Die Konferenz für
sichere Software- und Webentwicklung
Heidelberg, Print Media Academy, 16.-18. Oktober 2018

heise devSec 2018 » Programm »

// Passwort123! – Der richtige Umgang mit Credentials

Es gibt mehr gestohlene Nutzerkonten (ca. 5 Mrd.) als Internetnutzer (ca. 4 Mrd.). Bei vielen dieser Konten ist es möglich, das Passwort zu rekonstruieren, da sie nur unzureichend geschützt sind, z. B. per MD5- oder SHA-Hashing.

Der sichere Umgang mit Anmeldedaten hat zahlreiche Anforderungen, beispielsweise: sicheres Hashing von Passwörtern, nutzerfreundliche, aber sichere Passwort-Wiederherstellung und Passwort-Richtlinien, sowie passwortlose und Multi-Faktor-Authentifizierung.

Erwerben Sie in diesem Workshop die relevanten Kenntnisse und Methoden. Setzen Sie diese direkt in praktischen Übungen um und profitieren Sie vom gegenseitigen Erfahrungsaustausch.

Agenda

  • ab 8.30: Registrierung und Begrüßungskaffee

  • 9.30 - 11.00 (90m)

    • Einführung

    • Was sind sichere Passwörter?

    • Sicheres Speichern von Passwörtern

  • 11.00 - 11.15: Kaffeepause

  • 11.15 - 12.30 (75m)

    • Programmierübung 1

    • Passwort-Policies

    • Gruppenarbeit

  • 12.30 - 13.30: Mittagspause

  • 13.30 - 15.30 (120m)

    • UX-Aspekte

    • Passwort-Recovery

    • Multifaktor-Authentisierung

    • Passwortlose-Authentifizierung

  • 15.30 - 15.45: Kaffeepause

  • 15.45 - 17.30 (105m)

    • Programmierübung 2

    • Fallstricke beim Passwort-Handling

    • Incident Management

    • Q&A

  • ca. 17.30 Uhr: Ende

Technische Anforderungen:

  • Eigener Laptop, auf dem vorab Java10, gradle (4.10.x) und git installiert werden sollten.

  • Eine IDE/Texteditor nach Wahl. Empfohlen wird IntelliJ IDEA, diese wird auch von den Referenten verwendet. Die Community Edition ist ausreichend.

Falls Sie ein Gerät Ihrer Firma verwenden, überprüfen Sie vorher bitte, ob eines der folgenden, gelegentlich vorkommenden Probleme bei Ihnen auftreten könnte:

  • Workshop-Teilnehmer hat keine Administrator-Rechte.

  • Corporate Laptops mit übermäßig penibler Sicherheitssoftware

  • Gesetzte Corporate-Proxies, über die man in der Firma kommunizieren muss, die aber in einer anderen Umgebung entsprechend nicht erreicht werden.

Vorkenntnisse
Die Teilnehmer sollten Java-Programmierkenntnisse mitbringen und mit Git vertraut sein.

Lernziele
Nach dem Workshop sollten die Teilnehmer wissen, wie man Passwörter sicher speichert, wie Multifaktor-Authentifizierung funktioniert und wie sich Prozesse und Verfahren rund ums Passwort nutzerfreundlich gestalten lassen.

// Christoph Iserlohn Christoph Iserlohn

ist Senior Consultant bei INNOQ. Er hat langjährige Erfahrung mit der Entwicklung und Architektur von verteilten Systemen. Sein Hauptaugenmerk liegt dabei auf den Themen Skalierbarkeit, Verfügbarkeit und Sicherheit.


// Jochen Christ Jochen Christ

ist Senior Consultant bei INNOQ. Als Spezialist für moderne Java-Technologien entwickelt er elegante Lösungen mit innovativen Architekturkonzepten wie Microservices, Docker und Cloud-Computing. Darüber hinaus interessiert er sich für agile Methoden, Clean Code und Usable Security. Er ist Sprecher auf internationalen Konferenzen und engagiert sich gerne in lokalen Meetups.