Was die Nutzer brauchen: Gestaltung menschengerechter IT-Sicherheit - Zinaida Benenson - DFN-CERT
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Was die Nutzer brauchen: Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson zinaida.benenson@fau.de Friedrich-Alexander-Universität Erlangen-Nürnberg February 27, 2018
Menschengerechte IT-Sicherheit? Nutzer – “the weakest link”? – Kann man die Nutzer zur IT-Sicherheit • überreden? zwingen? – Sind sie unbekümmert und unwissend? Passwörter • Erkenntnisse aus 20 Jahren weltweiten Forschung – Warum klicken sie auf alles? Phishing • Eigene Forschung 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 2
Treat Your Password Like Your Toothbrush • Choose a good one • Change it regularly • Never share it Wie ist es zu diesen Ratschlägen gekommen? Sind sie evidenzbasiert? 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 3
William Burr et. al: NIST Special Publication 800-63 „Electronic Authentication Guideline”, 2003 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 4
Neue NIST Passwortrichtlinien • Nutzer – Mindestens 8 Zeichen – Das war‘s • Administratoren – Abgleichen neuer Passwörter mit Wörterbüchern und „schwarzen Listen“ – Sichere Speicherung (slow hashing & salting) – Begrenzung der Anzahl der falschen Passworteingaben (throttling) – Wechseln nur bei begründeten Verdacht auf erfolgreiche Angriffe 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 8
Neue NIST Passwortrichtlinien • Nutzer – Mindestens 8 Zeichen – Das war‘s • Administratoren – Abgleichen neuer Passwörter mit Wörterbüchern und „schwarzen Listen“ – Sichere Speicherung (slow hashing & salting) – Begrenzung der Anzahl der falschen Passworteingaben (throttling) – Wechseln nur bei begründeten Verdacht auf erfolgreiche Angriffe 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 9
Wie ist es zu den neuen Richtlinien gekommen? Sind sie evidenzbasiert? 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 10
Users are not the enemy (A. Adams & A. Sasse, Communications of the ACM 1999) • Users do not comply with password policies. Why? • Data collection: 2 companies, surveys, interviews 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 11
Users are not the enemy (A. Adams & A. Sasse, Communications of the ACM 1999) • Users do not comply with password policies. Why? • Data collection: 2 companies, surveys, interviews • Users are not being wicked or stupid – Password mechanisms lack user-centered design • Not aligned with human capabilities 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 12
Passwords & Human Capabilities Angela Sasse, Course “People and Security” @UCL • Limited capacity of working memory • Items stored in memory decay over time • Unaided recall is harder than cued recall • Non-meaningful items are harder to recall than meaningful ones • Similar items compete and are easily confused • Items linger in memory – humans cannot “forget on demand” • Typing errors • Lock-out after 3 attempts too low – Increasing to 10 trials can decrease reset requests by ~45% – Brostoff & Sasse: “Ten strikes and you're out”: Increasing the number of login attempts can improve password usability. CHI Workshop 2003. 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 13
Users are not the enemy (A. Adams & A. Sasse, Communications of the ACM 1999) • Users do not comply with password policies. Why? • Data collection: 2 companies, surveys, interviews • Users are not being wicked or stupid – Password mechanisms lack user-centered design • Not aligned with human memory capabilities • Not aligned with the workflows (working together, delegating) • This makes people violate the policies – Choose weak (guessable) passwords – Reuse – Share 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 14
The true cost of unusable password policies: password use in the wild (P. Inglesant & A. Sasse, CHI 2010) • Data collection: 2 companies, password diaries (3-5 days) and interviews • Conclusion: very similar to “Users are not the enemy” in 1999 • No positive changes after 10 years… 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 15
