Schlagwort-Archive: Accounts

So manch einer wünscht sich endlich die Abkehr von den ach so scheußlichen Passwörtern im digitalen Alltag. Besonders von IT-Laien hört man seit Jahren immer wieder gebetsmühlenartig, dass das Konzept der Passwörter doch wirklich vollkommen überholt sei, so wie sie auch der Meinung sind, dass etwa die E-Mail oder die HDD vollkommen veraltet seien, dabei gibt es Stand heute immer noch keine Technologie, die diese in allen Kriterien übertrifft bzw. obsolet macht. Richtig ist hingegen, dass die guten alten Passwörter bis heute der perfekte und ungeschlagene Kompromiss zwischen Sicherheit und Einfachheit darstellen. Sofern man sie denn richtig einsetzt. Und hier scheitert es bei vielen Exemplaren leider immer wieder. Denn auch Brain 1.0 kann man damit immer noch nicht ersetzen.

Wie war das nun nochmal mit den Passwörtern? Weiß man denn inzwischen wenigstens, wie sichere Passwörter auszusehen haben? Ja, das weiß man schon sehr lange (Pun not intended). Das Problem ist, dass sich das jahrzehntealte Halbwissen noch immer extrem hartnäckig hält und selbst von Leuten weiterverbreitet wird, die es nachweislich besser wissen. So wurde in meinem beruflichen Umfeld vor etlichen Jahren eine neue Passwortrichtlinie erlassen, die mich erschaudern ließ: Möglichst kompliziert musste es sein, im Idealfall unlesbare Kombinationen aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen – und das alles bei einer minimalen Passwortlänge von 8 Zeichen. Wer jetzt verzweifelt die Pointe sucht: 8 Zeichen lange Passwörter sind von Angreifern per sogenanntem Bruteforce innerhalb von Minuten geknackt, egal wie komplex das Passwort da noch ist. Die Passwortrichtlinie sabotierte sich im Grunde selbst und bot so praktisch keinen Schutz. Dafür wurden die Nutzer auf der anderen Seite unnötig schikaniert mit der im Endeffekt sinnlosen Vorgabe, was sie in ihrem Passwort alles verwenden müssten, um bloß mit der Richtlinie konform und dadurch vorgeblich sicher zu sein. Hier wurde also das Schlechteste aus zwei Welten vereint.

Bei der nächsten Gelegenheit sprach ich einen Mitautor der Passwortrichtlinie darauf an. Die Richtlinie sei meiner Ansicht nach Quark und beruhe nicht auf wissenschaftlichen Fakten, sagte ich ihm. Und noch während ich mich auf eine Diskussion vorbereitete, stimmte er mir völlig unerwartet zu. Er antwortete, er wisse natürlich selbst, dass die Länge eines Passworts einen deutlich größeren Stellenwert im Sinne der Sicherheit habe als dessen Komplexität, und dass 8-Zeichen-Passwörter als fahrlässiges Sicherheitsrisiko betrachtet werden müssten. Aber er erklärte mir auch, dass es im Prinzip unmöglich sei, dies einem Laien heutzutage zu vermitteln. Die Menschen, fleißig gefüttert mit dem Halbwissen aus der Computerbild und anderen seriösen Quellen, reagierten darauf oftmals mit Unverständnis und mit „hilfreichen Tipps“, dass man doch unbedingt Groß- und Kleinschreibung, Ziffern und Sonderzeichen erzwingen müsse, denn dann könnte man auch die Passwörter wieder „normal“ kurz machen. Die neue Passwortrichtlinie ging daher den Weg des geringsten Widerstands, anstatt die Nutzer umzuerziehen, so wie es richtigerweise hätte sein müssen.

