Schlagwort-Archive: Passwort

Die liebe Not mit den Passwörtern

Schreibe eine Antwort - 9. September 2020 von Vince in Monolog, Software

So manch einer wünscht sich endlich die Abkehr von den ach so scheußlichen Passwörtern im digitalen Alltag. Besonders von IT-Laien hört man seit Jahren immer wieder gebetsmühlenartig, dass das Konzept der Passwörter doch wirklich vollkommen überholt sei, so wie sie auch der Meinung sind, dass etwa die E-Mail oder die HDD vollkommen veraltet seien, dabei gibt es Stand heute immer noch keine Technologie, die diese in allen Kriterien übertrifft bzw. obsolet macht. Richtig ist hingegen, dass die guten alten Passwörter bis heute der perfekte und ungeschlagene Kompromiss zwischen Sicherheit und Einfachheit darstellen. Sofern man sie denn richtig einsetzt. Und hier scheitert es bei vielen Exemplaren leider immer wieder. Denn auch Brain 1.0 kann man damit immer noch nicht ersetzen.

Wie war das nun nochmal mit den Passwörtern? Weiß man denn inzwischen wenigstens, wie sichere Passwörter auszusehen haben? Ja, das weiß man schon sehr lange (Pun not intended). Das Problem ist, dass sich das jahrzehntealte Halbwissen noch immer extrem hartnäckig hält und selbst von Leuten weiterverbreitet wird, die es nachweislich besser wissen. So wurde in meinem beruflichen Umfeld vor etlichen Jahren eine neue Passwortrichtlinie erlassen, die mich erschaudern ließ: Möglichst kompliziert musste es sein, im Idealfall unlesbare Kombinationen aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen – und das alles bei einer minimalen Passwortlänge von 8 Zeichen. Wer jetzt verzweifelt die Pointe sucht: 8 Zeichen lange Passwörter sind von Angreifern per sogenanntem Bruteforce innerhalb von Minuten geknackt, egal wie komplex das Passwort da noch ist. Die Passwortrichtlinie sabotierte sich im Grunde selbst und bot so praktisch keinen Schutz. Dafür wurden die Nutzer auf der anderen Seite unnötig schikaniert mit der im Endeffekt sinnlosen Vorgabe, was sie in ihrem Passwort alles verwenden müssten, um bloß mit der Richtlinie konform und dadurch vorgeblich sicher zu sein. Hier wurde also das Schlechteste aus zwei Welten vereint.

Bei der nächsten Gelegenheit sprach ich einen Mitautor der Passwortrichtlinie darauf an. Die Richtlinie sei meiner Ansicht nach Quark und beruhe nicht auf wissenschaftlichen Fakten, sagte ich ihm. Und noch während ich mich auf eine Diskussion vorbereitete, stimmte er mir völlig unerwartet zu. Er antwortete, er wisse natürlich selbst, dass die Länge eines Passworts einen deutlich größeren Stellenwert im Sinne der Sicherheit habe als dessen Komplexität, und dass 8-Zeichen-Passwörter als fahrlässiges Sicherheitsrisiko betrachtet werden müssten. Aber er erklärte mir auch, dass es im Prinzip unmöglich sei, dies einem Laien heutzutage zu vermitteln. Die Menschen, fleißig gefüttert mit dem Halbwissen aus der Computerbild und anderen seriösen Quellen, reagierten darauf oftmals mit Unverständnis und mit „hilfreichen Tipps“, dass man doch unbedingt Groß- und Kleinschreibung, Ziffern und Sonderzeichen erzwingen müsse, denn dann könnte man auch die Passwörter wieder „normal“ kurz machen. Die neue Passwortrichtlinie ging daher den Weg des geringsten Widerstands, anstatt die Nutzer umzuerziehen, so wie es richtigerweise hätte sein müssen.

Absolut sicher: Lange, komplexe Passwörter am besten auf sichere Post-Its schreiben

Dies erklärt dann auch, warum man diese naive 8-Zeichen-Empfehlung auch im Jahr 2020 noch in zahllosen IT-Diensten weltweit wiederfindet, denn nicht einmal Tech-Konzerne wie Microsoft oder Google wollten ihren Nutzern erklären müssen, dass kurze Passwörter in jedem Fall unsicher sind, egal wieviel Mühe sie sich mit ihrem Zeichensalat geben. Gegen die Gewohnheit und Bequemlichkeit kann man bekanntlich so schlecht argumentieren. Die etwas IT-affineren und mathematisch nicht völlig unbedarften Leser werden sicherlich bereits den bekannten und sehr informativen XKCD-Comic zum Thema Passwortstärke kennen. Auch wenn man mittlerweile berechtigterweise einwenden darf, dass auch Dictionary-Attacks ein Thema sind. Im Idealfall verwendet man also nicht ausschließlich Wörter, die in jedem Wörterbuch stehen, denn auch diese lassen sich in Rekordzeit automatisiert und in allen Kombination durchprobieren.

