| Home Themenübersicht / Sitemap Webmaster |
von Philipp Schaumann
Hier die aktuellen Meldungen:
1. Bücher zu Informationssicherheit
----------------------------------------
Frage im Diskussionsforum bei CERT.at -
die Antworten unkommentiert weitergegeben:
1. Für "Unbedarfte" bietet folgendes Handbuch einen guten Überblick:
https://www.wko.at/site/it-safe/Sicherheitshandbuch.html
2. Claudia Eckert, IT-Sicherheit: Konzepte - Verfahren - Protokolle
Ein sehr umfassendes und ziemlich komplettes Buch
3. die folgenden zwei (beide ausreichend umfangreich):
- IT-Sicherheit: Konzepte - Verfahren – Protokolle von C. Eckert
- Computer Security: Principles and Practice von W. Stallings
Und ein sehr empfohlenes Buch kostenlos als PDF:
Ross Anderson, professor of computer security at University of Cambridge.
Security Engineering — The Book
https://www.cl.cam.ac.uk/~rja14/book.html
2. Cyber insurance policies
------------------------------
Bruce Schneier:
There's a really interesting new paper analyzing over 100 different cyber insurance policies.
https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2929137
Solche Versicherungen werden in Europa jetzt auch angeboten.
Sie werden immer mehr zu einem Thema, speziell in
den Bereichen, die unter "kritische Infrastruktur" fallen. Aber auch in
anderen Bereichen kann es sein, dass sich auch Budget-Gründen
solche Versicherungen rechnen können.
Es ist übrigens i.d.Regel so, dass diese Versicherungen nicht als Alternative
zur technischen Absicherung reichen. Die Unternehmen verlangen i.d.R. eine
ausreichende Sicherheitsabsicherung.
3. Eines meiner Lieblingsthemen: Passworte
-------------------------------------------------
Die NIST hat ihre Digital Identity Guidelines überarbeitet, die public comment period ist zu
Ende und Drafts werden veröffentlicht.
https://pages.nist.gov/800-63-3/
Die Regeln sind auf Grund von komplexeren Analysen der Angriffsfaktoren für die Benutzer
deutlich entspannter geworden, der Schutz muss an anderer Stelle liegen.
Passworte werden behandelt in
https://pages.nist.gov/800-63-3/sp800-63b.html
Passwortanforderungen ab “5. Authenticator and Verifier Requirements”: mind. 8-stellig falls
selbstgewählt, keine Komplexitätsanforderungen, 6-stellig numerisch falls random vorgegeben.
Begründung für diese Aufweichung herkömmlicher Regeln
https://pages.nist.gov/800-63-3/sp800-63b.html#appA (weil z.B. Komplexitätsanforderungen
vom Benutzer vorhersagbar umgesetzt werden, aber Blacklists zum Ausschließen von bekannten schwachen)
Der Text behandelt auch viele der modernen Spezialfälle wie OTP devices, etc.
In „6. Authenticator Lifecycle Management“ geht es um Gültigkeitsdauern, vor allem von
technischen Token auf Geräten wie Smartphones.
In „10.2. Usability Considerations by Authenticator Type” kommen viele Punkte die das
Merken vereinfachen sollen, z.B. kein erzwungenes Ändern.
Ein älterer Artikel von den Secorvo Mitarbeitern kommt zu ähnlichen Ergebnissen:
https://www.secorvo.de/publikationen/passwortsicherheit-fox-schaefer-2009.pdf
- Die Angriffsszenarien bestimmen die Anforderungen (wenn der Angreifer
nur wenige Versuche hat reichen sehr kurze Passwort/Pins, wenn er jedoch viele
Versuche hat, z.B. verschlüsseltes Zip-Archiv, so muss die Länge sehr sehr lang
sein, wenn der Angreifer den Passwortspeicher hat, so muss die Entropie für alle
Passworte sehr hoch sein)
- Komplexität wird überschätzt, Länge ist wichtiger (weil sie die Entropie
mehr stärkt) – Tipp von mir: fünfstellig 2x hintereinander gibt 10 Stellen
- Loginsperren greifen zumeist nach zu wenigen Versuchen, was zu unnötiger
Belastung des Helpdesks oder zu einfachen Selbst-Rücksetzungen führt
- Erzwungene Passwortwechsel führen zu simpleren Passworten
Philipp Schaumann, http://sicherheitskultur.at/
Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. 
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.
Zurück zum Archiv-Überblick