SlideShare ist ein Scribd-Unternehmen logo
1 von 20
Wie sicher ist mein
Passwort?
Marc Nilius - @marcnilius - @WPSicherheit
WordPress Meetup Köln
Wie sicher ist dein Passwort?
Wieviele Zeichen?
Welche Zeichen?
Kleinbuchstaben? Großbuchstaben?
Sonderzeichen?
Verschiedene Arten von Angriffen
Social Engineering
-> Passwörter ohne private Infos
Keylogger / Ausspähen
-> Virus auf lokalem Rechner
-> Diebstahl von Zetteln
Brute-Force-Angriff
Was ist ein Brute-Force-Angriff?
Brute-Force-Angriff:
Zugriff durch Ausprobieren aller
Möglichkeiten mit „roher Gewalt“
Online:
z.B. WordPress-Login, Zugriff über das
Internet (langsam)
Offline:
Durch vorangegangenen Hack/Diebstahl
Zugriff auf die Datenbank.
Dann Durchprobieren der Passwörter auf
lokalem Computer (schnell)
Wie lange dauert es, bis ein Passwort geknackt ist?
Passwort, 8 Zeichen lang, bestehend aus:
Großbuchstaben A-Z, Kleinbuchstaben a-z, Zahlen 0-9
HDMuMp9Y
Online (1000 Versuche/Sekunde): 7000 Jahre
Offline (großes Array): 2,22 Sekunden
Mit Sonderzeichen:
rJl=32aY
Online (1000 Versuche/Sekunde): 213.000 Jahre
Offline (großes Array): 1,12 Minuten
Wie lange dauert es, bis ein Passwort geknackt ist?
Demo: https://www.grc.com/haystack.htm
Wie lange dauert es, bis ein Passwort geknackt ist?
Wie sieht ein sicheres Passwort aus?
Wie sieht ein sicheres Passwort aus?
Wie sieht ein sicheres Passwort aus?
- mindestens 12 Zeichen lang
- je länger, desto besser
- keine Einzelwörter (wegen Wörterbuchattacken)
- aber Passphrasen / ganze Sätze
- keine Zitate
- keine anderen Sätze, die sich in Büchern finden
- Am besten mehrere Wörter ohne direkten Zusammenhang
- wer ein klassisches Passwort verwenden möchte:
- Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen
Wie sieht ein sicheres Passwort aus?
Wer sich auf die
Password Strength Bars
verlässt, ist verlassen…
Wie bleibt mein Passwort sicher?
- Passwort nicht wiederverwenden
- Passwort alle 6 – 12 Monate bei allen Services ändern
Beispiel:
Basis-Passwort: 5aXGdeJYZwrG
Für Ebay: ebay_5aXGdeJYZwrG nächstes PW: ebay_5aXGdeJYZwrG-02
Für Facebook: fb_5aXGdeJYZwrG nächstes PW: fb_5aXGdeJYZwrG-02
Für Google: goo_5aXGdeJYZwrG nächstes PW: goo_5aXGdeJYZwrG-02
Usw.
Weitere Möglichkeit: Single-Sign-On mit Facebook, Google, Twitter o.ä.
Nachteile: evil ;-)
Passwort-Manager - wie verwalte ich Passwörter?
Mit Passwort-Managern kann man komfortabel alle notwendigen Passwörter
verwalten und auch sichern
Besser als das „Blatt Papier“ neben dem Rechner
Nachteil: Wird der Rechner kompromittiert, sind alle Passwörter auf einmal
unsicher
Deswegen: Der Passwort-Manager muss besonders gut gesichert werden
(sehr langes Passwort, 2-Faktor-Authentifizierung mit Smartphone,
Key-Datei auf USB-Stick)
Passwort-Manager - wie verwalte ich Passwörter?
Passwort-Manager - wie verwalte ich Passwörter?
Darauf sollte man bei der Auswahl achten:
- keine Cloud-Lösung (auch wenn es praktisch erscheint)
- Gute Verschlüsselung (AES256 oder besser)
- Verschlüsselung nicht nur der Passwörter, sondern auch der Metadaten!
- Zugriff mit Passwort, besser aber 2-Faktor-Authentifizierung oder Key-Datei
- Open-Source bietet die Sicherheit, dass der Code intensiv geprüft wurde
Ich nutze: KeePass
(http://www.keepass.info)
WordPress: Wie stehts um die Passwörter?
- WordPress generiert selbst starke Passwörter beim Anlegen eines Benutzers
- Unsichere Passwörter sind durch den Benutzer möglich (aber nicht sinnvoll!)
WordPress: Wie stehts um die Passwörter?
- Passwörter stehen nicht im Klartext in der Datenbank
- Passwörter werden gehashed
- WordPress benutzt leider die unsichere Hashingmethode MD5
- … mit Salt – macht es ein wenig besser
- Hintergrund: Rückwärtskompatibilität von WordPress bis zu PHP 5.2
- Besser wäre bcrypt (ab PHP 5.5)
- Beispielhaft mit diesem Plugin:
https://github.com/roots/wp-password-bcrypt
- … installieren als MU-Plugin
WordPress: Wie stehts um die Passwörter?
Sicherheits-Suiten (Wordfence, iThemes Security, …) haben eine Einstellung,
um starke Passwörter zu erzwingen
Meine Empfehlung: Das Plugin WP Password Policy Manager
(https://de.wordpress.org/plugins/wp-password-policy-manager/)
Diverse Möglichkeiten für starke Passwörter:
- Mindestlänge, bestimmte Zeichentypen müssen enthalten sein
- regelmäßig neue Passwörter (werden beim Login eingegeben)
- neues Passwort muss anders sein, als die letzten X Passwörter
WordPress: Wie stehts um die Passwörter?
WP Password Policy
Mehr zum Thema WordPress-Sicherheit
Kostenloser Newsletter rund um WordPress-Sicherheit alle zwei Wochen:
https://www.wp-sicherheit.info
Twitter: @WPSicherheit und @marcnilius
Facebook-Gruppe: “WordPress Sicherheit”

