Umdenken beim Thema Passwortsicherheit
Transcrição
Umdenken beim Thema Passwortsicherheit
Umdenken beim Thema Passwortsicherheit [email protected] Motivation (1) Angabe zur Passwortqualität Nicht: stark, mittel, schwach Sondern: Knackdauer Quelle: http://www.heise.de/security/meldung/Crypto-Tool-sagt-Knackdauer-fuer-Passwoerter-voraus-1037592.html s. auch http://www.hammerofgod.com/passwordcheck.aspx 2 Motivation (2) 41% der Bürger verändern ihr Passwort nie Forderung nach Vorgabe zu • Länge • Schwierigkeitsgrad • Wechselintervall Quelle: http://www.heise.de/newsticker/meldung/Das-Passwort-Die-einzige-Konstante-im-Leben-1030313.html Ziel des Vortrags Diskussions- und Denkanstoß zu Passwortkonventionen, um IT-Sicherheit für Nutzer „erträglich“ zu gestalten 4 Gliederung Identifizierung & Authentifizierung Passwortrichtlinien Password-Recovery Theorie Folgerungen Passwortrichtlinien Vorschlag Ausgangslage Interaktion mit einem technischen Infomationsverarbeitungssystem erfordert Identifizierung und Authentifizierung Authentifizierungsmethoden • • • • Passwort Biometrische Verfahren SmartCard, Dongle, etc. persönliche Authentifizierung Authentifizierungshilfsmethoden • Biometrie verwendet i.d.R. Passwörter im Hintergrund • Smart Card erfordert PIN (=Passwort) • … Wir kommen nicht drum herum, uns weiterhin mit Passwörtern zu beschäftigen 8 Passwortrichtlinien Vorgaben für Passwörter beziehen sich auf • Länge • Komplexität (Zeichenvorrat) • Wechselintervall • Historie • Sperrung 9 Entstehung von Passwortrichtlinien Abhängigkeit der Größen • Geschwindigkeit beim Knacken => Länge, Komplexität, Wechselintervalle • Ausprobieren verhindern (Brute-Force) => Zwangssperre nach x Fehleingaben 10 Ein wenig Theorie Geschwindigkeiten beim Knacken von Passwörtern möglich: 1 Milliarde 𝑃𝑎𝑠𝑠𝑤ö𝑟𝑡𝑒𝑟 𝑆𝑒𝑘𝑢𝑛𝑑𝑒 realistisch: 100 Millionen 𝑃𝑎𝑠𝑠𝑤ö𝑟𝑡𝑒𝑟 𝑆𝑒𝑘𝑢𝑛𝑑𝑒 (Annahme für alle folgenden Beispiele) s. auch http://www.hwe-forum.de/index.php?topic=12670.0 11 Theorie Zeichenvorrat Basis 10: 0123456789 Basis 26: abcdefghijklmnopqrstuvwxyz Basis 36: abcdefghijklmnopqrstuvwxyz 0123456789 Basis 52: abcdefghijklmnopqrstuvwxyz ABCDEFGHIJKLMNOPQRSTUVWXYZ Basis 62: abcdefghijklmnopqrstuvwxyz ABCDEFGHIJKLMNOPQRSTUVWXYZ 0123456789 Basis 76: abcdefghijklmnopqrstuvwxyz ABCDEFGHIJKLMNOPQRSTUVWXYZ 0123456789 !@#$%^&*()-=_+ Basis 96: abcdefghijklmnopqrstuvwxyz ABCDEFGHIJKLMNOPQRSTUVWXYZ 0123456789 !@#$%^&*()-=_+ []\"{}|;':,./<>?`~ Quelle: http://www.hammerofgod.com/passwordcheck.aspx 12 Theorie: Zeichenvorrat und Länge sicher Sicher S1cher S1che! S1c#e/ 6 * 26 Zeichen 6 * 52 Zeichen 6 * 62 Zeichen 6 * 76 Zeichen 6 * 96 Zeichen 2,3 Sek 171 Sek 420 Sek 19 Min 61 Min sicher sicherer hochsicher absolutsicher 6 * 26 Zeichen 8 * 26 Zeichen 10 * 26 Zeichen 13 * 26 Zeichen 2,3 Sek 25 Min 129 Std 33,5 Jahre 13 Theorie: Zeichenvorrat oder Länge Anzahl der möglichen Passwörter 𝐴=𝑧 Z - Zeichenvorrat L – Länge => Länge statt Komplexität 𝐿 14 1. Folgerung Eine sinnvolle Passwortrichtlinie muss sich (u.a.) an der erreichbaren KnackGeschwindigkeit