Tag 3, 27. Feb , 17:00 ‐ 17:45 , Raum A

User Account Security: So macht man das 2019

In den Medien liest man viel über Konten und Passwörter, die irgendwo im Internet landen. Außerdem haben die wenigsten Applikationen einen adäquaten Schutz gegen systematisches Erraten von Passwörtern. Eine schlechte Passwortrichtlinie, keine Möglichkeit für Leute, unbekannte Sitzungen zu beenden... Die Liste der Probleme ist lang.

Fragen, die Sie sich vielleicht stellen:

  • Was könnten wir dagegen tun?
  • Sollen wir Konten nach zu vielen fehlgeschlagenen Versuchen aussperren?
  • Falls ja, temporär oder permanent?
  • Wenn temporär, für wie lange?
  • Aber wie verhindere ich dann, dass jemand systematisch viele Konten sperrt?
  • Ist Aufzählung von Benutzern*Innen (User enumeration) überhaupt noch aktuell? Wie verhindere ich das?
  • Wie gehen große Firmen mit diesen Problemen um?
  • Wie sieht eine moderne Passwortrichtlinie aus? Wie sehr muss ich Leute damit nerven?
  • Wie kann ich sicherstellen, dass alles transparent ist und dass nicht legitime Aktivitäten für Benutzer*Innen bemerkbar sind? Wie können sie darauf reagieren?
  • Wie sehen fortgeschrittene Mechanismen aus, um die Konten zu schützen?
  • Was kann ich als Endbenutzer*In tun?

Leider sind die Antworten auf dieseFragen oft nicht trivial, und hängen vor allem davon ab, welche Art von Daten von der Applikation verarbeitet wird. Die Anforderungen an die Anwendung bezüglich Vertraulichkeit/Integrität und Verfügbarkeit sind ausschlaggebend. In diesem Talk werden wir erforschen, welche Fragen zuerst beantwortet werden müssen, um eine sachgerechte Entscheidung treffen zu können.

Wir werden auch ein paar recht smarte Techniken kennenlernen, mit denen wir nicht nur ein gutes Gleichgewicht zwischen Vertraulichkeit/Integrität und Verfügbarkeit herstellen können, sondern auch gleich eine ganze Reihe anderer Probleme und Anforderungen bezüglich Sicherheit lösen können.

Speaker

Thomas Konrad
Senior Security Consultant, SBA Research

Thomas Konrad has been part of SBA Research´s Software-Security team for more than 8 years. He focuses on Secure Software Development, Webapplication Security, Penetration-Testing, Secure Software-Design, Software-Architecture, leads trainings in those areas and works as an IT consultant.

Connection: