Biden denkt Sicherheit "neu"

Ich unterstütze die Aussage in dem Artikel voll und ganz. Solche Regeln führen definitiv dazu, das User zu schwache Passwörter nutzen. Ich bevorzuge definitiv ein Konstrukt aus gutem einzigartigem Passwort und ggf. MFA.
Aus meiner Sicht ist die Komplexität nicht unbedingt der entscheidende Negativ-Faktor, sondern der ständige Wechsel der Passwörter.

Naja - auch da denke ich das man eben die Umgebung sehen muss wo man ist.
- Welches Risiko habe ich überhaupt für einen erfolgreichen Angriff
- Wieviel Geld (und wieviel Knowledge) habe ich überhaupt zur Abwehr zur Verfügung

Denn für den kleinen Handwerksbetrieb der ggf. irgendwo nen NAS in der Ecke hat und die Rechnungen noch per Word (o.ä.) macht wird ein solches Konzept weder finanziell machbar noch sinnvoll sein. Beim Konzern der eben ggf. sogar etwas mehr Druck auf den SW-Hersteller aufbauen kann (bzw. sogar eigene Programme macht) sieht es da ggf. schon anders aus.

Was mir bei solchen Konzepten aber generell fehlt ist das der grösste Unsicherheitsfaktor idR. aussen vor gelassen wird. Der MENSCH am Rechner. Da gilt dasselbe wie für die Passwörter: Was ist jetzt sicherer? Wenn Herr Meyer als PW "HMeyer01051967" nimmt (weil geburtsdatum) - oder super-komplexes passwort was er auf den monitor klebt?

Und genau hier ist das grundlegende Problem.
Jeder Infrastruktur, egal wie stümperhaft dilettantisch fehlerhaft und unsicher sie aufgebaut ist, automatisch einen Bestandsschutzt oder Denkmalschutz einzuräumen.
Zum Beispiel, ist es dem Skriptkiddie vollkommen Wumpe, welche Infrastruktur sie kompromittieren.
In jeder Firma gibt es schützenswerte Datensätze, auch wenn es "nur" die Exceltabelle mit den Sozialversicherungsnummern fürs Steuerbüro oder Geburtstagen der Mitarbeiter ist. Auf den Arbeitsverträgen, welche sehr oft in Word erstellt werden, steht sogar noch etwas mehr.

Und zum Thema Passwörter. Da gibt es mittlerweile reichlich Alternativen, die den Anmeldevorgang für den Mitarbeiter weitaus angenehmer gestalten. Sie können zum Beispiel, den Geburtstag des primären Lebensabschnittsgefährten nutzen.

Aber hierfür müsste der zuständige Admin seiner Arbeit nachgehen. Das will weder der Admin noch der Chef.

Moin,

also eigentlich besagt dieser Absatz
man solle eine Zero-Trust-Strategie verfolgen. Grundsätzlich gilt daher jedes Endgerät als böses Endgerät...
Also ein alter Hut.

Habe ich nur überflogen, aber Strg+F "VPN" in dem Dokument reicht, um zu sehen, dass der Artikel wohl Vieles durcheinander bringt und zu irritierenden Aussagen vermengt.

Die Denkrichtung ist an sich ganz konventionell: Man sieht einen Bedarf, Anwendungen ohne VPN erreichbar zu machen und stellt fest, dass dies eine Herausforderung ist, wenn die Sicherheit dieser Anwendungen bislang im Kontext geschützter Netze betrachtet wurde. Die Annahme geschützter Netze generell aufzugeben und Anwendungen nach diesem Grundsatz weiterzuentwickeln, schafft logischerweise die Voraussetzungen, solche Anwendungen dann beliebig öffentlich oder intern bereitzustellen.
Was davon in der DevOps-Welt ankommt: Der Security-Onkel mit seinen internen Netzen und Perimeterschutz ist nicht auf der Höhe der Zeit, wir wollen den Murks der letzten zwölf Jahre endlich ins Netz stellen!

