passwortsicherheit bei luks

Alexander Goeres 𒀯

jabgoe2089@hub.netzgemeinde.eu

a stampede of philosophers is a stampede nonetheless

Ort:: Berlin

Germany

Heimatstadt:: Berlin

Geschlecht:: Männlich

Status:: Single

Homepage:: https://laeuterungen.blogspot.de https://hub.netzgemeinde.eu/articles/jabgoe2089

passwortsicherheit bei luks

2020-06-15 11:37:17

Alexander Goeres 𒀯

jabgoe2089@hub.netzgemeinde.eu

hier ein interessanter artikel zu dem versuch eines journalisten, das passwort seiner eigenen verschlüsselten festplatte mittel brute-force zu hacken.

#computer #sicherheit

heise online News (Unofficial) schrieb den folgenden Beitrag Mon, 15 Jun 2020 10:26:00 +0200

Festplattenverschlüsselung mit Brute-Force knacken

Gerade musste ich feststellen: Ich habe mein Festplatten-Passwort vergessen! Die Lösung: Ich fahre eine Brute-Force-Attacke gegen mich selbst.

Artikel ansehen

computer

2020-06-15 11:57:38

Mark Nowiasz

buckaroo@hub.netzgemeinde.eu

Das ist kein Brute-Force-Angriff, die Autorin wusste ja noch großte Teile ihrer Passphrase :-) Bruteforce wäre so was wie "HEQpe0LRmZYYKO4GzwmVemoLkACGPf6z" - ohne dass man noch Teile der Passphrase kennt - herausrechnen zu wollen.

2020-06-15 11:59:21

Alexander Goeres 𒀯

jabgoe2089@hub.netzgemeinde.eu

naja, sie hat es ja auch anfangs probiert ohne passwortreste und da kam als voraussichtliche dauer 200 jahre raus ...

2020-06-15 13:02:45

Mark Nowiasz

buckaroo@hub.netzgemeinde.eu

Abgesehen davon - so richtig überzeugend finde ich ihre Rolle als „Expertin für IT-Sicherheit“ nun nicht. Bei Festplattenverschlüsselung wird immer wieder hingewiesen den LUKS-Header sicher zu backuppen (um sowas zu vermeiden). Dann ist das ganze noch unbequem/unkomfortabel und fehlerträchtig - sah man ja. Und dazu noch fehlende Backups... Ich habe selbst Festplattenverschlüsselung, allerdings komfortabler:

Der Schlüssel ist ein zufällig generiertes Keyfile.
Dieser Schlüssel mit mit meinem GPG-Key verschlüsselt
Dieser wiederum ist u.A. auf dem Yubikey des Laptops gespeichert. Dort holt man ihn auch nicht 'raus (Kryptochip)

Was passiert nun beim Booten? Ich werde nach der PIN - und keine 11 oder 20 stelliges Password - des Yubikeys gefragt. Bei richtiger PIN entschlüsselt GPG via Yubikey das Keyfile, dieses dann die Platte und alles ist gut. Wenn jemand 3x die falsche PIN eingegeben hat, ist der Yubikey gesperrt - und nur via Admin-PIN (oder Reset-PIN) wieder nutzbar. 3x falsche Admin-PIN? Der Yubikey ist unbenutzbar, und kann nur noch komplett gelöscht werden.

Der Key ist auf mehreren Yubikey verteilt und auch noch sicher gebackuppt.

Alles in allem ist das nicht nur erheblich sicherer - Hardwaretoken usw - sondern auch noch erheblich komfortabler (numerische PIN die man selbst aussuchen kann statt Password von unangenehmer Länge, was man gerne vergisst).

Und alles aus Standard-Komponenten/Software (Dracut, Yubikey, GPG). Die Yubikeys nehme ich auch noch für andere Funktionien, hier nur das Beispiel Festplattenverschlüsselung.