< Return to Video

calc.pw

  • 0:09 - 0:11
    Wunderbar. Äh ja...
  • 0:11 - 0:12
    Willkommen zu meinem Vortrag über calc.pw,
  • 0:12 - 0:14
    Passwortberechnung mit Arduino
  • 0:14 - 0:17
    Vielleicht kurz vorher: die Folien selber sind auf Englisch gehalten,
  • 0:17 - 0:19
    damit non-native speaker sich daran orientieren können.
  • 0:19 - 0:22
    Ich selbst werde aber trotzdem auf Deutsch vortragen.
  • 0:23 - 0:25
    Vielleicht kurz zu mir, mein Name ist Kenny,
  • 0:25 - 0:28
    und man kann mich erreichen per E-Mail, per Twitter, per Website
  • 0:28 - 0:30
    und noch so ein paar andere Sachen, die ich nicht aufgeschrieben habe.
  • 0:32 - 0:33
    Was ich heute erzählen werde,
  • 0:33 - 0:35
    ist zum einen das Problem, was ich lösen wollte,
  • 0:35 - 0:38
    dann meine Idee, wie ich dieses Problem lösen wollte,
  • 0:38 - 0:40
    dann, wie die Lösung derzeit aussieht,
  • 0:40 - 0:42
    wie die Lösung funktioniert,
  • 0:42 - 0:44
    und was so die Fallstricke waren, die ich versucht habe,
  • 0:44 - 0:46
    oder die mir begegnet sind, die ich lösen musste...
  • 0:47 - 0:49
    Ja, fangen wir mit dem Problem einfach mal an.
  • 0:50 - 0:52
    Viele von euch werden sicherlich das Internet benutzen,
  • 0:52 - 0:54
    mit keine Ahnung wievielen verschiedenen Diensten,
  • 0:54 - 0:58
    ihr werdet eigene Server haben, wo ihr euch per SSH einwählt,
  • 0:58 - 1:00
    ihr habt E-Mail-Accounts, wo ihr euch einloggen müsst usw.,
  • 1:01 - 1:04
    und wie ihr sicherlich wisst, sollte man für jeden Dienst
  • 1:04 - 1:05
    ein eigenenes Passwort verwenden.
  • 1:05 - 1:06
    Einfacher Grund:
  • 1:06 - 1:10
    wird ein so ein Dienst mal angegriffen und die Passwörter entwendet,
  • 1:10 - 1:13
    können diese Passwörter bei anderen Diensten ausprobiert werden,
  • 1:13 - 1:16
    und schon habt ihr einen viel größeren Angriffsvektor.
  • 1:17 - 1:18
    Deswegen: ein Passwort pro Dienst,
  • 1:18 - 1:21
    das ist so das, was man einsetzen sollte.
  • 1:21 - 1:24
    Das Problem ist, sich diese ganzen Passwörter zu merken.
  • 1:24 - 1:27
    Also bei mir sind es im Schnitt so zwischen 25 und 50 Passwörter,
  • 1:27 - 1:28
    die ich jede Woche verwende,
  • 1:28 - 1:30
    je nachdem, wieviele Dienste ich gerade benutze.
  • 1:32 - 1:34
    Weil man sich so viele starke Passwörter einfach nicht merken kann,
  • 1:34 - 1:37
    haben Leute angefangen, sich Passwort-Schemen auszudenken.
  • 1:37 - 1:40
    Zum Beispiel hat man ein starkes Passwort, das man vorne dranpackt,
  • 1:40 - 1:41
    und hinten dann den Namen vom Dienst.
  • 1:43 - 1:47
    Ist dann ein Problem, wenn ein Dienst z.B. Passwörter Plaintext abspeichert,
  • 1:48 - 1:51
    weil dann kann man sich einfach dieses Präfix-Passwort nehmen,
  • 1:51 - 1:53
    kann irgendeinen anderen Dienstnamen hinten dranschreiben
  • 1:54 - 1:55
    und kann damit wieder Passwörter ausprobieren.
  • 1:56 - 2:01
    Es gibt noch andere Möglichkeiten, Passwörter sich selber zu generieren,
  • 2:01 - 2:04
    indem man z.B. einen Satz benutzt, da die Leerzeichen rausnimmt,
  • 2:04 - 2:06
    noch ein paar Buchstaben durch Zahlen & Sonderzeichen ersetzt,
  • 2:06 - 2:08
    und dann hat man wieder ein Passwort.
  • 2:08 - 2:11
    Macht aber auch dann wieder Probleme, wenn man viele Dienste verwendet,
  • 2:11 - 2:13
    weil für jeden Dienst muss man sich einen Satz merken,
  • 2:13 - 2:16
    man muss sich merken, welchen Satz man für welchen Dienst benutzt hat,
  • 2:16 - 2:18
    welche Buchstaben man wann ersetzt hat, und so weiter.
  • 2:20 - 2:23
    Die andere Sache, die in den letzten Jahren sehr beliebt geworden ist,
  • 2:23 - 2:24
    sind Passwortdatenbanken.
  • 2:25 - 2:26
    Wenn man es sich mal genau überlegt,
  • 2:26 - 2:28
    das ist im Grunde eine Datei, da schreibt man seine Passwörter rein,
  • 2:28 - 2:32
    da schreibt man rein, auch noch, wie der Benutzername ist,
  • 2:32 - 2:35
    wie der Dienst heißt, vielleicht noch die URL vom Dienst,
  • 2:35 - 2:37
    verschlüsselt das ganze mit einem Passwort,
  • 2:38 - 2:41
    und hofft, dass niemals diese Datei abhanden kommt,
  • 2:41 - 2:43
    und dass niemals gleichzeitig das Passwort dazu abhanden kommt.
  • 2:44 - 2:46
    Benutzt man dann sehr gerne auf Windows z.B.,
  • 2:46 - 2:49
    wo Trojaner und Viren durchaus vorherrschend sind,
  • 2:49 - 2:52
    und wir müssen, wenn wir Passwort-Datenbanken benutzen,
  • 2:52 - 2:56
    hoffen, dass niemals ein Trojaner kommt, der genau darauf abzielt.
  • 2:57 - 2:57
    Ja.
  • 2:59 - 3:01
    Was ist jetzt so die Idee?
  • 3:02 - 3:04
    Die Idee hinter dem ganzen ist zum einen,
  • 3:04 - 3:07
    ich möchte die Passwortauswahl vereinfachen,
  • 3:07 - 3:10
    sprich, welches Passwort wird für welchen Dienst wann verwendet.
  • 3:11 - 3:13
    Ich möchte gleichzeitig das Problem lösen,
  • 3:13 - 3:15
    wie man sich diese ganzen Passwörter merken soll.
  • 3:16 - 3:18
    Es soll obendrein soweit wie möglich verhindert werden,
  • 3:18 - 3:20
    dass diese Passwörter verloren gehen,
  • 3:20 - 3:21
    z.B. durch einen Festplattencrash,
  • 3:21 - 3:23
    wo dann plötzlich die Passwort-Datenbank weg ist,
  • 3:23 - 3:26
    oder sie gestohlen werden, z.B. durch Trojaner.
