SlideShare ist ein Scribd-Unternehmen logo

Developercamp 08032018 der-zweite_faktor_thilo_roehl

Developercamp Thilo Roehl 2018, 2. Faktor, Sicherheit, Passwörter, Biometrie aus der Praxis, Google, Facebook, Fido

1 von 21
Downloaden Sie, um offline zu lesen
Der 2. Faktor
Developercamp – 09.03.2018
Aktuelle Authentifzierungsmethoden in der Praxis
Dipl. Inform. Thilo Röhl
Passwort Bingo
Die 10 häufigsten Passwörter Deutschland
1. hallo
2. passwort
3. hallo123
4. schalke04
5. passwort1
6. qwertz
7. arschloch
8. schatz
9. hallo1
10. ficken
http://www.maclife.de/news/diese-passwoerter-sollten-keinen-fall-verwenden-10086942.html
Die 10 häufigsten Passwörter International
1. password 11. letmein
2. 123456 12. monkey
3. 12345678 13. 696969
4. 1234 14. abc123
5. qwerty 15. mustang
6. 12345 16. michael
7. dragon 17. shadow
8. pussy 18. master
9. baseball 19. jennifer
10. football 20. 11111
http://www.netzpiloten.de/die-25-haufigsten-passworter-und-pins/
Passwörter
• Komplexe Passwörter landen auf dem Schreibtisch
• Einfache Passwörter sind leicht zu knacken
• "Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang“
• MsiaupmmZdMl
• Ein Passwort – viele Dienste. Ein Dienst wird gehackt
• Passwort Reset über Emailadresse - > Angriffe über gekapertes
Emailkonto
• Ersatz mit Google/Facebook Login ?
• Keepass 2 auf mobilen Gerät – Passwortdatei über Google gesynced?
2 Faktor Authentifizierung
• Starke Authentifizierung besteht aus zwei unabhängigen Faktoren
• Etwas das ich besitze -> Ein Token, Ein Smartphone
• Etwas dass ich weiß - > Ein Passwort, Bilderkombination
• Etwas das ich habe -> Ein Fingerabdruck, Iris, Herzschlag, Stimme
Anzeige

Recomendados

Developercamp 08032018 der-zweite_faktor_thilo_roehl - copy
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copyDevelopercamp 08032018 der-zweite_faktor_thilo_roehl - copy
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copyFrank Thilo Röhl
 
Authentifzierungsmethoden in der Praxis - Webmontag Würzburg 14.09.2015
Authentifzierungsmethoden in der Praxis - Webmontag Würzburg 14.09.2015Authentifzierungsmethoden in der Praxis - Webmontag Würzburg 14.09.2015
Authentifzierungsmethoden in der Praxis - Webmontag Würzburg 14.09.2015Frank Thilo Röhl
 
210824 Cyberrisiko im KMU - schulen Sie Ihre Mitarbeiter
210824 Cyberrisiko im KMU -  schulen Sie Ihre Mitarbeiter210824 Cyberrisiko im KMU -  schulen Sie Ihre Mitarbeiter
210824 Cyberrisiko im KMU - schulen Sie Ihre MitarbeiterThomas Brändle
 
Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26faltmannPR
 
Google Analytics Konferenz 2015: Large Scale Implementation (Siegfried Stepke...
Google Analytics Konferenz 2015: Large Scale Implementation (Siegfried Stepke...Google Analytics Konferenz 2015: Large Scale Implementation (Siegfried Stepke...
Google Analytics Konferenz 2015: Large Scale Implementation (Siegfried Stepke...e-dialog GmbH
 
Datenschutzkompetenz für Lehrende
Datenschutzkompetenz für LehrendeDatenschutzkompetenz für Lehrende
Datenschutzkompetenz für LehrendeDaniel Lohninger
 
Online shopping technology in the fast lane?
Online shopping technology in the fast lane?Online shopping technology in the fast lane?
Online shopping technology in the fast lane?Netcetera
 

Más contenido relacionado

Ähnlich wie Developercamp 08032018 der-zweite_faktor_thilo_roehl

Bestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-MitarbeiterBestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-MitarbeiterPrecisely
 
Programmierung einer Blockchain zur Verwaltung von Zertifikaten
Programmierung einer Blockchain zur Verwaltung von ZertifikatenProgrammierung einer Blockchain zur Verwaltung von Zertifikaten
Programmierung einer Blockchain zur Verwaltung von ZertifikatenAndreas Wittke
 
Fachfrühstück iPhone Juni 2010
Fachfrühstück iPhone Juni 2010Fachfrühstück iPhone Juni 2010
Fachfrühstück iPhone Juni 2010go4mobile
 
Cross-Apps-Entwicklung für iPhone, Android und Co.
Cross-Apps-Entwicklung für iPhone, Android und Co.Cross-Apps-Entwicklung für iPhone, Android und Co.
Cross-Apps-Entwicklung für iPhone, Android und Co.Peter Hecker
 
Warum eine Multi-Faktor-Authentifizierung der beste Schutz vor Hackern ist
Warum eine Multi-Faktor-Authentifizierung der beste Schutz vor Hackern istWarum eine Multi-Faktor-Authentifizierung der beste Schutz vor Hackern ist
Warum eine Multi-Faktor-Authentifizierung der beste Schutz vor Hackern istDr. Amir Alsbih
 
2 Faktor Authentifizierung - WordPress Login absichern
2 Faktor Authentifizierung - WordPress Login absichern2 Faktor Authentifizierung - WordPress Login absichern
2 Faktor Authentifizierung - WordPress Login absichernfrankstaude
 
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always VerifyZero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verifygo4mobile ag
 
Unbare Zahlung im Einzelhandel
Unbare Zahlung im EinzelhandelUnbare Zahlung im Einzelhandel
Unbare Zahlung im EinzelhandelMichael Völkl
 
Big Data User Prediction: Siegfried Stepke, e-dialog
Big Data User Prediction: Siegfried Stepke, e-dialog Big Data User Prediction: Siegfried Stepke, e-dialog
Big Data User Prediction: Siegfried Stepke, e-dialog e-dialog GmbH
 
Презентация компании Chiffry "Шифрованная телефония"
Презентация компании Chiffry "Шифрованная телефония"Презентация компании Chiffry "Шифрованная телефония"
Презентация компании Chiffry "Шифрованная телефония"journalrubezh
 
ForgeRock Webinar - Was ist Identity Relationship Management?
ForgeRock Webinar - Was ist Identity Relationship Management?ForgeRock Webinar - Was ist Identity Relationship Management?
ForgeRock Webinar - Was ist Identity Relationship Management?Hanns Nolan
 
SharePoint, HTML5 und mobile Geräte (SharePoint UserGroup Dresden 11/2011)
SharePoint, HTML5 und mobile Geräte (SharePoint UserGroup Dresden 11/2011)SharePoint, HTML5 und mobile Geräte (SharePoint UserGroup Dresden 11/2011)
SharePoint, HTML5 und mobile Geräte (SharePoint UserGroup Dresden 11/2011)Christian Heindel
 
Verbessere Deinen Telesales mit LeadDesk
Verbessere Deinen Telesales mit LeadDeskVerbessere Deinen Telesales mit LeadDesk
Verbessere Deinen Telesales mit LeadDeskLeadDesk
 
Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Agenda Europe 2035
 
SwissWallet - Die digitale Währung heisst Vertrauen
SwissWallet - Die digitale Währung heisst Vertrauen SwissWallet - Die digitale Währung heisst Vertrauen
SwissWallet - Die digitale Währung heisst Vertrauen Netcetera
 
Was kann denn schon passieren? Sicherheit in Magento-Shops
Was kann denn schon passieren? Sicherheit in Magento-ShopsWas kann denn schon passieren? Sicherheit in Magento-Shops
Was kann denn schon passieren? Sicherheit in Magento-ShopsAndreas von Studnitz
 

Ähnlich wie Developercamp 08032018 der-zweite_faktor_thilo_roehl (20)

Passwörter lang oder kurz?
Passwörter lang oder kurz?Passwörter lang oder kurz?
Passwörter lang oder kurz?
 
Bestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-MitarbeiterBestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-Mitarbeiter
 
Programmierung einer Blockchain zur Verwaltung von Zertifikaten
Programmierung einer Blockchain zur Verwaltung von ZertifikatenProgrammierung einer Blockchain zur Verwaltung von Zertifikaten
Programmierung einer Blockchain zur Verwaltung von Zertifikaten
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter
 
Fachfrühstück iPhone Juni 2010
Fachfrühstück iPhone Juni 2010Fachfrühstück iPhone Juni 2010
Fachfrühstück iPhone Juni 2010
 
Cross-Apps-Entwicklung für iPhone, Android und Co.
Cross-Apps-Entwicklung für iPhone, Android und Co.Cross-Apps-Entwicklung für iPhone, Android und Co.
Cross-Apps-Entwicklung für iPhone, Android und Co.
 
