passwortsicherheit bei luks

Berlin, Mon, 15 Jun 2020 11:37:17 +0200

hier ein interessanter artikel zu dem versuch eines journalisten, das passwort seiner eigenen verschlüsselten festplatte mittel brute-force zu hacken.

#computer #sicherheit

heise online News (Unofficial) wrote the following post Mon, 15 Jun 2020 10:26:00 +0200

Festplattenverschlüsselung mit Brute-Force knacken

Gerade musste ich feststellen: Ich habe mein Festplatten-Passwort vergessen! Die Lösung: Ich fahre eine Brute-Force-Attacke gegen mich selbst.

View article

computer

Mark Nowiasz

Mon, 15 Jun 2020 11:57:38 +0200

Das ist kein Brute-Force-Angriff, die Autorin wusste ja noch großte Teile ihrer Passphrase

Bruteforce wäre so was wie "HEQpe0LRmZYYKO4GzwmVemoLkACGPf6z" - ohne dass man noch Teile der Passphrase kennt - herausrechnen zu wollen.

Alexander Goeres

Mon, 15 Jun 2020 11:59:21 +0200

naja, sie hat es ja auch anfangs probiert ohne passwortreste und da kam als voraussichtliche dauer 200 jahre raus ...

Mark Nowiasz

Mon, 15 Jun 2020 13:02:45 +0200

Abgesehen davon - so richtig überzeugend finde ich ihre Rolle als „Expertin für IT-Sicherheit“ nun nicht. Bei Festplattenverschlüsselung wird immer wieder hingewiesen den LUKS-Header sicher zu backuppen (um sowas zu vermeiden). Dann ist das ganze noch unbequem/unkomfortabel und fehlerträchtig - sah man ja. Und dazu noch fehlende Backups... Ich habe selbst Festplattenverschlüsselung, allerdings komfortabler:

Der Schlüssel ist ein zufällig generiertes Keyfile.
Dieser Schlüssel mit mit meinem GPG-Key verschlüsselt
Dieser wiederum ist u.A. auf dem Yubikey des Laptops gespeichert. Dort holt man ihn auch nicht 'raus (Kryptochip)

Was passiert nun beim Booten? Ich werde nach der PIN - und keine 11 oder 20 stelliges Password - des Yubikeys gefragt. Bei richtiger PIN entschlüsselt GPG via Yubikey das Keyfile, dieses dann die Platte und alles ist gut. Wenn jemand 3x die falsche PIN eingegeben hat, ist der Yubikey gesperrt - und nur via Admin-PIN (oder Reset-PIN) wieder nutzbar. 3x falsche Admin-PIN? Der Yubikey ist unbenutzbar, und kann nur noch komplett gelöscht werden.

Der Key ist auf mehreren Yubikey verteilt und auch noch sicher gebackuppt.

Alles in allem ist das nicht nur erheblich sicherer - Hardwaretoken usw - sondern auch noch erheblich komfortabler (numerische PIN die man selbst aussuchen kann statt Password von unangenehmer Länge, was man gerne vergisst).

Und alles aus Standard-Komponenten/Software (Dracut, Yubikey, GPG). Die Yubikeys nehme ich auch noch für andere Funktionien, hier nur das Beispiel Festplattenverschlüsselung.