  • 3:27 - 3:28
    Und das ganze soll Open Source sein,
  • 3:29 - 3:31
    einfach, damit jeder diese Technologie benutzen kann,
  • 3:31 - 3:33
    und nicht sich an irgenwelche teuren Firmen wenden muss,
  • 3:33 - 3:35
    um sowas in der Art haben zu können.
  • 3:37 - 3:40
    Die Frage ist jetzt natürlich, wie soll das ganze funktionieren?
  • 3:42 - 3:43
    so...
  • 3:43 - 3:44
    ...meiner Meinung nach.
  • 3:44 - 3:47
    und zwar indem die pw kryptografisch berechnet werden
  • 3:48 - 3:49
    es gibt da mehrere Faktoren
  • 3:49 - 3:52
    das ist zum Beispiel das ist zum einen das Master-Passwort
  • 3:52 - 3:55
    was die Stärke des ganzen darstellen soll
  • 3:55 - 3:57
    einfach weil es schlussendlich eine Verschlüsselung ist
  • 3:58 - 4:00
    wir haben eine Service-Information für die einfache Merkbarkeit
  • 4:00 - 4:05
    das geht so in Richtung starkes Präfix und dann einfacs Service-Suffix
  • 4:06 - 4:08
    es sollen öffentlichen Algorithmen verwendet werden
  • 4:08 - 4:10
    einfach, damit man das ganze reproduzieren kann
  • 4:10 - 4:13
    wenn man also ein Gerät hat, was Passwörter berechnet,
  • 4:13 - 4:15
    und ein neues Gerät kauft, was die gleichen Algorithmen verwendet
  • 4:16 - 4:17
    soll schlussendlich die gleichen PW dabei heraus kommen
  • 4:18 - 4:20
    und das ganze soll dedizierte Hardware verwenden
  • 4:21 - 4:24
    einfach, damit wir nicht durch normale Trojaner und Viren angegriffen werden können
  • 4:24 - 4:25
    bei der Passwort-Berechnung.
  • 4:27 - 4:28
    So, wie sieht die Lösung aus?
  • 4:28 - 4:32
    Ich geh mal ein bisschen zurück, ins Jahre 2003 äh 2010
  • 4:32 - 4:34
    da hab ich ein Programm geschrieben
  • 4:34 - 4:37
    den Passwordcalculatur, der schon genau das gemacht hat
  • 4:37 - 4:39
    man hat ein Master-Passwort eingegeben
  • 4:39 - 4:41
    hat die Information eingegeben, hat auf berechnen geklickt
  • 4:41 - 4:43
    und hat schlussendlich sein Passwort rausgekriegt
  • 4:45 - 4:47
    hat funktioniert, funktioniert auch immer noch,
  • 4:47 - 4:49
    hat aber eine unschöne Eigenschaft, nämlich,
  • 4:49 - 4:52
    wo immer man sein Passwort braucht, muss man dieses Programm runterladen
  • 4:53 - 4:56
    an dem Rechner muss man entsprechend auch sein Masterpasswort eingeben
  • 4:56 - 4:59
    und ich habs mehrfach, also zweimal,
  • 4:59 - 5:02
    dass ich bei einem Freund war, hab da irgendwas an einem Server machen müssen,
  • 5:02 - 5:04
    hab das Programm runtergeladen, Passwort eingegeben,
  • 5:05 - 5:07
    und als ich dann fertig war mit meiner Arbeit, wurde mir dann gesagt:
  • 5:07 - 5:11
    "Du, mein Computer benimmt sich seit zwei Wochen ein bisschen merkwuerdig...
  • 5:11 - 5:13
    wenn du schonmal da bist, kannst du nichtmal kucken?"
  • 5:13 - 5:16
    Hmm. Schön. Erstmal alle Passwörter wechseln.
  • 5:17 - 5:19
    Genau das soll eben nicht mehr vorkommen.
  • 5:19 - 5:24
    Deswegen, calc.pw als wirklich Hardware-Anwendung
  • 5:24 - 5:27
    sieht ungefähr so aus, schön in einer Box
  • 5:27 - 5:29
    das ist noch die Revision "c",
  • 5:29 - 5:31
    es gibt mittlerweise eine Revision "d",
  • 5:31 - 5:32
    die ist noch nicht ganz fertig, wie man sieht
  • 5:33 - 5:34
    aber wird noch.
  • 5:35 - 5:38
    Wie man sieht, soll ein bisschen modularer werden, als es vorher gewesen ist
  • 5:39 - 5:46
    soll auch... eher in Richtung Produktion in... ja... Fabriken kommen
  • 5:48 - 5:49
    daran arbeite ich noch.
  • 5:49 - 5:51
    Was ist da schlussendlich drin?
  • 5:51 - 5:55
    In der Revision "d", also das ist ein verteiltes,
  • 5:56 - 5:58
    ist einmal ein Arduino Leonardo drin, als Output-Device,
  • 5:58 - 6:01
    das emuliert eine Tastatur gegenüber dem Computer
  • 6:01 - 6:04
    spricht das LCD an und spricht auch ein paar LEDs an
  • 6:04 - 6:05
    damit man so Status-Informationen kriegt,
  • 6:06 - 6:09
    dazu noch ein Ardiuino Uno, als Eingabegerät,
  • 6:09 - 6:12
    dort wird schlussendlich eine Tastaur angeschlossen
  • 6:13 - 6:15
    es kann auch optional noch ein Keypad angeschlossen werden,
  • 6:15 - 6:16
    daran arbeite ich gerade
  • 6:16 - 6:20
    und dieses Arduino Uno führt auch die Berechnung schlussendlich durch
  • 6:20 - 6:24
    und dann noch als 3. ein sogenanntes USB-Host-Shield
  • 6:24 - 6:27
    das ist das, was eigentlich dann den USB-Anschluss hat
  • 6:28 - 6:31
    was dann die Kommunikation mit dem USB-Gerät vornimmt
  • 6:31 - 6:32
    und hier schon mal eine Empfehlung:
  • 6:33 - 6:35
    dringend oder am besten das von circuits at home nehmen
  • 6:35 - 6:38
    das ist das ursprünglich shield, wo auch die Bibliothek für geschrieben wird
  • 6:39 - 6:41
    wo auch die Entwickler von dieser Bibliothek stark dahinter sind
  • 6:42 - 6:43
    das es gut funktioniert
  • 6:45 - 6:47
    So, wie funktioniert das ganze nun?
  • 6:47 - 6:48
    Ich habe da mal eine Schematik gemacht
  • 6:50 - 6:52
    im Grund, man hat seinen Computer, man hat seine Tastatur
  • 6:52 - 6:54
    und genau dazwischen sitzt calc.pw
  • 6:55 - 6:57
    ist so in der Art "man in the middle"
  • 6:58 - 7:00
    liest ein, was über die Tastatur eingegeben wird,
  • 7:00 - 7:02
    und gibt dann irgendwas an den Computer aus.
