Garcia Gutierrez
 
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)Miguel A. Amutio
 
Claves para la interoperabilidad de las Administraciones Públicas
Claves para la interoperabilidad de las Administraciones PúblicasClaves para la interoperabilidad de las Administraciones Públicas
Claves para la interoperabilidad de las Administraciones PúblicasMiguel A. Amutio
 
SQL-Updates mit der JDBC-API
SQL-Updates mit der JDBC-APISQL-Updates mit der JDBC-API
SQL-Updates mit der JDBC-APItutego
 
Die JSTL Tag-Library
Die JSTL Tag-LibraryDie JSTL Tag-Library
Die JSTL Tag-Librarytutego
 
PROYECTOS BILATERALES DE COOPERACIÓN ESPACIAL - Programas bilaterales
PROYECTOS BILATERALES DE COOPERACIÓN ESPACIAL - Programas bilateralesPROYECTOS BILATERALES DE COOPERACIÓN ESPACIAL - Programas bilaterales
PROYECTOS BILATERALES DE COOPERACIÓN ESPACIAL - Programas bilateraleseixcinc
 
Museu de la vida de tordesillas complert
Museu de la vida de tordesillas complertMuseu de la vida de tordesillas complert
Museu de la vida de tordesillas complertUsuas
 
Auslandskrankenversicherung: Krankenversicherung Auslandsreise und Urlaub
Auslandskrankenversicherung: Krankenversicherung Auslandsreise und UrlaubAuslandskrankenversicherung: Krankenversicherung Auslandsreise und Urlaub
Auslandskrankenversicherung: Krankenversicherung Auslandsreise und Urlaubversicherungsprofi
 
Diabetes
DiabetesDiabetes
DiabetesPedro Gomez
 
Seguridad e integridad de datos
Seguridad e integridad de datosSeguridad e integridad de datos
Seguridad e integridad de datosGustavo Hdz
 
Schulung C++ Boost Bibliotheken
Schulung C++ Boost BibliothekenSchulung C++ Boost Bibliotheken
Schulung C++ Boost Bibliothekentutego
 
La guerra civil
La guerra civilLa guerra civil
La guerra civilRafa Bermudez
 
Violencia contra la mujer (1)
Violencia contra la mujer (1)Violencia contra la mujer (1)
Violencia contra la mujer (1)Massiel Mendoza
 
Constrictive bronchiolitis in soldiers returning from iraq and afghanistan
Constrictive bronchiolitis in soldiers returning from iraq and afghanistanConstrictive bronchiolitis in soldiers returning from iraq and afghanistan
Constrictive bronchiolitis in soldiers returning from iraq and afghanistanMaría Dolores Calabria Gallego
 
Apuntes
ApuntesApuntes
ApuntesAleks Antonio
 
INFRAESTRUCTURA PARA LA RECARGA DEL VE
INFRAESTRUCTURA PARA LA RECARGA DEL VEINFRAESTRUCTURA PARA LA RECARGA DEL VE
INFRAESTRUCTURA PARA LA RECARGA DEL VEeixcinc
 
Trajos de quimica
Trajos de quimicaTrajos de quimica
Trajos de quimicaLily Germania Bonilla
 
Trabajo final del grupo colaborativo 301500 g128
Trabajo final del grupo colaborativo 301500 g128Trabajo final del grupo colaborativo 301500 g128
Trabajo final del grupo colaborativo 301500 g128Leidy Johana Pava Velandia
 
ENDURO E-PERFORMANCE MIT IPU - ROTWILD R.E1+
ENDURO E-PERFORMANCE MIT IPU - ROTWILD R.E1+ENDURO E-PERFORMANCE MIT IPU - ROTWILD R.E1+
ENDURO E-PERFORMANCE MIT IPU - ROTWILD R.E1+Maud von Hoff
 
CSS Seminar
CSS SeminarCSS Seminar
CSS Seminartutego
 
El desfile nfvl
El desfile nfvlEl desfile nfvl
El desfile nfvlMassiel Mendoza
 
Präsentation der DSK | BIG BAU-Unternehmensgruppe
Präsentation der DSK | BIG BAU-UnternehmensgruppePräsentation der DSK | BIG BAU-Unternehmensgruppe
Präsentation der DSK | BIG BAU-UnternehmensgruppeChristiane Lindig
 
