SlideShare ist ein Scribd-Unternehmen logo

Passwörter lang oder kurz?

Als PPTX, PDF herunterladen
OMM Solutions GmbH
OMM Solutions GmbH

OMM TECHtalk #7 www.tech-talks.eu

Daten & Analysen
1 von 17
OMM Solutions TECHtalk #7 < OMM Solutions GmbH > 1 www.tech-talks.eu
Einmal im Monat ist TECHtalk Zeit! First come first served! < OMM Solutions GmbH > 2
Talk: Passwörter lang oder kurz? Speaker: Malte Horstmann 3< OMM Solutions GmbH >
Drauf • Was passiert da draußen? • Verkauf von geklauten Datenbanken • Wie werden Passwörter eigentlich gehackt? • Statistiken nutzen • Durchprobieren • Und was soll ich nun machen? • K4/Ui2$-Lo7.3Ad§2ß1P2s oder KlausBäckt8NackteFlüße. • Passwort-Manager • MFA/2FA Nicht-drauf • Primzahlen • RSA, ECC • KDF • Kryptographie im Detail • höhere Mathematik • Owasp • SSH • PGP • S/Mime Agenda < OMM Solutions GmbH > 4
Yes, you‘ve been! Have you been pwned? • s***a@****e • Neteller • Account balances, Dates of birth, Email addresses, Genders, IP addresses, Names, Phone numbers, Physical addresses, Security questions and answers, Website activity • m*******r@g*****m • Dropbox, Patreon • Email addresses, Passwords; Email addresses, Payment histories, Physical addresses, Private messages, Website activity • p***h@g*****m • Dropbox, Adobe, … in total 7 Accounts • Dates of birth, Email addresses, Genders, IP addresses, Passwords, Security questions and answers, Usernames, Website activity, Password hints, Passwords, Usernames, Account balances, Email addresses, IP addresses • a****8@****e • Adobe, Last.fm, moneybookers • Email addresses, Password hints, Passwords, Usernames, Website activity, IP addresses, Names, Phone numbers, Physical addresses erstes Learning: https://haveibeenpwned.com eintragen und benachrichtigen lassen < OMM Solutions GmbH > 5
Wo landen meine Passwörter? • Täglich werden Datenbanken geklaut (und verkauft) • …. • Mai 2012 (2016): LinkedIn: 164 Millionen E-Mail Adressen + Passwörter • Mitte 2012 (2016): Dropbox: 68 Millionen E-Mail Adressen + Passwörter • Herbst 2016: Exploit.In: 593 Millionen E-Mail Adressen inkl. verschiedener Passwörter • Dez 2016: Anti Public Combo List: 458 Millionen E-Mail Adressen + Passwörter • Aug 2017: Onliner Spambot: 711 Millionen Email-Adressen zu großen Teilen mit Passwörtern • Bis heute: 233 Webseiten/Portale • Statische Daten aus den Datensätzen • 75% der Passwörter wurde mehr als einmal verwendet • 306 Millionen Passwörter verfügbar • 4,7 Milliarden Accounts Was passiert da draußen? < OMM Solutions GmbH > 6 Wurden deine Passwörter schon einmal genackt?  https://haveibeenpwned.com/Passwords Solche Services nie mit aktuell verwendeten Passwörtern ausprobieren!
Dann kann man sie immer noch erraten… Wie hackt man Passwörter? • Grundlage • Datenbanken speichern Passwörter als Hashes • asd123 -> 0x428a04b…. • Hash nicht umkehrbar • Wird die Datenbank geklaut, weiß der Dieb die Passwörter nicht  Angreifer probieren alle möglichen Passwörter durch • Online • Angreifer muss online sein und hat Verzögerungen • Nach n Versuchen blockiert der Server (hoffentlich) • Offline • Angreifer kann so viel versuchen und so schnell wie er möchte • Hash-Werte (SHA-256) berechnen • moderner PC: 100.000.000 Hashes/s • moderne Grafikkarte (~1000€): 4.000.000.000 Hashes/s • Extreme Optimierung durch Statistiken, Passwort-Muster, und AI • 42% aller Passwörter verwenden nur Kleinbuchstaben • Buchstabe ‚e‘ kommt in 50% aller Passwörter vor; ‚f‘ nur in 8% • Menschen verwenden meistens sehr ähnliche Muster (GkkkkkZZ) Passwortlänge und Entropie • 95 druckbare Zeichen • Beispiel: aA2.-$ • 956 ≈ 240 Möglichkeiten  40 Bit Entropie • <5 Minuten auf einer modernen Grafikkarte  50 Bit Entropie • 8 verschiedene Zeichen • <4 Tagen auf einer modernen Grafikkarte  60 Bit Entropie • 10 verschieden Zeichen • > 3000 Tage auf einer modernen Grafikkarte Und wenn meine Passwörter noch nicht geknackt wurden? < OMM Solutions GmbH > 7
Es kommt auf die Länge an… und nicht immer auf Bill Burr (NIST) hören. • 6 zufällig gewählte Zeichen: ≈ 40 Bit Entropie • Eine (!) Grafikkarte in wenigen Minuten bis Stunden • 10 und mehr zufällig gewählte Zeichen: > 65 Bit Entropie • > 3000 Tage auf einer Grafikkarte • Die Sicherheit reduziert sich drastisch wenn Passwörter keine Zufallskombinationen sind! • “B0!58%i+2-” = mehrere Wochen auf Tausenden Rechnern • Tr0ub4dour0711!” = wenige Minuten auf einer (!) Grafikkarte • Schlechte Passwörter • Erratbare Begriffe: “Stuttgart”, “franzxaver” • Namen oder Stichtage: “Klaus”, “09sep2001” • Wort aus dem Wörterbuch, auch Verfremdung hilft nicht: “Lichtgeschwindigkeit”, “Sh3ttl4nd-TerrIer”, “Tr0ub4dour” • Wortkombinationen: “Adam.2+%;7Eva” Was soll ich nun machen? < OMM Solutions GmbH > 8
Nochmal als Tabelle < OMM Solutions GmbH > 9
maschinelle zufällige Kombinationen sind besser • Zufällig maschinell generierte Passwörtern mit 12 und mehr Zeichen “FDaob^^.spNc” • > 70 Bit Entropie  Problem: Wie merke ich mir eine solche Kombination? • Einfacher: • Kombination aus mind. vier seltenen zufällig gewählten Wörtern “MagenStockSchereSchlauch” • > 80 Bit Entropie • Noch leichter: PassSätze • komplett absurde Sätze wie: KlausBäckt8NackteFlüße. • 120 Bit Entropie  Problem: Ich will doch nicht jedes Mal so ein langes Passwort eingeben Frage: Warum ist KlausBäckt8NackteFlüße. kein gutes Passwort mehr? Übrigens: Dein Passwort darf auch Leerzeichen und Emojis enthalten. Was soll ich nun machen? < OMM Solutions GmbH > 10
Die kurze Einarbeitung lohnt sich Passwortmanager nutzen • Ein Master-Kennwort schützt die anderen Kennwörter • Für jeden Account ein eigenes Passwort • Je nach Passwortmanager kann man die Passwörter direkt in Login-Seiten einfüllen lassen • Meine Empfehlung Keepass + KeePassHttp + chromeIPass • Weitere Passwort-Manager • 1Password • LastPass • … < OMM Solutions GmbH > 11 Passwortmanager installieren und nutzen  http://keepass.info/download.html
OTP und 2FA sind zwei Beispiele davon Multi-Faktor Authentifizierung Weitere Gefahren • Social Engineering • Phising • Brute Force Attacken • Shoulder Surfing • Key-Logger • … Lösungsmöglichkeiten • Authentifizierung über „wer du bist“ • Biometrie • Fingerabdruck, Stimme, Retina, DNA(?) • Authentifizierung über „was du hast“ • Hardware-Token • Software • Mobile Phone • Bekannt: Google Authenticator und Authy < OMM Solutions GmbH > 12
• Have you been pwned? • https://haveibeenpwned.com/ • Introducing 306 Million Freely Downloadable Pwned Passwords • https://www.troyhunt.com/introducing-306-million-freely-downloadable-pwned-passwords/ • How Big is your Haystack …and how well hidden is YOUR needle? • https://www.grc.com/haystack.htm • How Artificial Intelligence Can Be Used For Password Guessing • https://hackernoon.com/how-artificial-intelligence-can-be-used-for-password-guessing- cf4fd4184a46 • https://arxiv.org/abs/1709.00440 • Make users' passwords 5-6 orders of magnitude harder to crack. • https://www.korelogic.com/Resources/Presentations/bsidesavl_pathwell_2014-06.pdf • Die besten Passwort-Manager • https://www.computerwoche.de/a/die-besten-passwort-manager,2519783 < OMM Solutions GmbH > 13
https://xkcd.com/936/ Xkcd erklärts < OMM Solutions GmbH > 14
Vielen Dank für Eure Aufmerksamkeit! 15< OMM Solutions GmbH >
Ihr persönlicher Ansprechpartner Fragen oder Interesse? < OMM Solutions GmbH > 16 Malte Horstmann Sales & Processes OMM Solutions GmbH Vor dem Lauch 4 70567 Stuttgart Germany mh@omm-solutions.de +49 (0)711 67 47 05 11
17< OMM Solutions GmbH > www.omm-solutions.de OMM Solutions GmbH Vor dem Lauch 4 70567 Stuttgart Geschäftsführer Martin Allmendinger Malte Horstmann Olaf Horstmann Kontakt Telefon: +49 711 6747 051-0 E-Mail: info@omm-solutions.de Umsatzsteuer-ID: DE295716572 Sitz der Gesellschaft: Stuttgart Amtsgericht Stuttgart, HRB 749562 Impressum

