Windows – Are You Ready

Passwörter, Sicherheit und Verwaltung

1. September 2010 Sebastian Basner Comments 1 comment

Passwörter braucht man heute im Internet für beinahe alles. In Foren, bei Social Networks, auf Verkaufsplattformen, bei Banken, beim eMailanbieter oder beim Jabber Konto, überall werden heute Passwörter verlangt und diese Flut der benötigten Authentifizierungen verleitet viele Benutzer dazu überall das gleiche (im Zweifel noch sehr unsichere) Passwort zu benutzen. DIe Probleme die dieses Vorgehen mit sich bringt sollten eigentlich auf der Hand liegen. Kann ich einmal ein Passwort des Benutzers knacken oder in Besitz bringen ist es sehr leicht einfach auf allen möglichen Webseiten mit der selben Benutzername/Passwort Kombination auszoprobieren ob ich mich einloggen kann. Die Folgen können Informationsdiebstahl sein, Beschädigung des Rufes, Versenden von Spam und natürlich das Erzeugen von Schulden durch z.B. Einkäufe bei eBay Amazon und Co.

Um sich zu schützen sollte man ein paar Dinge beachten. An fremden PCs (wie z:b. in Hotels oder Internet Cafes) sollte man nur wenn unbedingt nötig sensible Passwörter wie z.B. Banking Accounts nutzen, denn hier fehlt einem meistens gänzlich die Kontrolle nachzuvollziehen ob irgendwelche Programme installiert sind die die eingegebenen Daten mit loggen und abspeichern könnten. Auch das Speichern von hoch sensiblen Passwörtern im Browsercache sollte vermieden werden, denn das ist zwar unheimlich praktisch und hilft gegen Vergesslichkeit doch hat es auch einige Nachteile. Meist werden die Passwörter heute verschlüsselt abgelegt aber oft ist die Frage wo. Eine Sicherung der Passwortdaten und anschließendes Wiedereinspielen ist oft nicht vorgesehen, daher steht der Benutzer beim Betriebssystemwechsel schonmal dumm da. Doch auch die Sicherheit ist nicht immer nachvollziehbar. Ich würde niemals einer unfreien Software mit geschlossenem Quellcode meine Passwörter anvertrauen wollen. Wieso? Der Grund ist eigentlich ganz einfach, im Normalfall weiß man nicht wie die Sicherheitskonzepte aussehen. Welche Verschlüsselung wird verwendet? Haben überhaupt Fachleute auf diesem Gebiet sich die Sache mal näher angesehen und auf Schwachstellen abgeklopft oder hat sich bloß der aktuelle Praktikant mal 14 Tage eingelesen und dann schnell was hingepfuscht? Generell haben bei Proprietärer Software sehr viel weniger Entwickler Einblick in den Code als bei Open Source Projekten wodurch eine geringere Kontrolle statt findet und auch der Code oft schlechter sein dürfte. Die Beispiele der letzten Jahre wie die DECT Verschlüsselung oder diverse RFID Hacks haben gezeigt das geschlossene Software, auch in Sicherheitskritischen Bereichen, ihre Sicherheit gerne darauf begründet das niemand weiß wie sie funktioniert und nicht darauf das die Konzepte tatsächlich besonders sicher sind.

Der vielleicht wichtigste Punkt bleibt aber wohl die Länge des Passworts und die Art der Verschlüsselung selbst. Als bislang ungeknackter Quasi Standard hat sich in den letzten Jahren der AES256 etabliert. Hier ist zum heutigen Zeitpunkt von einer ausreichend großen Sicherheit auszugehen. Doch auch der Beste Algorithmus nutzt nur wenig wenn das Passwort binnen kürzester Zeit erraten werden kann. Hierzu gibt es im Internet einige Quellen mit Rechenbeispielen. Diese möchte ich an dieser Stelle nicht wiederholen sondern lediglich darauf hinweisen das bei der heutigen Rechnergeschwindigkeit davon ausgegangen werden muss das ein Passwort mit weniger als zehn Stellen und minimum Groß- und Kleinbuchstaben (besser wären noch zusätzlich Zahlen) in einer hinreichenden Zeitspanne brechbar ist. Wer auch die nächste Zeit auf der sicheren Seite sein möchte sollte auf eine Kombination von Groß- und Kleinbuchstaben, sowie Sonderzeichen mit einer Länge von ca. 14 Zeichen in einer sinnlosen Reihenfolge vertrauen und kein Passwort mehr als einmal einsetzen.