Simplicidad y complejidad
Simplicidad y complejidadSimplicidad y complejidad
Simplicidad y complejidadJennifer Fernández Ferreira
 
Inportancia del bloque cero pacie
Inportancia del bloque cero pacieInportancia del bloque cero pacie
Inportancia del bloque cero pacieMarlo Daniel Sañay Moina
 
Episode 13
Episode 13Episode 13
Episode 13Sunquick Malaysia
 
Ausgezeichnete produkte wasunsumweltzeichensagen
Ausgezeichnete produkte wasunsumweltzeichensagenAusgezeichnete produkte wasunsumweltzeichensagen
Ausgezeichnete produkte wasunsumweltzeichensagenibobab
 
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copy
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copyDevelopercamp 08032018 der-zweite_faktor_thilo_roehl - copy
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copyFrank Thilo Röhl
 
Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26faltmannPR
 

Weitere ähnliche Inhalte

Andere mochten auch

Museu de la vida de tordesillas complert
Museu de la vida de tordesillas complertMuseu de la vida de tordesillas complert
Museu de la vida de tordesillas complertUsuas
 
Auslandskrankenversicherung: Krankenversicherung Auslandsreise und Urlaub
Auslandskrankenversicherung: Krankenversicherung Auslandsreise und UrlaubAuslandskrankenversicherung: Krankenversicherung Auslandsreise und Urlaub
Auslandskrankenversicherung: Krankenversicherung Auslandsreise und Urlaubversicherungsprofi
 
Seguridad e integridad de datos
Seguridad e integridad de datosSeguridad e integridad de datos
Seguridad e integridad de datosGustavo Hdz
 
Schulung C++ Boost Bibliotheken
Schulung C++ Boost BibliothekenSchulung C++ Boost Bibliotheken
Schulung C++ Boost Bibliothekentutego
 
Violencia contra la mujer (1)
Violencia contra la mujer (1)Violencia contra la mujer (1)
Violencia contra la mujer (1)Massiel Mendoza
 
Constrictive bronchiolitis in soldiers returning from iraq and afghanistan
Constrictive bronchiolitis in soldiers returning from iraq and afghanistanConstrictive bronchiolitis in soldiers returning from iraq and afghanistan
Constrictive bronchiolitis in soldiers returning from iraq and afghanistanMaría Dolores Calabria Gallego
 
INFRAESTRUCTURA PARA LA RECARGA DEL VE
INFRAESTRUCTURA PARA LA RECARGA DEL VEINFRAESTRUCTURA PARA LA RECARGA DEL VE
INFRAESTRUCTURA PARA LA RECARGA DEL VEeixcinc
 
Trabajo final del grupo colaborativo 301500 g128
Trabajo final del grupo colaborativo 301500 g128Trabajo final del grupo colaborativo 301500 g128
Trabajo final del grupo colaborativo 301500 g128Leidy Johana Pava Velandia
 
ENDURO E-PERFORMANCE MIT IPU - ROTWILD R.E1+
ENDURO E-PERFORMANCE MIT IPU - ROTWILD R.E1+ENDURO E-PERFORMANCE MIT IPU - ROTWILD R.E1+
ENDURO E-PERFORMANCE MIT IPU - ROTWILD R.E1+Maud von Hoff
 
CSS Seminar
CSS SeminarCSS Seminar
CSS Seminartutego
 
Präsentation der DSK | BIG BAU-Unternehmensgruppe
Präsentation der DSK | BIG BAU-UnternehmensgruppePräsentation der DSK | BIG BAU-Unternehmensgruppe
Präsentation der DSK | BIG BAU-UnternehmensgruppeChristiane Lindig
 
Ausgezeichnete produkte wasunsumweltzeichensagen
Ausgezeichnete produkte wasunsumweltzeichensagenAusgezeichnete produkte wasunsumweltzeichensagen
Ausgezeichnete produkte wasunsumweltzeichensagenibobab
 

Andere mochten auch (20)

Museu de la vida de tordesillas complert
Museu de la vida de tordesillas complertMuseu de la vida de tordesillas complert
Museu de la vida de tordesillas complert
 