Absolut sicher: Lange, komplexe Passwörter am besten auf sichere Post-Its schreiben

Dies erklärt dann auch, warum man diese naive 8-Zeichen-Empfehlung auch im Jahr 2020 noch in zahllosen IT-Diensten weltweit wiederfindet, denn nicht einmal Tech-Konzerne wie Microsoft oder Google wollten ihren Nutzern erklären müssen, dass kurze Passwörter in jedem Fall unsicher sind, egal wieviel Mühe sie sich mit ihrem Zeichensalat geben. Gegen die Gewohnheit und Bequemlichkeit kann man bekanntlich so schlecht argumentieren. Die etwas IT-affineren und mathematisch nicht völlig unbedarften Leser werden sicherlich bereits den bekannten und sehr informativen XKCD-Comic zum Thema Passwortstärke kennen. Auch wenn man mittlerweile berechtigterweise einwenden darf, dass auch Dictionary-Attacks ein Thema sind. Im Idealfall verwendet man also nicht ausschließlich Wörter, die in jedem Wörterbuch stehen, denn auch diese lassen sich in Rekordzeit automatisiert und in allen Kombination durchprobieren.

Wieso verwenden wir denn immer noch Passwörter, es gibt doch längst sowas wie biometrische Merkmale? Das werden sich bevorzugt jene fragen, die ihr iPhone via Gesichtserkennung oder ihr Android-Smartphone mittels Fingerabdrucks entsperren. Dazu habe ich eine eindeutige Meinung: Biometrische Authentifizierung als Passwortersatz ist ein gefährlicher Holzweg, den wir hoffentlich niemals ernsthaft beschreiten werden, denn im Gegensatz zu Passwörtern können mir meine Körpermerkmale gegen meinen Willen, ohne meine Mitwirkung und sogar ohne mein Wissen abgenommen werden; Fingerabdrücke lassen sich problemlos kopieren und reproduzieren, Gesichts-, Venen- und sogar Iris-Scans lassen sich unbemerkt anfertigen und vervielfältigen, wenn man sich damit auskennt. Und wenn dies geschieht, sind meine Daten nicht nur nicht mehr vor fremdem Zugriff sicher – ich kann meine Fingerabdrücke, mein Gesicht, und meine Augen leider auch zeitlebens nicht mehr verändern. Diese Biometrie-Merkmale wären damit endgültig verbrannt. Neue Passwörter kann ich mir mühelos jederzeit ausdenken. Und ja, natürlich kann man mit körperlicher Gewalt auch Passwörter aus jemandem herausfoltern, aber dazu gehört schon eine ganze Menge mehr kriminelle Energie und ist natürlich auch viel weniger diskret.

Aber spielt das alles überhaupt eine Rolle in einer Welt, in der die Menschen sich ihre Passwörter auf Post-Its an den Monitor oder unter die Tastatur heften? Eine Welt in der selbst IT-Fachkräfte ihre Passwörter in geordnete Excel-Tabellen schreiben oder immer ausschließlich per Autofill im Browser speichern? Und dann gibt es natürlich noch die absoluten Spezialisten, die ohnehin seit 15 Jahren überall dasselbe Passwort verwenden, das sie sich gut merken können. Bei den meisten Menschen müsste erst eine Katastrophe geschehen, bevor sie verstehen, dass sie etwas an ihrer Routine ändern sollten. Ich selbst habe da auch einen langen Weg zurückgelegt: Von den Post-Its, über den Notizblock und die Textdateien, bis hin zum Passwortmanager war bisher alles irgendwann dabei. Auch meine Passwortstärke hat sich im Laufe der Zeit kontinuierlich auf Grund der Notwendigkeit verbessert. Entweder die eigenen Accounts sind es einem Wert, oder eben nicht. Dass mir noch kein „Hacker“ irgendwelche Daten gestohlen hat, ist allerdings kein verlässliches Maß für die eigene Passwortsicherheit.

