Linkgebliebenes 23

Fangen wir doch mal mit dem intuitiven Argument gegen den Verzehr von Tieren an. Es ist ganz einfach.

Dann habe ich noch zwei Texte, die zusammen noch einmal viel schrecklicher wirken, als alleine schon. Vertrauen in die Staatsgewalt entsteht so nicht.

    Die Befreiung vom Verlagswesen kommt.nicht ohne Kosten.

      Gut, dass Verlage ihren mittelnden Job als Kuratoren wahrnehmen. Dan Brown schreibt Höhenkamm.

        Finnland, wo Neugeborene in Kartons aufwachsen. Und gerade deshalb mehr Chancen haben.

          Mal wieder Gamer-Sexismus und Trollverhalten in Spielen:

            Ja, ich glaube an eine heuchlerische Verbrüderung von Christen als Parteikadern, die von Trennung von Staat und Religion nichts verstehen. So schlimm ist es aber schon?

              Einiges zur Technikkritik und populärer Wissenschaftstheorie.

                Der Abgrund starrt zurück.

                  Ich lese immer wieder gerne, wie leicht es ist, Wörterbuchattacken zu fahren.

                    Oft gesagt, wird aber nicht alt. Germany’s Next Top Model ist bestialisch.

                      Ich behalte Adblock trotzdem.

                        The Red Wedding. Schockierendes Fernsehen, aber drum hervorragend.

                          KyPass Pro: Nicht genug

                          Ohne Keepass geht bei mir nichts, leider gibt es derzeit aus meiner Sicht keine endgültig zufriedenstellende iOS-App, mit der ich meine Passwort-Datenbank absolut komfortabel verwenden könnte. KyPass Pro ist kein Desaster wie manch andere App, wird meinen Favoriten PassDrop aber nicht verdrängen.

                          Keine der KeePass-nutzenden Apps sieht auch nur ordentlich aus, da kann ich KeePass aus der abschreckenden Optik keinen Strick drehen. Die inneren Werte betont KyPass Pro, doch sind diese nur das Übliche. Im Grunde verfügt die App gerade mal über alle Grundfunktionen, um die Datenbank zu verwalten. Das Pro steht etwa vor allem für einen Passwortgenerator, der (pseudo-)zufällige Passwörter in neuen Einträgen erstellt. Das ist eine reichlich karge Rechtfertigung für den Pro-Zusatz. KyPass Pro scheitert für mich allerdings schon an der Dropbox-Synchronisation. Sie funktioniert eigentlich zuverlässig, sofern sie erst einmal eingerichtet wurde. Aber spätestens als mir kein Weg einfiel, innerhalb des Sync-Ordners eine neue Datenbank zu erstellen, war es für mich vorbei. Ohne Umwege über andere Rechner ging es nicht.

                          Auch fehlt mir immer noch ein gewisses Maß an Vertrauen, denn hin und wieder sind Einträge nicht übernommen worden oder Eingabefelder auf einmal leer gewesen. Reproduzieren konnte ich diese Fehler aber nicht. Dennoch ist für mich gerade wegen der derzeit umständlichen Synchronisation ein Wechsel zu KyPass Pro unwahrscheinlich.

                          iKeePass

                          Es ist kein Geheimnis, ich nutze KeePass, wo es nur geht. Auch unterwegs ergeben sich Situationen, in denen ich auf meine Datenbanken zugreifen muss, weil ich nicht alle Passwörter mit einem nachvollziehbaren System erstellen kann. Hierzu gibt es auf iOS einige Apps, die Zugriff auf KeePass-Datenbanken ermöglichen. Der einfachste Weg ist, die Datenbank in einer Dropbox vorzuhalten, mit der die App dann synchronisiert. iKeePass* ist eine dieser Apps.

                          Bedauerlicherweise habe ich mit iKeePass mehrere Probleme. Eigentlich hat die App alles, was ich mir für einen reibungslosen Einsatz vorstelle: Dropbox-Synchronisierung, Unterstützung der Datenbankformate von KeePass 1.x und 2.x, einen Passwortgenerator und viele Funktionen mehr.

