Differences

This shows you the differences between two versions of the page.

--- lehrkraefte:blc:informatik:glf22:security [2023/06/03 08:30]
Ivo Blöchliger [Entropie]
+++ lehrkraefte:blc:informatik:glf22:security [2023/06/04 08:52] (current)
Ivo Blöchliger [Hackme-Challenge]
@@ Line 61: / Line 61: @@
 ===== Überprüfung von Passwörtern =====
+<WRAP todo>
 Nehmen wir an, Sie wollen sich bei der Webseite humpfdidumpf.ch anmelden.
@@ Line 81: / Line 82: @@
   * Je nachdem ist es trivial bis sehr schwierig an die Passwörter zu kommen, siehe oben.
 </hidden>
+</WRAP>
+===== Passwortmanager =====
+Die grundlegensten Funktionen eines Passwortmanagers sind:
+  * Information geschützt durch ein Masterpasswort (oder anderen Mechanismums)
+  * Kann Passwörter sicher generieren und vorschlagen.
+  * Kann zusätzliche Information zu Username/Passwort speichern (typischerweise URLs oder Notizen).
+Überaus nützliche Funktionen:
+  * Import/Export in einem allgemein lesbaren Format (z.B. CSV, JSON), falls mal umgezogen werden möchte.
+  * Interaktion mit Browsern (automatisch Passwörter einfüllen).
+  * Synchronisation über Geräte hinweg
+==== Synchronisation der Passwörter ====
+Die Synchronisation erfolgt meist über eine Cloud, wobei dabei hoffentlich nur die verschlüsselte Passwortdatei synchronisiert wird. Wer das nicht möchte, kann oft auch einfach die verschlüsselte Datei, die die Passwörter enthält auf verschiedene Geräte kopieren. Dazu braucht es allerdings entweder viel Disziplin oder rudimentäre Programmierkenntnisse, um die Datei zu synchronisieren.
+==== Empfehlungen ====
+Ich persönlich verwende [[https://buttercup.pw/|Buttercup]] und das nur auf meinen Linux-Rechnern, meinem Android-Handy vertraue ich keine Passwörter an.
+Ich habe gesehen, dass der Microsoft Authenticator ebenfalls als Passwortmanager fungieren kann. Zur Funktionsweise kann ich leider keine Ausküfte geben.
+===== Zweifaktorauthentifizierung =====
+Passwörter haben inhärente Probleme. Ein Ansatz um die Probleme zu mindern ist die Zweifaktorauthentifizierung. Die Idee ist, über einen zusätzlichen, unterschiedlichen Kanal eine Bestätigung anzufordern. Z.B. via SMS (unsicher) oder eine sichere Hardware (z.B. Yubi-Key oder Biometrie-Chip im Handy).
+Aktivieren Sie wo möglich die Zweifaktorauthentifizierung. Siehe z.B.
+https://www.srf.ch/sendungen/kassensturz-espresso/espresso/identitaetsdiebstahl-gauner-klauen-digitec-login-und-bestellen-waren-ueber-1000-franken
+====== Alternative zu Passwörtern ======
+Anstatt Passwörter können public/private keys verwendet werden.
+Der Vorteil ist, dass der private Schlüssel nie herausgegeben werden muss, sondern nur der öffentliche im Nutzerprofil abgelegt wird. Der Server schickt dann dem Benutzer Zufallsdaten, die der Benutzer mit seinem privaten Schlüssel verschlüsselt. Die verschlüsselten Daten schickt der Benutzer an der Server zurück, der diese mit dem öffentlichen Schlüssel entschlüsselt. Wenn wieder die gleichen zufälligen Daten entstehen, hat der Benutzer bewiesen, im Besitz des privaten Schlüssels zu sein, ohne diesen herauszugeben.
+Einige von Ihnen haben ein solches Schlüsselpaar für ssh und scp für das login auf unseren Webserver generiert.
+Google ist dabei «Security keys» für Google-Accounts auszufahren.
+Um den privaten Schlüssel zu schützen, wird spezielle Hardware verwendet, aus der der Schlüssel nicht ausgelesen werden kann und die direkt Daten mit dem privaten Schlüssel ver- und entschlüsseln kann. In vielen Smartphones und modernen Computern sind solche Chips verbaut, typischerweise gekoppelt mit Biometrie. D.h. diese Chips lassen Ver- und Entschlüsselung von Daten nur nach erfolgreicher Biometrieüberprüfung zu.
+Normalerweise sind die Chips so gebaut, dass auch die Biometrie-Daten den Chip nicht verlassen können.
+====== Hackme-Challenge ======
+[[lehrkraefte:blc:informatik:glf20:hackme|Hier starten!]]