Am 4. Mai ist wieder World Password Day, an dem das das Bewusstsein für den Wert von sicheren Online-Transaktionen, soliden Cybersicherheitsverfahren und sicheren Passwörtern gestärkt werden soll. Der Tag findet am ersten Donnerstag im Mail statt. Der Sicherheitsforscher Mark Burnett entwickelte das Konzept für den World Password Day im Jahr 2013, und hielt diesen am 7. Mai ab. Aber heute stellt sich die Frage, wann das Ende des Passworts endlich kommt.
Anzeige
Der World Password Day soll auf einen verantwortungsvollen Umgang mit Passwörtern aufmerksam machen. Früher wurde dann geraten, die Kennwörter regelmäßig zu ändern. Davon ist man wieder weg, weil die Leute sich diese auf Zettelchen notierten und unter die Tastatur oder an den Monitor klebten. Doch mir stellt sich die Frage: sind Passwörter wirklich noch das Mittel der Wahl?
Wer kann sich die Passwörter alle merken?
Henrik Nitsche, Security Solution Manager bei Jamf greift einen interessanten Aspekt in einem Kommentar zum Welt-Passwort-Tag auf. "Die schiere Anzahl an Passwörtern, die sich jeder beruflich wie privat inzwischen merken muss, ist bereits beachtlich und wird nur noch weiter wachsen, wenn mit zunehmender Digitalisierung immer mehr von unserem Leben online stattfindet. Diese Anzahl an Passwörtern wird dann zum Problem, wenn sie dazu verleitet, die wichtigste Regel zu brechen: Passwörter nicht mehrmals oder erneut zu verwenden. Mit nur einem erbeuteten Passwort verfügen Angreifer dann nämlich nicht nur über ein Einfallstor, sondern über Dutzende oder Hunderte.
Vor allem dann, wenn sich ein Angreifer auf diese Weise Zugriff auf von verschiedenen Personen genutzte Ressourcen verschaffen kann, wird dies zum Problem, weil bereits eine Schwachstelle potenziell organisationsweite Konsequenzen haben kann. Einen Passwort-Manager zu nutzen, kann hier für Unternehmen wie Privatpersonen die Lösung darstellen: Die einzelnen Passwörter für verschiedene Webseiten, Konten und Anwendungen werden hier in einer einzigen Datenbank gespeichert, zu der nur der Nutzer mittels eines Master-Passworts Zugriff hat. Im Idealfall verfügt ein Passwort-Manager zudem über die Möglichkeit der Zwei-Faktor-Authentifizierung, um ein zusätzliches Level an Sicherheit zu gewährleisten."
Passwortsicherheit nicht auf Mitarbeiter abwälzen
Anzeige
Das Problem: Am Welt-Passwort-Tag sollen die Mitarbeiter über "Passwortsicherheit" aufgeklärt werden. Die Verantwortung wird auf die Mitarbeiter abgewälzt, darauf weist Mark Stockley, Cyber Evangelist bei Malwarebytes hin: "Unternehmen werden nicht müde, ihre Mitarbeitenden über Passwortsicherheit aufzuklären und ihre Passwortrichtlinien zu verschärfen – und die Liste der Passwortkriterien, die Unternehmen von ihren Mitarbeitenden verlangen, ist lang: Einmalige Passwörter mit Sonderzeichen und Großbuchstaben, die so oft gewechselt werden sollen, wie die eigene Zahnbürste. Je mehr Regeln vorgegeben werden, desto wahrscheinlicher ist es, dass Mitarbeitende nach Schlupflöchern und Workarounds suchen, sodass es für Cyberkriminelle ein leichtes Spiel bleibt, Passwörter mit verschiedenen Hacking-Methoden wie Phishing oder Brute-Force-Angriffen zu stehlen.