                          Die Probleme fangen aber schon beim UI-Design der App an. Wäge ich Zweckdienlichkeit und Optik gegeneinander ab, gewinnt im Zweifel Ersteres. Daher kann ich die angestaubte Optik, die steinzeitliche Elemente der iOS-UI nutzt, verschmerzen. Dass aber auf dem iPhone ein wesentlicher Teil des Bildschirms an eine Seitenleiste verloren wird, ist für mich auf Anhieb unangenehm. Die Usability wird dadurch eingeengt. Generell steuert sich die App durch unzählige Menüs und Untermenüs, wird je nach Aufgabe, die ich erledige, zur Klickorgie. Dabei entstehen gelegentlich störende Glitches in der Suche nach Einträgen.

                          Wesentlich für meine Enttäuschung ist aber die in meiner Version unzuverlässige Dropbox-Synchronisierung. Mehrere Male war die Integrität der in der Dropbox liegenden Datenbank gestört. Die Datenbank war in dieser Form unbrauchbar geworden. Damit geht mein Vertrauen in diese App völlig verloren. Auch die Hilfe gibt da wenig Anlass, das Vertrauen wiederherzustellen:

                          You can access and restore previous version of your database using your dropbox web interface. See dropbox faq here: https://www.dropbox.com/help/11/en

                          Die Sicherung der Daten soll also von einem externen Dienst gewährleistet werden. Das ist mir zu wenig. Denn im Falle der Wiederherstellung alter Backups in der Dropbox verliere ich im Zweifel auch einige Einträge. Doch die Datenbank habe ich ja gerade, um mir deren Inhalte nicht mehr merken zu müssen. Das Zutrauen zu iKeePass‘ ordentlichem Umgang mit meinen Datenbanken ist damit grundlegend gestört.

                          *Die von mir benutzte Version ist 2.5.3. Das Video ist für eine Testversion von 2.4. Optisch sind beide aber noch vergleichbar.

                          Passwortsicherheit (5): Here be smaller mathematical dragons.

                          Wie also berechnet sich die Stärke des eigenen Passworts? Dazu bedarf es basaler Mathematikkenntnisse, denn die Frage lautet schlicht: Wie viele mögliche Kombinationen muss ein Brute-Force-Angriff auf mein Passwort maximal durchspielen, um das Passwort zu knacken? Die Formel zur Berechnung in sprachlicher Form sieht so aus:

                          Die Länge des Passworts ist dabei ein bekannte Zahl, die Anzahl der Zeichen prinzipiell auch. Dies aber nur, da wir das Passwort ja kennen. Angreifer wissen diese nicht, weshalb sie potenziell mehr Zeichen abfragen müssen. Die möglichen Zeichen lassen sich etwa wie hier gruppieren, sodass vier Gruppen anfallen, die einen Großteil der Passwörter ausmachen: Kleinbuchstaben (26 Zeichen), Großbuchstaben (26 Buchstaben), Zahlen (10 Zeichen) und Sonderzeichen (34 übliche Sonderzeichen*).

                          Wenn wir nun ein Passwort annehmen, das nur aus Kleinbuchstaben besteht und vier Zeichen lang ist, ergibt das eine Anzahl der möglichen Kombinationen von:

                          Das klingt doch schon nicht schlecht. Das ist doch jede Menge Holz, oder nicht? Für menschliche Maßstäbe vielleicht, aber es bringt nichts, wenn man keinen Vergleichswert hat. Also nehmen wir mal an, dass Passwort habe eine Länge von zehn Zeichen.

