Linkgebliebenes 8

Heute kommt die kleine Rundumschau mal ohne Sexismus-Themen aus, das war dank #aufschrei zu viel für mich. Gut, fast. Da wäre die Sache mit einer fiesen Masche der Glee-Verantwortlichen, die eine herrliche urheberrechtliche Volte schlugen. Elyse von skepchick.org findet aber auch auch noch seltsame Vergewaltigungsapologetik in derselben Glee-Folge.

Tjaha, nur gut, dass faz.net noch klare Fronten kennt. Schließlich nehme der Antiamerikanismus, von übelsten Negativklischees geprägt, in der deutschen Bevölkerung seit Jahren zu. Die ‚Analyse‘ der Beweggründe macht dabei keine Gefangenen, die Freund-Feind-Kennung des Textes ist so feinjustiert wie die einer Drohne. Und es müssen Klischees sein, denn beispielsweise schätzen die Deutschen die wissenschaftliche Leistung der USA nicht genug, doch würde mich nur mal interessieren, wie viele Nicht-Amerikaner in diesem Wissenschaftsbetrieb tätig sind?

Das war dann doch mehr Eindimensionalität, als gut für mich ist. Die Augen zu schließen ist halt Realitätsverweigerung, nicht Komplexitätsreduktion. Esst mal ein leckeres Gericht mit Quinoa. Beim Guardian lässt sich schön nachlesen, warum unsere Welt nicht plump gut oder schlecht ist, sondern erst mal komplex. Sehr kompliziert.

Noch mehr Komplexität gefällig? Freie Meinungsäußerung heißt eben manchmal auch das hier, wenn niemand einschreitet. Und jetzt hatte ich großspurig eine Linkumschau minus Sexismus-Themen versprochen, kann aber nicht davon lassen: Lena Schimmel macht #aufschreistat. Feine Sache das, aber in Java.

Vor der tausendfach verschachtelten Welt fliehe ich, viele andere auch, in eine andere, scheinbar simplere. Klassischer Eskapismus eben, doch die Kultur, die entsteht, schwappt in größere, ganz und gar wirkliche Kontexte über. Verteidigung wird notwendig? Vielleicht.

DerWeltWurd0chImm4Schlimmerer

Passwortsicherheit (5): Here be smaller mathematical dragons.

Wie also berechnet sich die Stärke des eigenen Passworts? Dazu bedarf es basaler Mathematikkenntnisse, denn die Frage lautet schlicht: Wie viele mögliche Kombinationen muss ein Brute-Force-Angriff auf mein Passwort maximal durchspielen, um das Passwort zu knacken? Die Formel zur Berechnung in sprachlicher Form sieht so aus:

Die Länge des Passworts ist dabei ein bekannte Zahl, die Anzahl der Zeichen prinzipiell auch. Dies aber nur, da wir das Passwort ja kennen. Angreifer wissen diese nicht, weshalb sie potenziell mehr Zeichen abfragen müssen. Die möglichen Zeichen lassen sich etwa wie hier gruppieren, sodass vier Gruppen anfallen, die einen Großteil der Passwörter ausmachen: Kleinbuchstaben (26 Zeichen), Großbuchstaben (26 Buchstaben), Zahlen (10 Zeichen) und Sonderzeichen (34 übliche Sonderzeichen*).

Wenn wir nun ein Passwort annehmen, das nur aus Kleinbuchstaben besteht und vier Zeichen lang ist, ergibt das eine Anzahl der möglichen Kombinationen von:

Das klingt doch schon nicht schlecht. Das ist doch jede Menge Holz, oder nicht? Für menschliche Maßstäbe vielleicht, aber es bringt nichts, wenn man keinen Vergleichswert hat. Also nehmen wir mal an, dass Passwort habe eine Länge von zehn Zeichen.