Choose a good one 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 16
D. Goodin. How crackers ransack passwords like “qeadzcwrsfxv1331” https://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords • 16000 passwords converted into hashes using the MD5, no salting – MD5 is NOT a “good” hash function (can be computed too fast) • Cracked very fast – p@$$word 123456789j letmein1! LETMEin3 • Cracked in 20 hours on a single computer – :LOL1313le momof3g8kids 1368555av – n3xtb1gth1ng qeadzcwrsfxv1331 m27bufford – J21.redskin Garrett1993* Oscar+emmy2 • LinkedIn hack (2012) > 6mln passwords – Hashed with SHA-1& not salted – 90% cracked in 6 days 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 17
Attacks vs. “Strong” Passwords D. Florêncio, C. Herley, P. C. Van Oorschot. "An administrator’s guide to internet password research." Proc. USENIX LISA. 2014. • Attacks – Local attacks: shoulder surfing, Post-its, insider guessing – Phishing and keylogging – Password re-use across sites – Network-based attacks (eavesdropping, man-in-the-middle) – Online brute force / dictionary – Offline brute force / dictionary • Against which attacks do “strong passwords” help? – “Strong” passwords protect against offline attacks • ~ 1012 – 1014 “guesses” (cracking attempts) – Much less “strength” is needed to withstand online attacks • 104 – 106 guesses 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 18
Choose a good one (?!?!) 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 19
A large-scale study of web password habits (D. Florencio, C. Herley, WWW 2007) • 544960 web clients, 3 months in 2007 • Number of accounts per user: 25 • Users have 6-7 passwords on average • Each password shared across 4 different sites on average 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 20
Password reuse seems to be a bad idea… https://arstechnica.com/security/2016/07/password-reuse-tool-makes-it-easy- to-id-vulnerable-accounts-on-other-sites 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 21
Is password reuse REALLY a bad idea? 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 22
Password Portfolios and the Finite-Effort User: Sustainably Managing Large Numbers of Accounts Florencio, Herley, van Oorschot. USENIX Security 2014 • Remember which password belongs to which account – Without remembering passwords for N unique and “random” passwords – N! possible mappings between passwords and accounts – log2(N!) bits to remember: log2(25!) > 80 – Remembering 80 bits • 17 uniformly randomly chosen low-case letters: vtjwahcxkwdpxrzfb wqonawqyqotrilkap • “Unique password for every account” is NOT optimal – Optimally, people should reuse passwords • If they don’t use password managers – Group by account value and probability of compromise 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 23
Change it regularly 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 24
Password Change Y. Zhang et al. The security of modern password expiration: an algorithmic framework and empirical analysis. ACM CCS 2010. • Access to expired passwords at a university – ~ 8000 expired accounts – Policy • Change every 3 month, policy strength: 8 ULNS • Guessing algorithm for passwords of the same user – Assuming knowledge of at least one password • Guessed – 17% of passwords in 5 tries or fewer (online attack) – 41% in under 3 seconds of offline attacking (in 2010) 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 25
New Password Guidelines • UK Government’s “Password Guidance: Simplifying Your Approach” (2016) https://www.ncsc.gov.uk/guidance/password-guidance-simplifying-your-approach • NIST guidelines – https://pages.nist.gov/800-63-3 • D. Florêncio, C. Herley, P. C. Van Oorschot. "An administrator’s guide to internet password research." USENIX LISA. 2014. 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 26