Erst die beruflich einmalige Gelegenheit vor mehreren Jahren, eine umfassende, netzwerkfähige Enterprise-Passwortverwaltung vollständig zu entwickeln, brachte mich zum Überdenken meiner alten Passwortgewohnheiten und Ansichten zum Thema IT-Sicherheit. Seitdem verwendete ich privat KeePass, bzw. später KeePassXC, einer freien und umfangreichen Passwortverwaltungssoftware, mit der ich sehr komfortabel meine knapp 300 Passworteinträge zusammenhalten und ordnen kann. Die eingebaute Statistikfunktion offenbart mir sogar, dass meine durchschnittliche Passwortlänge 18 Zeichen beträgt. Auf USB-Sticks kann ich meine verschlüsselte Passwortdatenbank auch jederzeit überall dabei haben. Den eingebauten Passwortgenerator habe ich etliche Male genutzt, denn inzwischen gehört es zum Glück nicht mehr zu meinen Erstellungskriterien, dass ich mir ein Passwort merken können muss. Im Gegenteil: Viele meiner eigenen Passwörter habe ich noch nie gesehen! Und das muss ich dank STRG+C/STRG+V natürlich auch gar nicht. Lediglich das Master-Passwort zur KeePass-Datenbank muss ich wissen und zur Sicherheit an einem zweiten Ort aufbewahren.

Also bis endlich jemand eine Alternative entwickelt, die mindestens genauso sicher, genauso einfach, und genauso flexibel wie selbstgewählte Passwörter sind, wird es auch weiterhin das Mittel der Wahl sein, um Zugänge abzusichern. Gerade habe ich jemanden das Stichwort Zwei-Faktor-Authentifizierung dezent reinhusten gehört. Stimmt, die gibt es natürlich. Aber Zwei-Faktor-Authentifizierung bedeutet ja eben nicht, dass der erste Faktor wegfällt, der meistens immer noch etwas mit einer PIN oder einem Passwort zu tun hat. Außerdem will sicher niemand behaupten, dass er für alle seine Passwörter vorsorglich jeweils einen zweiten Faktor eingerichtet hat. Das macht man höchstens dort, wo es um Geld geht. Da es also eher die Ausnahme als die Regel bildet, bleibt ein starkes Passwort immer eine wichtige Voraussetzung um die Sicherheit der eigenen Daten zu gewährleisten.

Da hat das Mega-Ereignis das andere Mega-Ereignis nur um ganz wenige Tage verpasst: Kaum hat die Seite ihren ersten Geburtstag gefeiert, springt der Besucherzähler endlich in den fünfstelligen Bereich um. Entgegen meiner Prophezeiung im letzten Dezember hat es gar keine vier Jahre gedauert. Fünf Monate für die ersten 1000 Besucher – weitere sieben Monate für die restlichen 9000. Aber wieder einmal sollte ich diesen Erfolg relativieren, da der Besucherzähler natürlich auch Spambots und Crawler mitzählt, die die Seite in letzter Zeit recht häufig frequentieren. 20 Spam-Kommentare am Tag sind schon keine Seltenheit mehr. Irgendwas braut sich da wohl zusammen. Ich gehe davon aus, dass das vermutlich nichtmal 70% reale Besucher waren.

Okay, was gibts sonst zu berichten? In der Abteilung Freeware-Spiele hab ich inzwischen KeeperFX rausgenommen, wie angekündigt, da das Spiel per Definition keineswegs Freeware ist. Dafür habe ich Re-Volt eingefügt, welches ebenfalls kein Freeware-Spiel ist. Allerdings existiert die Firma nicht mehr und es gibt scheinbar auch niemanden, der sich die Rechte gesichert hat, daher wird das Spiel praktisch wie Freeware gehandelt.