Also das Papier selbst überrascht nicht. Aber man kann sich fragen, wodurch der Bedarf getrieben wird und ob das in der Summe der Sicherheit zuträglich ist. Der Hintergrund ist meines Erachtens die zunehmende Deintegration von IT, teils aus wirtschafltich rationalen Erwägungen, teils aufgrund strategischer Fehlplanung. Anwendungen müssen öffentlich erreichbar sein, weil sie gar nicht mehr intern gehostet werden, sondern von einem SaaS-Anbieter bei einem IaaS-Anbieter. Aber auch interne Anwendungen müssen öffentlich erreichbar werden, weil das VPN schon nicht mehr auf eigener Netzarchitektur beruht, sondern von einem PaaS-Anbieter zugegekauft und unzureichend integriert ist.

Klar kann ich PWs ersetzen durch bessere Dinge, aber eben nicht alle und nicht sofort.

Angenommen ich habe ein Passwort, weil es anders nicht geht (Diese Möglichkeit wird ja mit "Wenn sie benötigt werden" entsprechend mit einbezogen). Dann muss ich doch auch davon ausgehen das jemand dieses Passwort im Kopf herum tragen muss weil er keinen PW-Manager hat oder nutzen kann. Dann kann ich doch nicht sagen das eine erzwungene Passwortkomplexität falsch ist, was soll die Alternative sein? Ohne Komplexität bin ich mir vielleicht der Gefahr bewusster aber technisch sicherer macht das mein Passwort nicht. oder ist "Pa$$w0rt" mittlerweile schneller zu erraten als "Passwort"?

Diese Formulierung irritiert mich daran sehr, werde mir mal das Original durchlesen wenn ich wieder Zeit für die Philosophie habe

Hier, trennt sich die Spreu vom Weizen.
Es wird von "Technisch organisatorische Maßnahmen" gesprochen.

• Muss der Account immer dieses billige Passwort haben?
• Muss der Account immer aktiv sein?
• Kann mir das 4 Augenprinzip dabei helfen?

Im schlimmsten Fall, könnte der Chef das Passwort, am Telefon vorlesen. Liegt "eh" in seinem Safe ;-D. Da bekommt er "Live" mit, was die "Liebe IT", den ganzen lieben langen Tag, so treibt. Da kann er sich den "Vorgesetzten" sparen
Sicherheit, bekommt man nicht Geschenkt. Man muss schon etwas dafür in Kauf nehmen.

• Haustür abschließen, zum Beispiel.

Teste es doch. Regenbogenlisten und Anleitungen gibt es nicht nur im Darknet.
(Ist das jetzt ein Verstoß gegen die Forenregel Nr.5 Punkt 1)?

Gruß
C.C.

Naja ich hoffe der Chef hat nicht alle Passwörter im Safe sondern nur Admin-Zugänge und vielleicht sein eigenes.

Die Idee das immer vom Chef eingeben zu lassen hatte ich auch schon als er für ALLE Anwendungen personalisierte Admin-Accounts haben wollte und das nunmal in manchen Fällen nicht geht. Aber das geht mehr in die Richtung machst du mir mein Leben schwer mach dir deins schwer.

Ich verstehe nicht was ohne Passwort-Komplexität sicherer sein soll als mit. Das erschließt sich mir nicht.

Das spricht für die Multi-Faktor-Authentifizierung.
Dann brummt halt die Uhr und es muss "OK" geklickt werden. Oder man überträgt einen "Token".
Es gibt so verrückte Admins, die stecken ihre ID-Card ein und nutzen Hex. A1B2C3D4
Und wenn Sie zum Mittag gehen, ärgern Sie darüber, dass die Card noch im PC steckt Sie halten gerade den Verkehr in der Kantine auf.
Wie dem auch sei. Viel Aufwand, für ein "relativ einfaches" PW

Gruß
C.C.

Der Ansatz an sich ist ja schon kein schlechter. Wobei die Absicht dahinter, zumndest denke ich es so, natürlich ziemlich schäbig ist. Aber wenigstens gut versteckt.
Es geht doch vordergründig darum, die Netze zu öffnen. Weg von VPNs, die es einem nur schwer bis unmöglich machen, zu verfolgen, was in den Tunnels so alles rumfliegt.

Damit dann alle diese Kröte schlucken, brauchts dann den "öffentlichen Feind": das Passwort. Interessanterweise will man das ja auch so gut es geht einfach weghaben. Der Schutz soll quasi einzig über die jeweils verwendeten Applikationen erfolgen.

Und dann gleich der Schwenk auf das Passwort-Problem, für das man nun noch keine wirkliche Lösung hat. Klar, das sicherste liegt irgendwo bei MFA mit PIV und komplexem Passwort. In der Praxis gestaltet sich das aber schwierig, weil leider unbequem. Es ist ja jetzt schon so, dass 2FA im Privatbereich oftmals extrem lästig ist. Okay, sie werden immer besser. Aber wie oft ist es mir schon passiert, dass ich gemütlich im Bettchen liege, noch schnell ein par Sachen erledigen will und ich vor der "2FA-Hürde" stehe. Weil nämlich das geliebte Smartphone nicht neben dem Bett liegt, sondern in der Küche beim Aufladen hängt. Zum Glück hat man seine Smartwatch umgeschnallt und tatsächlich es macht <brrr><brrr>, die SMS ist da. Blöd nur, dass der Code nicht zu Beginn der SMS steht, sondern erst in Zeile drölf und die Watch kann nur die ersten 4 Zeilen anzeigen.
Aber egal, SMS sind sowieso out.
Bleibt Token. Token heißt für mich im Grunde: zusätzliches Anhängsel am Schlüsselbund. Klappt evtl. im Arbeitsalltag hervorragend. Aber privat brauch ich ja auch eins. Und wenn ich schon das Smartphone nicht zur Hand habe, dann auch mit Sicherheit nicht meinen Schlüsselbund.

Meine Damen, Herren und Sonstigen, wir sind beim Bill-Gates-5G-Chip unter der Haut angelangt. Völlig offene Netze, Freiheit vor Passwörtern, Sicherheit alleine regeln proprietäre Applikationen, die ganz klar und sicher und ohne Backdoor End-to-End verschlüsseln. Backdoor kann man ja keine finden, weil proprietär. Wer nicht ins Zimmer reinschaeun darf, findet auch keine zerbrochene Vase.
Die Katze mag leben, aber ob er auch wirklich sicher verschlüsseln kann, traue ich Schrödinger jetzt nicht so zu.

Und unterm Strich hat dieses Paper sein Ziel erreicht: alles spricht über Passwörter und keiner mehr darüber, dass diese sowieso abgeschafft werden sollen, wie auch VPNs.

Also ich stimme dir zu das

a) ohne VPN mehr Metadaten anfallen die sich natürlich durch Staat und ISP analysieren lassen und
b) propritäre Verfahren sowie die schlicht größere Anzahl an einzelnen "gesicherten" Verbindungen die Wahrscheinlichkeit einer Backdoor oder Schwachstelle in einer dieser Verbindungen erhöht

aber dein wilder Schwenk durch wirre Gedanken ist sehr diffus und mit so Kampfbegriffen wie Bill-Gates-5G-Chip disqualifizert dich das aus meiner Sicht. Das ist keine überlegte, sachliche Kritik. Du solltest dich selbst reflektieren bevor es zu spät ist und du mit dem Aluhut "spazieren" gehst.

Moin,

Biden "denkt" Sicherheit nicht neu, das ist immer noch der Biden, der uns den Clipperchip, Key Escrow und kaputte schweizer Chiffriermaschinen beschert hat. Er hat systematisch dafür gesorgt. daß "Ausländer" keine ordentliche Krypto bekommen und alles abgesägt, was dazu hätte führen können. Ordentliche Krypto war nur in den USA erlaubt und auch nur dann, wenn man die Schlüssel hinterlegt hat. Im Ausland wie z.B. Deutschland und der Schweiz wurde das ganze (unauffällig) sabotiert. Also kommt mir nicht mit "Biden hat es sich anders überlegt". Man spekuliert immer noch, ob Karl Koch auf das Konto der Amerikaner oder der Russen ging. Andere hatten das "Glück" nur beruflich diskreditiert zu werden statt umgelegt.

lks

Ist wieder die Zeit gekommen, in der man Sarkasmus-Schilder tragen muss?