Empfohlen

Sichere Passwörter
Sichere PasswörterSichere Passwörter
Sichere PasswörterBjörn Wibben
 
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine FreiheitWarum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine FreiheitArian Kriesch
 
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copy
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copyDevelopercamp 08032018 der-zweite_faktor_thilo_roehl - copy
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copyFrank Thilo Röhl
 
Serverside Cryptoparty
Serverside CryptopartyServerside Cryptoparty
Serverside CryptopartyJohann-Peter Hartmann
 
Developercamp 08032018 der-zweite_faktor_thilo_roehl
Developercamp 08032018 der-zweite_faktor_thilo_roehlDevelopercamp 08032018 der-zweite_faktor_thilo_roehl
Developercamp 08032018 der-zweite_faktor_thilo_roehlFrank Thilo Röhl
 
Cms security
Cms securityCms security
Cms securitystk_jj
 
PGP/GPG Einführung
PGP/GPG EinführungPGP/GPG Einführung
PGP/GPG EinführungMartin Schütte
 
Verschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisVerschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisPeter Tröger
 

Empfohlen

Sichere Passwörter
Sichere PasswörterSichere Passwörter
Sichere PasswörterBjörn Wibben
 
Warum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine FreiheitWarum verschlüsseln? Dein Leben - Deine Daten - Deine Freiheit
Warum verschlüsseln? Dein Leben - Deine Daten - Deine FreiheitArian Kriesch
 
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copy
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copyDevelopercamp 08032018 der-zweite_faktor_thilo_roehl - copy
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copyFrank Thilo Röhl
 
Serverside Cryptoparty
Serverside CryptopartyServerside Cryptoparty
Serverside CryptopartyJohann-Peter Hartmann
 
Developercamp 08032018 der-zweite_faktor_thilo_roehl
Developercamp 08032018 der-zweite_faktor_thilo_roehlDevelopercamp 08032018 der-zweite_faktor_thilo_roehl
Developercamp 08032018 der-zweite_faktor_thilo_roehlFrank Thilo Röhl
 
Cms security
Cms securityCms security
Cms securitystk_jj
 
PGP/GPG Einführung
PGP/GPG EinführungPGP/GPG Einführung
PGP/GPG EinführungMartin Schütte
 
Verschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisVerschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisPeter Tröger
 
Wie sicher ist mein Passwort?
Wie sicher ist mein Passwort?Wie sicher ist mein Passwort?
Wie sicher ist mein Passwort?libertello GmbH
 
WordPress Security
WordPress SecurityWordPress Security
WordPress Securitystk_jj
 
WordPress Security - WP Meetup München 24.9.2015
WordPress Security - WP Meetup München 24.9.2015WordPress Security - WP Meetup München 24.9.2015
WordPress Security - WP Meetup München 24.9.2015stk_jj
 
Dirty Little Snippets - SEO Campixx 2014 - Slides zum Vortrag
Dirty Little Snippets - SEO Campixx 2014 - Slides zum VortragDirty Little Snippets - SEO Campixx 2014 - Slides zum Vortrag
Dirty Little Snippets - SEO Campixx 2014 - Slides zum VortragMySEOSolution
 
Authentifzierungsmethoden in der Praxis - Webmontag Würzburg 14.09.2015
Authentifzierungsmethoden in der Praxis - Webmontag Würzburg 14.09.2015Authentifzierungsmethoden in der Praxis - Webmontag Würzburg 14.09.2015
Authentifzierungsmethoden in der Praxis - Webmontag Würzburg 14.09.2015Frank Thilo Röhl
 
Was ich von_lulzsec_gelernt_habe
Was ich von_lulzsec_gelernt_habeWas ich von_lulzsec_gelernt_habe
Was ich von_lulzsec_gelernt_habeFederico Elles
 
Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)tschikarski
 
Magento Application Security [DE]
Magento Application Security [DE]Magento Application Security [DE]
Magento Application Security [DE]Anna Völkl
 
Wieso Informatiker bei der Informationssicherheit scheitern
Wieso Informatiker bei der Informationssicherheit scheiternWieso Informatiker bei der Informationssicherheit scheitern
Wieso Informatiker bei der Informationssicherheit scheiternDigicomp Academy AG
 
Digitallotse
DigitallotseDigitallotse
DigitallotseFelix Escribano
 
Datenverschlüsselung in der Praxis
Datenverschlüsselung in der PraxisDatenverschlüsselung in der Praxis
Datenverschlüsselung in der PraxisA. Baggenstos & Co. AG
 
Javascript done right
Javascript done rightJavascript done right
Javascript done rightDirk Ginader
 
2017 05 16_trend_micro_webinar_wanna_cry1_ppt
2017 05 16_trend_micro_webinar_wanna_cry1_ppt2017 05 16_trend_micro_webinar_wanna_cry1_ppt
2017 05 16_trend_micro_webinar_wanna_cry1_pptAndreas Pelka
 
Big/Smart/Fast Data – a very compact overview
Big/Smart/Fast Data – a very compact overviewBig/Smart/Fast Data – a very compact overview
Big/Smart/Fast Data – a very compact overviewOMM Solutions GmbH
 
Fb kids
Fb kidsFb kids
Fb kidsDidi Klement
 
Hello, Bot! - When AI starts communicating
Hello, Bot! - When AI starts communicatingHello, Bot! - When AI starts communicating
Hello, Bot! - When AI starts communicatingOMM Solutions GmbH
 
Seniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerceSeniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerceMichael Moser
 
Facebbook für Einsteiger, Tipps und Infos
Facebbook für Einsteiger, Tipps und InfosFacebbook für Einsteiger, Tipps und Infos
Facebbook für Einsteiger, Tipps und InfosDidi Klement
 
Seocampixx 2016 - Data Mining Reloaded - In 30 Minuten zum eigenen Scraper
Seocampixx 2016 - Data Mining Reloaded - In 30 Minuten zum eigenen ScraperSeocampixx 2016 - Data Mining Reloaded - In 30 Minuten zum eigenen Scraper
Seocampixx 2016 - Data Mining Reloaded - In 30 Minuten zum eigenen ScraperJens Bonerz
 
Getting business-relevant insights from machine data with Splunk and Hadoop
Getting business-relevant insights from machine data with Splunk and HadoopGetting business-relevant insights from machine data with Splunk and Hadoop
Getting business-relevant insights from machine data with Splunk and HadoopBig Data User Group Karlsruhe/Stuttgart
 
Growth Hacking
Growth HackingGrowth Hacking
Growth HackingOMM Solutions GmbH
 
IoT-Home fails
IoT-Home failsIoT-Home fails
IoT-Home failsOMM Solutions GmbH
 

Weitere ähnliche Inhalte

Ähnlich wie Passwörter lang oder kurz?