Um solche Passwörter zu realisieren gibt es nun verschiedene Ansätze. Man kann sich z.B. seine Lieblingsfilmzitate, Textstellen in Büchern oder Lieblingslieder nehmen und z.B. die ersten 14 Wörter herausgreifen. Von diesen nimmt man nun die Anfangsbuchstaben, versieht diese mit Groß- und Kleinschriebung und ersetzt sie an sinnvollen Stellen durch Zahlen. Ein Beispiel:

Eine Textzeile in einem Lieblingsbuch lautet:

Als sie ankamen war es bereits Nacht

Nun würde man sich die Anfangsbuchstaben herausnehmen und dabei auf die Großschriebung achten:

AsawebN

und um es zu komplizieren könnte man nun an das N eine 8 anhängen (8 = Nacht) in englischen Texten bietet es sich z.B. oft an ein "to" durch eine 2 zu ersetzen und ähnliches:

AsawebN8

Auf diese Weise lassen sich recht komplexe und nicht trivial zu erratende Passwörter genrieren die noch relativ einfach zu merken sind. Wer das nicht kann oder möchte kann über den Einsatz einer Passwortverwaltung wie z.B. KeePass nachdenken. Hierbei handelt es sich um ein Open Source Programm das Passwörter und Zugangsdaten in einer AES256 verschlüsselten Datenbank abspeichert und somit zunächst einmal als relativ sicher gelten kann. Die Datenbank selbst wir mit einem Masterpasswort geschützt das man sich natürlich noch merken muss. Der große Vorteil des Programms ist sein Passwortgenerator. Dieser generiert beliebig lange Zufallspasswörter denen man mitgeben kann ob sie nur Buchstaben, oder auch Zahlen und Sonderzeichen etc. enthalten sollen. Diese Passwörter können als besonders sicher angesehen werden da sie keinem bestimmten Muster folgen. Jetzt kann man einwenden das bei Verlust des Masterpasswortes alle Passwörter gefährdet sind. Das ist sicher richtig, aber es bleibt die Abwägung was die größere Gefahr bedeutet. Entweder ein gemerktes extrem Sicheres Masterpasswort oder die Alternative mit viellecht 15-20 Internetaccounts von denen die Hälfte das gleiche fünfstellige leicht erratbare Passwort benutzt. In jedem Fall sollte bei einer Entscheidung für ein Programm für KeePass (was den Vorteil hat das es als Windows-, Mac- und Linuxversion sowie für viele Handys wie Android und als Portable Version für den USB Stick verfügbar ist) beachtet werden immer ein backup der Datenbank zu machen. Falls das Programm mal durch eine Fehlfunktion die Datenbank beschädigt oder der PC durch einen Hardwaredefekt nicht mehr nutzbar ist sollte man die Möglichkeit haben zumindest seine Passwörter vom Backup wieder zu bekommen.

Verschlüsselung von portablen Medien

25. August 2010 Sebastian Basner Comments 0 Comment

Als Informatiker und/oder Nerd hat man eigentlich immer ein portables Speichermedium wie z.B. einen USB Stick dabei auf dem gewisse Dinge wie Portable Mailclients, der Lieblingsbrowser oder auch schonmal ein paar Dokumente liegen und trotzdem noch genug Platz übrig ist um mal schnell ein paar Files herunter zu laden und mitnehmen zu können. Einige dieser Dinge wären durchaus schützenswert, da man bei Verlust nicht unbedingt möchte das der Finder sie aufrufen und nutzen kann (z.B. der Lebenslauf oder eben das eMail Archiv). Ich habe mir lange Gedanken gemacht ob man nun anfängt mit cryptsetup das ganze Device zu verschlüsseln da das den Vorteil hat das man sehr bequem direkt beim anstecken nach dem Passwort gefragt wird, aber der Nachteil ist das es praktisch nur unter Linux verfügbar ist. Es gibt zwar eine kompatible Windows Lösung doch die dürfte praktisch so gut wie nirgends anzutreffen sein und zum Nutzen dieser werden obendrein noch Adminrechte benötigt die man leider oft in der Firma oder Hochschule nicht hat. Aus eben dem Grund entfiel auch die Idee Truecrypt einzusetzen. Dies ist zwar ebenfalls sehr sicher, aber trotz der verfügbaren Portable Version werden hier Adminrechte gebraucht und da man einen USB Stick ja hat um ihn überall nutzen zu können macht so eine Einschränkung wenig Sinn. Es gibt dann noch ein paar sehr suspekte Alternativen die weder verraten wie Ihre Verschlüsselung funktioniert noch für mehrere Betriebssysteme verfügbar wären.

