0d070 – Identity & Access Management (IAM)

in der Heutigen Folge gibt es keine Hausmeisterei, was in den ersten 5 Minuten ausgiebig besprochen wird. Anschließend erklärt Sven was es mit den Buchstaben I A M auf sich hat.

Datenverluste

News

Thema:  Identity & Access Management (IAM)

Was ist Identity- and Access Management (IAM)? ; script

Fun & other Thinks

Aufgenommen am 19.11.2020
Veröffentlicht am:20.11.2020
Intro & Outro Chiptune  CC BY SA 4.0: Pumped by ROCCOW
Logo CC BY 2.0 Richard Patterson

Disclaimer

In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, externe Geräte anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).

8 Gedanken zu „0d070 – Identity & Access Management (IAM)

  1. Maru

    Einmal den Cit0day Leak via magnet:
    magnet:?xt=urn:btih:92d00ba67037fd4397fe5259824b0f0a5d3b0f33&dn=Cit0day.in%5Fspecial%5Ffor%5Fxss.is.zip&tr=udp%3A%2F%2Ftracker.opentrackr.org%3A1337&tr=udp%3A%2F%2F9.rarbg.to%3A2710%2Fannounce&tr=udp%3A%2F%2F9.rarbg.me%3A2920%2Fannounce&tr=udp%3A%2F%2Ftracker.internetwarriors.net%3A1337%2Fannounce&tr=udp%3A%2F%2Ftracker.leechers-paradise.org%3A6969%2Fannounce&tr=udp%3A%2F%2Ftracker.cyberia.is%3A6969%2Fannounce&tr=udp%3A%2F%2Fexodus.desync.com%3A6969%2Fannounce&tr=http%3A%2F%2Fexplodie.org%3A6969%2Fannounce&tr=udp%3A%2F%2Fp4p.arenabg.ch%3A1337%2Fannounce&tr=http%3A%2F%2Ftracker3.itzmx.com%3A6961%2Fannounce&tr=http%3A%2F%2Ftracker1.itzmx.com%3A8080%2Fannounce&tr=http%3A%2F%2Fp4p.arenabg.com%3A1337%2Fannounce&tr=udp%3A%2F%2Ftracker.zerobytes.xyz%3A1337%2Fannounce&tr=udp%3A%2F%2Ftracker.torrent.eu.org%3A451%2Fannounce&tr=udp%3A%2F%2Ftracker.tiny-vps.com%3A6969%2Fannounce

    Antworten
  2. KaiMF

    Zum Thema eID fehlt der Hinweis, den Heise als Update dann noch nachgeschoben hat. Nämlich, dass Verimi die Daten nicht auf dem iPhone speichert sondern es sich hierbei nur um Marketing handelt. Der Personalausweis liegt in der Cloud und Verimi verlangt Gebühren für diesen Service. Es handelt sich bei Verimi um einen kommerziellen Identity Broker.

    Laut aktueller Umfrage der Bitkom Research im Auftrag des Digitalverbands
    Bitkom gaben 7 von 10 in Deutschland lebender Personen an, den elektronischen
    Personalausweis grundsätzlich zukünftig nutzen zu wollen. Seit November 2010 wurden
    ca. 75 Millionen Personalausweise mit elektronischem Chip ausgegeben, diese werden
    aber kaum genutzt. Es fehlt laut Studie an mehrwertbietenden Anwendungen. Bislang
    können nur wenige Online-Behördengänge und vereinzelte Dienste von Banken,
    Versicherungen und der Deutschen Post mit der Identifizierung genutzt werden.
    Sichere Elektronische Identitäten sind ein fehlendes Glied für einen digitalen
    europäischen Binnenmarkt, da länderspezifisch etablierte Lösungen zur elektronischen
    Identifizierung je nach Mitgliedstaat unterschiedlichen betrieblichen und regulatorischen
    Anforderungen unterliegen.
    Aus diesem
    Grund und um weitere EU-interne Hürden abzubauen, führte die EU mit der eIDAS-
    Verordnung einheitliche, verbindliche und europaweit gültige Regeln und Richtlinien für
    elektronische Identifizierung und Vertrauensdienste ein. Wichtigster Aspekt ist dabei die
    gegenseitige Anerkennung von elektronischen Identifizierungsmitteln, die im
    öffentlichen Sektor außerdem kostenlos bereitgestellt werden muss.

    Übrigens soll dafür im Schaufensterwettbewerb Digitale Identitäten des BMWi soll eine Lösung erarbeitet werden.

    Antworten
  3. Dennis

    Ein (verspäteter) Hinweis zu Hashes in Datenbanken: Der Browser führt afaik kein Hashing des Passworts durch, sondern die Applikation auf dem Server.

    Nutzer sendet Passwort per TLS -> Application nimmt das Passwort, das Salt, das Pepper -> verhackstückelt alles -> jagt dann den Hash-Algorithmus drüber -> vergleicht den Output mit dem DB-Eintrag.

    Würde der Nutzer/das Frontend den Hash erzeugen, müsste er zum einen Salt and Pepper kennen (und zumindest der Pepper sollte ja ein Secret sein), zum anderen wäre bei einem einfachen Vergleich, ob der übertragene Hash der Hash in der Datenbank ist, der Hash nichts anderes als ein überlanges Passwort.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert