Crashkurs: Digitale Selbstverteidigung - Teil 1: Passwörter, 2FA, etc. Burkhard Ringlein, Schatzmeister LOAD e.V - Verein für liberale ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Crashkurs: Digitale
Selbstverteidigung
Teil 1: Passwörter, 2FA, etc.
Burkhard Ringlein, Schatzmeister LOAD e.V. – Verein für liberale Netzpolitik
Friedrich-Naumann-Stiftung für die Freiheit / Thomas-Dehler-Stiftung
18.01.2022
https://www.load-ev.de
Digitale Selbstverteidigung
Warum ich? Verteidigung? Gegen wen?
Macht das nicht jemand Warum?
anderes für mich?
Heute:
1. Gegen kriminelle „Hacker“
Naja, es ist Alltag, wie 2. Gegen Überwachung
Schuhe binden oder essen... & Verfolgung
→ Gegen Freiheitsverlust
Digitale Selbstverteidigung – Teil 1
Agenda:
1) Hintergrund („Motivation“)
2) Sichere Passwörter: viele Legenden und ein Ausweg
3) Passwortmanager: ...besser…
4) Zwei-Faktor Authentifizierung (2FA): ...noch besser…
5) Passwortmanager und 2FA Live ...für alle!
6) → Ihre Fragen Kein „Nerd-Wissen“ erforderlich!
Ziel: Sie alle, verwenden nur noch wenige sichere Passwörter, installieren sich gleich
heute noch einen Passwortmanager und kennen 2FA!
4
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022
Hintergrund & Motivation
Identitätsdiebstahl & Betrug
●
Benutzung von persönlichen Daten (z.B. Name, Geburtsdatum, Anschrift,
Kreditkartennummer), um auf fremde Kosten online Verträge abzuschließen
●
z.B.: Abos von Video-Streaming Diensten, Dating Portale, Office Pakete, Online Shopping
●
c.a. 80.000 – 100.000 Fälle pro Jahr in Deutschland (PKS 2019 [1])
– In ~ 30% der Fälle mehr als 1.000€ Schaden [2]
– Häufig bleibt das Opfer auf den Kosten sitzen
●
Hauptursache: Unsichere und gleiche Passwörter für viele Dienste
→ Passwortsicherheit
6
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022
Idenditätsdiebstahl: Beispiele (1/2)
[3]
[3]
7
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022
Idenditätsdiebstahl: Beispiele (2/2)
[25]
9
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022
Warum ich? Warum verteidigen?
●
Ob wir wollen oder nicht:
– Internet ist (fast) überall, (fast) nichts geht ohne
– Daten und Metadaten sind integraler Teil unseres Lebens
– Mit einem falschem Umgang gefährden nicht nur uns selbst,
sondern auch unsere Familie + Freunde
●
Es gibt keine „gute“ und „böse“ Technik → alles hängt von der Verwendung ab
●
Das Internet ist kein Neuland → es gibt viele & einfache Möglichkeiten sich zu schützen
●
...muss aber jede/r selber lernen
●
→ dafür sind wir ja hier….
14
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022
Sichere Passwörter
15
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022Das Problem mit zu einfachen Passwörtern…
●
persönlicher E-Mail-Verkehr von Bashar al-Assad
veröffentlicht (2012)
→ 12345
●
Einbruch in Paris Hilton’s T-Mobile Konto und Diebstahl
von Fotos (2005)
→ tinkerbell
●
noch mehr schlechte Passwörter
schatz, nadine, daniel, frankfurt, hallo, sommer,
123456, passwort, abc123, qwerty, letmein, 111111
●
( & Identitätsdiebstahl → wie vorhin erwähnt)
16
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022Mythen über Passwörter
Sie müssen „schlecht zu merken“ sein
Falsch!
●
●
Sie müssen mindestens eine Zahl, ein Sonderzeichen, ein Großbuchstaben, etc. enthalten
●
Sie sollten häufig gewechselt werden….
●
Stattdessen, Passwörter sollten:
– Möglichst lang sein
– Niemals doppelt verwendet werden
– Am besten in einem Passwort Manager gespeichert sein
●
Weiterführende Literatur: [17, 18]
17
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022„übliches Passwort“ → einfach zu erraten (für einen Computer) → Schlecht
Passphrase → schwer zu erraten (für einen Computer) → Aber einfach zu merken → Gut
18
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022 [19]Sichere Passwörter
●
Am Besten lange Passphrasen, mit mindestens 4 Wörtern (ohne Zusammenhang!)
→ zufällige Worte
●
Bei Bedarf: Sonderzeichen/Zahlen dazwischen → In Summe mindestens 15 Zeichen
●
Erstellung: Passwörter erwürfeln! („Diceware“ von A.G. Reinhold [20])
[21]
gepard4gelder&tast+kehlig
[21] (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022
19→ 3 * 1042 Jahre
...maximal, geht auch
kürzer
heutige Supercomputer
→ Kürzer, z.B. 106 Jahre
…oder nur Tage, wenn
„gut geraten“ wird
(→ Further Reading [28])
https://www.security.org/how-secure-is-my-password/
21
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022HowTo: Sichere Passwörter
●
Längere Erklärung:
– Deutsch: https://helmschrott.de/blog/diceware-passwort-sicher-einfach
– Englisch: https://www.eff.org/deeplinks/2016/07/new-wordlists-random-passphrases
●
Wortlisten:
– Deutsch:
●
TXT: http://world.std.com/~reinhold/diceware_german.txt
●
PDF: http://world.std.com/~reinhold/Diceware_German.pdf
– Englisch:
●
Normal: https://www.eff.org/files/2016/07/18/eff_large_wordlist.txt
●
Mit z.B. Star Wars oder Harry Potter Kontext:
https://www.eff.org/deeplinks/2018/08/dragon-con-diceware
22
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022Passwortmanager
23
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022Passwortmanager
01101110100100100
meintollespasswort Amazon: ASDH6fabfa
11011000111010001
Facebook: D/“g4HSadg
….
24
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022Passwortmanager
kostenlos kostenpflichtig
Vorteil: ein Passwort merken und viele starke Passwörter bekommen
Nachteil: Selbst um Synchronisation kümmern (KeePass)
oder Anbieter vertrauen (1Password)
(Sehr ausführlicher Vergleich:
https://www.heise.de/ratgeber/Im-Test-25-Passwortmanager-fuer-PC-und-Smartphone-5049332.html?seite=all )
25
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022Beispiel: Keepass
[23]
[22]
26
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022HowTo: KeepassXC
●
PC: https://keepassxc.org
●
Android: https://play.google.com/store/apps/details?id=keepass2android.keepass2android
●
iOS: https://apps.apple.com/de/app/keepassium-keepass/id1435127111
●
Browser Plugin:
– Firefox: https://addons.mozilla.org/de/firefox/addon/keefox/
– Chrome/Chromium:
https://chrome.google.com/webstore/detail/keepassxc-browser/oboonakemofpalcgghocfoadofidjkkk
●
Synchronisation der Passwortdatei (*.kdbx) z.B. über:
Dropbox, Google Drive, USB Sticks, böse Nachbarn…
(d.h. die kann man überall speichern, die ist sicher verschlüsselt)
●
Detailierte Anleitung:
https://www.heise.de/ratgeber/Passwoerter-systemuebergreifend-verwalten-und-synchronisieren-mit-Keepass-5064157.html?seite=
all
27
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022Keepass: Synchronisation
●
Den „Passwortsafe“ muss man zwischen seinen Geräten synchronisieren
– Es sei denn, man möchte immer alle Passwörter von einem Gerät abtippen
– ...aber auch dann, empfiehlt sich ein Backup!