Wie sicher ist mein Passwort?
Wie sicher ist mein Passwort?Wie sicher ist mein Passwort?
Wie sicher ist mein Passwort?libertello GmbH
 
WordPress Security
WordPress SecurityWordPress Security
WordPress Securitystk_jj
 
WordPress Security - WP Meetup München 24.9.2015
WordPress Security - WP Meetup München 24.9.2015WordPress Security - WP Meetup München 24.9.2015
WordPress Security - WP Meetup München 24.9.2015stk_jj
 
Dirty Little Snippets - SEO Campixx 2014 - Slides zum Vortrag
Dirty Little Snippets - SEO Campixx 2014 - Slides zum VortragDirty Little Snippets - SEO Campixx 2014 - Slides zum Vortrag
Dirty Little Snippets - SEO Campixx 2014 - Slides zum VortragMySEOSolution
 
Authentifzierungsmethoden in der Praxis - Webmontag Würzburg 14.09.2015
Authentifzierungsmethoden in der Praxis - Webmontag Würzburg 14.09.2015Authentifzierungsmethoden in der Praxis - Webmontag Würzburg 14.09.2015
Authentifzierungsmethoden in der Praxis - Webmontag Würzburg 14.09.2015Frank Thilo Röhl
 
Was ich von_lulzsec_gelernt_habe
Was ich von_lulzsec_gelernt_habeWas ich von_lulzsec_gelernt_habe
Was ich von_lulzsec_gelernt_habeFederico Elles
 
Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)tschikarski
 
Magento Application Security [DE]
Magento Application Security [DE]Magento Application Security [DE]
Magento Application Security [DE]Anna Völkl
 
Wieso Informatiker bei der Informationssicherheit scheitern
Wieso Informatiker bei der Informationssicherheit scheiternWieso Informatiker bei der Informationssicherheit scheitern
Wieso Informatiker bei der Informationssicherheit scheiternDigicomp Academy AG
 
Javascript done right
Javascript done rightJavascript done right
Javascript done rightDirk Ginader
 
2017 05 16_trend_micro_webinar_wanna_cry1_ppt
2017 05 16_trend_micro_webinar_wanna_cry1_ppt2017 05 16_trend_micro_webinar_wanna_cry1_ppt
2017 05 16_trend_micro_webinar_wanna_cry1_pptAndreas Pelka
 
Big/Smart/Fast Data – a very compact overview
Big/Smart/Fast Data – a very compact overviewBig/Smart/Fast Data – a very compact overview
Big/Smart/Fast Data – a very compact overviewOMM Solutions GmbH
 
Hello, Bot! - When AI starts communicating
Hello, Bot! - When AI starts communicatingHello, Bot! - When AI starts communicating
Hello, Bot! - When AI starts communicatingOMM Solutions GmbH
 
Seniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerceSeniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerceMichael Moser
 
Facebbook für Einsteiger, Tipps und Infos
Facebbook für Einsteiger, Tipps und InfosFacebbook für Einsteiger, Tipps und Infos
Facebbook für Einsteiger, Tipps und InfosDidi Klement
 
Seocampixx 2016 - Data Mining Reloaded - In 30 Minuten zum eigenen Scraper
Seocampixx 2016 - Data Mining Reloaded - In 30 Minuten zum eigenen ScraperSeocampixx 2016 - Data Mining Reloaded - In 30 Minuten zum eigenen Scraper
Seocampixx 2016 - Data Mining Reloaded - In 30 Minuten zum eigenen ScraperJens Bonerz
 
Getting business-relevant insights from machine data with Splunk and Hadoop
Getting business-relevant insights from machine data with Splunk and HadoopGetting business-relevant insights from machine data with Splunk and Hadoop
Getting business-relevant insights from machine data with Splunk and HadoopBig Data User Group Karlsruhe/Stuttgart
 

Ähnlich wie Passwörter lang oder kurz? (20)

Wie sicher ist mein Passwort?
Wie sicher ist mein Passwort?Wie sicher ist mein Passwort?
Wie sicher ist mein Passwort?
 
WordPress Security
WordPress SecurityWordPress Security
WordPress Security
 
WordPress Security - WP Meetup München 24.9.2015
WordPress Security - WP Meetup München 24.9.2015WordPress Security - WP Meetup München 24.9.2015
WordPress Security - WP Meetup München 24.9.2015
 
Dirty Little Snippets - SEO Campixx 2014 - Slides zum Vortrag
Dirty Little Snippets - SEO Campixx 2014 - Slides zum VortragDirty Little Snippets - SEO Campixx 2014 - Slides zum Vortrag
Dirty Little Snippets - SEO Campixx 2014 - Slides zum Vortrag
 
Authentifzierungsmethoden in der Praxis - Webmontag Würzburg 14.09.2015
Authentifzierungsmethoden in der Praxis - Webmontag Würzburg 14.09.2015Authentifzierungsmethoden in der Praxis - Webmontag Würzburg 14.09.2015
Authentifzierungsmethoden in der Praxis - Webmontag Würzburg 14.09.2015
 