  • 7:02 - 7:06
    Genauer gesagt, beim hochfahren fragt es einmal nach dem Masterpasswort
  • 7:06 - 7:07
    was man dann nochmal wiederholt,
  • 7:08 - 7:10
    und dann geht es in einen sogenannten passthrough-Modus
  • 7:10 - 7:13
    heißt: die Eingaben, die dann über die Tastatur erfolgen,
  • 7:13 - 7:16
    werden eins zu eins an den Rechner weitergegeben
  • 7:16 - 7:18
    einfach damit man die Tastatur weiter benutzen kann, ganz normal
  • 7:19 - 7:21
    erst durch eine spezielle Tastenkombination kommt man dann
  • 7:21 - 7:23
    in den Passwort-berechnen-Modus
  • 7:23 - 7:24
    wo man seine information eingibt,
  • 7:24 - 7:26
    Enter drückt, das Passwort berechnet wird,
  • 7:27 - 7:29
    und das Passwort als normale Tastatureingaben
  • 7:29 - 7:30
    an den Rechner weitergegeben werden
  • 7:31 - 7:34
    sprich; der kriegt nichtmal mit, dass da jetzt nicht über eine Tastatur
  • 7:34 - 7:36
    ein Passwort eingegeben wurde sondern berechnet worden ist.
  • 7:38 - 7:38
    So.
  • 7:40 - 7:41
    Wie funktioniert die Berechnung?
  • 7:42 - 7:43
    Nicht aufregen, komme ich gleich noch zu
  • 7:46 - 7:47
    was zu erst gemacht wird,
  • 7:47 - 7:50
    es wird aus dem Master-Passwort und der eingegebenen Information
  • 7:50 - 7:51
    ein termporäres Passwort gebildet.
  • 7:51 - 7:53
    das ist einfach gegen Rainbow-Attacks,
  • 7:54 - 7:57
    dass sozusagen nicht vorher schon Passwörter vorberechnet werden können.
  • 7:58 - 7:59
    Als nächstes wird die Information genommen,
  • 7:59 - 8:00
    und die wird expandiert.
  • 8:01 - 8:04
    Wenn wir uns vorstellen, wir haben eine ganz kurze Dienstinformation, wie z.B. "ebay"
  • 8:04 - 8:06
    wir wollen nicht nur vier Zeichen kurze Passwörter generieren
  • 8:07 - 8:09
    das ganze wird also entsprechend expandiert,
  • 8:10 - 8:12
    wird verschlüsselt, noch ein bisschen sauber gemacht
  • 8:12 - 8:13
    dass man es auch wirklich als Passwort benutzen kann
  • 8:14 - 8:15
    und dass ist schlussendlich unser Passwort.
  • 8:17 - 8:20
    Wir wissen, dass da ist das eine Problem: SHA1
  • 8:21 - 8:23
    ist nicht mehr so ganz "state of the art"
  • 8:24 - 8:28
    und das andere, seit Snowden, das da [RC4] auch nicht mehr so "state of the art"
  • 8:29 - 8:32
    warum die noch eingesetzt werden, darauf komm ich später noch zu sprechen.
  • 8:33 - 8:36
    So, was waren denn so die Fallstricke?
  • 8:37 - 8:41
    im Grunde die vier hier als allererstes, und größtes
  • 8:41 - 8:44
    diese Tastaturen, die man dort anschließt
  • 8:44 - 8:46
    und selber ne tastatur darstellen,
  • 8:46 - 8:48
    ist ziemlich ekelhaft
  • 8:49 - 8:53
    das zweite ist, unser ram, den wir haben, unseren Arbeitsspeicher
  • 8:53 - 8:58
    ist bei so einem Arduino sehr beschränkt, bei so einem Arduino Leonardo sind es 2.5 kB
  • 8:59 - 9:03
    Unser Programmspeicher, wo sozusagen die Anwendung reingeladen wird auf das Arduino
  • 9:03 - 9:06
    ist auch relativ klein mit 28 kb
  • 9:06 - 9:10
    und das dritte, bzw das vierte, ist die...
  • 9:10 - 9:12
    ich habs "mobile technology gap" genannt
  • 9:12 - 9:14
    da komm ich gleich noch drauf zu sprechen, was ich damit meine
  • 9:14 - 9:16
    So. Die Tastaturen.
  • 9:16 - 9:19
    Jeder von euch hat sicherlich schonmal ein Betriebssystem eingerichtet
  • 9:19 - 9:20
    und da wurde dann gefragt:
  • 9:20 - 9:22
    ja, was für eine Tastatur hast du denn bei dir angeschlossen?
  • 9:22 - 9:25
    Dann darf man auswählen, dass man eine deutsche Tastatur hat, eine de-DE
  • 9:25 - 9:26
    oder eine de-CH oder was auch immer
  • 9:27 - 9:30
    wo schlussendlich definiert wird, wenn man auf eine Taste drückt,
  • 9:30 - 9:31
    was für ein Zeichen fällt hinten bei raus
  • 9:33 - 9:39
    ich hab mal die häufigsten, die man in Europa sieht, aufgeschrieben
  • 9:39 - 9:42
    gibt da dann zum Beispiel wie gesagt qwertz-de, qwertz aus der Schweiz
  • 9:43 - 9:46
    qwertz aus Dänemark, qwerty aus Großbritannien, qwerty aus den USA
  • 9:46 - 9:48
    azerty aus frankreich, azerty aus belgien,
  • 9:48 - 9:51
    dann noch mal schon gemixt zwischen Mac und Windows und so weiter und so fort.
  • 9:52 - 9:55
    wie gerade schon gesagt, unser Programmflash ist 28 kb groß
  • 9:55 - 9:58
    und so ein Layout was sozusagen diese Umwandlung macht
  • 9:58 - 10:00
    zwischen welche Taste zu welchem Zeichen
  • 10:01 - 10:02
    braucht ein bisschen an Bytes.
  • 10:03 - 10:07
    Zuviel, um alle möglichen abbilden zu können im Ardiuno selber.
  • 10:08 - 10:10
    Wir haben auch einen Datenflash, der ist 1 kb groß,
  • 10:10 - 10:12
    sozusagen Permamentspeicher, den man nochmal selber beschrieben kann,
  • 10:12 - 10:15
    der ist nur 1kb groß, da passt grad mal eins rein,
  • 10:15 - 10:19
    deswegen braucht man eine Lösung einfach, eines drauf flashen zu können,
  • 10:19 - 10:21
    und wenn man seine Tastatur auf einmal wechseln sollte,
  • 10:21 - 10:23
    - warum auch immer - einfach ein neues draufflashen zu können.
  • 10:24 - 10:27
    So. So sieht das ganze dann aus:
  • 10:27 - 10:29
    Das rechts ist sozusagen ein qwertz-de-Layout
  • 10:30 - 10:32
    schön encodiert einfach als Hex
  • 10:33 - 10:35
    und links sieht man dann wie das ganze aussieht
  • 10:35 - 10:36
    wenn es dann gerade gesfllasht wird.
  • 10:38 - 10:40
    So. Das zweite Problem ist der RAM.