To click or not to click? Strategien der Nutzer im Umgang mit gezielten Phishing-Angriffen • Benenson, Z., Gassmann, F., Landwirth, R. (2017) Unpacking Spear Phishing Susceptibility. In Proc. of the Targeted Attacks Workshop (TA’17) at Financial Cryptography and Data Security. Springer. • Benenson, Z., Girard, A. Hintz, N., Luder, A. (2014) Susceptibility to URL- based Internet Attacks: Facebook vs. Email. In Proc. of the 6th International Workshop on SEcurity and SOCial Networking (SESOC). IEEE. 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 27
Spear Phishing • Gezieltes Phishing – Enthält Namen, manchmal Adressen der Empfänger – Gefälschte bekannte oder plausible Sender – Plausibler oder interessanter Inhalt – Anhang oder Link mit Malware • Anfang vieler Angriffe – APT (Advanced Persistent Threats) – Ransomware 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 28
Forschungsfragen • Gründe fürs Klicken bzw. für den Schutz? • E-Mail versus Facebook: Unterschiede im Klickverhalten? 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 29
2 Studien • E-Mails oder Facebook-Nachrichten an Studierende • Von nichtexistierenden Absendern – Top 10 deutscher Vor- und Nachnamen – Vornamen aus der Generation 20-25 • Inhalt: Link zu Bildern einer Party 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 30
Studie 1 Studie 2 Hi Hey wie gehts? ich hab die bilder von letzer woche wie gewünscht Silvester war ja echt der hammer! hochgeladen. Aber bitte gebe sie Ich hab die bilder mal hier nicht an leute weiter, die nicht hochgeladen: dabei waren ;-) Hier der link: access http:///photocloud/ denied Freu mich schon auf nächstes Hoffe wir sehen uns bald mal mal! wieder! Tobias Sabrina 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 31
27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 32
Ethische Grundsätze • Abwägung: Schaden versus Nutzen – Ist der Schaden größer als im realen Leben? – Ist der Nutzen größer als der Schaden? – Wie können wir den Schaden minimieren? – Wer soll informiert werden? (z.B. Rechenzentrum, Helpdesk) • Zustimmung der Teilnehmer einholen – Nicht: „Wir schicken Ihnen am Tag X eine Phishing-E-Mail“ – Rekrutieren für eine Umfrage „zum Online-Verhalten“ • Nachbesprechung – Wahrer Hintergrund der Studie – Warum kann ein Link gefährlich sein – Zusammenfassung der Ergebnisse 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 33
Verhalten: Email vs. Facebook Persönliche Anrede: Wichtig in E-Mails, aber nicht auf Facebook? Zu beachten: Studie 1 ≠ Studie 2!!! (unterschiedliche Nachrichten) 100% 56% 50% 42.5% 38% 89/158 90/240 20% 119/280 194/975 0% Studie 1: E-Mail Studie 1: Studie 2: E-Mail Studie 2: Studie 1: Studie 1: Facebook Studie 2: Studie 2: Facebook Email Facebook Email Facebook 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 34
Wie erklären die Nutzer ihr Verhalten? zusätzlich in Studie 2 geklickt: 1 Tag warten Umfrage Nachricht mit verschicken: Link nicht geklickt: 7 Tage warten Warum verschicken geklickt / nicht 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 35
Wörtliche Zitate • Ich wollte mir die Fotos ansehen, aus reiner Neugier. Obwohl ich mir dachte, es könnte ein Virus sein - ich habe das Konto daraufhin blockiert. • Wollte sehen, was passiert... • Ich dachte das ist eine Mail von einem Freund und war gespannt auf die Bilder. • Weil ich an den Fotos interessiert war, und die Nachricht durchaus von Leuten stammen hätte können, mit denen ich Silvester verbracht habe. • Weil ich anhand möglicher Bilder erkennen wollte, ob ich die Person eventuell kenne. Da ich privat gefeiert habe und nur wenige mir unbekannte Freunde meiner Freunde da waren, habe ich die Gefahr nicht hoch eingestuft. Ebenso wenig Gefahr empfand ich, da ich die Webmail der Uni bisher für sicher empfand. Zudem Interesse für eventuell lustige Silvesterbilder mir fremder Personen. 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 36
Gründe fürs Klicken (117 Antworten, einige Nutzer nannten mehrere Gründe) • Neugier / Interesse: 34% • Inhalt plausibel, wie erwartet: 27% – Passt zur eigenen Silvesterfeier • Nachforschungen: 17% – Was ist passiert? Kann ich helfen? • Dachten, dass sie den Sender kennen: 16% • Vertrauen in Technologie / Organisation: 11% • Angst: 7% • Automatisch: 3% 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 37
