MRMCD2019 Über Bruteforce Protection und warum das gar nicht so leicht ist
https://media.ccc.de/v/2019-220-ber-bruteforce-protection-und-warum-das-gar-nicht-so-leicht-ist
Bruteforce Angriffe - also Angriffe durch Ausprobieren aller möglicher Passwörter - sind so alt wie Passwörter selbst. Seit Systeme über das Internet erreichbar wurden, haben diese Angriffe an Relevanz gewonnen. Doch obwohl die Idee des Angriffs simpel und altbekannt ist, gibt es in der Praxis kaum Verfahren zur Abwehr dieser Angriffe, die nicht neue Probleme mit sich bringen. In meinem Vortrag möchte ich die gängigen Verfahren beleuchten, aufzeigen welche Probleme sie mit sich bringen und schließlich auch eine Lösung vorstellen, die es besser macht.
Im Vortrag zeige ich verschiedene Ansätze wie Bruteforce Protection in der Praxis gehandhabt wird, und dass sie fast alle ein zentrales Problem ignorieren - sie ermöglichen einen Denial of Service Angriff. Schließlich stelle ich das Verfahren der Bruteforce Protection via Device Cookies vom Open Web Application Security Project (OWASP) vor, das bisher der einzige praktikable Ansatz zu sein scheint. Abschließend gibt es noch ein Ausblick über Zwei-Faktor-Authentifizierung zu WebAuthn um zu zeigen, dass es auch andere Lösungsansätze gibt die sich mit der Problematik von Passwörtern allgemein befassen und eine Zusammenfassung mit Hinweisen für Anwendungsentwickler\*innen und Nutzer\*innen.
Leeo
https://talks.mrmcd.net/2019/talk/PMPV9P/
Видео MRMCD2019 Über Bruteforce Protection und warum das gar nicht so leicht ist канала media.ccc.de
Bruteforce Angriffe - also Angriffe durch Ausprobieren aller möglicher Passwörter - sind so alt wie Passwörter selbst. Seit Systeme über das Internet erreichbar wurden, haben diese Angriffe an Relevanz gewonnen. Doch obwohl die Idee des Angriffs simpel und altbekannt ist, gibt es in der Praxis kaum Verfahren zur Abwehr dieser Angriffe, die nicht neue Probleme mit sich bringen. In meinem Vortrag möchte ich die gängigen Verfahren beleuchten, aufzeigen welche Probleme sie mit sich bringen und schließlich auch eine Lösung vorstellen, die es besser macht.
Im Vortrag zeige ich verschiedene Ansätze wie Bruteforce Protection in der Praxis gehandhabt wird, und dass sie fast alle ein zentrales Problem ignorieren - sie ermöglichen einen Denial of Service Angriff. Schließlich stelle ich das Verfahren der Bruteforce Protection via Device Cookies vom Open Web Application Security Project (OWASP) vor, das bisher der einzige praktikable Ansatz zu sein scheint. Abschließend gibt es noch ein Ausblick über Zwei-Faktor-Authentifizierung zu WebAuthn um zu zeigen, dass es auch andere Lösungsansätze gibt die sich mit der Problematik von Passwörtern allgemein befassen und eine Zusammenfassung mit Hinweisen für Anwendungsentwickler\*innen und Nutzer\*innen.
Leeo
https://talks.mrmcd.net/2019/talk/PMPV9P/
Видео MRMCD2019 Über Bruteforce Protection und warum das gar nicht so leicht ist канала media.ccc.de
Показать
Комментарии отсутствуют
Информация о видео
Другие видео канала
MRMCD2019 Bahn API Chaos - jetzt international34C3 - Antipatterns und Missverständnisse in der SoftwareentwicklungJoachim Breitner: Der Tiptoi-StiftGehackt. Und nu?MRMCD2019 Unehrliche RhetorikMRMCD2019 Cheating AI - Wenn Menschen die KI hackenEasterhegg 2019 - Anonymität nach Tor36C3 - #mifail oder: Mit Gigaset wäre das nicht passiert!starbug: Passwort, Karte oder Gesicht #eh16Die 5G-Überwachungsstandards35C3 - Hackerethik - eine EinführungIT-Sicherheitsgesetz 2.0, Anhörung im Innenausschuss: Redebeiträge Linus Neumann, CCCInternet-Teergrube: Ein Muss für AlleGPN19 - Linux package manager sind zu langsam!GPN19 - Hacking Building Automation Security - or how to have keyless entry at your neighbors...Passwort Manager - Warum ihr einen nutzen solltet und welchen ich nutze36C3 - Finfisher verklagenEasterhegg 2019 - Wie frei ist unser Internet? Netzneutralität in Europa auf dem PrüfstandVertrauliches "Chatten" - Wem vertraust du?