                          Wesentlich mehr, aber wir können noch immer nicht sagen, wie sicher es genau ist, denn wir haben bisher eine Variable der Attacke nicht berücksichtigt. Das wäre die Geschwindigkeit, mit der ein Angreifer diese Kombinationen durchspielen kann. Dabei sind viele Faktoren zu berücksichtigen, die hier nicht alle genannt werden können. Im oben erwähnten Wikipedia-Artikel wird von 1 Milliarde Versuchen pro Sekunde ausgegangen, wobei dieser Wert von der Rechenleistung eines Standard-PCs ausgeht. Wird beispielsweise über ein Netzwerk, also auch das Internet angegriffen, ist nicht nur die Rechenleistung relevant, auch die Verbindungsgeschwindigkeit ist von Bedeutung. Es ist also situationsabhängig, um aber die Sicherheit eines Passwortes zu illustrieren, gehen wir von 1 Milliarde Versuchen in der Sekunde aus. Wie lange würde es dauern, die beiden Passwörter zu knacken?**

                          Das kurze Passwort ist unter den gegebenen Voraussetzungen in dem Bruchteil einer Sekunde geknackt, es wäre für Menschen nicht einmal wirklich spürbar, einen Unterschied zwischen der Berechnung der Attacke und ihrem Ergebnis wahrzunehmen. Beim längeren Passwort braucht es schon etwas länger, doch sind 39 Stunden nicht wirklich ein Wert, ab dem man von einem sicheren Passwort sprechen kann.

                          Ab wann ein Passwort sicher ist, kann deshalb nicht pauschal festgelegt werden. Es hängt davon ab, wie schnell Rechnerleistungen und Verbindungsgeschwindigkeiten sind – die im Laufe der Zeit zunehmen, sodass Passwörter mit der Zeit schwächer werden – und auch die Wichtigkeit der zu schützenden Informationen ist ausschlaggebend. Für den Hausgebrauch nehme ich für meine wichtigsten Daten immer an, dass sie nur wichtig sind, solange ich lebe. Mein Richtwert ist dann eine Passwortstärke, die bei aktuellem technischen Stand etwa die durchschnittle Lebenszeit eines Menschen benötigt, um durch Brute-Force-Angriffe geknackt werden zu können. Aber das muss jeder oder jede mit sich selbst ausmachen, weitere Informationen und Tabellen zur Passwortsicherheit gibt es beispielsweise hier oder auch hier.

                          Ein Frage ist aber noch offen: Warum ist es wichtiger, ein langes Passwort zu haben als eines, das aus möglichst vielen Zeichen besteht? Das obige Beispiel zeigt deutlich, dass die Länge des Passworts zu exponentiell steigenden Kombinationsmöglichkeiten führt, sodass eine einfache Empfehlung zur Passwortsicherheit, wie dies auch beim hier verlinkten XKCD-Comic der Fall ist, zu langen Passwörtern raten sollte. Die Anzahl der möglichen Zeichen ist nicht irrelevant, aber im Vergleich zu der gewonnenen Sicherheit bei der Verlängerung eines Passworts ist sie schwindend gering.

                          * Es gibt mehr, aber die gebräuchlichsten werden hiermit abgedeckt. ** Eine Stunde hat 3600 Sekunden.

                          Passwortsicherheit (4): Verlässliche Feinde? – Wie werden Passwörter angegriffen?

                          Es ist müßig, an dieser Stelle einen Überblick über alle Möglichkeiten geben zu wollen, wie Daten und die zu ihrem Schutz eingesetzten Methoden umgangen und gebrochen werden können. Die Liste ist endlos und es kommen kontinuierlich neue Angriffswege hinzu. Also beschränke ich mich auf die gängigsten Mechanismen, mit welchen grundlegenden Mitteln Passwörter angegriffen werden. Es wird keine Anleitung sein, wie man es macht, sondern dient lediglich der allgemeinen Informationen darüber, dass man es Crackern leicht machen kann und warum. Weiterlesen

                          Linkgebliebenes Folge 1

                          Wie es so ist, fehlt mir dann doch hin und wieder die Zeit, mich mit interessanten Meldungen zu befassen. Andernfalls auch die Muße. Selten beides. Damit sie aber nicht völlig unter den Tisch fallen, gebe ich die gesammelten Passagen samt meiner Gedankenfragmente hier in bester Beamtenmentalität zu meiner Entlastung weiter. Heute unter anderem mit dem jähen Ende eines künfitgen Weltstars, der Philosophie in Computerspielen, Social Media als Content-Lieferant für Straßenzeitungen und zur Sicherheit von Passphrases. Weiterlesen

                          Passwortsicherheit (3): Zuverlässige Freunde?

