NOM NOM - Alle zwei Wochen Tech-Stuff. Mal Security, mal Neuerscheinungen, mal Entwicklung in Unternehmen, mal Technik mit politischen und wirtschaftlichen Aspekten. Gäste sind gern gesehen. Hört rein. Gebt Feedback.
https://podcast.it-beratungswerk.de
episode 2: Passwörter im Fokus: Bin ich sicher?
Hallo zur 2. Folge.
In der heutigen Folge reißen wir das Thema Passwörter an. Das Thema Security ist alleine in diesem Bereich schon riesig. Einige wichtige Dinge erzählen wir euch aber in dieser Folge.
Iterationen: Der Grund, warum ich es nicht im Podcast erklärt habe, ist, dass die Themen Hashing, Iterationen, Salt und Pepper für mich zusammen gehören. Tatsächlich ist das Ganze auf Wikipedia schon gut erklärt und zusätzlich mit Weblinks versehen.
https://de.wikipedia.org/wiki/Rainbow_Table
Entropie: Grob: wie viele Versuche es braucht, das Passwort zu "erraten".
Erklärung: https://specopssoft.com/de/blog/alles-ueber-passwort-entropie/ (die Software dahinter ist keine Empfehlung von uns)
Ebenfalls sehr schön dazu und noch ein bisschen mehr (aber auf Englisch) https://www.grc.com/haystack.htm (Steve Gibson hat auch einen tollen Podcast zum Thema Security)
Der Service um zu prüfen, ob seine Mailadresse geleaked wurde, von dem wir geredet haben:
https://haveibeenpwned.com/
Aber auch z.B. von der Uni Bonn:
https://leakchecker.uni-bonn.de/
und der Uni Potsdam:
https://sec.hpi.uni-potsdam.de/ilc/search?lang=de
gibt es solche Services.
Hier kann man auch direkt sein Passwort prüfen lassen:
https://haveibeenpwned.com/Passwords
Als Passwortmanager ist https://bitwarden.com/ eine Empfehlung wert. Es ist OpenSource und existiert in einer kostenfreien als auch einer kostenpflichtigen Version. Unternehmen haben optional die Möglichkeit des Self-Hostings.
Wenn man Single-User ist (und lieber die Passwörter selbst hosten möchte), gibt es natürlich den Klassiker KeePass den man mittels Erweiterungen auch zu einer Synchronisation bewegen kann.
SafeInCloud ist auch ein schöner und übersichtlicher Passwort-Manager, der die Datenbank lokal speichert, aber über verschiedene WebDienste (oder auch einen eigenen WebDav-Server) synchronisieren kann.
2FA:
Aktiviert Multi-Faktor-Authentifizierung, wo ihr nur könnt. Aber am besten nicht per SMS, da diese schon lange als unsicher gelten. Neben den "großen" 2FA-Apps wie Google und Microsoft ist Authy (https://authy.com/) eine App, die Beachtung verdient. Sie ist auf fast allen Systemen verfügbar.
Und natürlich hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) Informationen zu Passwort-Managern: BSI - Passwörter verwalten mit dem Passwort-Manager (bund.de)
und auch zu sicheren Passwörtern/2FA: BSI - Sichere Passwörter erstellen (bund.de)