Auslandskrankenversicherung: Krankenversicherung Auslandsreise und Urlaub
Auslandskrankenversicherung: Krankenversicherung Auslandsreise und UrlaubAuslandskrankenversicherung: Krankenversicherung Auslandsreise und Urlaub
Auslandskrankenversicherung: Krankenversicherung Auslandsreise und Urlaub
 
Diabetes
DiabetesDiabetes
Diabetes
 
Seguridad e integridad de datos
Seguridad e integridad de datosSeguridad e integridad de datos
Seguridad e integridad de datos
 
Schulung C++ Boost Bibliotheken
Schulung C++ Boost BibliothekenSchulung C++ Boost Bibliotheken
Schulung C++ Boost Bibliotheken
 
La guerra civil
La guerra civilLa guerra civil
La guerra civil
 
Violencia contra la mujer (1)
Violencia contra la mujer (1)Violencia contra la mujer (1)
Violencia contra la mujer (1)
 
Constrictive bronchiolitis in soldiers returning from iraq and afghanistan
Constrictive bronchiolitis in soldiers returning from iraq and afghanistanConstrictive bronchiolitis in soldiers returning from iraq and afghanistan
Constrictive bronchiolitis in soldiers returning from iraq and afghanistan
 
Apuntes
ApuntesApuntes
Apuntes
 
INFRAESTRUCTURA PARA LA RECARGA DEL VE
INFRAESTRUCTURA PARA LA RECARGA DEL VEINFRAESTRUCTURA PARA LA RECARGA DEL VE
INFRAESTRUCTURA PARA LA RECARGA DEL VE
 
Trajos de quimica
Trajos de quimicaTrajos de quimica
Trajos de quimica
 
Trabajo final del grupo colaborativo 301500 g128
Trabajo final del grupo colaborativo 301500 g128Trabajo final del grupo colaborativo 301500 g128
Trabajo final del grupo colaborativo 301500 g128
 
ENDURO E-PERFORMANCE MIT IPU - ROTWILD R.E1+
ENDURO E-PERFORMANCE MIT IPU - ROTWILD R.E1+ENDURO E-PERFORMANCE MIT IPU - ROTWILD R.E1+
ENDURO E-PERFORMANCE MIT IPU - ROTWILD R.E1+
 
CSS Seminar
CSS SeminarCSS Seminar
CSS Seminar
 
El desfile nfvl
El desfile nfvlEl desfile nfvl
El desfile nfvl
 
Präsentation der DSK | BIG BAU-Unternehmensgruppe
Präsentation der DSK | BIG BAU-UnternehmensgruppePräsentation der DSK | BIG BAU-Unternehmensgruppe
Präsentation der DSK | BIG BAU-Unternehmensgruppe
 
Simplicidad y complejidad
Simplicidad y complejidadSimplicidad y complejidad
Simplicidad y complejidad
 
Inportancia del bloque cero pacie
Inportancia del bloque cero pacieInportancia del bloque cero pacie
Inportancia del bloque cero pacie
 
Episode 13
Episode 13Episode 13
Episode 13
 
Ausgezeichnete produkte wasunsumweltzeichensagen
Ausgezeichnete produkte wasunsumweltzeichensagenAusgezeichnete produkte wasunsumweltzeichensagen
Ausgezeichnete produkte wasunsumweltzeichensagen
 

Ähnlich wie Authentifzierungsmethoden in der Praxis - Webmontag Würzburg 14.09.2015

Developercamp 08032018 der-zweite_faktor_thilo_roehl - copy
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copyDevelopercamp 08032018 der-zweite_faktor_thilo_roehl - copy
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copyFrank Thilo Röhl
 
Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26faltmannPR
 
2 Faktor Authentifizierung - WordPress Login absichern
2 Faktor Authentifizierung - WordPress Login absichern2 Faktor Authentifizierung - WordPress Login absichern
2 Faktor Authentifizierung - WordPress Login absichernfrankstaude
 
Bestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-MitarbeiterBestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-MitarbeiterPrecisely
 
Datenschutzkompetenz für Lehrende
Datenschutzkompetenz für LehrendeDatenschutzkompetenz für Lehrende
Datenschutzkompetenz für LehrendeDaniel Lohninger
 
Online shopping technology in the fast lane?
Online shopping technology in the fast lane?Online shopping technology in the fast lane?
Online shopping technology in the fast lane?Netcetera
 