Anstatt die Verantwortung für die Passwortsicherheit auf die Mitarbeitenden abzuwälzen, sollten sich Unternehmen fragen, wie sie ihre Mitarbeitenden besser schützen können, ohne dass diese sich immer mehr Gedanken darüber machen müssen, welche Passwörter sie nutzen, wo sie diese speichern und wie oft sie diese verwenden. Dafür bieten sich zwei Maßnahmen an: Multi-Faktor-Authentifizierung (MFA) und Account Lockout Policy. Multi-Faktor-Authentifizierung (MFA) verhindert Credential Stuffing, Password Spraying und Brute-Force-Angriffe, indem zusätzlich zum Passwort weitere generierte Zugangsdaten verwendet werden. Mit einer Account Lockout Policy können zudem selbst die schwächsten Passwörter zum Hindernis für unbefugten Zugriff werden, indem sie den Account nach einer geringen Anzahl an fehlgeschlagenen Anmeldeversuchen vorsorglich sperren."
Auf dem Weg in eine passwortlose Welt?
Eve Maler, CTO bei ForgeRock, führt den obigen Ansatz weiter und meint dazu: "Passwörter stellen Unternehmen vor zahlreiche Probleme: Sie sind unsicher, nicht benutzerfreundlich und teuer. Viele Unternehmen unterschätzen die Risiken von Passwörtern, vor allem angesichts der rasanten Zunahme von Phishing-, Malware- und Ransomware-Angriffen und Cyberattacken, die explizit auf der Kompromittierung von Anmeldeinformationen basieren. Allein im Jahr 2021 wurden weltweit mehr als zwei Milliarden Benutzernamen und Passwörter kompromittiert, wobei sich mehr als 50 Prozent dieser Sicherheitsverletzungen auf unberechtigten Zugriff zurückführen lassen.
Durch die Nutzung von passwortfreien und KI-gestützten Authentifizierungslösungen können Unternehmen die Risiken eliminieren, die durch die Interaktion mit Passwörtern entstehen und sich so besser vor kostspieligen Cyber-Angriffen und unberechtigten Zugriffen schützen. Gleichzeitig müssen sich Nutzer nicht mehr mit Passwörtern herumschlagen, da der passwortlose Zugang auf etwas basiert, das man hat oder ist – und nicht mehr auf etwas, das man weiß. Dies macht nicht nur die Benutzererfahrung nahtloser, intelligenter und sicherer, sondern reduziert auch IT-Aufwand und Betriebskosten. Laut Gartner werden bis 2025 mehr als 50 % der Mitarbeiter- und mehr als 20 % der Kundenauthentifizierungstransaktionen passwortlos sein. Damit ist es an der Zeit, dass Unternehmen einen Schritt in Richtung passwortlose Welt machen."
Ich hätte Fragen
Für mich stellt sich die Frage: Wann kommen wir in einer passwortlosen Welt an? Und ist diese wirklich sicherer? Die neueste Episode mit dem Google Authenticator (siehe Google Authenticator: Backup der Passcodes im Google-Konto; aber Ende-zu-Ende-Verschlüsselung kommt erst noch …) zeigt, dass der Teufel im Details sitzt. Und was passiert, wenn mir Zugriffstoken durch Sicherheitslücken entwendet werden – auch diese Fälle hatten wir ja in der Vergangenheit (siehe Links am Artikelende).
Ein weiteres Problem stellt sich bezüglich der Frage: Was passiert, wenn ich das Gerät für die Multifaktor-Authentifizierung (MFA) verloren habe, wenn dieses gestohlen wurde oder kaputt geht? Und wer besitzt noch den Überblick, mit welchen Methoden er wann, wo registriert ist und wie er diese Registrierung im Fall der Fälle sperrt bzw. eine gesperrte Anmeldung wieder zurücksetzen kann? Wie löst ihr das Ganze in eurem Umfeld bzw. Unternehmen?
Ähnliche Artikel:
Google Authenticator: Backup der Passcodes im Google-Konto; aber Ende-zu-Ende-Verschlüsselung kommt erst noch …
Microsoft Teams speichert Authentifizierungstoken als Klartext in Windows, Linux, Macs
Exchange Server: Authentifizierungs-Bypass mit ProxyToken
Facebook-Hack: Zugriff auf 50 Mio. Access-Token für Konten
Anzeige
Da ist natürlich wieder viel Werbung in eigener Sache dabei wenn Eve Maler, CTO bei ForgeRock da rumfabuliert. "Laut Gartner" – lol.