Wesentlich mehr, aber wir können noch immer nicht sagen, wie sicher es genau ist, denn wir haben bisher eine Variable der Attacke nicht berücksichtigt. Das wäre die Geschwindigkeit, mit der ein Angreifer diese Kombinationen durchspielen kann. Dabei sind viele Faktoren zu berücksichtigen, die hier nicht alle genannt werden können. Im oben erwähnten Wikipedia-Artikel wird von 1 Milliarde Versuchen pro Sekunde ausgegangen, wobei dieser Wert von der Rechenleistung eines Standard-PCs ausgeht. Wird beispielsweise über ein Netzwerk, also auch das Internet angegriffen, ist nicht nur die Rechenleistung relevant, auch die Verbindungsgeschwindigkeit ist von Bedeutung. Es ist also situationsabhängig, um aber die Sicherheit eines Passwortes zu illustrieren, gehen wir von 1 Milliarde Versuchen in der Sekunde aus. Wie lange würde es dauern, die beiden Passwörter zu knacken?**

Das kurze Passwort ist unter den gegebenen Voraussetzungen in dem Bruchteil einer Sekunde geknackt, es wäre für Menschen nicht einmal wirklich spürbar, einen Unterschied zwischen der Berechnung der Attacke und ihrem Ergebnis wahrzunehmen. Beim längeren Passwort braucht es schon etwas länger, doch sind 39 Stunden nicht wirklich ein Wert, ab dem man von einem sicheren Passwort sprechen kann.

Ab wann ein Passwort sicher ist, kann deshalb nicht pauschal festgelegt werden. Es hängt davon ab, wie schnell Rechnerleistungen und Verbindungsgeschwindigkeiten sind – die im Laufe der Zeit zunehmen, sodass Passwörter mit der Zeit schwächer werden – und auch die Wichtigkeit der zu schützenden Informationen ist ausschlaggebend. Für den Hausgebrauch nehme ich für meine wichtigsten Daten immer an, dass sie nur wichtig sind, solange ich lebe. Mein Richtwert ist dann eine Passwortstärke, die bei aktuellem technischen Stand etwa die durchschnittle Lebenszeit eines Menschen benötigt, um durch Brute-Force-Angriffe geknackt werden zu können. Aber das muss jeder oder jede mit sich selbst ausmachen, weitere Informationen und Tabellen zur Passwortsicherheit gibt es beispielsweise hier oder auch hier.

Ein Frage ist aber noch offen: Warum ist es wichtiger, ein langes Passwort zu haben als eines, das aus möglichst vielen Zeichen besteht? Das obige Beispiel zeigt deutlich, dass die Länge des Passworts zu exponentiell steigenden Kombinationsmöglichkeiten führt, sodass eine einfache Empfehlung zur Passwortsicherheit, wie dies auch beim hier verlinkten XKCD-Comic der Fall ist, zu langen Passwörtern raten sollte. Die Anzahl der möglichen Zeichen ist nicht irrelevant, aber im Vergleich zu der gewonnenen Sicherheit bei der Verlängerung eines Passworts ist sie schwindend gering.

* Es gibt mehr, aber die gebräuchlichsten werden hiermit abgedeckt. ** Eine Stunde hat 3600 Sekunden.

Passwortsicherheit (4): Verlässliche Feinde? – Wie werden Passwörter angegriffen?

Es ist müßig, an dieser Stelle einen Überblick über alle Möglichkeiten geben zu wollen, wie Daten und die zu ihrem Schutz eingesetzten Methoden umgangen und gebrochen werden können. Die Liste ist endlos und es kommen kontinuierlich neue Angriffswege hinzu. Also beschränke ich mich auf die gängigsten Mechanismen, mit welchen grundlegenden Mitteln Passwörter angegriffen werden. Es wird keine Anleitung sein, wie man es macht, sondern dient lediglich der allgemeinen Informationen darüber, dass man es Crackern leicht machen kann und warum. Weiterlesen

Linkgebliebenes Folge 1

Wie es so ist, fehlt mir dann doch hin und wieder die Zeit, mich mit interessanten Meldungen zu befassen. Andernfalls auch die Muße. Selten beides. Damit sie aber nicht völlig unter den Tisch fallen, gebe ich die gesammelten Passagen samt meiner Gedankenfragmente hier in bester Beamtenmentalität zu meiner Entlastung weiter. Heute unter anderem mit dem jähen Ende eines künfitgen Weltstars, der Philosophie in Computerspielen, Social Media als Content-Lieferant für Straßenzeitungen und zur Sicherheit von Passphrases. Weiterlesen

Passwortsicherheit (3): Zuverlässige Freunde?