                          Bislang habe ich mich vorwiegend darauf konzentriert, mögliche Methoden zum Erstellen und Verwalten sicherer Passwörter vorzustellen. Zugegeben, ich bevorzuge eine Methode, die nicht auf Anhieb komfortabel ist, die bisherigen Teile in dieser Serie sollten aber verdeutlicht haben, wie gering der Aufwand tatsächlich ist – bei enormer großer Passwortsicherheit. Heute geht es weniger um das Wie, mehr um das Warum. Ein offensichtlicher Grund sind Angriffe auf passwortgeschützte Daten, das sollte hinlänglich bekannt sein. Darauf, also wie solche Angriffe aussehen, komme ich erst in der nächsten Woche. Denn es gibt noch einen weiteren Grund, der weniger bekannt ist, aber nicht weniger wichtig. Dies hat damit zu tun, dass nicht unbedingt nur mein Account oder meine Daten das konkrete Ziel eines Angriffs sein können. Sie können auch nur beiläufiges Opfer einer größer angelegten Aktion sein. Weiterlesen

                          Nachtrag Passwortsicherheit: Prüfsummen in Suchmaschinen

                          Gestern habe ich doch glatt noch etwas vergessen, was mir heute wieder aufgefallen ist: Es gibt noch eine sehr viel einfachere, schnellere Methode, eine Prüfsumme für zu ermitteln. Genügend Vertrauen vorausgesetzt, sind heute schon viele Suchmaschinen so freundlich, eine Prüfsumme, also den Hash-Wert für eine beliebige Eingabe zu berechenen. Es braucht lediglich das Kürzel für die gängigen Algorithmen – etwa md5 oder sha1 – und  DuckDuckgo oder Wolfram Alpha spucken das Ergebnis aus. Nur Google will auf Anhieb nicht mitspielen, den Treffer finde ich aber doch toll. Gerade habe ich keine Zeit, um zu prüfen, ob Google es nicht doch irgendwo berechnet.

                          Passwortsicherheit (2): Simple Faustformeln für Passwörter

                          Eine Passwortvewaltung hat große Vorteile. Richtig genutzt ist damit eine überragende Sicherheit der eigenen Passwörter gewährleistet. Doch haben sie alle einen kleinen Haken, der in heute mobilen Seiten nicht zu vernachlässigen ist: Wer KeePass oder ähnliche Software einsetzt ist an die Verfügbarkeit der Software und der Datenbank gebunden. Zwar hatte ich schon beshrieben, wie sich die Verteilung der Datenbank und der mobile Zugriff darauf organisieren lassen. Es bleibt aber noch eine „Versorgungslücke“, wenn das Smartphone streikt, ich nicht auf die Datenbank zugreifen kann oder, warum auch immer, nicht die Software einsetzen kann. Was dann? Weiterlesen

                          Passwortsicherheit (1): Passwortverwaltung – One password to rule them all?

                          Was machen, wenn die Zahl der Passwörter überhandnimmt? Eine einfache Lösung ist es, nicht ständig neue Passwörter anzulegen. Nach einer Zeit neigen die Hirnwindungen dazu, sich zu verzetteln, womit der Weg der Erinnerung kurvenreich wird. Schlimmstenfalls enden die mentalen Verbindungen zu den Passwörtern im Nichts. Das kann es nicht sein, deshalb ist es praktisch, nur eines oder wenige Passwörter zu verwenden. Das mag die einfachste Option sein, für sie spricht ihre Schnelligkeit und Simplizität. Aber es ist die denkbar schlechteste aller Optionen, denn sie ist unsicher. Sehr unsicher. Weiterlesen