orientieren 1995: 1999: 2010: *) mit Basis 76 8 Zeichen*) -> ca. 223 Tage 8 Zeichen*) -> ca. 35 Tage 8 Zeichen*) -> ca. 53 Stunden 9 Zeichen*) -> ca. 170 Tage 15 Wen hemmt Komplexität ? Komplexe Passwörter basieren auf einem Zeichenvorrat von bis zu 96 Zeichen Anzahl der möglichen Passwörter: 𝐴 = 968 = 7.213.895.789.838.336 7,2 𝐵𝑖𝑙𝑙𝑖𝑎𝑟𝑑𝑒𝑛 𝐴 = 9610 = 66.483.263.599.150.104.576 (66 𝑇𝑟𝑖𝑙𝑙𝑖𝑜𝑛𝑒𝑛) 16 Passphrases Passphrases basieren auf dem Wortschatz von 500.000 bis 3 Millionen Worten 𝐴 = 500.0003 = 125.000.000.000.000.000 (125 𝐵𝑖𝑙𝑙𝑖𝑎𝑟𝑑𝑒𝑛 𝑏𝑒𝑖 𝑑𝑟𝑒𝑖 𝑊𝑜𝑟𝑡𝑒𝑛) 𝐴 = 500.0004 = 62.500.000.000.000.000.000.000 (62 𝑇𝑟𝑖𝑙𝑙𝑖𝑎𝑟𝑑𝑒𝑛 𝑏𝑒𝑖 𝑣𝑖𝑒𝑟 𝑊𝑜𝑟𝑡𝑒𝑛) 17 2. Folgerung Eine Passphrase mit drei oder mehr Worten ist einem Passwort mit 8 bis 10 Zeichen jederzeit vorzuziehen. Passwort: 𝐴 = 9610 = 6,65 × 1019 (66 𝑇𝑟𝑖𝑙𝑙𝑖𝑜𝑛𝑒𝑛) Passphrase: 𝐴 = 500.0004 = 6,25 × 1022 (62 𝑇𝑟𝑖𝑙𝑙𝑖𝑎𝑟𝑑𝑒𝑛) 18 Passworterstellung Ich gehe gerne Klettern und GeoCachen IggKuG IggK&G I9gK&G I9g(K&G) 22 Minuten 148 Minuten 151 Minuten 607 Tage 19 Passwortsystematik Passwort: I9g(K&G) Für verschiedene Anwendungen: => NoI9g(K&G)tes 4,7 Milliarden Jahre => WinI9g(K&G)dows 33 Billionen Jahre => InI9g(K&G)ternet 1,8 Billiarden Jahre 20 Passwortsatzerstellung bei monatlichem Wechsel: ImOktoberschließeichmeineDiplomarbeitab 180,579,040,429,099,000,000,000,000,000,000,000,00 0,000,000,000,000 (180,6 Oktillionen) Jahre 21 Wen sperren Eingabesperren aus? These: Zwangssperren nach x-maliger falscher Passworteingabe verhindern eher die berechtigte als die unberechtigte Nutzung. Begründung: - Angriff durch Loginversuch vor Ort - Angriff durch Loginversuch über Netzwerk - Denial-of-Service durch Fehleingaben 22 3. Folgerung Eine sinnvolle Passwortrichtlinie muss sich an den technischen Absicherungsmöglichkeiten orientieren und gegen die Bedrohung gerichtet sein. eher unzweckmäßig: Sperre nach 3 Fehleingaben zweckmäßiger: verzögert Neueingabe nach Fehleingaben 23 Passwordkonvention (1) Wie könnte eine moderne, zukunftsorientierte Vorgabe für Passwörter aussehen? 24 Passwortkonvention (2) Ein Vorschlag: Ein Passwort muss entweder • aus mindestens 10 Zeichen bestehen • davon mindestens ein Sonderzeichen und eine Ziffer oder • aus einem mindestens 18 Zeichen langen Passwortsatz bestehen 25 Passwortkonvention (3) Bei Fehleingaben muss das System mit steigenden Verzögerungen vor erneuter Eingabe reagieren. 26 Absicherung Grundlegende Überlegung: Was soll vor wem geschützt werden? 27 Beispiel 1 Arbeitsplatz PC (Grundschutz): • Welche Informationen? • Welcher Aufwand? • Welcher Angreifer? • Welcher Schaden? 28 Beispiel 2 Server oder Server in einer DMZ (erweiterter Grundschutz) • Welche Informationen? • Welcher Aufwand? • Welcher Angreifer? • Welcher Schaden? 29 4. Folgerung Die Forderung an ein Passwort für ein System muss sich auch daran orientieren, wie das System zu erreichen ist und welcher „Schaden“ droht. z.B. APC: 8 Zeichen ohne Komplexität, Wechsel nach 90 Tagen z.B. Server: 16 Zeichen mit Komplexität, Wechsel nach 30 Tagen 30 31 Ich danke Ihnen für Ihre Aufmerksamkeit.