Der 2. Faktor
Webmontag – 14.09.2015
Aktuelle Authentifzierungsmethoden in der Praxis
Dipl. Inform. Thilo Röhl www.pkienth...
Passwort Bingo
Die 10 häufigsten Passwörter
1. password 11. letmein
2. 123456 12. monkey
3. 12345678 13. 696969
4. 1234 14. abc123
5. qwe...
Passwörter
• Komplexe Passwörter landen auf dem Schreibtisch
• Einfache Passwörter sind leicht zu knacken
• "Morgens stehe...
2 Faktor Authentifizierung
• Starke Authentifizierung besteht aus zwei unabhängigen Faktoren
• Etwas das ich besitze -> Ei...
Biometrie und NFC
• Angriffe mit Klebemasse
• Angriffe über die Funkschnittstelle und
passives Abhören
• Bisher wenig in d...
Mobile und SMS
• Jeder hat ein Mobiltelefon
• Keine Kosten für das Token
• SMS nicht zuverlässig
• Spezielle Trojaner für ...
Mobile und App
• Google Authenticator
• One App, Several Services -> Facebook, Google,
Clavid.ch
• Smartphones zunehmend v...
Passwortgeneratoren – Token ohne Rechner
• Unabhängig von Software
• Sehr sicher – verwenden internes Geheimnis, dass man ...
Token am Rechner –
offener Stand FIDO U2F
• FIDO ist ein Industriestandard mit vielen Partnern, hier U2F Standard
• Unters...
Zertifikate im Rechner „Softwarezertifikate“
• Public Key Infrastruktur benötigt
• Angriff vom Rechner aus möglich
• Diebs...
Zertifikate im Rechner
mit TPM geschützt
• Trusted Platform Module
• An den Rechner gebunden
• Schützt Softwarezertifikate...
Zertifikate am Rechner mit Smartcard
geschützt
• Angriffe auf das Schlüsselmaterial extrem erschwert
• Benötigt Treiber fü...
Zwei Kunden – Analyse nach Nutzergruppe
70 000 Nutzer, Inhouse Service
PKI, interne Nutzer Externe SMS
3 000 Nutzer, Cloud...
Ausblick
• Authentifizierung ganzheitlich betrachten, dazu auch Account Lifecycle und
Passwort Resets ansehen
• Mit Einbez...
Homework 1: Facebook sichere Anmeldung
• Kontoeinstellungen, Sicherheit
• Aktivierung der Anmeldebestätigung per Handy
• A...
Homework 2: Google 2 Schritt Anmeldung
• https://myaccount.google.com
• Anmeldungen und Sicherheit
• Passwort und Anmeldev...
Sicher ist, dass nichts sicher ist.
Selbst das nicht.
Ringelnatz, dt. Kabarettist
• Keepass http://keepass.info/
• Sicher ...
Zusammenfassung
• Passwörter
• Biometrie / NFC
• Mobile SMS
• Mobile App
• Token am Rechner nach FIDO Standard
• Zertifika...
PowerPoint zum Download
Nächste SlideShare
Wird geladen in …5
×

Authentifzierungsmethoden in der Praxis - Webmontag Würzburg 14.09.2015

401 Aufrufe

Veröffentlicht am

SMS / Mobile Authentication / Security / FIDO / U2F /TPM / PKI

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
401
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
3
Aktionen
Geteilt
0
Downloads
3
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Authentifzierungsmethoden in der Praxis - Webmontag Würzburg 14.09.2015

  1. 1. Der 2. Faktor Webmontag – 14.09.2015 Aktuelle Authentifzierungsmethoden in der Praxis Dipl. Inform. Thilo Röhl www.pkienthusiast.com
  2. 2. Passwort Bingo
  3. 3. Die 10 häufigsten Passwörter 1. password 11. letmein 2. 123456 12. monkey 3. 12345678 13. 696969 4. 1234 14. abc123 5. qwerty 15. mustang 6. 12345 16. michael 7. dragon 17. shadow 8. pussy 18. master 9. baseball 19. jennifer 10. football 20. 11111 http://www.netzpiloten.de/die-25-haufigsten-passworter-und-pins/
  4. 4. Passwörter • Komplexe Passwörter landen auf dem Schreibtisch • Einfache Passwörter sind leicht zu knacken • "Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang“ • MsiaupmmZdMl • Ein Passwort – viele Dienste. Ein Dienst wird gehackt • Passwort Reset über Emailadresse - > Angriffe über gekapertes Emailkonto • Ersatz mit Google/Facebook Login ? • Keepass 2 auf mobilen Gerät – Passwortdatei über Google gesynced?
  5. 5. 2 Faktor Authentifizierung • Starke Authentifizierung besteht aus zwei unabhängigen Faktoren • Etwas das ich besitze -> Ein Token, Ein Smartphone • Etwas dass ich weiß - > Ein Passwort, Bilderkombination • Etwas das ich habe -> Ein Fingerabdruck, Iris, Herzschlag, Stimme
  6. 6. Biometrie und NFC • Angriffe mit Klebemasse • Angriffe über die Funkschnittstelle und passives Abhören • Bisher wenig in der Masse, für den Business Bereich: Zentrale Verwaltung des Keymaterials nötig -> Datenschutz • Neuerdings auch implantierte NFC Chips, eigentlich eher für Pferde Bild © Computermagazin c't http://www.heise.de/newsticker/meldung/Biometrie-Verfassungsbeschwerde-Das- endlose-Warten-1667170.html?view=zoom;zoom=1
  7. 7. Mobile und SMS • Jeder hat ein Mobiltelefon • Keine Kosten für das Token • SMS nicht zuverlässig • Spezielle Trojaner für Mobiltelefone
  8. 8. Mobile und App • Google Authenticator • One App, Several Services -> Facebook, Google, Clavid.ch • Smartphones zunehmend verbreitet • Gerootete Smartphones ? Verlust von Smartphones ? • Nur mit Mobile Device Management zu empfehlen - > Umsetzung von Unternehmensrichtlinien
  9. 9. Passwortgeneratoren – Token ohne Rechner • Unabhängig von Software • Sehr sicher – verwenden internes Geheimnis, dass man sich nicht stehlen lassen sollte (RSA 03/2011) • Sehr zuverlässig • Verhindern das Teilen von Zugangsdaten nicht http://webcam/get_your_login
  10. 10. Token am Rechner – offener Stand FIDO U2F • FIDO ist ein Industriestandard mit vielen Partnern, hier U2F Standard • Unterstützung von Windows 10 und Google • Unterstützung aktuell (9/2015) von Chrome, noch kein Firefox Support • Keine Treiber, ab 35 € • Beispiel Yubikey NEO
  11. 11. Zertifikate im Rechner „Softwarezertifikate“ • Public Key Infrastruktur benötigt • Angriff vom Rechner aus möglich • Diebstahl wird nicht erkannt • PIN Eingabe sinnvoll • Lifecycle benötigt – Sperrliste Certificate Revocation List (CRL) muss immer verfügbar sein Certificate Authority User Zertifikat
  12. 12. Zertifikate im Rechner mit TPM geschützt • Trusted Platform Module • An den Rechner gebunden • Schützt Softwarezertifikate im Rechner • Vertrauen auf Hardwarelieferanten • Keine Kosten für zusätzliche Hardware • Diebstahl von Schlüsselmaterial bei richtiger Implementierung sehr aufwändig (Zugang Rechner nötig, Kryptoangriffe) • PIN sinnvoll Picture © by Wikipedia, Guillaume Piolle
  13. 13. Zertifikate am Rechner mit Smartcard geschützt • Angriffe auf das Schlüsselmaterial extrem erschwert • Benötigt Treiber für Smartcard, Benutzung von MS Minidrivern möglich • Beispiel Bankensektor : HBCI mit Smartcard • Chipkartenleser mit Display (Klasse 3) 65 €
  14. 14. Zwei Kunden – Analyse nach Nutzergruppe 70 000 Nutzer, Inhouse Service PKI, interne Nutzer Externe SMS 3 000 Nutzer, Cloud Service Token Mobile App App on Desktop Mobile SMS
  15. 15. Ausblick • Authentifizierung ganzheitlich betrachten, dazu auch Account Lifecycle und Passwort Resets ansehen • Mit Einbeziehung weitere Faktoren wie Zugangskontrollsysteme, Geolocation, Endgeräte, Historie der Transaktionen • Step Up Authentifikation - > Zusätzliche Authentifizierung bei kritischen Transaktionen wie Kontoüberweisung über einem Limit • Analyse der Transaktionen in Echtzeit • Aktuelle Empfehlungen des BSI beachten – Security ist ständig im Fluss
  16. 16. Homework 1: Facebook sichere Anmeldung • Kontoeinstellungen, Sicherheit • Aktivierung der Anmeldebestätigung per Handy • Aktivierung Codegenerator – mit Facebook App und auch mit Google Authenticator möglich • Optional : Zuverlässige Kontakte • Optional : Nachlasskontakt
  17. 17. Homework 2: Google 2 Schritt Anmeldung • https://myaccount.google.com • Anmeldungen und Sicherheit • Passwort und Anmeldeverfahren, FIDO Token:
  18. 18. Sicher ist, dass nichts sicher ist. Selbst das nicht. Ringelnatz, dt. Kabarettist • Keepass http://keepass.info/ • Sicher im Netz https://www.sicher-im-netz.de/passwort-wechsel-app-1 • Bundesamt Sicherheit Informationstechnik https://www.bsi-fuer- buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.html
  19. 19. Zusammenfassung • Passwörter • Biometrie / NFC • Mobile SMS • Mobile App • Token am Rechner nach FIDO Standard • Zertifikate im Rechner • Zertifikate im Rechner in einem TPM • Zertifikate am Rechner in einer Smartcard • Verweis auf BSI Empfehlung
  20. 20. PowerPoint zum Download

×