1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Yubikey: Nie mehr schlechte Passwörter

Welchen Angriffsszenarien soll das entgegenwirken?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Welchen Angriffsszenarien soll das entgegenwirken?

    Autor: kaymvoit 11.05.15 - 13:35

    Welchen Angriffsszenarien soll das entgegenwirken?
    Wenn jemand physikalischen Zugriff auf den Rechner hat, kann er ihn kompromittieren und Schadsoftware den Datenbankinhalt übermitteln lassen, sobald die Datenbank vom benutzer entschlüsselt wird?
    Das geliche gilt, wenn der Rechner von außen kompromittiert wird.
    Gerade Frauen bewahren Schlüssel und Handy gemeinsam auf, so dass man bei Verlust direkt den Schlüssel mitliefert.
    Wirksamen Schutz bietet der Key eigentlich nur, wenn der Angreifer nur die verschlüsselte Datenbank zur Verfügung hat, z.B. weil sie in der Cloud liegt. Das geht aber auch anders.

    Ich habe zwei Datenbanken, ein mit normalen Logins, eine mit Bank- und Zahlungsdienstdaten. Beide liegen in der (naja, Own-)Cloud, beide haben ein - relativ kurzes - Passwort und ein Keyfile, dass die Rechner nie verlässt. Die normale Datenbank liegt auch auf dem Handy. Damit ist die verschlüsselte Datenbank wirksam geschützt, wenn z.B. jemand meine Owncloud knackt.
    Smartphone und Rechner sind jeweils wirksam verschlüsselt, PC durch ein sehr langes Passwort, Smartphone durch ein kürzeres, das aber über die TEE des Prozessors läuft.

    Mir fällt eigentlich kaum ein Angriffsvektor ein, in dem meine kostenlose Lösung unsicherer ist als die Key-Methode. Auf der anderen Seite liefert man nciht den Key freihaus mit, wenn man seine Handtasche verliert.

  2. Re: Welchen Angriffsszenarien soll das entgegenwirken?

    Autor: jaykay2342 11.05.15 - 13:42

    Stimmt gegen einen kompromittierten Rechner hilft das Setup nicht.

  3. Re: Welchen Angriffsszenarien soll das entgegenwirken?

    Autor: SchmuseTigger 11.05.15 - 13:58

    kaymvoit schrieb:
    --------------------------------------------------------------------------------
    > Welchen Angriffsszenarien soll das entgegenwirken?

    Das eine Webseite/Dienst/Forum gehackt wird und damit die EMail + Passwort gestohlen werden. Und User dann entweder das gleiche oder nur ein paar (2-3) Passwörter/EMail nutzen die dann eben zu einem Zugang zu zig anderen Diensten verhilft.

  4. Re: Welchen Angriffsszenarien soll das entgegenwirken?

    Autor: jaykay2342 11.05.15 - 14:30

    SchmuseTigger schrieb:
    --------------------------------------------------------------------------------
    > kaymvoit schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Welchen Angriffsszenarien soll das entgegenwirken?
    >
    > Das eine Webseite/Dienst/Forum gehackt wird und damit die EMail + Passwort
    > gestohlen werden. Und User dann entweder das gleiche oder nur ein paar
    > (2-3) Passwörter/EMail nutzen die dann eben zu einem Zugang zu zig anderen
    > Diensten verhilft.

    Ich glaube er wollte darauf hinaus dass keepass einfach mit PW dann auch reicht. Nicht das 1 Passwort für alles reicht.

  5. Re: Welchen Angriffsszenarien soll das entgegenwirken?

    Autor: kaymvoit 11.05.15 - 15:36

    Wäre ja auch zu kompliziert gewesen, meinen Beitrag zu lesen ...

    Also nochmal: Gegen was schützt der Yubikey, gegen das nicht auch ein kostenloses Keyfile auf einem sicher verschlüsselten Endgerät (besser - weil zusammen mit dem Endgerät regelmäßig auch der Yubikey verloren gehen kann) schützt?
    tl;dr: Ich meine, beide Lösungen schützen verlässlich nur ein verschlüsseltes Datenbankfile, das außerhalb des Rechners im Internet rumwimmelt oder sowas.

  6. Re: Welchen Angriffsszenarien soll das entgegenwirken?

    Autor: Johannes Wendt 12.05.15 - 10:55

    Lieber kaymvoit,

    Sie können natürlich auch eine Keyfile nehmen. Die Lösung klingt charmant, beruht aber auf einer sicheren Cloud. Das wäre ein eigener Text geworden. Ich verstehe außerdem noch nicht ganz, was passiert, wenn ein Angreifer Ihre Cloud kompromittiert.