Was ich von_lulzsec_gelernt_habe
Was ich von_lulzsec_gelernt_habeWas ich von_lulzsec_gelernt_habe
Was ich von_lulzsec_gelernt_habe
 
Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)Kryptografie und Zertifikate (Cryptoparty)
Kryptografie und Zertifikate (Cryptoparty)
 
Magento Application Security [DE]
Magento Application Security [DE]Magento Application Security [DE]
Magento Application Security [DE]
 
Wieso Informatiker bei der Informationssicherheit scheitern
Wieso Informatiker bei der Informationssicherheit scheiternWieso Informatiker bei der Informationssicherheit scheitern
Wieso Informatiker bei der Informationssicherheit scheitern
 
Digitallotse
DigitallotseDigitallotse
Digitallotse
 
Datenverschlüsselung in der Praxis
Datenverschlüsselung in der PraxisDatenverschlüsselung in der Praxis
Datenverschlüsselung in der Praxis
 
Javascript done right
Javascript done rightJavascript done right
Javascript done right
 
2017 05 16_trend_micro_webinar_wanna_cry1_ppt
2017 05 16_trend_micro_webinar_wanna_cry1_ppt2017 05 16_trend_micro_webinar_wanna_cry1_ppt
2017 05 16_trend_micro_webinar_wanna_cry1_ppt
 
Big/Smart/Fast Data – a very compact overview
Big/Smart/Fast Data – a very compact overviewBig/Smart/Fast Data – a very compact overview
Big/Smart/Fast Data – a very compact overview
 
Fb kids
Fb kidsFb kids
Fb kids
 
Hello, Bot! - When AI starts communicating
Hello, Bot! - When AI starts communicatingHello, Bot! - When AI starts communicating
Hello, Bot! - When AI starts communicating
 
Seniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerceSeniorenuni, sicherheit, e-business, e-commerce
Seniorenuni, sicherheit, e-business, e-commerce
 
Facebbook für Einsteiger, Tipps und Infos
Facebbook für Einsteiger, Tipps und InfosFacebbook für Einsteiger, Tipps und Infos
Facebbook für Einsteiger, Tipps und Infos
 
Seocampixx 2016 - Data Mining Reloaded - In 30 Minuten zum eigenen Scraper
Seocampixx 2016 - Data Mining Reloaded - In 30 Minuten zum eigenen ScraperSeocampixx 2016 - Data Mining Reloaded - In 30 Minuten zum eigenen Scraper
Seocampixx 2016 - Data Mining Reloaded - In 30 Minuten zum eigenen Scraper
 
Getting business-relevant insights from machine data with Splunk and Hadoop
Getting business-relevant insights from machine data with Splunk and HadoopGetting business-relevant insights from machine data with Splunk and Hadoop
Getting business-relevant insights from machine data with Splunk and Hadoop
 

Mehr von OMM Solutions GmbH

Mythos und Realität des Intrapreneurs - Wer ist er und welche organisatorisch...
Mythos und Realität des Intrapreneurs - Wer ist er und welche organisatorisch...Mythos und Realität des Intrapreneurs - Wer ist er und welche organisatorisch...
Mythos und Realität des Intrapreneurs - Wer ist er und welche organisatorisch...OMM Solutions GmbH
 
How everyone can program a browser to quickly automate research and analyst-t...
How everyone can program a browser to quickly automate research and analyst-t...How everyone can program a browser to quickly automate research and analyst-t...
How everyone can program a browser to quickly automate research and analyst-t...OMM Solutions GmbH
 
How we automate tasks and processes at OMM
How we automate tasks and processes at OMMHow we automate tasks and processes at OMM
How we automate tasks and processes at OMMOMM Solutions GmbH
 
The possibilities of information that can be extracted from seemingly simpel ...
The possibilities of information that can be extracted from seemingly simpel ...The possibilities of information that can be extracted from seemingly simpel ...
The possibilities of information that can be extracted from seemingly simpel ...OMM Solutions GmbH
 
Industrie 4.0: State of the art
Industrie 4.0: State of the artIndustrie 4.0: State of the art
Industrie 4.0: State of the artOMM Solutions GmbH
 
How AI will affect individuals
How AI will affect individualsHow AI will affect individuals
How AI will affect individualsOMM Solutions GmbH
 
Quantum computing - the next big thing
Quantum computing - the next big thingQuantum computing - the next big thing
Quantum computing - the next big thingOMM Solutions GmbH
 
How AI will affect individuals
How AI will affect individuals How AI will affect individuals
How AI will affect individuals OMM Solutions GmbH
 
Industry ready software ecosystems how to attract software development part...
Industry ready software ecosystems how to attract software development part...Industry ready software ecosystems how to attract software development part...
Industry ready software ecosystems how to attract software development part...OMM Solutions GmbH
 
Wie Edtech das Lernen der Zukunft verändert
Wie Edtech das Lernen der Zukunft verändertWie Edtech das Lernen der Zukunft verändert
Wie Edtech das Lernen der Zukunft verändertOMM Solutions GmbH
 
How AI will effect individuals
How AI will effect individualsHow AI will effect individuals
How AI will effect individualsOMM Solutions GmbH
 