  • 10:41 - 10:44
    Wie gesagt 2.5 kb bei so einem Arduino Leonardo ist nicht gerade viel
  • 10:44 - 10:45
    und was wir auch noch machen
  • 10:45 - 10:47
    wir machen ja auch noch String-Bearbeitung,
  • 10:47 - 10:49
    was nicht so schön ist.
  • 10:49 - 10:52
    Weil, wenn man sich vorstellt, so ein kleiner Speicher, man allkoiert zwei Blöcke,
  • 10:52 - 10:54
    deallokiert den ersten, und schon hat man ein Speicherloch
  • 10:55 - 10:57
    sprich, fragmentierten Speicher,
  • 10:58 - 11:00
    und wenn man das oft genug macht, dann ist der Ram voll,
  • 11:00 - 11:02
    und man kann keine neuen Blöcke allokieren,
  • 11:02 - 11:04
    und schon ist man in einer Deadlock Situation.
  • 11:06 - 11:09
    Was ich deswegen gemacht habe, ich habe einen eigenen kleinen Speichermanager geschrieben
  • 11:09 - 11:12
    dem man im Grunde übergibt, so viel Speicher sollst du verwalten
  • 11:12 - 11:14
    soviele Blöcke sind maximal nöglich
  • 11:14 - 11:17
    und sobald ein block deallokiert wird,
  • 11:17 - 11:19
    werden einfach alle blöcke dahinter nach vorne geschoben.
  • 11:19 - 11:22
    sodass man permanent eine Defragmentiertung des Speichers hat.
  • 11:22 - 11:23
    Funktioniert ziemlich gut.
  • 11:24 - 11:25
    Braucht auch nicht so lange.
  • 11:27 - 11:28
    Ja. So würde es ansonsten aussehen,
  • 11:28 - 11:30
    man hat überall kleine Miniblöcke,
  • 11:31 - 11:32
    die man nicht mehr ordentlich benutzen kann
  • 11:32 - 11:34
    und irgendwann ist der Speicher voll, wenn man neu allokieren will.
  • 11:34 - 11:35
    Doof.
  • 11:36 - 11:36
    So.
  • 11:37 - 11:39
    Mein größtes Problem ist eigentlich der Programmflash,
  • 11:39 - 11:41
    also sprich, wie groß kann die Anwendung sein.
  • 11:43 - 11:44
    Das Usb-Host-Shield, was ich verwende,
  • 11:44 - 11:46
    hat eine eigenen Bibliothek, wie gesagt,
  • 11:46 - 11:48
    die immer mehr Funktionen bekommt,
  • 11:48 - 11:50
    die entspchend aber auch immer größer wird,
  • 11:50 - 11:52
    und auch immer mehr Programflash weg frisst.
  • 11:54 - 11:56
    Wie auch schon gesagt, derzeit wird noch sha1 und rc4 benutzt,
  • 11:56 - 11:58
    einfach deswegen, es passt gut in den Ram rein,
  • 11:58 - 12:00
    und passt gut in den program flash rein
  • 12:00 - 12:02
    also relativ schmal zu implementieren.
  • 12:03 - 12:05
    Bessere Crypto braucht einfach mehr Platz,
  • 12:06 - 12:08
    das ist eins der Themen an denen ich derzeit arbeite.
  • 12:09 - 12:12
    Die andere Sache ist, auch neue Features brauchen mehr Platz.
  • 12:14 - 12:16
    Ein Feature, was ich mir z.B. noch vorstelle,
  • 12:16 - 12:18
    hab ich einfach mal type-through encryption genannt
  • 12:18 - 12:20
    sprich, wie damals bei der Enigma,
  • 12:20 - 12:24
    man hat sein calcpw, hat das in den Modus geschaltet,
  • 12:24 - 12:27
    und während man seinen Text eintippt, wird der Text verschlüsselt
  • 12:27 - 12:29
    und erst vershlüsselt an den Rechner übertagen
  • 12:29 - 12:30
    der angeschlossen ist.
  • 12:30 - 12:34
    So kann man z.B. dann in Internetcafés oder sowas
  • 12:34 - 12:36
    vertrauliche Infromationen schreiben
  • 12:36 - 12:40
    könnte sie auf, ja was auch immer, Pastebin oder sowas ablegen
  • 12:41 - 12:43
    und derjenige, der es lesen soll, kann es dann entschlüsseln.
  • 12:43 - 12:44
    So.
  • 12:44 - 12:46
    Die Lösung, die ich jetzt gemacht habe, bei Revision "d"
  • 12:46 - 12:48
    ist einfach ein zweites Arduino dazuzu nehmen,
  • 12:48 - 12:50
    genauer gesagt ein Arduino Uno.
  • 12:50 - 12:51
    Vorteil am Arduino Uno:
  • 12:51 - 12:54
    Die Bauteile für den Kern des ganzen kosten gerade mal 5€
  • 12:54 - 12:56
    und die kann man selber zusammenlöten
  • 12:58 - 13:02
    so sieht das übrigens aus, wenn ein sogenannter Sketch zu groß wird,
  • 13:02 - 13:03
    man kriegt einfach nur die Meldung "zu groß"
  • 13:03 - 13:05
    kannste ja mal da kucken, wie du das vielleicht kleiner kriegst,
  • 13:06 - 13:09
    ist poblematisch wenn eben der Code gebraucht wird,
  • 13:09 - 13:10
    weil die Funktion ansonsten nicht funktioniert.
  • 13:12 - 13:16
    Und das letzte, mobile technology gap:
  • 13:16 - 13:21
    wir werden immer mobiler, wir haben unsere Laptops dabei,
  • 13:21 - 13:23
    wo wir keine Tastatur unbedingt mitschleppen wollen,
  • 13:23 - 13:25
    mit noch einem Extragerät, was wir anschließen,
  • 13:25 - 13:28
    wir haben unsere Tablets, wo wir keine Usb-Tastaturen anschließen können,
  • 13:28 - 13:30
    wir haben unsere Smartphones, wo wir keine Usb-Tastaturen anschließen können,
  • 13:32 - 13:33
    ist etwas umständlich.
  • 13:34 - 13:37
    So, und deswegen zwei Sachen, an denen ich derzeit arbeite,
  • 13:37 - 13:40
    ist zum einen die calcpw-Funktionalität
  • 13:40 - 13:41
    in eine Tastatur zu integrieren
  • 13:42 - 13:46
    und die andere ist, dass calcpw nicht mehr nur über Usb funktioniert
  • 13:46 - 13:48
    sondern auch über Bluetooth angeschlossen werden kann.
  • 13:48 - 13:52
    Bluetooth haben wir Glück, funktioniert inzwischen mit Android realtiv gut,
  • 13:52 - 13:54
    funktioniert auch mit iOS relativ gut,
  • 13:55 - 13:59
    wo wir also Smartphones und Tablets abdecken können.
  • 13:59 - 14:01
    Wenn man sozusagen eine Tastatur hätte, wo die Funktion drin ist,
  • 14:01 - 14:04
    diese Tastatur funktioniert per Bluetooth,
  • 14:05 - 14:08
    würde einige Probleme zumindest lösen können.