●
Synchronisation ist notwendig nach jeder Änderung
●
Synchronisieren ist unproblematisch, der Passwortsafe ist sehr stark verschlüsselt
– Also kein Problem es via Dropbox, Google Drive, iCloud,… zu synchronisieren
– Oder auf einem USB Stick sichern
28
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022Alternative: spectre.app
●
Max Mustermann + masterpasswort + Amazon = Towf8)Habu$
●
Benötigt keine Backups, Synchronisation oder Internetzugang
●
ABER:
– kann keine gegebenen Passwörter speichern
– Wenn das Masterpasswort geändert wird, ändern sich alle
Passwörter
●
Zu finden: https://spectre.app
– Früher (masterpasswordapp.com)
– Aktuell nur für iOS einfach verwendbar
29
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022Zwei-Faktor Authentifizierung
(2FA)2FA: Ganz einfach noch mehr Sicherheit
●
Mit 2FA braucht man einen zweiten Faktor – neben dem Passwort – zum Login
→ Beispiele:
– Einen extra Code, der einmalig für wenige Minuten gültig ist per SMS
– Extra App, die jede Minute einen einzigartigen Code generiert. Durch eine einmalige
Synchronisation am Anfang, kennt die Website den aktuell gültigen Code
– Extra Hardware: Keycards oder USB Keys
●
→ mehr Sicherheit, denn ein Angreifer muss damit Ihr Passwort kennen und Ihr Handy in
der Hand haben (oder kontrollieren)
(oder die Keycard geklaut haben)
●
An Backup-Codes denken! Wenn Handy/Keycard verloren geht, braucht man ja trotzdem
einen zweiten Faktor…
– Backup-Codes generieren und ausdrucken
31
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 202232 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022
33 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022
34 (c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022
Time-based One-Time Password (TOTP)
Einmalige Einrichtung:
[27] [26]
37
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022HowTo: TOTP
●
Android:
– https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2
– https://play.google.com/store/apps/details?id=com.azure.authenticator
●
iOS:
– https://apps.apple.com/ch/app/google-authenticator/id388497605
– https://apps.apple.com/ch/app/microsoft-authenticator/id983156458
●
..aber auch viele weitere...
38
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022Wer bietet 2FA an?
●
Inzwischen sehr viele!
●
Eigentlich alle Banken, Paypal, etc.
●
Google, Amazon, Apple, Facebook, Twitter, Dropbox, eBay, etc.
●
Ausführliche Listen:
– https://2fa.directory (Englisch, international)
– https://www.2fa.jetzt/dienste/ (Für Deutschland)
39
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022Worauf noch zu achten ist
Identitätsdiebstahl: Worauf noch zu achten ist
●
Login nur mit SSL/HTTPS!
●
Bei wichtigen Seiten: URL überprüfen
●
Bei Online-Banking, Paypal etc:
– auf URL und richtiges Zertifikat achten!
– 2FA aktivieren und einhalten!
(also z.B. ein Gerät zum überweisen, ein anderes zum
authentifizieren)
– Im „privaten Modus / Fenster“ verwenden & wieder ausloggen
●
Passwörter wechseln wenn Gefahr der Kompromittierung besteht
●
Updates installieren!
41
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022HowTo: Potentielle Gefahren erkennen
https://haveibeenpwned.com
42
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022Lektüreempfehlung:
BSI: IT Sicherheitsleitfaden für Kandidierende bei
Bundes- und Landeswahlen
https://www.bsi.bund.de/SharedDocs/Downloads/DE
/BSI/Publikationen/Broschueren/Leitfaden-Kandidier
ende.pdf
43
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022Zu guter Letzt…
Digitale Selbstverteidigung…
●
… ist kein Hexenwerk!
●
… kann jeder lernen!
●
… ist so einfach und notwendig wie z.B. ein Führerschein!