Zu den Accounts in der Sidebar habe ich endlich meinen schönen Google+ -Account hinzufügen dürfen. Ohne jetzt ein dickes Review des neuen sozialen Netzwerks vom Stapel zu lassen, möchte ich hier aber betonen, dass es mir schon um ein Vielfaches besser gefällt als Facebook. Google+ ist einfach übersichtlicher, angenehmer, besser strukturiert, kompakt und nicht so überladen. Jetzt kann Facebook endlich sterben. Sind mir in letzter Zeit sowieso zuviele Armleuchter zu Facebook gekommen. Außerdem habe ich noch meinen WkW-Account verlinkt, aber darauf bin ich nicht stolz. Das dient allein der Symmetrie. Der fliegt sofort wieder raus, wenn ich den Platz für etwas besseres nutzen kann.

Ursprünglich hatte ich den Artikeln sogar schon den tollen +1 -Button und den Like-Button hinzugefügt, aber das bekackte Skript arbeitet mit Attributen, die nicht XHTML-konform sind und damit klappts natürlich wieder nicht mit der Validierung. Darüber hab ich mich wirklich sehr geärgert. Dabei wirbt das Skript sogar mit seiner tollen XHTML-Konformität, was echt die Härte ist. Ich wüsste zu gerne, wer da so unfähig ist.

Wird jetzt also Zeit für die nächste Prophezeiung: Pünktlich wenn der Zähler 100.000 Besucher anzeigt, werde ich mich hierzu wieder melden. Ich bin mal so optimistisch und sage, dass das schon in vier Jahren der Fall sein wird (beim letzten Mal waren die vier Jahre sogar äußerst pessimistisch gemeint). Ich bin gespannt ob das hinhaut.

Warum blogge ich eigentlich? Wie bin ich auf diese dämliche Idee gekommen? Wieso kritisiere ich soziale Netzwerke und bin doch Teil von ihnen? Was will ich mit einem Twitter-Account, wenn ich doch eigentlich kein Fan von Microblogging bin? Viele Fragen und keine einzige Antwort darauf. Jedenfalls keine befriedigende Antwort und schon gar keine, die sich in einem Satz zusammenfassen ließe. Erst gestern wurde ich mit dem Problem der Zwiespältigkeit meiner Handlungen seitens meiner Freunde konfrontiert, und da liegen sie verdammt richtig. Ich bin der Typ, der an dem Ast sägt auf dem er sitzt.

Dieser Artikel beleuchtet immerhin einen meiner Beweggründe: Höhlenmalerei. Richtig gelesen. Wir wollen Spuren hinterlassen, damit andere sehen können, dass es uns gab und welche Abenteuer wir erlebt haben. Da es den wenigsten Leuten vergönnt ist, Filme zu drehen, Gemälde zu zeichnen, Videospiele zu entwickeln und Romane zu veröffentlichen, versuchen viele auf einfachere Weise Inhalte zu erschaffen. Das Internet ist die ideale Plattform dafür. Wir erzählen von unseren Heldentaten auf Blogs und sozialen Netzwerken. Das Problem dabei ist, dass die meisten dieser Inhalte so unglaublich uninteressant und nichtssagend sind, dass es beginnt lästig zu werden. Außerdem ist den meisten Menschen gar nicht klar, was der unbedachte Umgang mit persönlichen Daten für Folgen haben kann. Es stellt sich also eine entscheidende Frage.

Sollten wir die Datenkrake Internet bereitwillig füttern, jeden unserer Schritte in irgendeinem sozialen Netzwerk posten und pünktlich am nächsten Morgen sämtliche Gelagefotos hochladen und die entsprechenden Teilnehmer mit vollem Namen markieren, oder überall unsere Accounts löschen, uns zuhause einschließen und hoffen, dass keiner unserer Freunde und Verwandten Informationen online verewigt, die uns betreffen? Ich schätze der Mittelweg ist der richtige, und den versuche ich zu finden. Ein stärkeres Bewusstsein für die Notwendigkeit und Angemessenheit im Internet veröffentlichter Daten über uns ist gefragt. Ich werde im weitesten Maße davon absehen, die Öffentlichkeit darüber in Kenntnis zu setzen auf welche Partys ich gegangen bin und welche Mengen Alkohol ich dort konsumiert habe (das überlasse ich den Bauern bei Wer-kennt-wen). Freilich werde ich auch weiterhin meine vielen dunklen Geheimnisse für mich behalten.