  • 14:10 - 14:13
    So sieht ein Test aus, den ich derzeit gemacht habe,
  • 14:13 - 14:16
    das ist ein einfaches Numpad, wie man früher hatte,
  • 14:16 - 14:18
    wenn man dreimal auf die 2 drückt, kommt ein C raus
  • 14:18 - 14:20
    die ganzen Sachen eingeben kann,
  • 14:20 - 14:21
    funktioniert erstmal,
  • 14:23 - 14:25
    das ist eine andere Sache, an der ich gearbeitet habe
  • 14:26 - 14:28
    das da unten ist eine Tastaturmatrix,
  • 14:28 - 14:30
    die ich aus einer normalen Kauftastatur rausgeholt habe,
  • 14:31 - 14:33
    besteht im Grunde aus drei Schichten,
  • 14:33 - 14:35
    eine untere leitenden Schicht, eine obere leitende Schicht
  • 14:35 - 14:36
    und eine Trennschicht
  • 14:36 - 14:38
    und jedesmal wenn man eine Taste drückt, wird die Oberschicht
  • 14:38 - 14:40
    durch die Trennschicht auf die Unterschicht gedrückt
  • 14:40 - 14:44
    und man kann herausfinden durch einfaches durchschalten
  • 14:44 - 14:45
    welche Taste gerade gedrückt wurde
  • 14:46 - 14:47
    und genau das ist was ich vorhabe.
  • 14:47 - 14:50
    Sozusagen mich selber zwischen diese Matrix
  • 14:51 - 14:54
    und den eigentlichen Controller der Tastatur zu bringen
  • 14:55 - 14:57
    um dann den Controller zu benutzen als Output
  • 14:57 - 14:59
    und die Matrix zu verwenden als Input.
  • 14:59 - 15:01
    Man sieht, ist gar nicht so einfach,
  • 15:01 - 15:05
    weil diese Matrix ist schlussendlich ein bisschen Plastik
  • 15:05 - 15:06
    wo ein bisschen Silber aufgedampft ist,
  • 15:07 - 15:09
    da dran löten funktioniert nicht.
  • 15:10 - 15:12
    Mein derzeitiger Versuch ist, mit sogenanntem Leitfaden
  • 15:13 - 15:17
    in die einzelnen Auflagekontakte von dieser Matrix zu stechen,
  • 15:17 - 15:21
    dort einen Knoten zu machen, das ganze mit Nagellack zu fixieren
  • 15:21 - 15:24
    und dann zu versuchen, das ganze an den Microcontroller anzuschließen
  • 15:24 - 15:31
    Applaus
  • 15:31 - 15:36
    Aber falls jemand eine Ahnung hat, wie man solche Auflagekontakte herstellen kann,
  • 15:36 - 15:39
    wär das natürlich sehr hilfreich das würde nicht so viel frickeln sein.
  • 15:40 - 15:40
    Ja.
  • 15:42 - 15:44
    Gut, ich hab noch mehr als genug Zeit,
  • 15:44 - 15:46
    aber trotzdem kann ich euch schonmal sagen,
  • 15:46 - 15:48
    wenn ihr weitere Informationen haben wollt,
  • 15:48 - 15:49
    könnt ihr einfach auf http://calc.pw gehen
  • 15:50 - 15:53
    die Slides selber findet ihr auf http://calc.pw/30c3
  • 15:54 - 15:57
    und da ich noch Zeit habe, kann ich ja noch ein bisschen weiter gehen.
  • 16:00 - 16:02
    Eine Frage, die sich sicherlich stellen wird, ist
  • 16:02 - 16:05
    wenn man jetzt so ein Ding hat, was Passwörter berechnet,
  • 16:05 - 16:08
    wie kann man z.B. denn bestimmen, wie lang diese Passwörter sein sollen
  • 16:08 - 16:10
    oder welche Sonderzeichen verwendet werden?
  • 16:10 - 16:12
    Das wird bei calcpw derzeit inline gemacht,
  • 16:13 - 16:16
    sprich man hat seine Information und kann hinten drann noch ein paar Sachen hinzuschreiben
  • 16:16 - 16:20
    die die Passwörtberechnung beeinflussen
  • 16:20 - 16:24
    das ist zum einen das Fragezeichen gefolgt von einem Integer bis 50
  • 16:24 - 16:27
    wo man angibt wie lange das Passwort sein soll, das generiert wird
  • 16:27 - 16:30
    50 einfach deswegen weil wir wenig RAM haben
  • 16:30 - 16:33
    und ewiglange Passwörter generieren und im Ram halten ist schwierig
  • 16:34 - 16:36
    dann gibt es noch das Ausrufezeichen
  • 16:36 - 16:39
    wo man angeben kann welche Sonderzeichen verwendet werden dürfen,
  • 16:40 - 16:44
    aus meiner Erfahrung mit dem Passwortcalculator Pass Calc also dieser Windows Software
  • 16:45 - 16:53
    kann ich sagen, dass in 99,9% braucht man keine Sonderzeichen in Passwörtern
  • 16:54 - 16:59
    deswegen eher so, dass man ihm wirklich sagt ok Ausrufezeichen welche Sonderzeichen sind erlaubt
  • 17:00 - 17:03
    die kann man auch wild durcheinander mixen also egal in welcher Reihnefolge man sie angibt
  • 17:04 - 17:05
    man muss halt immer wieder alle angeben.
  • 17:06 - 17:12
    So. Dann gibt es noch ein großes Problem, was Passwortformulare häufig wollen oder manchmal wollen,
  • 17:13 - 17:16
    dass man mindestens das eingibt und mindestens das eingibt und mindestens das eingibt
  • 17:17 - 17:20
    dafür gibt es noch die Route die man vorne ran schreiben kann, die macht einfach einen Check:
  • 17:20 - 17:23
    Ok, ist mindestenes ein Buchstabe enthalten ist mindestens eine Zahl enthalten?
  • 17:23 - 17:27
    wenn man das Ausrufezeichen benutzt ist sowieso immer mindestens ein Sonderzeichen enthalten.
  • 17:28 - 17:32
    Und so kann man auch solche Checks einbauen, dass ein Passwort irgendwelche Anforderungen erfüllt.
  • 17:33 - 17:37
    So sehen dann Informationen aus die man eingeben kann "SomeINFO".
  • 17:37 - 17:41
    "SomeINFO?25" wäre entsprechend Passwort 25 Zeichen lang,
  • 17:41 - 17:44
    "SomeINFO" mit plus minus mal geteilt - eines davon wird genommen -
  • 17:45 - 17:48
    dann eben "SomeINFO" 8 Zeichen langes Passwort als Default
  • 17:48 - 17:50
    und da muss dann mindestens eine Zahl und ein Buchstabe drinn sein.
  • 17:50 - 17:53
    Das ganze dann nochmal kombiniert und das ganze dann nochmal kombiniert.
  • 17:54 - 17:56
    Ja, eine Folie hatte ich noch.
  • 17:56 - 17:57
    Ja genau.