In der Firma in der ich arbeite, hat sich die biometrische Variante weitgehend durchgesetzt(Fingerabdruck) plus 1x Passwörter für die ich ein kleines Gerät am Schlüsselbund habe. Mein Account Pwd für Windows habe ich trotzdem noch und muss es auch alle Weile ändern. (Da ich noch aus der Pre Smartphone Era komme, stellt mich das persönlich aber nicht vor kognitive Herausforderungen, sehe aber natürlich das Problem.)
… und deine biometrischen Daten werden dann überall gespeichert und kommen dann vielleicht in den Zugriff von Angreifern?
Gespeichert werden in solchen Systemen ja nur Templates, nicht Abdrücke. Das ist sowas wie ein Hash und ist daher nur ein Problem, wenn man per KI einen Abdruck generiert, der dieses Template erfüllt.
Das eigentliche Problem ist aber doch, dass biometrische Merkmale quasi öffentlich sind und sie jeder bekommen kann. Also doch eher wie ein Passwortzettel am Monitor.
Die Fingerabdrücke von Hr. Schauble hat man sich von einem Trinkglas besorgt. Bei Fr. von der Leyen war es dann ein Pressefoto. Und die Iris von Fr. Merkel hat man erfolgreich von einem Wahlplakat kopiert.
Biometrische Merkmale sind also inhärent unsicher und zur sicheren Authentifizierung nicht geeignet.
Sogar die Polizei hat schon Fingerabdrücke eines Verdächtigen verwendet um sein Smartphone zu entsperren.
Ich benutze Privat für verschiedene Accounts einen Reiner SCT Authenticator.
"Ein weiteres Problem stellt sich bezüglich der Frage: Was passiert, wenn ich das Gerät für die Multifaktor-Authentifizierung (MFA) verloren habe, wenn dieses gestohlen wurde oder kaputt geht?"
Wenn es verloren geht oder gestohlen wird:
Kann ein dritter damit nichts anfangen sofern der Pinschutz aktiviert wurde. (5-12 Zahlen) Nach 3 Fehleingaben wird der Authenticator auf Werkseinstellungen zurückgesetzt.
Wenn das Gerät kaputt geht:
In der Beschreibung zum Gerät steht, das man von den QR Codes mit dem man die Einträge anlegt, ein Backup erstellen soll. Als verschlüsselte Grafikdatei oder ausgedruckt.
Über den passenden Lagerort des Backups kann man noch diskutieren.
Bei Geräten wie dem Battle.net one Button Authenticator ist es bei einem Defekt schon komplizierter. Um den über den Kundendienst entfernen zu lassen muss man eine ganze Reihe von Fragen richtig beantworten. Das ist aber auch kein Hexenwerk.
(Rechnungsnummern von Transaktionen, Produktschlüssel von Registrierter Software, Namen Wohnort und Telefonnummer des Account Inhabers, Registrationsnummer des Authenticators …) Den Fragenkatalog sendet der Game Master auf Anfrage zu.
"Nach 3 Fehleingaben wird der Authenticator auf Werkseinstellungen zurückgesetzt."
Schon mal im Support eines mittelgroßen Unternehmens gearbeitet?
3 sind zu wenig, 5 sollten es mindestens sein, besser 10. Das minimiert die Sicherheit nicht entscheidend, reduziert jedoch die Kontaktierungsbelastung des Supports massiv.
Wie wäre es denn damit: Es gibt keine Obergrenze, aber nach jedem Fehlversuch verdoppelt sich die Zeit, bis man wieder probieren darf.
Ich verstehe nicht, warum dieser simple Ansatz so wenig verbreitet ist.
ja, das verstehe ich auch nicht. Gibt dem User so schön viel Zeit zum nochmal Nachdenken …
Aber was einfach und effektiv ist kann einfach nix taugen ;-)
Gruss
Itchy
Weil er nicht sicher ist?
Bei Geldkarten war es früher so das diese nach 3 Versuchen gesperrt worden sind und einmal die richtige PIN hat den Zähler zurück gesetzt hatte.
Diese Konstruktion Fehler haben wohl Leute ausgenutzt zu regelmäßigen Zugang zu der Karte hatten und wussten wann das Opfer sich selbst angemeldet hatte.