Agile Software Development – Why all the fuzz?
Agile Software Development – Why all the fuzz?Agile Software Development – Why all the fuzz?
Agile Software Development – Why all the fuzz?OMM Solutions GmbH
 
The state of AI & ML Hype or potential – what‘s possible, how the future will...
The state of AI & ML Hype or potential – what‘s possible, how the future will...The state of AI & ML Hype or potential – what‘s possible, how the future will...
The state of AI & ML Hype or potential – what‘s possible, how the future will...OMM Solutions GmbH
 
Scaling Blockchain Transaction Are 1000000 Transactions / second really possi...
Scaling Blockchain Transaction Are 1000000 Transactions / second really possi...Scaling Blockchain Transaction Are 1000000 Transactions / second really possi...
Scaling Blockchain Transaction Are 1000000 Transactions / second really possi...OMM Solutions GmbH
 
Nutzerzentrierte Prozesse und Methoden im Überblick - Mit Design Thinking, Cu...
Nutzerzentrierte Prozesse und Methoden im Überblick - Mit Design Thinking, Cu...Nutzerzentrierte Prozesse und Methoden im Überblick - Mit Design Thinking, Cu...
Nutzerzentrierte Prozesse und Methoden im Überblick - Mit Design Thinking, Cu...OMM Solutions GmbH
 
Digitale Plattformen als neues Geschäftsmodell für alle und jeden?
Digitale Plattformen als neues Geschäftsmodell für alle und jeden? Digitale Plattformen als neues Geschäftsmodell für alle und jeden?
Digitale Plattformen als neues Geschäftsmodell für alle und jeden? OMM Solutions GmbH
 

Mehr von OMM Solutions GmbH (20)

Growth Hacking
Growth HackingGrowth Hacking
Growth Hacking
 
IoT-Home fails
IoT-Home failsIoT-Home fails
IoT-Home fails
 
Mythos und Realität des Intrapreneurs - Wer ist er und welche organisatorisch...
Mythos und Realität des Intrapreneurs - Wer ist er und welche organisatorisch...Mythos und Realität des Intrapreneurs - Wer ist er und welche organisatorisch...
Mythos und Realität des Intrapreneurs - Wer ist er und welche organisatorisch...
 
How everyone can program a browser to quickly automate research and analyst-t...
How everyone can program a browser to quickly automate research and analyst-t...How everyone can program a browser to quickly automate research and analyst-t...
How everyone can program a browser to quickly automate research and analyst-t...
 
How we automate tasks and processes at OMM
How we automate tasks and processes at OMMHow we automate tasks and processes at OMM
How we automate tasks and processes at OMM
 
The possibilities of information that can be extracted from seemingly simpel ...
The possibilities of information that can be extracted from seemingly simpel ...The possibilities of information that can be extracted from seemingly simpel ...
The possibilities of information that can be extracted from seemingly simpel ...
 
Industrie 4.0: State of the art
Industrie 4.0: State of the artIndustrie 4.0: State of the art
Industrie 4.0: State of the art
 
How AI will affect individuals
How AI will affect individualsHow AI will affect individuals
How AI will affect individuals
 
The future of society with AI
The future of society with AIThe future of society with AI
The future of society with AI
 
Quantum computing - the next big thing
Quantum computing - the next big thingQuantum computing - the next big thing
Quantum computing - the next big thing
 
How AI will affect individuals
How AI will affect individuals How AI will affect individuals
How AI will affect individuals
 
Industry ready software ecosystems how to attract software development part...
Industry ready software ecosystems how to attract software development part...Industry ready software ecosystems how to attract software development part...
Industry ready software ecosystems how to attract software development part...
 
Wie Edtech das Lernen der Zukunft verändert
Wie Edtech das Lernen der Zukunft verändertWie Edtech das Lernen der Zukunft verändert
Wie Edtech das Lernen der Zukunft verändert
 
How AI will effect individuals
How AI will effect individualsHow AI will effect individuals
How AI will effect individuals
 
Agile Software Development – Why all the fuzz?
Agile Software Development – Why all the fuzz?Agile Software Development – Why all the fuzz?
Agile Software Development – Why all the fuzz?
 
New Work - Collaborative Work
New Work - Collaborative WorkNew Work - Collaborative Work
New Work - Collaborative Work
 
The state of AI & ML Hype or potential – what‘s possible, how the future will...
The state of AI & ML Hype or potential – what‘s possible, how the future will...The state of AI & ML Hype or potential – what‘s possible, how the future will...
The state of AI & ML Hype or potential – what‘s possible, how the future will...
 
Scaling Blockchain Transaction Are 1000000 Transactions / second really possi...
Scaling Blockchain Transaction Are 1000000 Transactions / second really possi...Scaling Blockchain Transaction Are 1000000 Transactions / second really possi...
Scaling Blockchain Transaction Are 1000000 Transactions / second really possi...
 
Nutzerzentrierte Prozesse und Methoden im Überblick - Mit Design Thinking, Cu...
Nutzerzentrierte Prozesse und Methoden im Überblick - Mit Design Thinking, Cu...Nutzerzentrierte Prozesse und Methoden im Überblick - Mit Design Thinking, Cu...
Nutzerzentrierte Prozesse und Methoden im Überblick - Mit Design Thinking, Cu...
 
Digitale Plattformen als neues Geschäftsmodell für alle und jeden?
Digitale Plattformen als neues Geschäftsmodell für alle und jeden? Digitale Plattformen als neues Geschäftsmodell für alle und jeden?
Digitale Plattformen als neues Geschäftsmodell für alle und jeden?
 