  • 17:58 - 18:01
    So sieht der Ablauf aus wenn man das ganze verwendet,
  • 18:02 - 18:05
    wie gesagt wenn es hoch fährt wird man einmal nach dem Passwort gefragt,
  • 18:06 - 18:09
    das ganze soll man nochmal eingeben falls man sich vertippt hat, das man das mitkriegt
  • 18:09 - 18:12
    und kommt dann eben in diesen pass-through-Modus wo die Daten einfach durchgereicht werden
  • 18:13 - 18:17
    und wenn man den Passwortmodus wechselt gibt man die Information ein und drückt dann Enter
  • 18:17 - 18:20
    Passwort wird berechnet und man kommt zurück in den pass-through Modus.
  • 18:20 - 18:22
    Ja. Damit ist auch mein Backup zu Ende.
  • 18:23 - 18:23
    Danke.
  • 18:23 - 18:32
    Applaus
  • 18:32 - 18:34
    Herald Engel: Ja vielen Dank für diesen hervorragenden Talk
  • 18:34 - 18:38
    ich denke er ist sehr interessant und vielleicht haben wir ja auch ein paar interessante Ideen
  • 18:38 - 18:40
    wie man das zum Beispiel erweitern könnte.
  • 18:40 - 18:42
    Und damit sind dann die Fragen eröffnet.
  • 18:42 - 18:49
    Ich bitte euch einfach an den Mikrofonen aufzustellen, an eins und zwei... vor allem.
  • 18:55 - 18:59
    Frage 1: Mich interessiert, du sagt wenn du die reine Software verwendest
  • 18:59 - 19:03
    und der Rechner ist kompromittiert, dann hast du hinterher ein Problem und kannst alle Passwörter ändern
  • 19:04 - 19:08
    aber wenn der Rechner so kompromittiert ist, kann ja immer noch passieren,
  • 19:09 - 19:13
    musst du nicht alle verwenden, man kommt auch nicht an dein Master Passwort ran,
  • 19:13 - 19:17
    aber die expliziten Passwörter die du da verwendet hast sind auch tot.
  • 19:17 - 19:20
    Kenny: Ja die sind schlussendlich tot wenn man dem Gerät nicht vertrauen kann, richtig.
  • 19:20 - 19:24
    Ist eben der primäre Vorteil deswegen auch in dem Algorithmus entsprechend ...
  • 19:32 - 19:36
    Ich wurde ein paar mal gefragt warum ich einfach nur hashe oder nur verschlüssele:
  • 19:36 - 19:39
    Einfacher Hintergrund: Wir wollen dieses Master Passwort schützen,
  • 19:39 - 19:43
    und dadurch das beides eingesetzt wird haben wir zwei Ebenen von Schutz drin,
  • 19:44 - 19:48
    wenn sozusagen ein Passwort kompromittiert wird müssen wir nicht nur durch den Hash-Algorithmus durchbrechen können,
  • 19:48 - 19:50
    sondern wir müssen auch durch die Verschlüsselung durchbrechen können.
  • 19:50 - 19:52
    Das ist das gleiche wie wenn wir Firewalls aufbauen,
  • 19:53 - 19:55
    da sollte man immer zwei nehmen und zwar von verschiedenen Herstellern.
  • 19:56 - 19:57
    Ist hier genau das gleiche.
  • 19:58 - 20:02
    Ja, wenn dieses eine Passwort auf einem Rechner verwendet wird der komprommitiert ist,
  • 20:02 - 20:06
    ist dieses Passwort verbrannt, weil es wird schlussendlich unverschlüsselt an den Rechner geschickt.
  • 20:08 - 20:13
    Hauptziel hier ist es, das aufgrund eines Passwortes oder aufgrund von n Passwörtern,
  • 20:14 - 20:19
    die abgelesen werden, nicht auf das Master-Passwort zurückgeführt werden kann.
  • 20:19 - 20:21
    Das ist hier einer der Hauptgründe.
  • 20:21 - 20:24
    Deswegen Hardware und deswegen auch die Wahl des Algorithmus.
  • 20:28 - 20:34
    Frage 2: Was machst denn du wenn dann eines deiner Passwörter bekannt geworden ist?
  • 20:34 - 20:38
    Also dein ebay-Passwort, deine Info ebay ist genommen.
  • 20:38 - 20:42
    Musst du dann künftig "ebay2" eintippen damit du die nächste Info hast, oder?
  • 20:44 - 20:45
    Kenny: Ja, leider.
  • 20:45 - 20:48
    Es gibt möglicherweise verschiedene Möglichkeiten,
  • 20:48 - 20:50
    man kann z.B. anstatt "ebay" "ebay.com" nehmen.
  • 20:51 - 20:54
    Frage 2: Jaja okay, aber du musst dir wieder ein neues ausdenken.
  • 20:54 - 20:56
    Kenny: Ja, schlussendlich muss man sich eine neue Information ausdenken, das ist richtig.
  • 20:57 - 21:00
    Man hat aber immer noch den Vorteil, das nicht plötzlich sämtliche Passwörter ändern muss.
  • 21:00 - 21:02
    Frage 2: Ok, und dann habe ich noch eine Frage:
  • 21:03 - 21:07
    In diesem pass-through Modus, gibt es da irgendwie eine spürbare Latenz von der Tastatur
  • 21:07 - 21:08
    oder verlierst du irgendwelche Features?
  • 21:09 - 21:12
    Kenny: In dem pass-through Modus habe ich noch keine Latenz mitbekommen.
  • 21:12 - 21:16
    Man muss dazu sagen ich bin nur Entwickler und schreibe Texte, ich bin kein Gamer,
  • 21:17 - 21:20
    man sollte also nicht unbedingt als Gamer da seine Gaming-Tastatur anschließen.
  • 21:26 - 21:27
    Herald: Okay, wenn es keine Fragen mehr gibt hätte...
  • 21:27 - 21:28
    Kenny: Doch ich glaube noch da, zwei.
  • 21:29 - 21:30
    Herald: ... hätte ich sonst eine gehabt.
  • 21:30 - 21:32
    Frage 3: Ja ich hätte da noch eine Frage und zwar:
  • 21:32 - 21:36
    wie genau sieht das dann aus, weil das lädt ja eher dazu ein,
  • 21:36 - 21:38
    dass man eher schwache Passwörter verwendet
  • 21:38 - 21:40
    wie gerade geschrieben "ebay" einfach nur.
  • 21:41 - 21:43
    Wenn dann jemand Zugriff auf das Gerät hat,
  • 21:43 - 21:46
    das er dann ganz einfach an viele Accounts ran kommen kann?
  • 21:49 - 21:50
    Kenny: Nicht unbedingt... lacht
  • 21:51 - 21:56
    Schlussendlich, auch wieder hier aufgrund des Algorithmus, wir versuchen sowas wie...
  • 21:56 - 21:59
    also, es wird versucht sowas wie Rainbowtables zu verhindern
  • 21:59 - 22:04
    in dem eben du damit du überhaupt die Verschlüsselung im zweiten Schritt machen zu können
  • 22:05 - 22:07
    du jedes Master Passwort nehmen musst
  • 22:07 - 22:09
    und dort jede Information nehmen musst, die du durchprobieren willst.