SeEF 2013 | Mobile ID von Swisscom (Roland Odermatt)
SeEF 2013 | Mobile ID von Swisscom (Roland Odermatt)SeEF 2013 | Mobile ID von Swisscom (Roland Odermatt)
SeEF 2013 | Mobile ID von Swisscom (Roland Odermatt)Swiss eEconomy Forum
 
Fachfrühstück iPhone Juni 2010
Fachfrühstück iPhone Juni 2010Fachfrühstück iPhone Juni 2010
Fachfrühstück iPhone Juni 2010go4mobile
 
figo Connect Einfuehrung
figo Connect Einfuehrungfigo Connect Einfuehrung
figo Connect Einfuehrungfigo_me
 
Google Analytics Konferenz 2015: Large Scale Implementation (Siegfried Stepke...
Google Analytics Konferenz 2015: Large Scale Implementation (Siegfried Stepke...Google Analytics Konferenz 2015: Large Scale Implementation (Siegfried Stepke...
Google Analytics Konferenz 2015: Large Scale Implementation (Siegfried Stepke...e-dialog GmbH
 
Programmierung einer Blockchain zur Verwaltung von Zertifikaten
Programmierung einer Blockchain zur Verwaltung von ZertifikatenProgrammierung einer Blockchain zur Verwaltung von Zertifikaten
Programmierung einer Blockchain zur Verwaltung von ZertifikatenAndreas Wittke
 
Its me - jugendschutz für anbieter im web (stand april 2011)
Its me - jugendschutz für anbieter im web (stand april 2011)Its me - jugendschutz für anbieter im web (stand april 2011)
Its me - jugendschutz für anbieter im web (stand april 2011)itsmecom
 
So funktioniert es: Identitätsprüfung via online ausweischeck
So funktioniert es: Identitätsprüfung via online ausweischeckSo funktioniert es: Identitätsprüfung via online ausweischeck
So funktioniert es: Identitätsprüfung via online ausweischeckLiondint
 
Rechtsfragen bei Social Plug-Ins
Rechtsfragen bei Social Plug-InsRechtsfragen bei Social Plug-Ins
Rechtsfragen bei Social Plug-InsLukas Müller
 
DACHNUG50 Pointsharp overview_web_A4.pdf
DACHNUG50 Pointsharp overview_web_A4.pdfDACHNUG50 Pointsharp overview_web_A4.pdf
DACHNUG50 Pointsharp overview_web_A4.pdfDNUG e.V.
 

Ähnlich wie Authentifzierungsmethoden in der Praxis - Webmontag Würzburg 14.09.2015 (20)

Developercamp 08032018 der-zweite_faktor_thilo_roehl - copy
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copyDevelopercamp 08032018 der-zweite_faktor_thilo_roehl - copy
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copy
 
Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26
 
2 Faktor Authentifizierung - WordPress Login absichern
2 Faktor Authentifizierung - WordPress Login absichern2 Faktor Authentifizierung - WordPress Login absichern
2 Faktor Authentifizierung - WordPress Login absichern
 
Bestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-MitarbeiterBestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-Mitarbeiter
 
Datenschutzkompetenz für Lehrende
Datenschutzkompetenz für LehrendeDatenschutzkompetenz für Lehrende
Datenschutzkompetenz für Lehrende
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter
 
Online shopping technology in the fast lane?
Online shopping technology in the fast lane?Online shopping technology in the fast lane?
Online shopping technology in the fast lane?
 
Mobile Datensicherheit IHK 2012
Mobile Datensicherheit IHK 2012Mobile Datensicherheit IHK 2012
Mobile Datensicherheit IHK 2012
 
SeEF 2013 | Mobile ID von Swisscom (Roland Odermatt)
SeEF 2013 | Mobile ID von Swisscom (Roland Odermatt)SeEF 2013 | Mobile ID von Swisscom (Roland Odermatt)
SeEF 2013 | Mobile ID von Swisscom (Roland Odermatt)
 
Fachfrühstück iPhone Juni 2010
Fachfrühstück iPhone Juni 2010Fachfrühstück iPhone Juni 2010
Fachfrühstück iPhone Juni 2010
 
figo Connect Einfuehrung
figo Connect Einfuehrungfigo Connect Einfuehrung
figo Connect Einfuehrung
 
