Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Newsletter Abo

 

126. Newsletter - sicherheitskultur.at - 30.6.2017 (Doppelausgabe)

von Philipp Schaumann


Hier die aktuellen Meldungen: 

1. Bücher zu Informationssicherheit
----------------------------------------
Frage im Diskussionsforum bei CERT.at - 
die Antworten unkommentiert weitergegeben:
1. Für "Unbedarfte" bietet folgendes Handbuch einen guten Überblick:
    https://www.wko.at/site/it-safe/Sicherheitshandbuch.html
2. Claudia Eckert, IT-Sicherheit: Konzepte - Verfahren - Protokolle
Ein sehr umfassendes und ziemlich komplettes Buch
3. die folgenden zwei (beide ausreichend umfangreich):
-	IT-Sicherheit: Konzepte - Verfahren – Protokolle von C. Eckert
-	Computer Security: Principles and Practice von W. Stallings

Und ein sehr empfohlenes Buch kostenlos als PDF:
Ross Anderson, professor of computer security at University of Cambridge. 
Security Engineering — The Book
  https://www.cl.cam.ac.uk/~rja14/book.html



2. Cyber insurance policies
------------------------------
Bruce Schneier:
There's a really interesting new paper analyzing over 100 different cyber insurance policies.
    https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2929137
Solche Versicherungen werden in Europa jetzt auch angeboten. 
Sie werden immer mehr zu einem Thema, speziell in 
den Bereichen, die unter "kritische Infrastruktur" fallen. Aber auch in 
anderen Bereichen kann es sein, dass sich auch Budget-Gründen 
solche Versicherungen rechnen können. 
Es ist übrigens i.d.Regel so, dass diese Versicherungen nicht als Alternative 
zur technischen Absicherung reichen. Die Unternehmen verlangen i.d.R. eine
ausreichende Sicherheitsabsicherung.


3. Eines meiner Lieblingsthemen: Passworte
-------------------------------------------------
Die NIST hat ihre Digital Identity Guidelines überarbeitet, die public comment period ist zu 
Ende und Drafts werden veröffentlicht.
     https://pages.nist.gov/800-63-3/

Die Regeln sind auf Grund von komplexeren Analysen der Angriffsfaktoren für die Benutzer 
deutlich entspannter geworden, der Schutz muss an anderer Stelle liegen.
Passworte werden behandelt in
      https://pages.nist.gov/800-63-3/sp800-63b.html
Passwortanforderungen ab “5. Authenticator and Verifier Requirements”: mind. 8-stellig falls 
selbstgewählt, keine Komplexitätsanforderungen, 6-stellig numerisch falls random vorgegeben. 
Begründung für diese Aufweichung herkömmlicher Regeln
     https://pages.nist.gov/800-63-3/sp800-63b.html#appA (weil z.B. Komplexitätsanforderungen 
vom Benutzer vorhersagbar umgesetzt werden, aber Blacklists zum Ausschließen von bekannten schwachen)
Der Text behandelt auch viele der modernen Spezialfälle wie OTP devices, etc.
In „6. Authenticator Lifecycle Management“ geht es um Gültigkeitsdauern, vor allem von 
technischen Token auf Geräten wie Smartphones. 
In „10.2. Usability Considerations by Authenticator Type” kommen viele Punkte die das 
Merken vereinfachen sollen, z.B. kein erzwungenes Ändern.

Ein älterer Artikel von den Secorvo Mitarbeitern kommt zu ähnlichen Ergebnissen:
https://www.secorvo.de/publikationen/passwortsicherheit-fox-schaefer-2009.pdf
-	Die Angriffsszenarien bestimmen die Anforderungen (wenn der Angreifer 
nur wenige Versuche hat reichen sehr kurze Passwort/Pins, wenn er jedoch viele 
Versuche hat, z.B. verschlüsseltes Zip-Archiv, so muss die Länge sehr sehr lang 
sein, wenn der Angreifer den Passwortspeicher hat, so muss die Entropie für alle 
Passworte sehr hoch sein)
-	Komplexität wird überschätzt, Länge ist wichtiger (weil sie die Entropie 
mehr stärkt) – Tipp von mir: fünfstellig 2x hintereinander gibt 10 Stellen
-	Loginsperren greifen zumeist nach zu wenigen Versuchen, was zu unnötiger 
Belastung des Helpdesks oder zu einfachen Selbst-Rücksetzungen führt
-	Erzwungene Passwortwechsel führen zu simpleren Passworten




 


 

Philipp Schaumann, http://sicherheitskultur.at/

Zurück zum Archiv-Überblick

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.