Warum eine Multi-Faktor-Authentifizierung der beste Schutz vor Hackern ist
Warum eine Multi-Faktor-Authentifizierung der beste Schutz vor Hackern istWarum eine Multi-Faktor-Authentifizierung der beste Schutz vor Hackern ist
Warum eine Multi-Faktor-Authentifizierung der beste Schutz vor Hackern ist
 
2 Faktor Authentifizierung - WordPress Login absichern
2 Faktor Authentifizierung - WordPress Login absichern2 Faktor Authentifizierung - WordPress Login absichern
2 Faktor Authentifizierung - WordPress Login absichern
 
iOS Security
iOS SecurityiOS Security
iOS Security
 
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always VerifyZero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verify
 
Unbare Zahlung im Einzelhandel
Unbare Zahlung im EinzelhandelUnbare Zahlung im Einzelhandel
Unbare Zahlung im Einzelhandel
 
Big Data User Prediction: Siegfried Stepke, e-dialog
Big Data User Prediction: Siegfried Stepke, e-dialog Big Data User Prediction: Siegfried Stepke, e-dialog
Big Data User Prediction: Siegfried Stepke, e-dialog
 
Презентация компании Chiffry "Шифрованная телефония"
Презентация компании Chiffry "Шифрованная телефония"Презентация компании Chiffry "Шифрованная телефония"
Презентация компании Chiffry "Шифрованная телефония"
 
ForgeRock Webinar - Was ist Identity Relationship Management?
ForgeRock Webinar - Was ist Identity Relationship Management?ForgeRock Webinar - Was ist Identity Relationship Management?
ForgeRock Webinar - Was ist Identity Relationship Management?
 
Serverside Cryptoparty
Serverside CryptopartyServerside Cryptoparty
Serverside Cryptoparty
 
SharePoint, HTML5 und mobile Geräte (SharePoint UserGroup Dresden 11/2011)
SharePoint, HTML5 und mobile Geräte (SharePoint UserGroup Dresden 11/2011)SharePoint, HTML5 und mobile Geräte (SharePoint UserGroup Dresden 11/2011)
SharePoint, HTML5 und mobile Geräte (SharePoint UserGroup Dresden 11/2011)
 
Verbessere Deinen Telesales mit LeadDesk
Verbessere Deinen Telesales mit LeadDeskVerbessere Deinen Telesales mit LeadDesk
Verbessere Deinen Telesales mit LeadDesk
 
Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)
 
SwissWallet - Die digitale Währung heisst Vertrauen
SwissWallet - Die digitale Währung heisst Vertrauen SwissWallet - Die digitale Währung heisst Vertrauen
SwissWallet - Die digitale Währung heisst Vertrauen
 
Was kann denn schon passieren? Sicherheit in Magento-Shops
Was kann denn schon passieren? Sicherheit in Magento-ShopsWas kann denn schon passieren? Sicherheit in Magento-Shops
Was kann denn schon passieren? Sicherheit in Magento-Shops
 