    Zwei Gründe warum ich über die Keyfile nicht geschrieben habe:

    1.
    Der Yubikey ist vielseitiger und das wollte ich zeigen. Die SmartCard-Funktion und die Challenge-Response-Geschichte musste ich sogar aussparen.

    2.
    Eine Keyfile ist ein statischer, zweiter Faktor. Gelangt der in die falschen Hände, ist der Schutz weg. Fängt ein Angreifer ein Einmalpasswort ab, nützt ihm das erst einmal wenig, er braucht schon das Secret. Und das ist im besten Fall nicht auf dem (kompromittierten) Rechner.


    Bestes
    Johannes Wendt

  7. Re: Welchen Angriffsszenarien soll das entgegenwirken?

    Autor: plutoniumsulfat 12.05.15 - 11:10

    Ist das nicht etwas aufwendig, die DB selbst nur mit schwachem Passwörter zu schützen, während alle Endgeräte viel stärkere Passwörter verwenden? Was ist mit Kompromittierung im laufenden Betrieb?

  8. Re: Welchen Angriffsszenarien soll das entgegenwirken?

    Autor: kaymvoit 12.05.15 - 11:36

    Hallo, das ist ein Missverständnis. Die Lösung beruht eben NICHT auf einer sicheren Cloud. In der Cloud liegt lediglich die verschlüsselte Datenbank. Sie liegt in der Cloud, weil sie regelmäßig über verschiedene Geräte synchronisiert werden muss.

    Das Keyfile liegt nur auf den Endgeräten. Dorthin kann es über sichere Kanäle, d.h. z.B. per lokalem Transfer, gelangen, weil es eben NICHT regelmäßig synchronisiert werden werden muss.

    Die Schwachstelle leigt hier nur in einem kompromittierten Rechner, bei dem jemand Zugriff auf das Keyfile hat und damit versuchen kann, das relativ schwache Passwort zu knacken. Das braucht er aber gar nicht, denn er hat ja den Rechner kompromittiert. Genauso wie beim Yubikey muss er einfach nur warten, bis der Benutzer selbst die Datenbank entsperrt und eine Kopie der unverschlüsselten Datenbank machen.

  9. Re: Welchen Angriffsszenarien soll das entgegenwirken?

    Autor: kaymvoit 12.05.15 - 11:59

    Eine zweite Schwachstelle liegt im Totalverlust des Endgerätes. Dagegen schütze ich mich mit dessen kompletter Verschlüsselung. Das ist auch nötig, weil üblicherweise auf dem Endgerät ein Mailaccount eingerichtet ist, der wiederum erlaubt, die meisten Passwörter zurückzusetzen.
    Gerade bei kombiniertem Einsatz mit dem Smartphone ist dagegen nicht unwahrscheinlich, dass man sowohl Yubikey wie Smartphone zusammen verliert. Da man den Yubikey nicht verschlüsseln kann, hätte man dann ein größeres Problem.
    Und gerade im Bereich des Social Engineerings ist es tendenziell wahrscheinlicher, dass jemand kurz in Besitz meines Schlüsselbundes kommt, als dass er an meinem Rechner die Festplatte nach dem Keyfile durchstöbern kann.
    (Deswegen trage ich das Keyfile auch nciht mehr auf dem USB-Stick am Schlüsselbund.)

    Begrenzt hilft dagegen - wenn man es denn nutzt, das Challenge-Response-Verfahren des Yubikey. Aber klappt es dann noch mit dem Smartphone?



    1 mal bearbeitet, zuletzt am 12.05.15 12:01 durch kaymvoit.

  10. Re: Welchen Angriffsszenarien soll das entgegenwirken?

    Autor: plutoniumsulfat 12.05.15 - 12:03

    So muss man sich doch viel mehr Kennworte merken?

  11. Re: Welchen Angriffsszenarien soll das entgegenwirken?

    Autor: kaymvoit 12.05.15 - 13:48

    Ich muss mir 3 Kennworte merken:
    1. Ein sehr langes zur LUKS-Versclüsselung meiner Rechner.
    2. Eine relativ kurze PIN für mein Smartphone, durch TEE ist das recht sicher. Mit Windows und TPM-Modul im Rechner kann man das auch für Punkt 1. so machen.
    3. Ein kurzes Passwort für Keepass.

    Das sind drei Passwörter. Wenn ich davon ausgehe, dass ich mein Rechnerpasswort nicht im Yubikey möchte, dann sind das genausoviele wie der Autor benutzen möchte.

    Ich sehe Dein Problem also nicht.

  12. Re: Welchen Angriffsszenarien soll das entgegenwirken?

    Autor: plutoniumsulfat 12.05.15 - 16:31

    Ja, jetzt sehe ich es auch nicht mehr :D

  13. Re: Welchen Angriffsszenarien soll das entgegenwirken?

    Autor: jaykay2342 13.05.15 - 08:44

    kaymvoit schrieb:
    --------------------------------------------------------------------------------
    > Begrenzt hilft dagegen - wenn man es denn nutzt, das
    > Challenge-Response-Verfahren des Yubikey. Aber klappt es dann noch mit dem
    > Smartphone?

    Der Sinn eines Challenge-Response oder eines OTP via Smartcard oder YubiKey ist dass ein bei einem kompromittierten Rechner das Geheimnis auf dem das jeweilige verfahren basiert nicht von der Smartcard / dem YubiKey extrahiert werden kann. Ein Angriff durch Entwendung Smartcard / dem YubiKey ist natürlich immer noch gegeben. Daher sollte beim Verlust schnellst möglich der Key als ungültig erklärt werden. Ein Verlust ist aber nicht sofort ein Desaster da es sich ja nur um einen Faktor handelt.

    Wenn die 2 Faktor Sicherheit aber nur den Transport einer Passwortdatenbank sichert die nach dem entsperren im RAM liegt ist ein kompromittierter Rechner wieder gleich einem total Verlust aller Zugänge.

  14. Re: Welchen Angriffsszenarien soll das entgegenwirken?

    Autor: kaymvoit 13.05.15 - 14:38

    Dieser Sinn ist aber völlig nutzlos. Wenn die Datenbank auf einem kompromittierten Rechner geöffnet wird, ist sie kompromittiert. Der einzige Vorteil besteht daran, dass man sich nicht zusätzlich einen neuen Yubikey programmieren muss, nachdem man sein passworttechnsichzerlegtes Leben wieder auf die Reihe gekriegt hat.

    Relevant ist eben der Vorteil, den ich genannt habe: Mit einem Challenge-Response Verfahren kann klein Susi sich nicht irgendwann mnal schnell den Key vom großen Bruder schnappen, das Dauer-Passwort auf den eigenen Rechner pasten und dann SPÄTER damit die Datenbank entsperren. Zum Entsperren müssen tatsächlich Datenbank und Schlüssel zusammenkommen.

    Wenn alerdings jemand unabhängig jeweils Zugriff auf Schlüssel und Datenbank hat, wird er es vermutlich auch irgendwann gleichzeitig haben. Insofern bin ich geneigt, diesen Vorteil auch nicht besonders hoch zu handeln.

  15. Re: Welchen Angriffsszenarien soll das entgegenwirken?

    Autor: kaymvoit 13.05.15 - 14:41

    Gegen Kompromittierung schützt keine der Methoden. Denn dann kann man die DB abgreifen, nachdem sie regulär geöffnet wurde.
    Insofern muss der Rechner sowieso geschützt werden. Die praktikabelste Möglichkeit ist dazu, ihn zu verschlüsseln, die Sicherheit des Sperrbildschirms sicherzustellen und DMA-Zugriffe über die Peripherieanschlüsse zu verhinden. Das sind aber eben alles Maßnahmen, die auch der Yubikey benötigt.



    1 mal bearbeitet, zuletzt am 13.05.15 14:46 durch kaymvoit.

  16. Re: Welchen Angriffsszenarien soll das entgegenwirken?

    Autor: jaykay2342 13.05.15 - 15:35

    kaymvoit schrieb:
    --------------------------------------------------------------------------------
    > Insofern bin ich geneigt, diesen Vorteil auch nicht besonders hoch zu
    > handeln.

    Das ist doch mein Reden. Wir nutzen auch YubiKeys. Die Funktion mit dem OTP und eigenem Backendserver. Es ist halt der 2te Faktor. z.B. fürs VPN. Eben als Schutz gegen kompromittiere Rechner. Sobald ein YubiKey als verloren gemeldet ist wird er im Backend gelöscht. Kritische Server benötigen nicht nur Zugang zum VPN sondern auch noch eine Smartcard.