Insgesamt jedoch denke ich mir oft, wozu alles was ich lerne und erlebe nur für mich behalten? Ich existiere nur einmal auf dieser Welt und das eigentlich nicht besonders lange. Was ich mit ins Grab nehme, geht unwiederbringlich verloren. Ein Mensch, der nichts veröffentlicht hat, hinterlässt auch nichts – bis auf verblassende Erinnerungen und vergilbte Fotos. Aber ein Mensch, der nur für sich gelebt hat, hinterlässt nur Staub.

Habe ich nicht eigentlich viel mehr davon, wenn ich meine Erfahrungen und Gedanken mit anderen teile? Und die sowieso? Ich bekomme doch auch etwas zurück. Ich habe Vorteile durch die Erfahrungen anderer. Ich lerne Leute mit gleichen Interessen leichter kennen. Ich bekomme Feedback und kann feststellen, was andere von meiner Meinung halten, ob sie zustimmen oder widersprechen.

Selbstverständlich muss man sich dabei immer auch die Risiken vor Augen halten. Was deine Freunde künftig über dich lesen können, ist möglicherweise auch für potenzielle Arbeitgeber und Stalker sichtbar. Angaben über die politische Gesinnung, die Adresse und sexuelle Vorlieben können einem im Extremfall zum Verhängnis werden. Wer sich bedingungslos im Internet offenbart, riskiert das Opfer von Diskriminierung und Cybermobbing zu werden. Menschen vergessen mit der Zeit, das Internet vergisst in vielen Fällen nicht. Wenn das Netz Zeuge eines schweren Fehlers wird, den wir gemacht haben, könnte uns das ewig nachhängen.

Wie das in einigen Jahren aussehen wird und was wir tun werden wenn das Internet irgendwann ob der riesigen Datenmengen, die wir täglich dort abladen, aus allen Nähten platzt, kann ich leider nicht erahnen. Sind Facebook & Co. nur Modeerscheinungen und schon in wenigen Jahren so schnell wieder verschwunden wie sie aufgetaucht sind, oder werden sie irgendwann Google verdrängen und unser gesamtes Leben kontrollieren? Ein Blick in die Kristallkugel könnte einem mehr Angst einjagen, als man für möglich hält.

Ein kurzer Hinweis zu den Dingen, die sich die letzten Tage hier geändert haben: Ich habe mich auf der Webseite von einigem Ballast befreit und das Menü und die Sidebar wieder etwas umgebaut. Das jQuery-Widget rechts oben habe ich entfernt und durch ein statisches Widget ersetzt, weil es mir vorher zu schwerfällig vorkam. Darüber hinaus habe ich einen Fehler im Twitter-Widget behoben: Ein str_replace() an der richtigen Stelle kann schnelle Wunder bewirken.

Kurz überlegt habe ich mir, einen kleinen Shoutcast-Player in die Sidebar einzubauen, aber ich denke das hat keinen Wert. Ist zudem vermutlich eher unpraktisch. Die Accounts aus dem Menü habe ich als Widget ausgegliedert. Sieht auch besser aus so. Die Besucherzahl indes hat sich in den letzten Tagen beinahe verdoppelt, ist aber immer noch so klein, dass es sich kaum lohnt, dafür extra Artikel zu schreiben. Aber was kümmerts mich ;)

Unter „Freeware-Games“ habe ich den Klassiker SkyRoads vorgestellt, inklusive Download-Link. Wahrscheinlich kommen dort noch einige dazu.

Nachtrag vom 15.03.: Die Headergrafik habe ich inzwischen auch geändert. Das neue Design ist weniger verspielt, schneller geladen, und gefällt mir auch sonst einige Oktaven besser als das alte. Ihr könnt mir gerne einen Kommentar hinterlassen, wie ihr darüber denkt.