  • 22:11 - 22:14
    Das generieren deiner Rainbowtable dauert schlussendlich länger,
  • 22:14 - 22:17
    und auch dann ist deine Rainbow table größer, weil du
  • 22:17 - 22:19
    kannst ja nicht nur davon ausgehen das jemand "ebay" benutzt,
  • 22:19 - 22:21
    du kannst auch "ebay.com" nehmen, du kannst "ebay.de" nehmen,
  • 22:21 - 22:23
    du kannst was auch immer
  • 22:25 - 22:28
    irgendwie deinen Usernamen nehmen,
  • 22:29 - 22:31
    es wird dadurch divergierter.
  • 22:32 - 22:32
    Frage 3: Ja okay.
  • 22:35 - 22:38
    Frage 4: I've got a question about the iteration,
  • 22:38 - 22:43
    most passwords do have an expiration date, so they have 90 days
  • 22:43 - 22:47
    you've got to just change your password.
  • 22:47 - 22:49
    How do you handle that?
  • 22:49 - 22:52
    Kenny: Well, the question is how do we handle that with passwort schemes?
  • 22:52 - 22:59
    Normally you have one character where you just increment a character or a number
  • 22:59 - 23:05
    or you add something like "q1" for the first quarter of the year.
  • 23:05 - 23:13
    Thats the same here so you could add for example "ebay" space then "q12014"
  • 23:14 - 23:17
    than you have your passwort for that actual quarter of the year.
  • 23:18 - 23:18
    Frage 4: Okay thanks.
  • 23:19 - 23:19
    Kenny: Ok
  • 23:24 - 23:25
    Herald: More questions?
  • 23:26 - 23:30
    Is there something from the internet maybe? Where is the signal angel anyway? Yeah?
  • 23:33 - 23:34
    Frage 5: I have one question,
  • 23:34 - 23:40
    I was wondering wheter you could use - I don't know - maybe I should stick to english?
  • 23:41 - 23:44
    I was wondering how you could use that system
  • 23:44 - 23:48
    to somehow prevent that keyloggers can
  • 23:48 - 23:52
    kind of get what you are typing.
  • 23:52 - 23:56
    Kenny: Oh well, should I answer in English? laughs
  • 23:58 - 24:06
    You have to differentiate between software keyloggers that are run on your computer
  • 24:06 - 24:07
    you can't prevent that
  • 24:08 - 24:10
    but when you use such a hardware
  • 24:10 - 24:15
    and you have to look at it because it has an LED or an LCD where your information is shown
  • 24:16 - 24:21
    you can see where your usb cable is going along
  • 24:21 - 24:25
    and thus can see when there is another piece of hardware attatched to it.
  • 24:25 - 24:25
    Frage 5: Yeah, ok.
  • 24:31 - 24:32
    Herald: Next question?
  • 24:34 - 24:37
    Frage 6: I'm really not sure if I should continue in English, I'll just do it..
  • 24:37 - 24:38
    Herald: Wir könnten auch auf D...
  • 24:38 - 24:39
    Kenny: Wir können auch auf Deutsch!
  • 24:39 - 24:40
    Frage 6: lacht Dann machen wir auf Deutsch.
  • 24:43 - 24:48
    Eine kleine Frage zu dem ganze Konzept von diesem sozusagen Zwischenschalten
  • 24:48 - 24:53
    eines neuen Gerätes zwischen sozusagen Keyboard und dem tatsächlichen Computer,
  • 24:53 - 24:57
    ich bin jetzt nicht wirklich technik-affin und würde einfach fragen, ob du
  • 24:58 - 25:04
    darin sozusagen die Zukunft der persönlichen Sicherheit für Computer oder Passwörter allgemein siehst?
  • 25:06 - 25:11
    kenny: Ich sehe die Zukunft von Logins definitiv in zusätzlicher Hardware, ja,
  • 25:12 - 25:14
    wir haben es ja schon mit verschiedenen Tokens, wir haben RSA Tokens,
  • 25:15 - 25:16
    wir haben irgend welche anderen Tokens
  • 25:16 - 25:19
    die du dir von Google zuschicken kannst - whatever
  • 25:19 - 25:21
    ich denke schon, dass es in diese Richtung gehen wird, ja.
  • 25:29 - 25:32
    Frage 7: Denkst du auch über sowas wie "challenge response" nach?
  • 25:32 - 25:35
    Also letzendlich hast du ja das Problem
  • 25:35 - 25:37
    wenn du das Passwort einmal über den Computer geschickt hast,
  • 25:37 - 25:40
    mag es abgegriffen worden sein,
  • 25:40 - 25:43
    aber wenn du z.B. einen challenge response system einführen würdest,
  • 25:43 - 25:49
    also sprich der Computer schickt etwas an dein Device, USB geht in beide Richtungen,
  • 25:50 - 25:51
    rechnen rechnen, zurück.
  • 25:53 - 25:57
    Kenny: Dir geht es also darum, dass du etwas vom Computer über USB an das Gerät schickst
  • 25:57 - 25:59
    das irgendwas macht und es dir wieder zurück schickt?
  • 26:01 - 26:05
    War so schon implementiert, nannte sich Revision "A", nicht ohne Grund.
  • 26:07 - 26:08
    Denn hier hat man dann genau das Problem,
  • 26:08 - 26:10
    das man das ganze schon an den Rechner eintippt,
  • 26:11 - 26:12
    der entsprechend angreifbar ist,
  • 26:13 - 26:14
    und dann kann man auch gleich ein Stück Software nehmen.
  • 26:17 - 26:19
    Weil man schlussendlich, man gibt es am Rechner ein,
  • 26:19 - 26:21
    der ist kompromittiert, kann das Master-Passwort auslesen,
  • 26:22 - 26:26
    schickt das ganze dann an ein Gerät was offene Algorithmen verwendet,
  • 26:26 - 26:28
    berechnet irgendwas, was man auch selber dann berechnen kann,
  • 26:28 - 26:31
    denn es sind ja offene Algorithmen, schickt das ganze dann wieder zurück.
  • 26:31 - 26:36
    Also schlussendlich hast du dann höchstens einen Prozessor der dir das ganze abnimmt
  • 26:36 - 26:37
    der vielleicht optimiert sein könnte.
  • 26:38 - 26:40
    Aber der Angriffsvektor von der normalen Software ist wieder da.
  • 26:44 - 26:50
    Frage 7: Ich dachte mehr so an z.B. einen SSH-Login über private Keys
  • 26:50 - 26:53
    die dann halt nicht auf dem Rechner gespeichert sind sondern halt nur auf deiner Device
  • 26:53 - 26:56
    und das heißt die Informationen die nötig sind um das zu brechen
  • 26:56 - 26:57
    sind überhaupt nie auf deinem Rechner.
  • 27:00 - 27:02
    Kenny: Ich weiß nicht ob es in die gleiche Richtung geht,
  • 27:02 - 27:05
    ich bin derzeit dabei ein Paper zu schreiben über das ganze
  • 27:07 - 27:10
    wo es darum geht Smartcards zu verwenden
  • 27:10 - 27:11
    um dort die Informationen darauf zu speichern.