Weitere ähnliche Inhalte

Ähnlich wie Wie sicher ist mein Passwort?

Vorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenVorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Mag.Natascha Ljubic
 
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen TalkSicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Udo Ornik
 
Was ich von_lulzsec_gelernt_habe
Was ich von_lulzsec_gelernt_habeWas ich von_lulzsec_gelernt_habe
Was ich von_lulzsec_gelernt_habe
Federico Elles
 
Internet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointInternet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpoint
Bernd Hoyer
 

Ähnlich wie Wie sicher ist mein Passwort? (20)

Der oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerterDer oracle dba_und_seine_passwoerter
Der oracle dba_und_seine_passwoerter
 
Sichere Passwörter
Sichere PasswörterSichere Passwörter
Sichere Passwörter
 
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine FreiheitWarum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
 
WordPress Security
WordPress SecurityWordPress Security
WordPress Security
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Security
 
Passwörter lang oder kurz?
Passwörter lang oder kurz?Passwörter lang oder kurz?
Passwörter lang oder kurz?
 
Mehr sicherheit für private haushalte
Mehr sicherheit für private haushalteMehr sicherheit für private haushalte
Mehr sicherheit für private haushalte
 
Vorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den HandelsagentenVorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
Vorsicht: Fallstricke in der digitalen Welt für den Handelsagenten
 
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen TalkSicherheitsfunktionen In Aktuellen Betriebssystemen Talk
Sicherheitsfunktionen In Aktuellen Betriebssystemen Talk
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-Camp
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
 
Serverside Cryptoparty
Serverside CryptopartyServerside Cryptoparty
Serverside Cryptoparty
 
Was ich von_lulzsec_gelernt_habe
Was ich von_lulzsec_gelernt_habeWas ich von_lulzsec_gelernt_habe
Was ich von_lulzsec_gelernt_habe
 
Seniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerceSeniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerce
 
Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)
 
Internet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpointInternet sicherheit 020511-1-powerpoint
Internet sicherheit 020511-1-powerpoint
 
Die Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP SicherheitDie Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP Sicherheit
 
Digitale Fallstricke für Handelsagenten
Digitale Fallstricke für HandelsagentenDigitale Fallstricke für Handelsagenten
Digitale Fallstricke für Handelsagenten
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)
 
Verschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisVerschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und Praxis
 

Wie sicher ist mein Passwort?