So hatten sie immer min. einen Schuss frei weil der Zähler regelmäßig zurück gesetzt wurde.
Das scheint wohl tatsächlich ausgenutzt worden zu sein, z.B. durch Betreuer.
Bei Deinem Vorschlag wäre, das jemand anders die Karte hacken will, vielleicht aufgefallen wenn die Warte Zeit angezeigt würde.
'muss man eine ganze Reihe von Fragen richtig beantworten. Das ist aber auch kein Hexenwerk. '
Für den Otto-Normalverbraucher häufig schon. Der weiß vielleicht noch seine Adresse (überspitzt ausgedrückt), aber im Worst Case bereitet ein Fragenkatalog nach so Dingen, wie Produktschlüsseln (oder anderen Fragen, die recht einzigartig sind und nur der Accountbesitzer wissen dürfte), vielen Leuten doch erhebliche Probleme. Da muss es schon ein guter Tag sein, damit etwa die im Account hinterlegte Telefonnummer noch aktuell ist…
Naja also ich muss mir nur genau ein PW merken + einen Algorithmus.. habe aber trotzdem für jeden Dienst ein einzigartiges PW!
Mein PW ( Groß+Klein+Zahlen+Sonderzeichen 12 Zeichen lang) daran angehängt den Dienst plus daran angehängt den Dienst nach meinem Algo verschlüsselt.
Ausreichend langes und sicheres PW individuell für jeden Dienst und trotzdem nur ein PW zu merken.
Gespeichert ist das auch nirgendwo so das es auch nicht abgegriffen werden kann.
(gut es liegt auf Papier im Safe zusammen mit dem Algo, aber zu 100% ausgeschlossen das da jemand ran kommt. Den Safe knackt man nicht so leicht, zumal man zuerst an 2 Biologischen Reißwölfen (Mastino Napoletano) vorbei müsste)
Zusätzlich wo es geht 2FA aktiviert. Nö ich mach mir da keine Sorgen damit bin ich sicher, sollte ich mir tatsächlich mal nen Trojaner einfangen ist lediglich das PW futsch das zu dem Zeitpunkt eingegeben wurde und nicht wie bei nem PW Safe alle!
Biometrische Daten? welche wenn verbrannt unaustauschbar sind? Nein Danke! Ein extra Hardware Token mit sich rumschleppen? Nein Danke!
PW sind sicher, wen man sie richtig verwendet! PW Fehler sind zu 100% Layer 8 Fehler.
Klingt nach Sicherheitstheater. Behörden haben ja eh Zugriff auf die Dienste, und in der Cloud lagere ich nichts privates (auch nicht verschlüsselt).
Also ist das Threat-Model nur Cyberkriminelle. Da reicht ein FIDO2 und Backuptokens. Muss mir kein starkes Passwort ausdenken wenn jeder ECC-Key pro Seite im FIDO2 schlappe 2^256 Kombinationen hat.
Bonus: Verwandte kommen noch an meine Accounts (sollte ich das wollen) und können nach meinem Tod (der hoffentlich nicht allzu früh kommt) an die Daten um alles zu kündigen, etc.
Addendum:
FIDO2 kann man auch nicht keyloggen und ein login geht ohnehin nur, wenn man die Hardwaretaste am Authentikator drückt. Das spart mir die Beschäftigungstherapie.
Auf der Reise kann ich auch TOTP im Aegis-Vault oder in KeepassXC nutzen und brauche den Hardware-Key nicht mitführen. Das Leben online kann echt einfach sein.
naja nur das nicht jeder Dienst überhaupt Fido unterstützt, also brauchst doch wieder PW … da bleibe ich dann doch bei meinem PW System ;-P
Also Security by obscurity? Meine "Algos" sind von Doktoren der Mathematik und Informatik, da brauche ich kein eigenes System.
das ist doch scheißegal was für einen Algo du da dann nimmst… wichtig dabei ist: du musst die nur dein Masterpasswortteil + deinen Algo merken und hast trotzdem für jeden Dienst nen individuelles eigenes PW. Aufgrund der Komplexität auch safe!
Da wird mal wieder massloss übertrieben. Bei kritischen Anwendungen wie Online-Banking reicht nur das Passwort schon lange nicht mehr. Auch andere Portale wie Krankenkasse gehen nur noch mit 2FA. Für den Zugang zu Webshops reicht nach wie vor ein Passwort, viele Webshops bieten aber die Möglichkeit der 2FA. Also wo ist das Problem?
2FA ist das Problem. Jedenfalls so wie das in den allermeisten Fällen implementiert ist. 2FA ist nur dann sinnvoll, wenn ICH den 2. Faktor bestimmen kann und dieser technologisch für alle 200 Acounts gleich ist.
mehrere Accounts zu haben ist aber nicht erwünscht.
Dir soll ein Wechsel so schwer wie möglich gemacht werden.
Darum hat jeder Anbieter sein eigenes 2FA.
niemand hat ja Bock mit einem 15cm Musterring mit 200 Hardware Tokens rumzulaufen wie der Postbote am Morgen.
Da wäre ein Fido2 Token schon schön.
Aber dann kommt er weg.
und Du darfst erstmal bei 200 Stellen den neuen Token anmelden. Wo war das noch überall?
Backup Token? Guute Idee.
Wie ändert man da mit einem Klicknalle 200 Keys?
Wie hält man den aktuell?
Eigentlich braucht man 2 Backuptoken falls einer beim Update kaputt geht…das wären ca. 3×40 Euro.
mal 1000 Mitarbeiter 120TE und ein Berg an Verwaltung.
Da lobe ich mir doch Google.
ein Account für alles!
Geil ist auch wenn von der IT ein Hinweis auf einen Neuen Informations-Server (außerhalb) kommt, der eigentlich per Single -sign-on zugänglich sein sollte.Leider haben die Penner vergessen, das Firefox und Safari auch zugelassenene Browser sind und diese auf SSO vorzubereiten. So wird den Usern nach Email von der IT eine Eingabe Maske mit Konto und Passwort Abfrage präsentiert. Der neue Dienst ist natürlich so gestaltet das möglichst viel Neugier erzeugt wird. Wie ein Phishing versuchm
Bei so einer Internationeln Tanz Truppe braucht man keinen Scammer mehr und User Schulungen sind unnützt.
Hallo Herr Born,
Bei unseren Kunden wird weitesgehend auf Passwörter verzichtet wir benutzen auch keine Smartphones für eine 2FA.
Wir benutzen eine Lösung ohne spezielle Software die sich einfach verwalten lässt als Admin, verliert man das Gerät reicht ein kurzer Anruf oder eine Mail an uns schon um das Gerät zu sperren und es somit nutzlos zu machen.
Unsere Kunden müssen sich nur eine 6stellige PIN merken und haben auch nur 3 Versuche diese einzugeben (take that brute force and libary attack).
Hast Du noch ein paar Details? Interessiert bestimmt einige Admins.
Ja ich habe da mehr Details zu:
Die Hardware die wir verwenden nennt sich Yubikey um genauer zu sagen Yubikey 5c NFC von Yubico.
Dort kann man in einer Windows Umgebung alles so einrichten das gewisse Zertifikate erstellt werden können die dann auf besagtem Key installiert werden.
Diese Zertifikate kann man dann Zentral auf einem Windows Server verwalten.
Ferner besitzt dieser Key noch mehr Funktionen wie z.b. FIDO 2. Das bedeutet auch die Office MFA und Azure MFA ist damit bedenkenlos und sehr einfach möglich.
Wer näheres Wissen will muss sich da aber entweder selber schlau machen oder uns kontaktieren. (wir wollen ja auch Geld verdienen) Eine harte Umstellung ist allerdings mit Vorsicht zu geniessen die Ersteinrichtung ist etwas Arbeit, die Verwaltung danach nicht mehr.
Man kann das auch über eine 3te Partei Software lösen die kosten allerdings mehr (Lizenzkosten etc.)
Die Kosten eines solchen Sticks sind nicht billig, vor allem in Massen, aber immernoch billiger als jedem ein Smartphone zu kaufen. Und man kann damit mehr abdecken als mit einem Smartphone (lokale 2FA z.B.)
Unsere Kunden sind damit sehr zufrieden da die lästigen Passwörter wegfallen und es sehr einfach in der Handhabe ist.
Die Yubikeys haben zwei Schwächen:
Zum einen erfolgt die PIN-Eingabe über die Tastatur und kann somit abgegriffen werden entweder aus der Tastatur (SW-/HW-Keylogger) oder aus dem RAM.
Zum anderen, und das finde ich wirklich schlecht, erlaubt der Yubikey 5 keine PIN-Policies. Der Nutzer kann sein Geburtsdatum nehmen oder 111111 – man kann das administrativ nicht verhindern. Das können andere Smartcards besser.
Hallo Bernhard,
Wenn du keine PIN willst mach OTP.
Wenn du deinen Benutzer die Verwaltung der PIN überlässt selber Schuld wir geben die vor und nur wir wissen auch die PUK.
Und Programme die zur Verwaltung der Keys dienen können per GPO beblockt werden.
Edit:
Die Kenntniss der PIN bringt den Angreifer nicht weiter btw. Ohne den Key mit dem Zertifikat kann der nicht rein.
Und nochwas wenn ihr schon einen Keylogger in eurem System habt ist der PIN eure kleinste Sorge da ist schon eineges vorher schief gelaufen :)
Moin Jan.
Ich kann auf deinen letzten Kommentar leider nicht antworten, da der Button "antworten" schlicht nicht erscheint.
Du sagst, du setzt die PIN und nur du kennst die PUK. Aber wie verhinderst Du, dass der Nutzer die PIN ändert? Das geht jederzeit ohne PUK.
Hallo Bernhard,
Hast du Yubikeys im Einsatz?
Soweit ich das jetzt gesehen habe kann man diese nur über den Manager ändern und den habe ich geblockt.
Außerdem wollen unsere Kunden das nicht ändern weil sie mit dem System sehr zufrieden sind. (Viele sind auch zu faul das zu tun die wollen nur arbeiten)
Selbst wenn ein User seine PIN ändert indem er sich die Mühe macht den Manager auf einen privaten Computer zu laden und dann dort zu ändern, bringt das dem Angreifer recht wenig. Der Angreifer braucht den richtigen Key (die haben Ihre eigene ID)mit dem richtigen Zertifikat, sprich er muss dir den Stick klauen.
Klar kann man jetzt sagen "was wäre wenn" aber das ist in meinen Augen Blödsinn.
Es gibt kein System was absolut sicher ist Punkt.
Und wenn man einen guten Schutz will, darf man sich nicht nur auf eins verlassen.
Gute Hardware verbunden mit guter Software und regelmässigen Schulungen für Mitarbeiter (User sowie Admins) sind da am besten und halten die Angreifer so lange auf das die aufgeben. Im Normalfall wohbemerkt.
Die Keys ersetzen meiner Meinung nach die alten Passwörter perfekt.
und wie gesagt wenn du keine PIN willst,
Yubico OTP, Challenge-response, und OATH-HOTP sind auch Features der Keys.
…wieder kann ich dir nur hier antworten
"Soweit ich das jetzt gesehen habe kann man diese nur über den Manager ändern und den habe ich geblockt." – Du kannst über die Anmeldemaske ändern, über die Kommandozeile und natürlich unlimitiert über Privatrechner. Ja, die PIN allein bringt nichts, schon klar, aber das bloße Wissen, dass jemand in der Lage ist, die PIN nach Gusto zu setzen, ist nicht schön. Andere SmartCards bieten dafür eben PIN-policies, Yubico hat diese abgeschafft (gab's früher). Ja, wir setzen auch die 5 NFC ein.
"wie gesagt wenn du keine PIN willst,
Yubico OTP, Challenge-response, und OATH-HOTP sind auch Features der Keys." – wir wollen ja PIV nutzen und nicht das andere.
Guten Morgen Bernhard,
Kommandozeile ja stimmt das geht aber Anmeldemaske geht bei uns nicht das wurde mit GPOs geblockt. Benutzt du eine 3rd Party Software? Machst du das über Windows Hello?
Und mal ganz ehrlich welcher normale User greift auf die Kommandozeile zu? Und welcher normale User macht sich die Mühe um nacher mit der IT zu streiten und doch nicht Recht zu bekommen?