Wieso verwenden wir denn immer noch Passwörter, es gibt doch längst sowas wie biometrische Merkmale? Das werden sich bevorzugt jene fragen, die ihr iPhone via Gesichtserkennung oder ihr Android-Smartphone mittels Fingerabdrucks entsperren. Dazu habe ich eine eindeutige Meinung: Biometrische Authentifizierung als Passwortersatz ist ein gefährlicher Holzweg, den wir hoffentlich niemals ernsthaft beschreiten werden, denn im Gegensatz zu Passwörtern können mir meine Körpermerkmale gegen meinen Willen, ohne meine Mitwirkung und sogar ohne mein Wissen abgenommen werden; Fingerabdrücke lassen sich problemlos kopieren und reproduzieren, Gesichts-, Venen- und sogar Iris-Scans lassen sich unbemerkt anfertigen und vervielfältigen, wenn man sich damit auskennt. Und wenn dies geschieht, sind meine Daten nicht nur nicht mehr vor fremdem Zugriff sicher – ich kann meine Fingerabdrücke, mein Gesicht, und meine Augen leider auch zeitlebens nicht mehr verändern. Diese Biometrie-Merkmale wären damit endgültig verbrannt. Neue Passwörter kann ich mir mühelos jederzeit ausdenken. Und ja, natürlich kann man mit körperlicher Gewalt auch Passwörter aus jemandem herausfoltern, aber dazu gehört schon eine ganze Menge mehr kriminelle Energie und ist natürlich auch viel weniger diskret.

Aber spielt das alles überhaupt eine Rolle in einer Welt, in der die Menschen sich ihre Passwörter auf Post-Its an den Monitor oder unter die Tastatur heften? Eine Welt in der selbst IT-Fachkräfte ihre Passwörter in geordnete Excel-Tabellen schreiben oder immer ausschließlich per Autofill im Browser speichern? Und dann gibt es natürlich noch die absoluten Spezialisten, die ohnehin seit 15 Jahren überall dasselbe Passwort verwenden, das sie sich gut merken können. Bei den meisten Menschen müsste erst eine Katastrophe geschehen, bevor sie verstehen, dass sie etwas an ihrer Routine ändern sollten. Ich selbst habe da auch einen langen Weg zurückgelegt: Von den Post-Its, über den Notizblock und die Textdateien, bis hin zum Passwortmanager war bisher alles irgendwann dabei. Auch meine Passwortstärke hat sich im Laufe der Zeit kontinuierlich auf Grund der Notwendigkeit verbessert. Entweder die eigenen Accounts sind es einem Wert, oder eben nicht. Dass mir noch kein „Hacker“ irgendwelche Daten gestohlen hat, ist allerdings kein verlässliches Maß für die eigene Passwortsicherheit.

Erst die beruflich einmalige Gelegenheit vor mehreren Jahren, eine umfassende, netzwerkfähige Enterprise-Passwortverwaltung vollständig zu entwickeln, brachte mich zum Überdenken meiner alten Passwortgewohnheiten und Ansichten zum Thema IT-Sicherheit. Seitdem verwendete ich privat KeePass, bzw. später KeePassXC, einer freien und umfangreichen Passwortverwaltungssoftware, mit der ich sehr komfortabel meine knapp 300 Passworteinträge zusammenhalten und ordnen kann. Die eingebaute Statistikfunktion offenbart mir sogar, dass meine durchschnittliche Passwortlänge 18 Zeichen beträgt. Auf USB-Sticks kann ich meine verschlüsselte Passwortdatenbank auch jederzeit überall dabei haben. Den eingebauten Passwortgenerator habe ich etliche Male genutzt, denn inzwischen gehört es zum Glück nicht mehr zu meinen Erstellungskriterien, dass ich mir ein Passwort merken können muss. Im Gegenteil: Viele meiner eigenen Passwörter habe ich noch nie gesehen! Und das muss ich dank STRG+C/STRG+V natürlich auch gar nicht. Lediglich das Master-Passwort zur KeePass-Datenbank muss ich wissen und zur Sicherheit an einem zweiten Ort aufbewahren.

