[Owasp-germany] Reminder: OWASP Stammtisch Hamburg 14.6.: "[..] Weshalb es eine gute Idee ist, die Passwörter von Kollegen zu cracken"

Dirk Wetter dirk at owasp.org
Mon Jun 13 11:33:36 UTC 2016


Moin,

PS: das wäre dann morgen.

BG, Dirk

Am 06/06/2016 um 04:07 PM schrieb Dirk Wetter:
> 
> Moin!
> 
> 
> wie schon zuvor angekündigt: am 14.6. findet unser nächster OWASP-Stammtisch statt.
> Ingo Bente spricht ab 19h übers Passwort-Cracking.
> 
> 
> Eckdaten:
> =========
> Titel: "Passwortsicherheit in Unternehmen - Weshalb es eine gute Idee ist, die Passwörter von
> Kollegen zu cracken"
> Vortragender: Ingo Bente
> Datum: 14.6.2016, Dienstag
> Uhrzeit: 19:00 Uhr
> Lokation: Xing, Anreise, siehe https://owasp.de/hamburg/
> 
> 
> 
> Abstract:
> =========
> Aus der Security Community kommt immer wieder der Hinweis, dass User starke Passwörter
> verwenden sollen. Passwort-Policies sind ein etabliertes Hilfsmittel, um diese Anforderung zu
> erfüllen - vor allem in IT-Umgebungen von Unternehmen. Solche Policies können tatsächlich
> hilfreich sein, vor allem um User davor zu schützen, Trivialpasswörter zu verwenden. Allerdings
> existieren auch Passwort-Policies, deren Beitrag zur Verbesserung der Sicherheit bestenfalls
> fragwürdig ist. Beispiele? Eine große Bank erlaubt maximal 5 Zeichen. In Unternehmen wird
> häufig eine regelmäßige Änderung des Passwortes erzwungen. Bei manchen Diensten dürfen keine
> Sonderzeichen verwendet werden.
> 
> Passwort Policies alleine sind also nicht der Weisheit letzter Schluss. Sie werden schnell
> überspezifiziert, führen zur Frustration der User, und sorgen oft nicht einmal dafür, dass die
> verwendeten Passwörter wirklich besser werden.
> 
> Der Vortrag geht darauf ein, wie ein Passwort Cracking Tool dazu verwendet werden kann, um die
> Stärke von Mitarbeiter-Passwörtern in einem Unternehmensumfeld wirksam zu verbessern. Basierend
> auf Hashcat kann man mit wenigen Zeilen Code eine Toolchain bauen, die Offline-Attacken gegen
> die in User Directories gespeicherten Passwort-Hashes von Mitarbeitern durchführt. Neben der
> generellen Machbarkeit werden außerdem Learnings und Erfahrungswerte vorgestellt, die in den
> letzten Monaten beim Betrieb einer solchen Lösung gesammelt worden sind.
> 
> 
> Generelles zum OWASP-Stammtisch
> ===============================
> Beim Stammtisch treffen sich Leute, die sich beruflich oder privat mit IT-Sicherheit, viele
> speziell mit Anwendungen im Web und deren Sicherheit auseinandersetzen, Entwickler, Manager,
> "Pen- oder was auch immer -Tester" und alle an IT-Sicherheit interessierte. Die Atmosphäre bei
> OWASP ist offen und locker. Uns geht's um den Erfahrungsaustausch. Wer Produkte oder
> Dienstleistungen verkaufen will, ist hier falsch. Ihr könnt gerne Kollegen oder Bekannte den
> Hinweis auf den Stammtisch weiterleiten, alle Treffen sind frei, offen und kostenlos (O in OWASP).
> 
> 
> Aufgrund von der ein oder anderen Ressourcenallozierung bitte ich um möglichst zuverlässige
> Ansage,
> wer kommt, (Mail, Xing:
> https://www.xing.com/events/owasp-hamburg-passwortsicherheit-unternehmen-1693741 oder
> bei Meetup: http://www.meetup.com/OWASP-Hamburg-Stammtisch/events/231590534/ )
> 
> 
> 
> Frohes Schwitzen! Dirk
> 
> 
> 
> 

-- 
German OWASP Chapter Lead
Send me encrypted mails (Key ID 0xB818C039)



More information about the Owasp-germany mailing list