Wir benutzen btw nicht nur PIN sondern nutzen den Stick noch anderweitig (FIDO 2, anmelden an Programmen etc.)
SSO mit Smartcard, Yubikey oder SecurID?
Hallo Bernd,
Wie schon oben beschrieben mehr Infos gibt es nicht von mir.
Sorry aber umsonst ist der Tod und der kostet das Leben.
Keine Angst, ich wollte nicht gratis Dein Know-how abgreifen. Mir sind derartige Lösungen grundsätzlich bekannt. In meinem Laptop steckt gerade eine Smartcard, und an meinem Schlüsselbund habe ich einen Yubikey…
Hallo Bernd,
Versuche SSO zu vermeiden wenn du kannst und warum verwendest du eine Smartcard wenn du doch einen Yubikey hast? Die kannst du auch als Smartcard verwenden.
wir nutzen die Zertifikate auf den Yubikeys für Admin RDP Logon auf Tiering/PAWs.
So wird das Kennnwort auf keiner Maschine gespeichert, was durchaus wichtig ist.
per GPO gesetzt: Lock when yubikey/smartcard is rejected
SSO für Admins sowieso nicht
"Ende des Passworts". So ein Blödsinn. Ganz schlimm ist single-sign-on. Da wird der Angriffsvektor plötzlich riesengroß. Es kommt übrigens ganz und gar nicht darauf an, ob Groß- und Kleinschreibung, Sonderzeichen oder sonstwas im der Passphrase stehen. Die Entropie hängt eben nicht davon ab. Entscheidend ist, daß der Dienst einen sicheren Algorithmus zur Ableitung des Hashes nutzt. Natürlich sollte das Passwort nicht durch Raten, ggf. unterstützt durch social engineering, ermittelt werden können. Aber das Passwort ansich ist so sicher, wie eh und je. Ganz schlimm sind 2FA wenn beide Faktoren vom gleichen Gerät stammen. Ein Smartphone kommt für die Authorisierung in keinem Falle zur Erwägung. Wenn dann Zertifikat von der Smartcard (oder dem nitrokey) plus Passphrase. Bionetrie lässt sich leider sehr leicht fälschen, da ist nur der Retinascan halbwegs sicher, aber das habe ich für Clientgeräte bislang noch nicht gesehen.
Ähmm, Passwortmanager und "Mit nur einem erbeuteten Passwort verfügen Angreifer dann nämlich nicht nur über ein Einfallstor, sondern über Dutzende oder Hunderte." widersprechen sich.
Denn wenn ich das Passwort des Passwortmangers erbeute, habe ich Zugriff auf alle darin gespeicherten Passwörter.
Und was Biometrie angeht:
Das lässt sich doch alles rel. leicht knacken, da hilft auch z.B. eine Lebend-Erkennung in einem Fingerabdruckscanner nicht.
Und Gesichtserkennung: Oft reagiert die schon auf ein Foto.
Das sicherste ist noch ein Retinascanner, aber wo wird der eingesetzt?
2FA ist nur dann sicher, wenn beide Faktoren über getrennte Geräte eingegeben werden, z.B. Faktor 1 am PC, Faktor 2 am Smartphone.
Das klassische Passwort kann man auch sicherer machen:
Einfach nach jeder Fehleingabe die Wartezeit verdoppeln.
Liegt die initiale Wartezeit z.B. bei 1 Minute, werden daraus nach 10 Fehlversuchen schon 8,5 Stunden!
Heute ist auch Star Wars Tag:
May, the 4th be with you.
In dem Sinne:
May the force be with you
Ich nutze KeepassXC + "quasi" 2ter Faktor als ChallengeResponse auf einem Yubikey.
die TOTP Token werden auch auf Yubikeys gespeichert, Software zum Auslesen gibt es für die Win/Mac/iOS/Android.
Kennwörter für den WebLogin vom Kennwort Manger generieren lassen (40-60 Stellen) und gut is.
Für Azure FIDO2 only, als Admin. Sogar Synology kann inzwischen WebAuth/FIDO2.
Wenn Interesse besteht, stell ich euch eine Übersicht über die entsprechenden Möglichkeiten bereit.