slides.rst

   1 Surviving phishing
   2 ------------------
   3 Password reuse, password managers and strong passwords
   4 ======================================================
   5 Why is Password Reuse a Problem?
   6 --------------------------------
   7 .. image:: password_reuse_1.png
   8    :height: 6.5cm
   9
  10 Consider the following hypothetical users that reuse a strong password in
  11 most places:
  12
  13 +-------------------+--------------------------+
  14 | User              | Password                 |
  15 +===================+==========================+
  16 | Sucker1@gmail.com | QUo5Qt+1Wa/Q1smDJRDbFg== |
  17 +-------------------+--------------------------+
  18 | Sucker2@gmail.com | +9Hz+/20rVkSkbcsmgdVFw== |
  19 +-------------------+--------------------------+
  20 | Sucker3@gmail.com | wnYkRcbi7Kkh7Fx2uR8EeA== |
  21 +-------------------+--------------------------+
  22
  23 About password strength
  24 -----------------------
  25
  26 How is strength measured?
  27 =========================
  28 'Entropy' `s` depends on the size of the alphabet `a` and the length `n` of the
  29 password:
  30
  31 .. math::
  32         s = log_2(a^n)
  33
  34 * 0889234877724602 -> 53 bits
  35 * ZeZJieatdH -> 60 bits
  36
  37 Why are weak passwords problematic?
  38 ===================================
  39 Weak passwords are trivial to crack in many situations. A password with 53 bits
  40 may be cracked by a criminal organisation in less than an hour.
  41
  42
  43 What about strong passwords?
  44 ============================
  45 They are difficult to remember, a problem especially when you use a different
  46 strong password for every service.  You are also tempted to write them down, or
  47 reuse them.
  48
  49 It's surprisingly difficult for humans to generate good passwords!
  50
  51 A strong password, as of 2019, has at least 80 bits of entropy.
  52
  53 Password Managers to the Rescue!
  54 --------------------------------
  55 Password managers allow you to create a unique and strong password for every
  56 service.
  57
  58 Additional benefits:
  59
  60 * Remembers passwords for you
  61 * Generates passwords for you
  62 * Automagically fills in passwords on websites for you, this is important!
  63 * Makes passwords available on all your configured devices
  64 * Can store additional related data, usernames, answers to security questions,
  65   pins for debit/credit cards
  66
  67 Any of the mainstream password manager is equivalent in the above respects.
  68
  69 Can you trust password managers?
  70 --------------------------------
  71 Yes*
  72
  73 How do they keep passwords secure?
  74 ----------------------------------
  75 1. User supplies a password
  76 2. The password is used to derive an encryption key.  This process is designed
  77    to be slow, even on modern hardware
  78 3. The so generated encryption key is used to encrypt/decrypt your passwords
  79
  80 Note that the security of the encryption depends on the strengh of your
  81 password.  With a poor password (50 bits), it would take the entire computing
  82 power of the world less than a month to crack the database. With a decent ish
  83 password (60 bits), it would take on the order of 50 years on average.  With a
  84 better password (70 bits), it would take on the order of 50,000 years.
  85
  86 Generating a Strong Password
  87 ----------------------------
  88 Passphrases are better than passwords:
  89
  90 * Tr0ub4dor&3 -> 28 bits of entropy, hard to remember
  91 * correct horse battery stable -> 44 bits of entropy, easy to remember
  92
  93 Use passphrases everywhere you have to remember.
  94
  95 Generate passphrases with Diceware
  96 ==================================
  97 1. Roll 5, 6 sided, *physical* dice
  98 2. Read the numbers left to right
  99 3. Find the word with that number on a list 6^5 (7776) words
 100 4. Repeat until desired length is reached.  For a password manager, use at
 101    least 7.
 102 5. Write down your passphrase on paper and keep it somewhere secure
 103 6. If you are 100% confident that you will not forget the passphrase, destroy
 104    the paper by burning
 105
 106 What about phishing?
 107 ====================
 108 A password manager worth it's salt will refuse to fill out a password on a
 109 different website, for instance faceb00k.com vs facebook.com
 110
 111 Using different passwords on every service limits your vulnerability even if
 112 phishing is successful
 113
 114 Other advice
 115 ------------
 116 In no particular order:
 117
 118 * Only log in on webpages that you navigated to by typing in the url yourself,
 119   by searching on google, duckduckgo or some other reputable search engine or
 120   from a bookmark
 121 * Only log in to webpages that are