| Home Themenübersicht / Sitemap Webmaster |
von Philipp Schaumann
Hier die aktuellen Meldungen:
1. excellent report on AI and national security.
--------------------------------------------------
Spannende (theoretische) Studie über die Risiken die AI für die US nationale Sicherheit
bringen könnte. Sie vergleichen dabei die Eigenschaften von AI mit anderen
Technologien die die Kriegsführung umgekrempelt haben oder hätten umkrempeln
können. Das wären
Flugzeuge, Biotechnologien, Computer und Kernenergie
Dabei zeigen sie z.B. auf, ob Proliferation verhindert werden konnte, ob Zivil-Militär-
Spill-over leicht möglich ist, etc.
Sie zeigen auch viele Beispiele, bei denen bei Nuklearwaffen Katastrophen nur
mit viel Glück vermieden wurden, weil die Priorität ganz klar auf Einsatz und nicht auf
Fail-safe lag. Sie schlagen vor, mit AI vorsichtiger umzugehen.
http://www.belfercenter.org/sites/default/files/files/publication/AI%20NatSec%20-%20final.pdf
2. Aktualisierung und Erweiterung eines früheren Beitrags zu Passworten
-------------------------------------------------------------------------------------
Zuerst mal das neue:
Hinter der Website
https://haveibeenpwned.com/
steht eine Sammlung von über 1 Millarde gestohlener und geknackter Passworte.
Ein wichtiger Faktor für ein "gutes" Passwort ist, dass es nicht in einer dieser Listen
verwendet wurde, weil diese Listen die Basis für Bruce-Force Angriffe sind.
Hier mein Tipp:
Geben sie auf https://haveibeenpwned.com/ ein beliebiges PW ein, das sie für sicher halten,
und sehen sie, ob es bei den irgendwann mal geknackten Passworten dabei ist.
Falls es dabei ist, so sollten sie es nicht mehr nutzen.
Außerdem kann man seine eigene Email-Adresse auf der Website angeben und sehen,
ob sie in einem der vielen Leaks als Benutzernname dabei war.
Jetzt der 2. Punkt:
Die NIST hat ihre Digital Identity Guidelines überarbeitet, der offizielle Text ist jetzt fertig.
Passworte werden behandelt in
https://pages.nist.gov/800-63-3/sp800-63b.html
Die Regeln sind auf Grund von komplexeren Analysen der Angriffsfaktoren für die Benutzer
deutlich entspannter geworden, der Schutz muss an anderer Stelle liegen.
Passwortanforderungen ab “5. Authenticator and Verifier Requirements”: mind. 8-stellig falls
selbstgewählt, keine Komplexitätsanforderungen, 6-stellig numerisch falls random vorgegeben.
Begründung für diese Aufweichung herkömmlicher Regeln
https://pages.nist.gov/800-63-3/sp800-63b.html#appA (weil z.B. Komplexitätsanforderungen
vom Benutzer vorhersagbar umgesetzt werden, aber Blacklists zum Ausschließen von bekannten schwachen)
Der Text behandelt auch viele der modernen Spezialfälle wie OTP devices, etc.
In „6. Authenticator Lifecycle Management“ geht es um Gültigkeitsdauern, vor allem von
technischen Token auf Geräten wie Smartphones.
In „10.2. Usability Considerations by Authenticator Type” kommen viele Punkte die das
Merken vereinfachen sollen, z.B. kein erzwungenes Ändern.
Zu dem Gesamtthema gibt es einen längeren Artikel von mir:
http://sicherheitskultur.at/Passworte.htm
Philipp Schaumann, http://sicherheitskultur.at/
Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. 
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.
Zurück zum Archiv-Überblick