Bislang habe ich mich vorwiegend darauf konzentriert, mögliche Methoden zum Erstellen und Verwalten sicherer Passwörter vorzustellen. Zugegeben, ich bevorzuge eine Methode, die nicht auf Anhieb komfortabel ist, die bisherigen Teile in dieser Serie sollten aber verdeutlicht haben, wie gering der Aufwand tatsächlich ist – bei enormer großer Passwortsicherheit. Heute geht es weniger um das Wie, mehr um das Warum. Ein offensichtlicher Grund sind Angriffe auf passwortgeschützte Daten, das sollte hinlänglich bekannt sein. Darauf, also wie solche Angriffe aussehen, komme ich erst in der nächsten Woche. Denn es gibt noch einen weiteren Grund, der weniger bekannt ist, aber nicht weniger wichtig. Dies hat damit zu tun, dass nicht unbedingt nur mein Account oder meine Daten das konkrete Ziel eines Angriffs sein können. Sie können auch nur beiläufiges Opfer einer größer angelegten Aktion sein. Weiterlesen

Nachtrag Passwortsicherheit: Prüfsummen in Suchmaschinen

Gestern habe ich doch glatt noch etwas vergessen, was mir heute wieder aufgefallen ist: Es gibt noch eine sehr viel einfachere, schnellere Methode, eine Prüfsumme für zu ermitteln. Genügend Vertrauen vorausgesetzt, sind heute schon viele Suchmaschinen so freundlich, eine Prüfsumme, also den Hash-Wert für eine beliebige Eingabe zu berechenen. Es braucht lediglich das Kürzel für die gängigen Algorithmen – etwa md5 oder sha1 – und  DuckDuckgo oder Wolfram Alpha spucken das Ergebnis aus. Nur Google will auf Anhieb nicht mitspielen, den Treffer finde ich aber doch toll. Gerade habe ich keine Zeit, um zu prüfen, ob Google es nicht doch irgendwo berechnet.

Passwortsicherheit (2): Simple Faustformeln für Passwörter

Eine Passwortvewaltung hat große Vorteile. Richtig genutzt ist damit eine überragende Sicherheit der eigenen Passwörter gewährleistet. Doch haben sie alle einen kleinen Haken, der in heute mobilen Seiten nicht zu vernachlässigen ist: Wer KeePass oder ähnliche Software einsetzt ist an die Verfügbarkeit der Software und der Datenbank gebunden. Zwar hatte ich schon beshrieben, wie sich die Verteilung der Datenbank und der mobile Zugriff darauf organisieren lassen. Es bleibt aber noch eine „Versorgungslücke“, wenn das Smartphone streikt, ich nicht auf die Datenbank zugreifen kann oder, warum auch immer, nicht die Software einsetzen kann. Was dann? Weiterlesen

Passwortsicherheit (1): Passwortverwaltung – One password to rule them all?

Was machen, wenn die Zahl der Passwörter überhandnimmt? Eine einfache Lösung ist es, nicht ständig neue Passwörter anzulegen. Nach einer Zeit neigen die Hirnwindungen dazu, sich zu verzetteln, womit der Weg der Erinnerung kurvenreich wird. Schlimmstenfalls enden die mentalen Verbindungen zu den Passwörtern im Nichts. Das kann es nicht sein, deshalb ist es praktisch, nur eines oder wenige Passwörter zu verwenden. Das mag die einfachste Option sein, für sie spricht ihre Schnelligkeit und Simplizität. Aber es ist die denkbar schlechteste aller Optionen, denn sie ist unsicher. Sehr unsicher. Weiterlesen

Passwörter und Kryptologie

Hin und wieder habe ich an dieser Stelle schon Webapps und Desktop-Software (hier, hier, hier oder hier) angesprochen, die bei mir nahezu täglich zum Einsatz kommen und nicht mehr aus dem Alltag und meiner Organisation wegzudenken sind. Vor allem kam ich auf Anwendungen zur Automatisierung zu sprechen, ich will ab heute nicht nur über diese direkten Helferlein und Lastesel sprechen. Deshalb der Auftakt zu einer mehrteiligen Serie zur Passwortsicherheit. Passwörter brauche ich für eigentlich alle dieser Anwendungen, vor allem die Webapps. Warum aber habe ich Passwörter, die ich nicht kenne, die ich aber jederzeit und überall erstellen kann? Weiterlesen