Google Analytics Konferenz 2015: Large Scale Implementation (Siegfried Stepke...
Google Analytics Konferenz 2015: Large Scale Implementation (Siegfried Stepke...Google Analytics Konferenz 2015: Large Scale Implementation (Siegfried Stepke...
Google Analytics Konferenz 2015: Large Scale Implementation (Siegfried Stepke...
 
iOS Security
iOS SecurityiOS Security
iOS Security
 
Programmierung einer Blockchain zur Verwaltung von Zertifikaten
Programmierung einer Blockchain zur Verwaltung von ZertifikatenProgrammierung einer Blockchain zur Verwaltung von Zertifikaten
Programmierung einer Blockchain zur Verwaltung von Zertifikaten
 
Passwörter lang oder kurz?
Passwörter lang oder kurz?Passwörter lang oder kurz?
Passwörter lang oder kurz?
 
Its me - jugendschutz für anbieter im web (stand april 2011)
Its me - jugendschutz für anbieter im web (stand april 2011)Its me - jugendschutz für anbieter im web (stand april 2011)
Its me - jugendschutz für anbieter im web (stand april 2011)
 
So funktioniert es: Identitätsprüfung via online ausweischeck
So funktioniert es: Identitätsprüfung via online ausweischeckSo funktioniert es: Identitätsprüfung via online ausweischeck
So funktioniert es: Identitätsprüfung via online ausweischeck
 
Rechtsfragen bei Social Plug-Ins
Rechtsfragen bei Social Plug-InsRechtsfragen bei Social Plug-Ins
Rechtsfragen bei Social Plug-Ins
 
ESET Multi-Device Security
ESET Multi-Device SecurityESET Multi-Device Security
ESET Multi-Device Security
 
DACHNUG50 Pointsharp overview_web_A4.pdf
DACHNUG50 Pointsharp overview_web_A4.pdfDACHNUG50 Pointsharp overview_web_A4.pdf
DACHNUG50 Pointsharp overview_web_A4.pdf
 