Developercamp 08032018 der-zweite_faktor_thilo_roehl

  • 1. Der 2. Faktor Developercamp – 09.03.2018 Aktuelle Authentifzierungsmethoden in der Praxis Dipl. Inform. Thilo Röhl
  • 3. Die 10 häufigsten Passwörter Deutschland 1. hallo 2. passwort 3. hallo123 4. schalke04 5. passwort1 6. qwertz 7. arschloch 8. schatz 9. hallo1 10. ficken http://www.maclife.de/news/diese-passwoerter-sollten-keinen-fall-verwenden-10086942.html
  • 4. Die 10 häufigsten Passwörter International 1. password 11. letmein 2. 123456 12. monkey 3. 12345678 13. 696969 4. 1234 14. abc123 5. qwerty 15. mustang 6. 12345 16. michael 7. dragon 17. shadow 8. pussy 18. master 9. baseball 19. jennifer 10. football 20. 11111 http://www.netzpiloten.de/die-25-haufigsten-passworter-und-pins/
  • 5. Passwörter • Komplexe Passwörter landen auf dem Schreibtisch • Einfache Passwörter sind leicht zu knacken • "Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang“ • MsiaupmmZdMl • Ein Passwort – viele Dienste. Ein Dienst wird gehackt • Passwort Reset über Emailadresse - > Angriffe über gekapertes Emailkonto • Ersatz mit Google/Facebook Login ? • Keepass 2 auf mobilen Gerät – Passwortdatei über Google gesynced?
  • 6. 2 Faktor Authentifizierung • Starke Authentifizierung besteht aus zwei unabhängigen Faktoren • Etwas das ich besitze -> Ein Token, Ein Smartphone • Etwas dass ich weiß - > Ein Passwort, Bilderkombination • Etwas das ich habe -> Ein Fingerabdruck, Iris, Herzschlag, Stimme
  • 7. Biometrie und NFC • Angriffe mit Klebemasse • Angriffe über die Funkschnittstelle und passives Abhören • Bisher wenig in der Masse, für den Business Bereich: Zentrale Verwaltung des Keymaterials nötig -> Datenschutz • Neuerdings auch implantierte NFC Chips, eigentlich eher für Pferde Bild © Computermagazin c't http://www.heise.de/newsticker/meldung/Biometrie-Verfassungsbeschwerde-Das- endlose-Warten-1667170.html?view=zoom;zoom=1
  • 8. Mobile und SMS • Jeder hat ein Mobiltelefon • Keine Kosten für das Token • SMS nicht zuverlässig • Spezielle Trojaner für Mobiltelefone
  • 9. Mobile und App • Google Authenticator • One App, Several Services -> Facebook, Google, Clavid.ch • Smartphones zunehmend verbreitet • Gerootete Smartphones ? Verlust von Smartphones ? • Nur mit Mobile Device Management zu empfehlen - > Umsetzung von Unternehmensrichtlinien
  • 10. Passwortgeneratoren – Token ohne Rechner • Unabhängig von Software • Sehr sicher – verwenden internes Geheimnis, dass man sich nicht stehlen lassen sollte (RSA 03/2011) • Sehr zuverlässig • Verhindern das Teilen von Zugangsdaten nicht http://webcam/get_your_login
  • 11. Token am Rechner – offener Stand FIDO U2F • FIDO ist ein Industriestandard mit vielen Partnern, hier U2F Standard • Unterstützung von Windows 10 und Google • Unterstützung aktuell (9/2015) von Chrome, noch kein Firefox Support • Keine Treiber, ab 35 € • Beispiel Yubikey NEO
  • 12. Zertifikate im Rechner „Softwarezertifikate“ • Public Key Infrastruktur benötigt • Angriff vom Rechner aus möglich • Diebstahl wird nicht erkannt • PIN Eingabe sinnvoll • Lifecycle benötigt – Sperrliste Certificate Revocation List (CRL) muss immer verfügbar sein Certificate Authority User Zertifikat
  • 13. Zertifikate im Rechner mit TPM geschützt • Trusted Platform Module • An den Rechner gebunden • Schützt Softwarezertifikate im Rechner • Vertrauen auf Hardwarelieferanten • Keine Kosten für zusätzliche Hardware • Diebstahl von Schlüsselmaterial bei richtiger Implementierung sehr aufwändig (Zugang Rechner nötig, Kryptoangriffe) • PIN sinnvoll Picture © by Wikipedia, Guillaume Piolle
  • 14. Zertifikate am Rechner mit Smartcard geschützt • Angriffe auf das Schlüsselmaterial extrem erschwert • Benötigt Treiber für Smartcard, Benutzung von MS Minidrivern möglich • Beispiel Bankensektor : HBCI mit Smartcard • Chipkartenleser mit Display (Klasse 3) 65 €
  • 15. Zwei Kunden – Analyse nach Nutzergruppe 70 000 Nutzer, Inhouse Service PKI, interne Nutzer Externe SMS 3 000 Nutzer, Cloud Service Token Mobile App App on Desktop Mobile SMS
  • 16. Ausblick • Authentifizierung ganzheitlich betrachten, dazu auch Account Lifecycle und Passwort Resets ansehen • Mit Einbeziehung weitere Faktoren wie Zugangskontrollsysteme, Geolocation, Endgeräte, Historie der Transaktionen • Step Up Authentifikation - > Zusätzliche Authentifizierung bei kritischen Transaktionen wie Kontoüberweisung über einem Limit • Analyse der Transaktionen in Echtzeit • Aktuelle Empfehlungen des BSI beachten – Security ist ständig im Fluss
  • 17. Homework 1: Facebook sichere Anmeldung • Kontoeinstellungen, Sicherheit • Aktivierung der Anmeldebestätigung per Handy • Aktivierung Codegenerator – mit Facebook App und auch mit Google Authenticator möglich • Optional : Zuverlässige Kontakte • Optional : Nachlasskontakt
  • 18. Homework 2: Google 2 Schritt Anmeldung • https://myaccount.google.com • Anmeldungen und Sicherheit • Passwort und Anmeldeverfahren, FIDO Token:
  • 19. Sicher ist, dass nichts sicher ist. Selbst das nicht. Ringelnatz, dt. Kabarettist • Keepass http://keepass.info/ • Sicher im Netz https://www.sicher-im-netz.de/passwort-wechsel-app-1 • Bundesamt Sicherheit Informationstechnik https://www.bsi-fuer- buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.html
  • 20. Zusammenfassung • Passwörter • Biometrie / NFC • Mobile SMS • Mobile App • Token am Rechner nach FIDO Standard • Zertifikate im Rechner • Zertifikate im Rechner in einem TPM • Zertifikate am Rechner in einer Smartcard • Verweis auf BSI Empfehlung