●
Aber:
– Es gibt keine „gute“ und „schlechte“ Technik
– → Technik allein kann niemanden vollständig schützen Burkhard Ringlein
– → Politische Rahmenbedingungen / Gesetze Schatzmeister / Treasurer
– → ...auch das macht LOAD e.V. burkhard.ringlein@load-ev.de
@0xcaffee
...freue mich LOAD e.V. - Verein für
liberale Netzpolitik
auf die Diskussion! @loadev
load-ev.de
45
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022Appendix
References (1/2)
1: https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/PolizeilicheKriminalstatistik/2019/Jahrbuch/
pks2019Jahrbuch4Einzelne.pdf?__blob=publicationFile&v=4
2: https://de.statista.com/statistik/daten/studie/649357/umfrage/hoehe-der-finanziellen-schaeden-durch-identitaetsklau-in-
deutschland/
3: https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/welche-folgen-identitaetsdiebstahl-im-internet-haben-kann-
17750
4: https://de.wikipedia.org/wiki/Ohrmarke#/media/Datei:Oeremaerke.jpg
5: https://blog.wiwo.de/look-at-it/2020/11/11/wie-viel-persoenliche-daten-wert-sind-markt-fuer-datenhandel-weltweit-200-
milliarden-dollar/
6: https://www.heise.de/newsticker/meldung/Vor-fuenf-Jahren-kaufte-Facebook-WhatsApp-wie-geht-es-weiter-4312349.html
7: https://www.statista.com/statistics/266249/advertising-revenue-of-google/
8: https://de.statista.com/statistik/daten/studie/1088022/umfrage/umsatz-der-payback-gmbh/
9: https://www.meineschufa.de/index.php?site=7&via=menu
10: https://www.justsecurity.org/10311/michael-hayden-kill-people-based-metadata/
11: https://twitter.com/AlecMuffett/status/957628347617562624/photo/1
12: https://www.onlinestatusmonitor.com/data_summary/
13: https://www.heise.de/security/meldung/WhatsApp-Was-der-Online-Status-ueber-die-Nutzer-verraet-2480333.html
14: https://www.asawicki.info/news_1453_social_graph_-_application_on_facebook
15: https://netzpolitik.org/2015/edward-snowden-ueber-ich-hab-nichts-zu-verbergen/
52
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022References (2/2)
16: https://www.google.de/maps/place/Burgw%C3%A4chter/@49.4557089,11.0656689,15.38z/data=!4m8!1m2!2m1!1sBurgw
%C3%A4chter!3m4!1s0x479f57b015cf46d3:0x5dfd440966b02c42!8m2!3d49.4575184!4d11.0766852
17: https://www.golem.de/news/imho-tag-der-unsinnigen-passwort-ratschlaege-1802-132533.html
18: https://www.heise.de/newsticker/meldung/Kommentar-Der-Aendere-dein-Passwort-Tag-ist-gut-gemeinter-Unsinn-4293393.html
19: https://xkcd.com/936/
20: https://de.wikipedia.org/wiki/Diceware
21: https://helmschrott.de/blog/diceware-passwort-sicher-einfach
22: https://linuxnews.de/2020/07/keepassxc-2-6-veroeffentlicht/
23: https://www.heise.de/ratgeber/Passwoerter-systemuebergreifend-verwalten-und-synchronisieren-mit-Keepass-5064157.html?
seite=all
24: https://www.brigitte.de/familie/schlau-werden/schmerzen-nach-der-geburt--helfen-gefrorene-kondome--10922016.html
25: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Wie-geht-Internet/
Identitaetsdiebstahl-Social-Media/identitaetsdiebstahl-social-media_node.html
26: https://blog.cloudflare.com/you-can-now-use-google-authenticator/
27: https://stackoverflow.com/questions/36527941/google-authenticator-as-single-login-method
28: https://blog.1password.com/1password-hashcat-strong-master-passwords/
53
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022Diese Präsentation wurde mit und dank Freier* Software
erstellt
* frei wie in freie Meinungsäußerung
Mehr über Freie Software:
54
(c) BY-NC-SA 4.0 / B. Ringlein, LOAD e.V. / 2022Sie können auch lesen