Ich bin letztlich zu dem Schluß gekommen das es für mich wohl das praktikabelste ist Rar mit Verschlüsselung zu nutzen. Man muss dazu wissen das bei Rar seit einigen Jahren der als sicher geltende AES-128 Cypher eingesetzt wird. Bei ausreichender Passwortlänge ist das eine akzeptable Lösung. Rar Entpacker gibt es für jedes OS in normaler und Portabler Version und man braucht nur Benutzerrechte um es zu nutzen. Man sollte bloß darauf achten die Komprimierung zu deaktivieren da es sonst immer etwas länger dauert bis man an seine Daten kommt.

BBC Serien kostenlos im Original

23. February 2010 Sebastian Basner Comments 0 Comment

Per Zufall bin ich die Tage darauf gestoßen das Videoload (der Telekom Ableger für Bezahlvideos im Netz) einige Kostenlosangebote auf http://free.videoload.de ins Netz stellt. Eigentlich fand ich das gar nicht weiter interessant, da mich die Filme usw erstmal nicht angesprochen haben, aber neugierig wurde ich dann als ich gesehen habe das Videoload mit der BBC zusammenarbeitet und eine ganze Reihe BBC Serien im englischsprachigen Original auch gratis verteilt. Dabei sind Dinge wie die Neuauflage von Doctor Who, Hustle oder Little Britain. Schön ist das man sich für die kostenlos Variante nicht anmelden oder ein Nutzerkonto erstellen muss. Schlecht ist das auch diese T-Com Site in der DRM Hölle gefangen ist und noch schlimmer, in der Windows Media DRM Hölle. Kurzum, Videoload gibt an das der Service nur mit Windows XP und Vista und auch da nur mit Internet Explorer und seit neuestem mit dem Firefox funktioniert (interessieren würde mich mal ob Win 7 tatsächlich nicht geht oder ob da nur wer geschlafen hat beim aktualisieren). Für Mac und Linux gibt es scheinbar keine Chance außer Virtualisierung. Sehr schade und für mich nciht nachvollziehbar wenn man den doch wachsenden Marktanteil von Windows Alternativen sieht.

Dropbox der Webspeicher den jeder brauchen kann

21. July 2009 Sebastian Basner Comments 0 Comment

Ich bin normalerweise nicht so wahnsinnig schnell begeistert von allen möglichen Web Apps, aber Dropbox muss ich nun doch mal erwähnen weil ich den Dienst für so unglaublich nützlich halte das ihn sich beinahe jeder mal ansehen sollte.

Worum gehts bei Dropbox? Ganz einfach, Dropbox stellt einem zunächst mal Speicher im Netz bereit und zwar genau 2 GB für einen kostenlosen Account. Wem das nicht reicht der kann gegen eine Gebühr auch upgraden, aber für mich ist das mehr als genug. Nun ist der Speicher ansich erstmal nichts besonderes, aber Dropbox bietet einen ausgeklügelten Client an den es für ALLE gängigen Betriebssysteme (Windows, Mac OS, Linux) gibt. Installiert man diese Software wird ein Ordner mit dem Namen “Dropbox” auf der Festplatte angelegt. Dieser ist eine Verknüpfung mit dem Online Speicher. Egal was ich nun in den Ordner packe, es wird automatisch mit dem Online Speicher Synchronisiert ohne das ich einen Browser oder ein FTP Programm, oder sonstwas bräuchte. …

Are You Ready

a blog by Sebastian Basner

Browsed by
Tag: Windows