API tools faq
paste
Advertisement
Guest User

Volker Birk zu Paßwort-Handling

a guest
Feb 25th, 2014
145
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 6.34 KB | None | 0 0
raw download clone embed print report
  1. 1) MacOS X unterstützt Verschlüsselung. Das macht bis 10.6 Dein
  2. Heimatverzeichnis, bei 10.7 und 10.8 gleich Deine ganze Festplatte
  3. zu einem Kryptocontainer. Die Funktion heisst FileVault, und Du
  4. findest sie in den Einstellungen unter Sicherheit.
  5.  
  6. 2) Für das Handhaben von Kennwörtern gibt es eine gute Strategie:
  7.  
  8. a) Vermeide Kennwörter wenn möglich und ersetze sie mittels
  9. asymmetrischer Kryptographie. Wie das geht, hängt vom Einzelfall
  10. ab. Häufig sind die Techniken X.509-Zertifikate, OpenPGP-Schlüssel
  11. und SSH-Keys. Hinter diesen komplizierten Bezeichnungen steckt
  12. eine einfache Idee: man generiert ein Schlüsselpaar. Die beiden
  13. Schlüssel gehören zusammen. Denn was man mit dem einen Schlüssel
  14. verschlüsselt, kriegt man auch mit demselben nicht mehr auf,
  15. sondern nur über sein Gegenstück. Den einen Schlüssel hält man
  16. geheim. Den anderen verteilt man oder veröffentlicht ihn gar. Man
  17. nennt den einen den geheimen Schlüssel, den anderen den
  18. öffentlichen. Immer wenn es diese Möglichkeit gibt, nimm kein
  19. Kennwort sondern ein Schlüsselpaar. Den geheimen Schlüssel
  20. speicherst Du immer im Kryptocontainer. MacOS X kann X.509 im
  21. Schlüsselbund speichern. Den findest Du unter Dienstprogramme.
  22. Ein Schlüssel in der asymmetrischen Kryptographie hat immer
  23. mindestens 2048bit, nicht weniger.
  24.  
  25. b) Wo sich Kennwörter nicht vermeiden lassen, benutze lange
  26. Zufallskennwörter, die Du Dir nicht merken kannst. Es gibt
  27. Programme, mit denen man die erzeugen kann, z.B. mkpasswd. Lang
  28. sind Kennwörter mit mindestens 20 Zeichen. Ich generier mal eben
  29. eins, dann hast Du ein Beispiel: fSmzyPs7CTXGG6hyyGeo (niemals
  30. Kennwörter aus dem Internet verwenden, auch nicht aus Kennwort-
  31. Generatoren im Internet). Diese Kennwörter speicherst Du direkt
  32. da, wo sie gebraucht werden – z.B. im Webbrowser. Falls das nicht
  33. geht, speicherst Du sie in einer Datei oder Datenbank – aber die
  34. legst Du dann auf jeden Fall auch in den Kryptocontainer.
  35.  
  36. c) Jede Webseite, jedes Programm bekommt ein anderes zufälliges
  37. solches Kennwort. Keines davon verwendest Du zwei Mal.
  38.  
  39. d) Wo irgend möglich, stellst Du ein, dass nicht das Kennwort
  40. verwendet wird, sondern stattdessen ein gesalzener Hash des
  41. Kennworts. Du musst nicht wissen, was das ist, aber Du musst
  42. wissen, dass das wichtig ist. Wo's nicht geht, da eben nicht.
  43.  
  44. e) Ein Kennwort ist besonders. Das ist das einzige, das Du benutzt
  45. und Dir merkst. Das ist nicht zufällig, und zwar kein Bisschen. Es
  46. braucht auch keine Sonderzeichen, das ist alles Quatsch. Das geht
  47. so: https://xkcd.com/936/ Das ist das Kennwort, was Du zum Öffnen
  48. des Kryptocontainers verwendest. Falls Du MacOS X und FileVault
  49. nimmst, so ist das Dein Anmeldekennwort. Dieses Kennwort musst
  50. Du Dir merken, Du kannst es aber auch – und dieses Kennwort wirst
  51. Du immer wieder mal ändern.
  52.  
  53. f) PINs sind keine Kennwörter. Sie heissen PIN, weil man sie nur ein
  54. paar wenige Mal probieren darf, bevor der Laden dicht ist. Danach
  55. braucht man z.B. ein Kennwort oder eine PIN, um wieder zu öffnen –
  56. letzteres heisst manchmal PUK, und ist wieder eine PIN (nur eine
  57. längere). Eine PUK speicherst Du im Kryptocontainer. Eine PIN
  58. nicht. Die merkst Du Dir, oder Du änderst sie auf etwas, was Du
  59. Dir merken kannst.
  60.  
  61. g) Ein weiteres Kennwort ist besonders. Es ist zufällig und lang wie
  62. die gewöhnlichen. Und dieses Kennwort druckst Du aus. Nein, kein
  63. Scherz. Das speicherst Du gar nicht, auch nicht (bei FileVault)
  64. bei Apple, sondern das druckst Du auf Papier und legst es in den
  65. Tresor oder bringst es zur Bank. Das ist das Masterkennwort, mit
  66. dem Du auf jeden Fall noch an Deine Daten kommst, wenn Du das
  67. aktuelle Anmeldekennwort (nicht vergessen: das änderst Du ja von
  68. Zeit zu Zeit) vergessen hast. Deshalb MUSS ES AUF PAPIER SEIN UND
  69. SONST NIRGENDS. Auch nicht in einem Kryptocontainer, und ohne
  70. schon gleich gar nicht.
  71.  
  72. 3) Verwende niemals ein Mobiltelefon für die Speicherung eines
  73. Kryptocontainers. Mobiltelefone sind allesamt zwingend technisch
  74. völlig unsicher. Die entsprechenden Standards (GSM, 3G, etc.)
  75. schreiben das vor, damit die Geheimdienste nicht nur abhören können,
  76. sondern auch Dein Telefon jederzeit ferngesteuert in eine Wanze
  77. verwandeln. Sobald Dein Gerät also eine Mobiltelefoneinrichtung
  78. hat, ist es für Kryptocontainer gestorben. Denn das kann im Zweifel
  79. nicht nur der Geheimdienst – die Mobilfunkstandards sind auch alles
  80. andere als sicher gegen Missbrauch und Manipulation Dritter.
  81.  
  82. 4) Dein Kryptocontainer befindet sich nur auf einem Gerät und im Backup
  83. dieses Gerätes. Dieses Backup der verschlüsselten Daten sicherst Du
  84. über physischen Zugriffsschutz. Auf das Gerät mit dem Kryptocontainer
  85. gibst Du besonders acht: Du führst es "am Mann", oder es ist
  86. unzugänglich aufbewahrt. Falls Dir das Gerät abhanden kommt, und sei
  87. es nur so, dass Du es wieder bekommst, ist es für Dich verloren. Du
  88. nimmst zukünftig ein anderes Gerät für den Kryptocontainer, niemals
  89. wieder öffnest Du den Container auf dem verlorenen Gerät. Du kannst
  90. ab da andere Dinge damit machen, aber den Kryptocontainer wirst Du
  91. darauf ungeöffnet löschen, und aus dem Backup auf ein anderes Gerät
  92. aufspielen und dann erst wieder öffnen.
  93.  
  94. 5) Wenn Du Apple nicht vertraust, dass sie eine technisch sichere
  95. Implementierung eines Kryptocontainers hinkriegen, es gibt TrueCrypt.
  96.  
  97. 6) Wenn Du Apple nicht vertraust, dass sie Dich nicht beschummeln, dann
  98. nutze ihre Produkte nicht. Es gibt keine Möglichkeit, sich gegen
  99. Manipulationen des Herstellers zu schützen. Aber die meisten
  100. Hersteller haben kein wirtschaftliches Interesse daran, ihre Kunden
  101. in der Hinsicht zu beschummeln – das mit den Mobiltelefonen spielen
  102. sie nur mit, weil sie müssen. Und bei einem Unternehmen frag immer,
  103. was das wirtschaftliche Interesse des Unternehmens darstellt. Nimm
  104. das als Grundlage für jede Einschätzung eines jeden Unternehmens. Die
  105. Trefferquote wird so enorm hoch.
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!