[Owasp-germany] OWASP Stammtisch Hamburg 14.6.: "[..] Weshalb es eine gute Idee ist, die Passwörter von Kollegen zu cracken"

Dirk Wetter dirk at owasp.org
Mon Jun 6 14:07:22 UTC 2016


Moin!


wie schon zuvor angekündigt: am 14.6. findet unser nächster OWASP-Stammtisch statt.
Ingo Bente spricht ab 19h übers Passwort-Cracking.


Eckdaten:
=========
Titel: "Passwortsicherheit in Unternehmen - Weshalb es eine gute Idee ist, die Passwörter von
Kollegen zu cracken"
Vortragender: Ingo Bente
Datum: 14.6.2016, Dienstag
Uhrzeit: 19:00 Uhr
Lokation: Xing, Anreise, siehe https://owasp.de/hamburg/



Abstract:
=========
Aus der Security Community kommt immer wieder der Hinweis, dass User starke Passwörter
verwenden sollen. Passwort-Policies sind ein etabliertes Hilfsmittel, um diese Anforderung zu
erfüllen - vor allem in IT-Umgebungen von Unternehmen. Solche Policies können tatsächlich
hilfreich sein, vor allem um User davor zu schützen, Trivialpasswörter zu verwenden. Allerdings
existieren auch Passwort-Policies, deren Beitrag zur Verbesserung der Sicherheit bestenfalls
fragwürdig ist. Beispiele? Eine große Bank erlaubt maximal 5 Zeichen. In Unternehmen wird
häufig eine regelmäßige Änderung des Passwortes erzwungen. Bei manchen Diensten dürfen keine
Sonderzeichen verwendet werden.

Passwort Policies alleine sind also nicht der Weisheit letzter Schluss. Sie werden schnell
überspezifiziert, führen zur Frustration der User, und sorgen oft nicht einmal dafür, dass die
verwendeten Passwörter wirklich besser werden.

Der Vortrag geht darauf ein, wie ein Passwort Cracking Tool dazu verwendet werden kann, um die
Stärke von Mitarbeiter-Passwörtern in einem Unternehmensumfeld wirksam zu verbessern. Basierend
auf Hashcat kann man mit wenigen Zeilen Code eine Toolchain bauen, die Offline-Attacken gegen
die in User Directories gespeicherten Passwort-Hashes von Mitarbeitern durchführt. Neben der
generellen Machbarkeit werden außerdem Learnings und Erfahrungswerte vorgestellt, die in den
letzten Monaten beim Betrieb einer solchen Lösung gesammelt worden sind.


Generelles zum OWASP-Stammtisch
===============================
Beim Stammtisch treffen sich Leute, die sich beruflich oder privat mit IT-Sicherheit, viele
speziell mit Anwendungen im Web und deren Sicherheit auseinandersetzen, Entwickler, Manager,
"Pen- oder was auch immer -Tester" und alle an IT-Sicherheit interessierte. Die Atmosphäre bei
OWASP ist offen und locker. Uns geht's um den Erfahrungsaustausch. Wer Produkte oder
Dienstleistungen verkaufen will, ist hier falsch. Ihr könnt gerne Kollegen oder Bekannte den
Hinweis auf den Stammtisch weiterleiten, alle Treffen sind frei, offen und kostenlos (O in OWASP).


Aufgrund von der ein oder anderen Ressourcenallozierung bitte ich um möglichst zuverlässige
Ansage,
wer kommt, (Mail, Xing:
https://www.xing.com/events/owasp-hamburg-passwortsicherheit-unternehmen-1693741 oder
bei Meetup: http://www.meetup.com/OWASP-Hamburg-Stammtisch/events/231590534/ )



Frohes Schwitzen! Dirk




-- 
German OWASP Chapter Lead
Send me encrypted mails (Key ID 0xB818C039)



More information about the Owasp-germany mailing list