Passwörter lang oder kurz?

  • 1. OMM Solutions TECHtalk #7 < OMM Solutions GmbH > 1 www.tech-talks.eu
  • 2. Einmal im Monat ist TECHtalk Zeit! First come first served! < OMM Solutions GmbH > 2
  • 3. Talk: Passwörter lang oder kurz? Speaker: Malte Horstmann 3< OMM Solutions GmbH >
  • 4. Drauf • Was passiert da draußen? • Verkauf von geklauten Datenbanken • Wie werden Passwörter eigentlich gehackt? • Statistiken nutzen • Durchprobieren • Und was soll ich nun machen? • K4/Ui2$-Lo7.3Ad§2ß1P2s oder KlausBäckt8NackteFlüße. • Passwort-Manager • MFA/2FA Nicht-drauf • Primzahlen • RSA, ECC • KDF • Kryptographie im Detail • höhere Mathematik • Owasp • SSH • PGP • S/Mime Agenda < OMM Solutions GmbH > 4
  • 5. Yes, you‘ve been! Have you been pwned? • s***a@****e • Neteller • Account balances, Dates of birth, Email addresses, Genders, IP addresses, Names, Phone numbers, Physical addresses, Security questions and answers, Website activity • m*******r@g*****m • Dropbox, Patreon • Email addresses, Passwords; Email addresses, Payment histories, Physical addresses, Private messages, Website activity • p***h@g*****m • Dropbox, Adobe, … in total 7 Accounts • Dates of birth, Email addresses, Genders, IP addresses, Passwords, Security questions and answers, Usernames, Website activity, Password hints, Passwords, Usernames, Account balances, Email addresses, IP addresses • a****8@****e • Adobe, Last.fm, moneybookers • Email addresses, Password hints, Passwords, Usernames, Website activity, IP addresses, Names, Phone numbers, Physical addresses erstes Learning: https://haveibeenpwned.com eintragen und benachrichtigen lassen < OMM Solutions GmbH > 5
  • 6. Wo landen meine Passwörter? • Täglich werden Datenbanken geklaut (und verkauft) • …. • Mai 2012 (2016): LinkedIn: 164 Millionen E-Mail Adressen + Passwörter • Mitte 2012 (2016): Dropbox: 68 Millionen E-Mail Adressen + Passwörter • Herbst 2016: Exploit.In: 593 Millionen E-Mail Adressen inkl. verschiedener Passwörter • Dez 2016: Anti Public Combo List: 458 Millionen E-Mail Adressen + Passwörter • Aug 2017: Onliner Spambot: 711 Millionen Email-Adressen zu großen Teilen mit Passwörtern • Bis heute: 233 Webseiten/Portale • Statische Daten aus den Datensätzen • 75% der Passwörter wurde mehr als einmal verwendet • 306 Millionen Passwörter verfügbar • 4,7 Milliarden Accounts Was passiert da draußen? < OMM Solutions GmbH > 6 Wurden deine Passwörter schon einmal genackt?  https://haveibeenpwned.com/Passwords Solche Services nie mit aktuell verwendeten Passwörtern ausprobieren!
  • 7. Dann kann man sie immer noch erraten… Wie hackt man Passwörter? • Grundlage • Datenbanken speichern Passwörter als Hashes • asd123 -> 0x428a04b…. • Hash nicht umkehrbar • Wird die Datenbank geklaut, weiß der Dieb die Passwörter nicht  Angreifer probieren alle möglichen Passwörter durch • Online • Angreifer muss online sein und hat Verzögerungen • Nach n Versuchen blockiert der Server (hoffentlich) • Offline • Angreifer kann so viel versuchen und so schnell wie er möchte • Hash-Werte (SHA-256) berechnen • moderner PC: 100.000.000 Hashes/s • moderne Grafikkarte (~1000€): 4.000.000.000 Hashes/s • Extreme Optimierung durch Statistiken, Passwort-Muster, und AI • 42% aller Passwörter verwenden nur Kleinbuchstaben • Buchstabe ‚e‘ kommt in 50% aller Passwörter vor; ‚f‘ nur in 8% • Menschen verwenden meistens sehr ähnliche Muster (GkkkkkZZ) Passwortlänge und Entropie • 95 druckbare Zeichen • Beispiel: aA2.-$ • 956 ≈ 240 Möglichkeiten  40 Bit Entropie • <5 Minuten auf einer modernen Grafikkarte  50 Bit Entropie • 8 verschiedene Zeichen • <4 Tagen auf einer modernen Grafikkarte  60 Bit Entropie • 10 verschieden Zeichen • > 3000 Tage auf einer modernen Grafikkarte Und wenn meine Passwörter noch nicht geknackt wurden? < OMM Solutions GmbH > 7
  • 8. Es kommt auf die Länge an… und nicht immer auf Bill Burr (NIST) hören. • 6 zufällig gewählte Zeichen: ≈ 40 Bit Entropie • Eine (!) Grafikkarte in wenigen Minuten bis Stunden • 10 und mehr zufällig gewählte Zeichen: > 65 Bit Entropie • > 3000 Tage auf einer Grafikkarte • Die Sicherheit reduziert sich drastisch wenn Passwörter keine Zufallskombinationen sind! • “B0!58%i+2-” = mehrere Wochen auf Tausenden Rechnern • Tr0ub4dour0711!” = wenige Minuten auf einer (!) Grafikkarte • Schlechte Passwörter • Erratbare Begriffe: “Stuttgart”, “franzxaver” • Namen oder Stichtage: “Klaus”, “09sep2001” • Wort aus dem Wörterbuch, auch Verfremdung hilft nicht: “Lichtgeschwindigkeit”, “Sh3ttl4nd-TerrIer”, “Tr0ub4dour” • Wortkombinationen: “Adam.2+%;7Eva” Was soll ich nun machen? < OMM Solutions GmbH > 8