  17. Re: Welchen Angriffsszenarien soll das entgegenwirken?

    Autor: jaykay2342 13.05.15 - 15:39

    kaymvoit schrieb:
    --------------------------------------------------------------------------------
    > Gegen Kompromittierung schützt keine der Methoden. Denn dann kann man die
    > DB abgreifen, nachdem sie regulär geöffnet wurde.
    > Insofern muss der Rechner sowieso geschützt werden. Die praktikabelste
    > Möglichkeit ist dazu, ihn zu verschlüsseln, die Sicherheit des
    > Sperrbildschirms sicherzustellen und DMA-Zugriffe über die
    > Peripherieanschlüsse zu verhinden. Das sind aber eben alles Maßnahmen, die
    > auch der Yubikey benötigt.

    Diese Maßnahmen helfen auch nicht 100% gegen eine Kompromittierung. Immer wenn das Anmelden mit nur einem Passwort geschützt ist besteht die Gefahr das es abgegriffen und wiederverwendet wird. Egal wie es gespeichert. Deswegen nimmt man ja OTP die nicht wiederverwendet werden können.

  18. Re: Welchen Angriffsszenarien soll das entgegenwirken?

    Autor: kaymvoit 13.05.15 - 16:28

    Das ist aber ein fundamental anderer Einsatz. Ein VPN ist nciht auf ewig nutzlos, nachdem ein Teilnehmerrechner kompromittiert ist.
    Eine Passwortdatenbank hat im gleichen Fall aber auf ewig ihre gespeicherten Passwörter an den Angreifer verraten.

  19. Re: Welchen Angriffsszenarien soll das entgegenwirken?

    Autor: kaymvoit 13.05.15 - 16:30

    Das ist der Punkt. Bei einem VPN wie in Deinem Beispiel oben ist Wiederverwertbarkeit ein wichtiges Kriterium. Bei einer Passwortdatenbank dagegen nicht. Da reicht einmal, öfter muss an nicht ran.

  20. Re: Welchen Angriffsszenarien soll das entgegenwirken?

    Autor: jaykay2342 13.05.15 - 17:39

    kaymvoit schrieb:
    --------------------------------------------------------------------------------
    > Das ist der Punkt. Bei einem VPN wie in Deinem Beispiel oben ist
    > Wiederverwertbarkeit ein wichtiges Kriterium. Bei einer Passwortdatenbank
    > dagegen nicht. Da reicht einmal, öfter muss an nicht ran.

    Jop daher sehe ich auch nicht den Riesen Vorteil bei der Weise wie der Autor den YubiKey verwendet.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Honda Research Institute Europe GmbH, Offenbach am Main
  2. Deutsche Forschungsgemeinschaft e. V., Bonn
  3. STRABAG Innovation & Digitalisation, Wien (Österreich)
  4. J. Bauer GmbH & Co. KG, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mario Kart Live im Test: Ein Klempner, der um Konsolen kurvt
Mario Kart Live im Test
Ein Klempner, der um Konsolen kurvt

In Mario Kart Live (Nintendo Switch) fährt ein Klempner durchs Wohnzimmer. Golem.de hat das Spiel mit einem Konsolen-Rennkurs ausprobiert.
Von Peter Steinlechner

  1. Nintendo Entwickler arbeiten offenbar an 4K-Updates für Switch Pro
  2. Nintendo Switch Mario Kart Live schickt Spielzeugauto auf VR-Rennstecke
  3. 8bitdo Controller macht die Nintendo Switch zum Arcade-Kabinett

Philips-Leuchten-Konfigurator im Test: Die schicke Leuchte aus dem 3D-Drucker
Philips-Leuchten-Konfigurator im Test
Die schicke Leuchte aus dem 3D-Drucker

Signify bietet mit Philips My Creation die Möglichkeit, eigene Leuchten zu kreieren. Diese werden im 3D-Drucker gefertigt - und sind von überraschend guter Qualität. Golem.de hat eine güldene Leuchte entworfen.
Ein Test von Tobias Költzsch

  1. Smarte Leuchten mit Kurzschluss Netzteil-Rückruf bei Philips Hue Outdoor
  2. Signify Neue Lampen, Leuchten und Lightstrips von Philips Hue
  3. Signify Neue Philips-Hue-Produkte vorgestellt

Energiewende: Wie die Begrünung der Stahlindustrie scheiterte
Energiewende
Wie die Begrünung der Stahlindustrie scheiterte

Vor einem Jahrzehnt suchte die europäische Stahlindustrie nach Technologien, um ihren hohen Kohlendioxid-Ausstoß zu reduzieren, doch umgesetzt wurde fast nichts.
Eine Recherche von Hanno Böck

  1. Wetter Warum die Klimakrise so deprimierend ist