Also bis endlich jemand eine Alternative entwickelt, die mindestens genauso sicher, genauso einfach, und genauso flexibel wie selbstgewählte Passwörter sind, wird es auch weiterhin das Mittel der Wahl sein, um Zugänge abzusichern. Gerade habe ich jemanden das Stichwort Zwei-Faktor-Authentifizierung dezent reinhusten gehört. Stimmt, die gibt es natürlich. Aber Zwei-Faktor-Authentifizierung bedeutet ja eben nicht, dass der erste Faktor wegfällt, der meistens immer noch etwas mit einer PIN oder einem Passwort zu tun hat. Außerdem will sicher niemand behaupten, dass er für alle seine Passwörter vorsorglich jeweils einen zweiten Faktor eingerichtet hat. Das macht man höchstens dort, wo es um Geld geht. Da es also eher die Ausnahme als die Regel bildet, bleibt ein starkes Passwort immer eine wichtige Voraussetzung um die Sicherheit der eigenen Daten zu gewährleisten.

Steam-Hürdenlauf für ein Gratisspiel

2 Antworten - 19. September 2015 von Vince in Monolog, Spaß

Eine wirklich wahre Geschichte, die für meinen Geschmack mal wieder ausreichend dumm ist, dass ich sie der Weltöffentlichkeit nicht vorenthalten möchte. „Amnesia – The Dark Descent“ gab es Mitte der Woche bei Steam geschenkt. Die DRM-freie-Version des Gruselspiels bei GOG wäre mir einhundert Mal lieber gewesen als die accountgebundene Steamschrott-Fassung. Aber einem geschenkten Gaul usw., ihr kennt das ja. Jedenfalls wurde die Aktion nur mäßig deutlich bekanntgemacht, außerdem war ich relativ viel beschäftigt, und natürlich galt die Aktion mal wieder nur für einen wirklich sehr knappen Zeitraum. Ich erfuhr erst am Mittwoch im Büro davon, nur ein paar Stunden bevor es zu spät gewesen wäre.

Erschrocken rechnete ich mir aus, dass ich nicht mehr rechtzeitig zuhause sein würde, da ich ausgerechnet am selben Abend einem Firmenevent beiwohnen würde. Ich wäre mindestens zwei Stunden zu spät dran. Das war mal wieder typisch für Steam, dass sie sich den denkbar ungünstigsten Zeitpunkt dafür aussuchen würden, nur um mir mal wieder eins reinzuwürgen. Aber ich hatte noch ein Ass im Ärmel: Ich kannte glücklicherweise meine Steam-Zugangsdaten auswendig. Also nur flott bei Steam eingeloggt, um mir das begehrte Spiel einzuheimsen, das dauert keine 30 Sekunden. Leider hatte mein geringes Glück mich schon nach den ersten paar Mausklicks wieder verlassen, denn den verdammten Steamguard hatte ich völlig vergessen. Der Browser mit dem ich mich einloggen wollte, war ihm höchst suspekt, ich müsste diesen erst über eine E-Mail verifizieren. Verdammte Scheiße, Steamguard, entspann‘ dich mal! Ich will doch nur das blöde Spiel in meinen Warenkorb legen!

So klickte ich wild herum, in der Hoffnung, dass ich mich doch noch irgendwie einloggen könnte. Ich versuchte sogar, das Spiel zu installieren ohne eingeloggt zu sein, aber ich wurde mehrmals zum selben Login-Bildschirm weitergeleitet, mit der immergleichen blöden Steamguard-Meldung, die mir den letzten Nerv raubte. Ich suchte verzweifelt den „Spiel meinem Account hinzufügen ohne mich einzuloggen“-Button, den es doch genau für solche Fälle geben musste, denn welcher Hacker würde mir denn bitte irgendwelche Spiele in meinen Account legen wollen. Meine Gehirnwindungen rotierten beim Versuch, mich an das Passwort für den bei Steam hinterlegten E-Mail-Account zu erinnern, doch da war nichts zu machen. Der Steamguard entschloss sich, mir das tolle Horrorspiel vorzuenthalten. Würde es tatsächlich so enden?

Schon bald spielte ich mit dem Gedanken, direkt nach Feierabend nachhause zu fahren, und mich für den Firmenevent entschuldigen zu lassen. Aber eigentlich wäre das ja schon irgendwie armselig, mich von einem Spiel für eine handvoll Euro so kontrollieren zu lassen. Andererseits hätte ich vielleicht schnell nachhause fahren, das Spiel kurzerhand in meinen Account klicken und danach direkt wieder ins Geschäft zurückkehren können. Zeitlich machbar, aber wenn ich die zusätzliche Fahrstrecke in Euro umrechnete, wäre das Gratisspiel am Ende gar keins mehr, also völlig sinnlos.