Gründe fürs Nichtklicken (502 Antworten, einige Nutzer nannten mehrere Gründe) • Unbekannter Absender: 51% • Betrugsvermutung 44% • Inhalt nicht plausibel 36% • Form der Nachricht 12 % • Schutz der Privatsphäre 6% 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 38
Anforderungen an Nutzer • Sei misstrauisch! – Selbst wenn du den Absender kennst – Selbst wenn die Nachricht plausibel erscheint – Selbst wenn die Nachricht deinen Erwartungen entspricht • Sei IMMER misstrauisch! 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 39
• Two ways of decision making – System 1 (≈ intuition, effortless) – System 2 (≈ rational reasoning) • System 1 – good mood, intuition, creativity, gullibility (…) form a cluster gullibility = Leichtgläubigkeit • System 2 – sadness, vigilance, suspicion, an analytic approach, and increased effort also go together (literal citations, page 69) 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 40
27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 41
Can Users Be Aware of Targeted Attacks? Should they go into the James Bond mode every time they read a message? public relations sales accounting human resources customer support • Add this to job descriptions • Make sure to pay them adequately 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 42
Könnte das auch einem Experten passieren? • Sicherheitsexperten werden selten angegriffen – Angriffe auf andere Nutzer haben mehr Chancen • Auf die Strategie kommt es an – Passende Gelegenheit, passende Nachricht 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 43
Beispiel 1: Ist das ein Angriff? (anonymisiert) 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 44
From: john.smith@turner.com To: zinaida.benenson@fau.de Subject: CNN request -- about your upcoming Black Hat talk Zinaida, John at CNN here. I’m the news network’s cybersecurity reporter. Here’s a link to my work, in case you’re not familiar with it. I saw the description of your upcoming Black Hat talk. Your topic looks fantastic! Can we get an exclusive look at your research and write the first news story about it? Cheers, John Smith john.smith@CNN.com 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 45
From: john.smith@turner.com To: zinaida.benenson@fau.de Subject: CNN request -- about your upcoming Black Hat talk Zinaida, John at CNN here. I’m the news network’s cybersecurity reporter. Here’s a link to my work, in case you’re not familiar with it. I saw the description of your upcoming Black Hat talk. Your topic looks fantastic! Can we get an exclusive look at your research and write the first news story about it? Zum Glück war diese Nachricht echt, es hätte Cheers, aber Spear Phishing sein können. John Smith Alle Informationen für den Angriff waren online zugänglich! john.smith@CNN.com 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 46
„false negatives“ und „false positives“ • „false negatives“ – Gefährliche Nachrichten werden nicht entdeckt – Sicherheitsexperten konzentrieren sich darauf • „false positives“ sind aber auch problematisch! – Gutartige Nachrichten werden als gefährlich eingestuft • Gelöscht, nicht ernst genommen – Verpasste Chancen – Geschäftliche oder persönliche Konflikte 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 47
Beispiel 2: Ist das ein Angriff? (anonymisiert) 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 48
From: setup@company-I’m-dealing-with.com To: zinaida.benenson@fau.de Subject: Message ID:23519-0297:FRT-92362. Workitem Number: CMPVDM24062016157789020297 Attachment: attach/15072016/29375.docx 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 49
Hi, Please see request details below. Please provide the required information by replying to this email. Query Reason: Banking details Workitem Number: CMPVDM24062016157789020297 Created Date: 15-Jul-2016 Name: Zinaida Benenson Comments: Dear Sir/Madam In order for us to complete the set up of your account within our system,we need your bank account details to which settlement of your invoices should be made. Please complete the attached form in full and return to us, ensuring it has been signed by an authorized signatory. 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 50
Hi, Please see request details below. Please provide the required information by replying to this email. Query Reason: Banking details Auch diese Nachricht war Workitem Number: CMPVDM24062016157789020297 echt, zum Glück habe ich Created Date: 15-Jul-2016 das rechtzeitig gemerkt. Name: Zinaida Benenson Comments: Dear Sir/Madam In order for us to complete the set up of your account within our system,we need your bank account details to which settlement of your invoices should be made. Please complete the attached form in full and return to us, ensuring it has been signed by an authorized signatory. 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 51
Phishing im Organisationskontext • 12.12.2015, 13:30, E-Mail an 2 Dienststellen der Berliner Polizei – Deponieren dienstliche und private Passwörter im „sicheren Passwortspeicher der Polizei Berlin“ + Link zum „neuen Service“ – Corporate Design – Unterschrift: Zentrale Service Einheit (ZSE), Adresse mit Fehlern – Von nichtexistierender Person • Versand an 466 Beamten – 252 haben geklickt, 35 haben Nutzerdaten eingegeben • Nachricht wurde von einer beauftragten Pentesting-Firma verschickt – Von außerhalb der Organisation 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 52
„Pentesting“ the Humans • Vorstandsmitglied der Gewerkschaft der Polizei – Jeden Tag „eine Flut von dienstlichen Mail -- da schaut man nicht mehr so genau hin“ – „Die Polizei ist nur ein Spiegelbild unserer Gesellschaft.“ • Was können wir daraus lernen? – Polizisten sind Menschen ;-) • Was wäre eigentlich das „richtige“ Verhalten? – Jede interne E-Mail überprüfen?! – Internen E-Mails misstrauen?! – Abfällige Kommentare sind hier nicht wirklich angebracht 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 53
Warum ist Security Awareness schwierig? • Aufrechterhalten des Sicherheitsverhaltens ist schwierig – Ständige Wachsamkeit ermüdet – Emotionen und Automatismen springen an • Sicherheitsverhalten kollidiert mit – Reputation, Vertrauen, sozialverträglichem Verhalten, Lebens- und Arbeitspraktiken • Was würde passieren wenn ich … [Sicherheitsverhalten einfügen] – Freunde / Verwandte / Kollegen / Vorgesetzte frage, ob sie wirklich diese E-Mail verschickt haben? 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 54
Was ist machbar? • Angriffe melden? – Es werden viele harmlose Vorkommnisse gemeldet! – Antworten müssen schnell kommen • Verlässliche Indikatoren? (keine „false positives“) – Externe E-Mails kennzeichnen? – Digitale Signaturen? (unbenutzbar?) – Keine „komische“ E-Mails senden • Und Nutzer darüber informieren • Fehler erwarten und darauf vorbereitet sein 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 55
Nutzer Sicherheits- und Datenschutz- Entscheidungen Ressourcen & Fähigkeiten Kosten-Nutzen-Abschätzung Risikowahrnehmung 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 56
Menschengerechte IT-Sicherheit? • Wie können wir die Nutzer zum Sicherheitsverhalten X überreden / zwingen? 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 57
Menschengerechte IT-Sicherheit? • Wie können wir die Nutzer zum Sicherheitsverhalten X überreden / zwingen? 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 58
Menschengerechte IT-Sicherheit • Nutzer sind nicht „das Hauptproblem“ – Was sollen die Nutzer konkret tun? Können sie das tun? • Sind die Nutzer in der Lage, Sicherheitsverhalten X auszuführen? • Stört X wichtige Lebens- oder Arbeitsabläufe? • Auswirkungen auf Produktivität, Geschäftsfälle, Verhaltensnormen, Vertrauen, soziale Beziehungen? • Erhöht X wirklich die Sicherheit? 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 59
Sicherheitsexperten Nutzerzentrierte Sicherheits- und Datenschutz- Maßnahmen Ressourcen und Fähigkeiten der Nutzer Sicherheitsziele + Angreifermodellierung Daten auswerten Nutzer kennenlernen 27.02.2018 Gestaltung menschengerechter IT-Sicherheit Zinaida Benenson 60
Sie können auch lesen