  • 9. Nochmal als Tabelle < OMM Solutions GmbH > 9
  • 10. maschinelle zufällige Kombinationen sind besser • Zufällig maschinell generierte Passwörtern mit 12 und mehr Zeichen “FDaob^^.spNc” • > 70 Bit Entropie  Problem: Wie merke ich mir eine solche Kombination? • Einfacher: • Kombination aus mind. vier seltenen zufällig gewählten Wörtern “MagenStockSchereSchlauch” • > 80 Bit Entropie • Noch leichter: PassSätze • komplett absurde Sätze wie: KlausBäckt8NackteFlüße. • 120 Bit Entropie  Problem: Ich will doch nicht jedes Mal so ein langes Passwort eingeben Frage: Warum ist KlausBäckt8NackteFlüße. kein gutes Passwort mehr? Übrigens: Dein Passwort darf auch Leerzeichen und Emojis enthalten. Was soll ich nun machen? < OMM Solutions GmbH > 10
  • 11. Die kurze Einarbeitung lohnt sich Passwortmanager nutzen • Ein Master-Kennwort schützt die anderen Kennwörter • Für jeden Account ein eigenes Passwort • Je nach Passwortmanager kann man die Passwörter direkt in Login-Seiten einfüllen lassen • Meine Empfehlung Keepass + KeePassHttp + chromeIPass • Weitere Passwort-Manager • 1Password • LastPass • … < OMM Solutions GmbH > 11 Passwortmanager installieren und nutzen  http://keepass.info/download.html
  • 12. OTP und 2FA sind zwei Beispiele davon Multi-Faktor Authentifizierung Weitere Gefahren • Social Engineering • Phising • Brute Force Attacken • Shoulder Surfing • Key-Logger • … Lösungsmöglichkeiten • Authentifizierung über „wer du bist“ • Biometrie • Fingerabdruck, Stimme, Retina, DNA(?) • Authentifizierung über „was du hast“ • Hardware-Token • Software • Mobile Phone • Bekannt: Google Authenticator und Authy < OMM Solutions GmbH > 12
  • 13. • Have you been pwned? • https://haveibeenpwned.com/ • Introducing 306 Million Freely Downloadable Pwned Passwords • https://www.troyhunt.com/introducing-306-million-freely-downloadable-pwned-passwords/ • How Big is your Haystack …and how well hidden is YOUR needle? • https://www.grc.com/haystack.htm • How Artificial Intelligence Can Be Used For Password Guessing • https://hackernoon.com/how-artificial-intelligence-can-be-used-for-password-guessing- cf4fd4184a46 • https://arxiv.org/abs/1709.00440 • Make users' passwords 5-6 orders of magnitude harder to crack. • https://www.korelogic.com/Resources/Presentations/bsidesavl_pathwell_2014-06.pdf • Die besten Passwort-Manager • https://www.computerwoche.de/a/die-besten-passwort-manager,2519783 < OMM Solutions GmbH > 13
  • 15. Vielen Dank für Eure Aufmerksamkeit! 15< OMM Solutions GmbH >
  • 16. Ihr persönlicher Ansprechpartner Fragen oder Interesse? < OMM Solutions GmbH > 16 Malte Horstmann Sales & Processes OMM Solutions GmbH Vor dem Lauch 4 70567 Stuttgart Germany mh@omm-solutions.de +49 (0)711 67 47 05 11
  • 17. 17< OMM Solutions GmbH > www.omm-solutions.de OMM Solutions GmbH Vor dem Lauch 4 70567 Stuttgart Geschäftsführer Martin Allmendinger Malte Horstmann Olaf Horstmann Kontakt Telefon: +49 711 6747 051-0 E-Mail: info@omm-solutions.de Umsatzsteuer-ID: DE295716572 Sitz der Gesellschaft: Stuttgart Amtsgericht Stuttgart, HRB 749562 Impressum

Hinweis der Redaktion

  1. https://www.grc.com/haystack.htm
  2. https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a270c40 GeForce GTX 1080 Ti  1.000€ In 2012 gabs schon jemand der mit 25Grafikkarten mehr als 300 Mrd. Hashes generiert hat http://www.zdnet.com/article/25-gpus-devour-password-hashes-at-up-to-348-billion-per-second/ Hash-Werte (bcrypt) berechnen moderner PC: 3.000 Hashes/s moderne Grafikkarte: 20.000 Hashes/s 955 ≈ 233 Möglichkeiten 33 Bit Entropie <5 Tage auf einer modernen Grafikkarte 3000 Tage / 20 Garfikkarten = 150 Tage Rainbow-Tables https://www.korelogic.com/Resources/Presentations/bsidesavl_pathwell_2014-06.pdf Nur 10% aller Passwörter mit Groß/Kleinschreibung+Zahlen+Symbole Symbol ist meißtens „!“