Ancestors

Toot

Written by MvRiederberg on 2024-11-13 at 18:43

Kurz an die Security-Bubble hier: Mir ist klar, dass Login mit 2FA das bessere Vorgehen wäre. Will der Auftraggeber aber nicht, weil für seine MA «zu kompliziert».

Ist ein Passwort mit mind. 10 Zeichen, gehasht mit sha256 und Pepper eine gangbare Alternative? Andere Vorschläge?

=> More informations about this toot | More toots from mavori@swiss.social

Descendants

Written by Christoph Schmees on 2024-11-13 at 18:53

@mavori

Oha, wie qualifiziert sind diese Mitarbeiter/innen, wenn 2FA zu kompliziert sei? Workflow: Login mit username und PW; Dienst fragt nach 2.F. Smartphone, Aegis aufrufen (und ggf. entsperren), 6 Ziffern TOTP ablesen und auf Website eintragen. Den Sicherheitsgewinn gleichst du mit keiner PW-Länge aus.

Ansonsten: mindestens PW-Manager, damit die PW lang und komplex sein dürfen und als wichtigster Schutz gegen #Phishing.

=> More informations about this toot | More toots from PC_Fluesterer@social.tchncs.de

Written by MvRiederberg on 2024-11-13 at 19:04

@PC_Fluesterer Naja. Unternehmen mit vielen Handwerker:innen. Die unterschiedlich fit auf ihrem Mobile sind. Beackere Auftraggeber nun seit Längerem...

=> More informations about this toot | More toots from mavori@swiss.social

Written by Michael :donor: on 2024-11-13 at 19:55

@mavori Das 2FA wurde bereits von anderen hier angesprochen, habe aber Anmerkungen zum Passwort.

Mir ist dein Kontext nicht ganz klar, warum erwähnst du den Hashing Algorithmus und Pepper? Geht es um eine eigene Login-Implementierung? Falls ja, müssten sicher einige Dinge beachtet werden, die hier nicht erwähnt wurden:

1. Bitte nicht SHA256 verwenden für Passwort-Hashing, das ist zu schnell und im Falle eines Leaks der Hashes einfacher bruteforce-bar. Nutze im besten Fall Argon2 (Parameterwahl nach RFC9106), oder sonst Scrypt/Bcrypt. Meine persönliche Meinung ist, dass das Hashen eines Passworts auf dem installierten System etwa 750ms dauern sollte; für einen starken Hash ohne Nachteil bei der User Experience.

2. Die Mindestanzahl Zeichen ist meiner Meinung nach in Ordnung, schützt aber noch nicht ausreichend vor häufig verwendeten und geleakten Passwörtern, besser wäre noch gegen Wörterlisten zu prüfen mit häufig verwendeten Passwörtern, und mit Wörterbüchern für CH/DE/FR/IT/EN (allenfalls weitere, je nach Benutzerkreis), es gibt dafür auch viele Libraries um die "Passwortstärke" zu prüfen, bspw. zxcvbn oder Ähnliche.

https://github.com/dropbox/zxcvbn

=> More informations about this toot | More toots from hertg@infosec.exchange

Written by lj·rk on 2024-11-13 at 19:56

@mavori Unabhängig von der eigentlichen Frage: Bitte nicht sha256 für Passwort Hashes. Sha-2 ist generell dafür ungeeignet, da für Passwort Hashing andere Anforderungen (cache hardness, time hardness, ...) gelten als für generelle kryptographische Hashes (pre-image, 2nd pre-image und collision resistance). sha-2 kann nur mit sehr vielen Runden als Primitive die Teil von bspw. PBKDF2 ist eingesetzt werden, aber selbst so gibt's da keine cache hardness.

Für Password Hashing lieber bcrypt/scrypt nutzen, für Passwort-basierte Schlüssel argon2id.

Pepper ist dagegen eher irrelevant, ein guter randomisierter Salt reicht. Mehr dazu:

https://soatok.blog/2022/12/29/what-we-do-in-the-etc-shadow-cryptography-with-passwords/

Aber: Idealerweise nutzt man keine Passwörter. Passkeys (also WebAuthn) ist wie schon angesprochen die beste Option.

Wenn's Passwörter sein müssen dann ist die beste Variante einen Passwort-Manager vor zu installieren incl. Passwort-Generator: Es den MA einfach machen eindeutige und sichere Passwörter (Password Reuse ist eins der Hauptprobleme) zu nutzen die auch vor Allem lang sind (10 Zeichen sich gerade so okay).

=> More informations about this toot | More toots from ljrk@todon.eu

Written by conscientious objector🇨🇭🪂 on 2024-11-13 at 21:33

@mavori

Es geht ja nur um einen zweiten Faktor neben Wissen (Passwort),

Das kann Besitz sein (Handy, Chipkarte,etc.), Eigenschaft (Retina, Fingerabdruck), oder auch Position:

Geo-Fancing - also Zugriffe auf eine bestimmte Region beschränken, geht sehr gut mit Azure Frontdoor.

Weitere Besitz Ideen:

Klasisch VPN mit Zertifikaten auf dem Client. IP Adressen beschränken, falls möglich.

=> More informations about this toot | More toots from tobi82@swiss.social