Authentifzierungsmethoden in der Praxis - Webmontag Würzburg 14.09.2015

  • 1. Der 2. Faktor Webmontag – 14.09.2015 Aktuelle Authentifzierungsmethoden in der Praxis Dipl. Inform. Thilo Röhl www.pkienthusiast.com
  • 3. Die 10 häufigsten Passwörter 1. password 11. letmein 2. 123456 12. monkey 3. 12345678 13. 696969 4. 1234 14. abc123 5. qwerty 15. mustang 6. 12345 16. michael 7. dragon 17. shadow 8. pussy 18. master 9. baseball 19. jennifer 10. football 20. 11111 http://www.netzpiloten.de/die-25-haufigsten-passworter-und-pins/
  • 4. Passwörter • Komplexe Passwörter landen auf dem Schreibtisch • Einfache Passwörter sind leicht zu knacken • "Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang“ • MsiaupmmZdMl • Ein Passwort – viele Dienste. Ein Dienst wird gehackt • Passwort Reset über Emailadresse - > Angriffe über gekapertes Emailkonto • Ersatz mit Google/Facebook Login ? • Keepass 2 auf mobilen Gerät – Passwortdatei über Google gesynced?
  • 5. 2 Faktor Authentifizierung • Starke Authentifizierung besteht aus zwei unabhängigen Faktoren • Etwas das ich besitze -> Ein Token, Ein Smartphone • Etwas dass ich weiß - > Ein Passwort, Bilderkombination • Etwas das ich habe -> Ein Fingerabdruck, Iris, Herzschlag, Stimme
  • 6. Biometrie und NFC • Angriffe mit Klebemasse • Angriffe über die Funkschnittstelle und passives Abhören • Bisher wenig in der Masse, für den Business Bereich: Zentrale Verwaltung des Keymaterials nötig -> Datenschutz • Neuerdings auch implantierte NFC Chips, eigentlich eher für Pferde Bild © Computermagazin c't http://www.heise.de/newsticker/meldung/Biometrie-Verfassungsbeschwerde-Das- endlose-Warten-1667170.html?view=zoom;zoom=1
  • 7. Mobile und SMS • Jeder hat ein Mobiltelefon • Keine Kosten für das Token • SMS nicht zuverlässig • Spezielle Trojaner für Mobiltelefone
  • 8. Mobile und App • Google Authenticator • One App, Several Services -> Facebook, Google, Clavid.ch • Smartphones zunehmend verbreitet • Gerootete Smartphones ? Verlust von Smartphones ? • Nur mit Mobile Device Management zu empfehlen - > Umsetzung von Unternehmensrichtlinien
  • 9. Passwortgeneratoren – Token ohne Rechner • Unabhängig von Software • Sehr sicher – verwenden internes Geheimnis, dass man sich nicht stehlen lassen sollte (RSA 03/2011) • Sehr zuverlässig • Verhindern das Teilen von Zugangsdaten nicht http://webcam/get_your_login
  • 10. Token am Rechner – offener Stand FIDO U2F • FIDO ist ein Industriestandard mit vielen Partnern, hier U2F Standard • Unterstützung von Windows 10 und Google • Unterstützung aktuell (9/2015) von Chrome, noch kein Firefox Support • Keine Treiber, ab 35 € • Beispiel Yubikey NEO
  • 11. Zertifikate im Rechner „Softwarezertifikate“ • Public Key Infrastruktur benötigt • Angriff vom Rechner aus möglich • Diebstahl wird nicht erkannt • PIN Eingabe sinnvoll • Lifecycle benötigt – Sperrliste Certificate Revocation List (CRL) muss immer verfügbar sein Certificate Authority User Zertifikat
  • 12. Zertifikate im Rechner mit TPM geschützt • Trusted Platform Module • An den Rechner gebunden • Schützt Softwarezertifikate im Rechner • Vertrauen auf Hardwarelieferanten • Keine Kosten für zusätzliche Hardware • Diebstahl von Schlüsselmaterial bei richtiger Implementierung sehr aufwändig (Zugang Rechner nötig, Kryptoangriffe) • PIN sinnvoll Picture © by Wikipedia, Guillaume Piolle
  • 13. Zertifikate am Rechner mit Smartcard geschützt • Angriffe auf das Schlüsselmaterial extrem erschwert • Benötigt Treiber für Smartcard, Benutzung von MS Minidrivern möglich • Beispiel Bankensektor : HBCI mit Smartcard • Chipkartenleser mit Display (Klasse 3) 65 €
  • 14. Zwei Kunden – Analyse nach Nutzergruppe 70 000 Nutzer, Inhouse Service PKI, interne Nutzer Externe SMS 3 000 Nutzer, Cloud Service Token Mobile App App on Desktop Mobile SMS
  • 15. Ausblick • Authentifizierung ganzheitlich betrachten, dazu auch Account Lifecycle und Passwort Resets ansehen • Mit Einbeziehung weitere Faktoren wie Zugangskontrollsysteme, Geolocation, Endgeräte, Historie der Transaktionen • Step Up Authentifikation - > Zusätzliche Authentifizierung bei kritischen Transaktionen wie Kontoüberweisung über einem Limit • Analyse der Transaktionen in Echtzeit • Aktuelle Empfehlungen des BSI beachten – Security ist ständig im Fluss
  • 16. Homework 1: Facebook sichere Anmeldung • Kontoeinstellungen, Sicherheit • Aktivierung der Anmeldebestätigung per Handy • Aktivierung Codegenerator – mit Facebook App und auch mit Google Authenticator möglich • Optional : Zuverlässige Kontakte • Optional : Nachlasskontakt
  • 17. Homework 2: Google 2 Schritt Anmeldung • https://myaccount.google.com • Anmeldungen und Sicherheit • Passwort und Anmeldeverfahren, FIDO Token:
  • 18. Sicher ist, dass nichts sicher ist. Selbst das nicht. Ringelnatz, dt. Kabarettist • Keepass http://keepass.info/ • Sicher im Netz https://www.sicher-im-netz.de/passwort-wechsel-app-1 • Bundesamt Sicherheit Informationstechnik https://www.bsi-fuer- buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.html
  • 19. Zusammenfassung • Passwörter • Biometrie / NFC • Mobile SMS • Mobile App • Token am Rechner nach FIDO Standard • Zertifikate im Rechner • Zertifikate im Rechner in einem TPM • Zertifikate am Rechner in einer Smartcard • Verweis auf BSI Empfehlung