Defense in Depth

Kritische Informationswerte sind auf verschiedenen Ebenen bedroht

Bedrohungen kritischer Informationswerte

Schwachstellen kritischer Informationswerte

Prädiktive Maßnahmen

Vorbeugende Maßnahmen

Erkennende Maßnahmen

Reaktive Maßnahmen

Zugriffskontrolle

Subjekt (subject)

Objekt (object)

Zugriff (access)

Zugriffskontrolle (access control)

Sicherheitsrichtlinien (security policy)

Drei Schritte der Zugriffskontrolle

1. Identifizierung

2. Authentifizierung

3. Autorisierung

Authentifizierung

Wissensbasierte Authentifizierung

Passwortangriffe & Gegenmaßnahmen

Password Cracking

Direkte Angriffe - Raten

Dictionary Attacks

Brute Force Attacks

John the Ripper

Passwort-Topologie

Passwort Angriffe - Beispiele

Regeln für sichere Passwörter

Serverseitige Passwortverifizierung

Vorberechnete Tabellen

Reduktionsfunktion

Hash-Kette

Rainbow Table

Schwaches Passwort-Hashing

Weitere passwortbezogene Sicherheitsprobleme

Wissensbasierte Passwörter

Einmal-Passwörter

Biometrische Authentifizierung

Falsche Rückweisungsrate (FRR)

Falsche Akzeptanzrate (FAR)

FAR vs. FRR

Besitzbasierte Authentifizierung

Sicherheits-Token

Besitz eines Geheimnisses

Multi-Faktor-Authentifizierung

Modelle Zugriffskontrolle

Discretionary Access Control (DAC)

Mandatory Access Control (MAC)

Prinzip des geringsten Privilegs

Role-Based Access Control (RBAC)

Umgebung & Berechtigung

Attribute-Based Access Control (ABAC)

Berechtigungsangriff

Spoofing

IP-Spoofing

MAC-Spoofing

DNS-Spoofing

DNS-Spoofing - Cache Poisoning