Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Newsletter Abo

 

128. Newsletter - sicherheitskultur.at - 31.8.2017

von Philipp Schaumann


Hier die aktuellen Meldungen: 

1. excellent report on AI and national security.
--------------------------------------------------
Spannende (theoretische) Studie über die Risiken die AI für die US nationale Sicherheit 
bringen könnte. Sie vergleichen dabei die Eigenschaften von AI mit anderen
Technologien die die Kriegsführung umgekrempelt haben oder hätten umkrempeln 
können. Das wären
     Flugzeuge, Biotechnologien, Computer und Kernenergie
Dabei zeigen sie z.B. auf, ob Proliferation verhindert werden konnte, ob Zivil-Militär-
Spill-over leicht möglich ist, etc.
Sie zeigen auch viele Beispiele, bei denen bei Nuklearwaffen Katastrophen nur
mit viel Glück vermieden wurden, weil die Priorität ganz klar auf Einsatz und nicht auf
Fail-safe lag. Sie schlagen vor, mit AI vorsichtiger umzugehen.
   http://www.belfercenter.org/sites/default/files/files/publication/AI%20NatSec%20-%20final.pdf


2. Aktualisierung und Erweiterung eines früheren Beitrags zu Passworten
-------------------------------------------------------------------------------------
Zuerst mal das neue:
Hinter der Website 
     https://haveibeenpwned.com/
steht eine Sammlung von über 1 Millarde gestohlener und geknackter Passworte.
Ein wichtiger Faktor für ein "gutes" Passwort ist, dass es nicht in einer dieser Listen 
verwendet wurde, weil diese Listen die Basis für Bruce-Force Angriffe sind.
Hier mein Tipp:
Geben sie auf https://haveibeenpwned.com/ ein beliebiges PW ein, das sie für sicher halten, 
und sehen sie, ob es bei den irgendwann mal geknackten Passworten dabei ist. 
Falls es dabei ist, so sollten sie es nicht mehr nutzen.

Außerdem kann man seine eigene Email-Adresse auf der Website angeben und sehen, 
ob sie in einem der vielen Leaks als Benutzernname dabei war.

Jetzt der 2. Punkt:
Die NIST hat ihre Digital Identity Guidelines überarbeitet, der offizielle Text ist jetzt fertig. 
Passworte werden behandelt in
      https://pages.nist.gov/800-63-3/sp800-63b.html

Die Regeln sind auf Grund von komplexeren Analysen der Angriffsfaktoren für die Benutzer 
deutlich entspannter geworden, der Schutz muss an anderer Stelle liegen.

Passwortanforderungen ab “5. Authenticator and Verifier Requirements”: mind. 8-stellig falls 
selbstgewählt, keine Komplexitätsanforderungen, 6-stellig numerisch falls random vorgegeben. 
Begründung für diese Aufweichung herkömmlicher Regeln
     https://pages.nist.gov/800-63-3/sp800-63b.html#appA (weil z.B. Komplexitätsanforderungen 
vom Benutzer vorhersagbar umgesetzt werden, aber Blacklists zum Ausschließen von bekannten schwachen)
Der Text behandelt auch viele der modernen Spezialfälle wie OTP devices, etc.
In „6. Authenticator Lifecycle Management“ geht es um Gültigkeitsdauern, vor allem von 
technischen Token auf Geräten wie Smartphones. 
In „10.2. Usability Considerations by Authenticator Type” kommen viele Punkte die das 
Merken vereinfachen sollen, z.B. kein erzwungenes Ändern.

Zu dem Gesamtthema gibt es einen längeren Artikel von mir:
    http://sicherheitskultur.at/Passworte.htm


 


 

Philipp Schaumann, http://sicherheitskultur.at/

Zurück zum Archiv-Überblick

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.