  • 27:11 - 27:13
    Ich weiß nicht ob es so ein bisschen in die Richtung geht.
  • 27:14 - 27:17
    Man würde eben das ganze nicht über den Computer
  • 27:17 - 27:20
    oder über das Betriebssystem hinschicken lassen,
  • 27:20 - 27:24
    sondern man würde die Information auslagern auf nochmal ein separates Gerät
  • 27:24 - 27:27
    was man entsprechend auch blacklisten kann - und weiß der Teufel.
  • 27:27 - 27:31
    Publikum (leise, unverständlich): Es gibt ja auch einen Crypto-Stick, z.B. der sowas wieder macht.
  • 27:31 - 27:32
    Kenny: Bitte?
  • 27:32 - 27:32
    Herald: Die F...
  • 27:32 - 27:33
    Publikum (leise, unverständlich): Crypto-Stick!
  • 27:33 - 27:35
    Herald: Es gäbe einen Crypto-Stick der so etwas auch macht?
  • 27:37 - 27:38
    Kenny: Der ist mir nicht bekannt.
  • 27:38 - 27:40
    Publikum (leise, unverständlich): Der war unvollständig.
  • 27:40 - 27:40
    Kenny: Ach so.
  • 27:42 - 27:43
    Herald: Okay, Micro zwei.
  • 27:44 - 27:47
    Frage 8: Die Frage ist, kann man auch irgendwie das Masterpasswort
  • 27:48 - 27:52
    irgendwie auf eine Smartcard oder etwas anderes mit zusätzlicher Hardware auslagern,
  • 27:52 - 27:56
    die du quasi mitnehmen kannst und vom Gerät trennen kannst.
  • 27:56 - 28:02
    Also und so des, weil das Masterpasswort - wenn man sich dann noch ein, wenn man, weiß nicht,
  • 28:02 - 28:05
    man neigt dazu, wenn man das Masterpasswort ständig eingeben muss,
  • 28:05 - 28:08
    das auch wieder zu verkürzen und sich einfacher merkbar zu machen,
  • 28:08 - 28:12
    das irgendwie besser zu merken auf dem Gerät und...
  • 28:13 - 28:15
    Kenny: Hatte ich ja gerade schon kurz angesprochen,
  • 28:15 - 28:18
    in dem Paper das ich gerade schreibe zeige ich genau sowas auf,
  • 28:18 - 28:24
    zwar eher für Firmen, dass die damit die Passwortverwaltung ihrer Mitarbeiter verbessern könnnen,
  • 28:25 - 28:28
    aber schlussendlich ja, es macht Sinn das ganze auf ein Gerät zu speichern,
  • 28:29 - 28:31
    es sollte dann aber ein Gerät sein was sicherer ist,
  • 28:31 - 28:33
    also sprich Smartcard schlussendlich.
  • 28:36 - 28:42
    Frage 9: Ja ich hab da ein Problem, wenn die Tastatur an dieses Arduino angeschlossen wird
  • 28:42 - 28:43
    und das ist dann sozusagen da in der Mitte,
  • 28:44 - 28:47
    was ist wenn noch irgendwie eine kriminelle Energie -
  • 28:47 - 28:50
    man sagt ja wenn man physikalsichen Zugriff hat, zum Beispiel auf die Tastatur
  • 28:50 - 28:53
    und dann zwischen - im Prinzip - irgendwie in der Tastatur
  • 28:53 - 28:57
    aber zwischen Tastatur und Arduino wieder einen Logger zwischen setzt,
  • 28:57 - 29:00
    dass dann ja das Passwort wieder, das Masterpasswort
  • 29:00 - 29:07
    inklusive den anderen Teil dieses Passwortes abgegriffen weden kann.
  • 29:07 - 29:09
    Also so wohl wenn kriminelle Energie ist,
  • 29:09 - 29:13
    dann lässt man zwischen Arduino und Tastatur den Logger dazwischen.
  • 29:13 - 29:19
    Kenny: Ja man muss dazu sagen, Hintergrund ist hier nicht gegen Hardwarekeylogger zu arbeiten.
  • 29:19 - 29:21
    Einfach deswegen weil man die nicht ordentlich erkennen kann.
  • 29:22 - 29:26
    Du könntest es irgendwie auf irgend eine bestimmte Tastatur prägen
  • 29:26 - 29:28
    und könntest dann hoffen, dass du mit den Latenzen heraus findest,
  • 29:28 - 29:30
    dass wirklich die Tastatur angeschlossen ist.
  • 29:32 - 29:35
    Macht aber in dem Umfang keinen Sinn,
  • 29:35 - 29:38
    das ist dann, das geht dann viel zu tief rein, also...
  • 29:40 - 29:43
    eine Sache hier drann ist, es soll möglichst einfach sein.
  • 29:43 - 29:47
    Und ein Masterpasswort sich merken und dann irgend eine beliebige Information eingeben
  • 29:47 - 29:48
    die man sich gut merken oder herleiten kann,
  • 29:49 - 29:51
    ist noch im Rahmen der Dinge was normaler Nutzer tun kann.
  • 29:51 - 29:55
    Und dann plötzlich anzufangen irgendwelche speziellen Konfigurationen durchzuführen,
  • 29:55 - 29:57
    damit nur noch seine Tastatur erkannt wird,
  • 29:58 - 29:59
    läuft dem ganzen schon wieder zu wider.
  • 30:00 - 30:02
    Ganz abgesehen davon, es gibt ein Grund warum ihr...
  • 30:03 - 30:05
    das Passwort immer wieder eingegeben werden soll beim Start
  • 30:05 - 30:09
    nämlich, dass das Gerät selber nicht Angriffsziel wird.
  • 30:09 - 30:11
    Wenn es z.B. verloren gehen würde und da würde das Masterpasswort drinn stehen,
  • 30:12 - 30:13
    hätte man ein großes Problem.
  • 30:14 - 30:16
    Deswegen eben wirklich so, dass man es immer wieder eingibt.
  • 30:18 - 30:20
    Herald: Okay das war dann die letze Frage.
  • 30:20 - 30:23
    Herzlichen Dank nochmal, einen großen Applaus für Kenny
  • 30:23 - 30:30
    Applaus
  • 30:30 - 30:33
    Herald: Und wer sich die Technologie nochmal näher ankucken kann,
  • 30:34 - 30:35
    kann gerne hier nach vornen kommen,
  • 30:35 - 30:37
    wir haben noch ein paar Minuten zwischen den Talks,
  • 30:37 - 30:39
    da könnt ihr ihn gerne ausfragen.
  • 30:39 - 30:40
    Kenny: Danke
  • 30:40 - 30:49
    subtitles created by c3subtitles.de
Title:
calc.pw
Description:

Passwortgenerierung mit Arduino (Generating passwords with Arduino)

more » « less
Video Language:
Klingon
Duration:
30:49

Klingon subtitles

Revisions