  • 1. Wie sicher ist mein Passwort? Marc Nilius - @marcnilius - @WPSicherheit WordPress Meetup Köln
  • 2. Wie sicher ist dein Passwort? Wieviele Zeichen? Welche Zeichen? Kleinbuchstaben? Großbuchstaben? Sonderzeichen?
  • 3. Verschiedene Arten von Angriffen Social Engineering -> Passwörter ohne private Infos Keylogger / Ausspähen -> Virus auf lokalem Rechner -> Diebstahl von Zetteln Brute-Force-Angriff
  • 4. Was ist ein Brute-Force-Angriff? Brute-Force-Angriff: Zugriff durch Ausprobieren aller Möglichkeiten mit „roher Gewalt“ Online: z.B. WordPress-Login, Zugriff über das Internet (langsam) Offline: Durch vorangegangenen Hack/Diebstahl Zugriff auf die Datenbank. Dann Durchprobieren der Passwörter auf lokalem Computer (schnell)
  • 5. Wie lange dauert es, bis ein Passwort geknackt ist? Passwort, 8 Zeichen lang, bestehend aus: Großbuchstaben A-Z, Kleinbuchstaben a-z, Zahlen 0-9 HDMuMp9Y Online (1000 Versuche/Sekunde): 7000 Jahre Offline (großes Array): 2,22 Sekunden Mit Sonderzeichen: rJl=32aY Online (1000 Versuche/Sekunde): 213.000 Jahre Offline (großes Array): 1,12 Minuten
  • 6. Wie lange dauert es, bis ein Passwort geknackt ist? Demo: https://www.grc.com/haystack.htm
  • 7. Wie lange dauert es, bis ein Passwort geknackt ist?
  • 8. Wie sieht ein sicheres Passwort aus?
  • 9. Wie sieht ein sicheres Passwort aus?
  • 10. Wie sieht ein sicheres Passwort aus? - mindestens 12 Zeichen lang - je länger, desto besser - keine Einzelwörter (wegen Wörterbuchattacken) - aber Passphrasen / ganze Sätze - keine Zitate - keine anderen Sätze, die sich in Büchern finden - Am besten mehrere Wörter ohne direkten Zusammenhang - wer ein klassisches Passwort verwenden möchte: - Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen
  • 11. Wie sieht ein sicheres Passwort aus? Wer sich auf die Password Strength Bars verlässt, ist verlassen…
  • 12. Wie bleibt mein Passwort sicher? - Passwort nicht wiederverwenden - Passwort alle 6 – 12 Monate bei allen Services ändern Beispiel: Basis-Passwort: 5aXGdeJYZwrG Für Ebay: ebay_5aXGdeJYZwrG nächstes PW: ebay_5aXGdeJYZwrG-02 Für Facebook: fb_5aXGdeJYZwrG nächstes PW: fb_5aXGdeJYZwrG-02 Für Google: goo_5aXGdeJYZwrG nächstes PW: goo_5aXGdeJYZwrG-02 Usw. Weitere Möglichkeit: Single-Sign-On mit Facebook, Google, Twitter o.ä. Nachteile: evil ;-)
  • 13. Passwort-Manager - wie verwalte ich Passwörter? Mit Passwort-Managern kann man komfortabel alle notwendigen Passwörter verwalten und auch sichern Besser als das „Blatt Papier“ neben dem Rechner Nachteil: Wird der Rechner kompromittiert, sind alle Passwörter auf einmal unsicher Deswegen: Der Passwort-Manager muss besonders gut gesichert werden (sehr langes Passwort, 2-Faktor-Authentifizierung mit Smartphone, Key-Datei auf USB-Stick)
  • 14. Passwort-Manager - wie verwalte ich Passwörter?
  • 15. Passwort-Manager - wie verwalte ich Passwörter? Darauf sollte man bei der Auswahl achten: - keine Cloud-Lösung (auch wenn es praktisch erscheint) - Gute Verschlüsselung (AES256 oder besser) - Verschlüsselung nicht nur der Passwörter, sondern auch der Metadaten! - Zugriff mit Passwort, besser aber 2-Faktor-Authentifizierung oder Key-Datei - Open-Source bietet die Sicherheit, dass der Code intensiv geprüft wurde Ich nutze: KeePass (http://www.keepass.info)
  • 16. WordPress: Wie stehts um die Passwörter? - WordPress generiert selbst starke Passwörter beim Anlegen eines Benutzers - Unsichere Passwörter sind durch den Benutzer möglich (aber nicht sinnvoll!)
  • 17. WordPress: Wie stehts um die Passwörter? - Passwörter stehen nicht im Klartext in der Datenbank - Passwörter werden gehashed - WordPress benutzt leider die unsichere Hashingmethode MD5 - … mit Salt – macht es ein wenig besser - Hintergrund: Rückwärtskompatibilität von WordPress bis zu PHP 5.2 - Besser wäre bcrypt (ab PHP 5.5) - Beispielhaft mit diesem Plugin: https://github.com/roots/wp-password-bcrypt - … installieren als MU-Plugin
  • 18. WordPress: Wie stehts um die Passwörter? Sicherheits-Suiten (Wordfence, iThemes Security, …) haben eine Einstellung, um starke Passwörter zu erzwingen Meine Empfehlung: Das Plugin WP Password Policy Manager (https://de.wordpress.org/plugins/wp-password-policy-manager/) Diverse Möglichkeiten für starke Passwörter: - Mindestlänge, bestimmte Zeichentypen müssen enthalten sein - regelmäßig neue Passwörter (werden beim Login eingegeben) - neues Passwort muss anders sein, als die letzten X Passwörter
  • 19. WordPress: Wie stehts um die Passwörter? WP Password Policy
  • 20. Mehr zum Thema WordPress-Sicherheit Kostenloser Newsletter rund um WordPress-Sicherheit alle zwei Wochen: https://www.wp-sicherheit.info Twitter: @WPSicherheit und @marcnilius Facebook-Gruppe: “WordPress Sicherheit”