Ein letzter Notnagel fiel mir ein: Für den fraglichen E-Mail-Account kannte ich das Passwort nicht, aber ich hatte via Smartphone Zugang zu dem anderen E-Mail-Account, der beim erstgenannten E-Mail-Anbieter zur Sicherheit hinterlegt ist. Ich musste nun dort auf „Ich habe mein Passwort vergessen“ klicken, damit ich mit dem Smartphone dann die Passwortänderung freigeben konnte, damit ich mich wiederum beim ersten E-Mail-Account einloggen konnte, damit ich eine der zwei Dutzend Anfragen von Steamguard bestätigen konnte, damit ich mich bei Steam einloggen konnte, damit ich endlich das Spiel aktivieren konnte. Klingt voll scheiße. Ist auch so. Und das alles nur, weil Steamguard ein blödes Arschloch ist.

Ja, ich weiß, Steamguard lässt sich auf eigenes Risiko abschalten, wenn man denn möchte, dass einem die gesamte Steam-Library abhanden kommt. Aber das hat mir an dem Tag natürlich überhaupt nichts genützt, weil er da noch aktiviert war, und das lässt sich ohne Zugang nicht ändern. Für die Zukunft kann ich es mir dann mal überlegen. Jedenfalls hat die Geschichte diesmal ein Happy End, und das ist für mich bei Steam eher selten der Fall. Außerdem habe ich ein neues Passwort für meinen E-Mail-Account.

Not so monthly rant: Login-Probleme mit Pearson VUE

4 Antworten - 15. Juni 2014 von Vince in Monolog, Technik

Die Lästerstunde ist noch nicht ganz vorbei, und da ich nun wirklich monatelang die Finger still gehalten habe, wird man mir hoffentlich verzeihen, wenn ich noch einen zweiten Rant dranhänge. Diesen habe ich mir eine ganze Weile aufgespart, obwohl mich soviel Unfähigkeit echt umgehauen hat. Die Geschichte ist etwas länger, aber die Details sind nötig, um zu beschreiben, wie schlampig da gearbeitet wurde.

Es ist nämlich kaum zu glauben, wie unfähig die Programmierer bei Pearson VUE offenbar sein können. Pearson VUE ist ein Unternehmen, das IT-Schulungen und IT-Zertifizierungen für IT-Unternehmen online und in speziellen Testcentern organisiert, mit hoher Wahrscheinlichkeit sogar IT-Security-Zertifizierungen. Also ein Unternehmen, das viel mit der IT, Sicherheit und Qualität in der IT zu tun hat. Man sollte doch davon ausgehen, dass man dort weiß, wie man halbwegs sichere Software entwickelt, und vor allem wie man testet, oder die richtigen Leute dafür kennt, die sowas können. Nichts davon trifft wirklich zu, wie sich mir kürzlich gezeigt hat. Kann sich jemand an mein Problem mit dem QNAP-NAS und dem abgeschnittenen Passwort erinnern? Dies hier ist die umgedrehte und noch dazu fortgeschrittene Variante davon. Und sowas im Jahr 2014.

Schritt 1: Account anlegen

Um an einer IT-Zertifizierung (etwa für Oracle) teilzunehmen, muss man zunächst einen Account bei Pearson VUE anlegen. Das habe ich mit meinem vollen Namen getan. Zuvor wurde betont, dass ich alle meine persönlichen Daten exakt so eingeben muss, wie sie auf dem Personalausweis stehen, da mir eine Zulassung nur bei Übereinstimmung gewährt wird. Im Registrierformular wird man aufgefordert, ein Passwort mit mindestens 7 Zeichen festzulegen. Das fällt mir nicht schwer, meine Passwörter sind in der Regel immer deutlich länger: 22 Zeichen sind es diesmal. Nachweislich sind lange Passwörter sehr viel sicherer gegen Bruteforce-Angriffe. Nach dem erfolgreichen Anlegen meines Accounts bekomme ich eine Bestätigungs-Mail, in der meine Daten wiederholt werden. Als dort Zeichensalat in meinem Nachnamen und in meiner Anschrift vorkommen (wegen den Umlauten), habe ich bereits ein ungutes Gefühl.

Schritt 2: Einloggen

Um meine Registrierung abzuschließen, muss ich mich erstmals einloggen. Ich gebe meine Daten in das Login-Formular ein … und bekomme nur eine Fehlermeldung zu sehen. Benutzername oder Passwort seien angeblich falsch. Fantastisch, das fängt ja schon sehr gut an. Ich will nur eine Zertifizierung buchen, scheitere aber schon beim Einloggen. Vertippt? Auch ein zweiter, dritter, und drölfter Versuch schlägt fehl. Inzwischen habe ich haarklein und penibel darauf geachtet, dass ich alles fehlerfrei eingegeben habe. Weder mein Passwort noch mein Benutzername enthalten deutsche Umlaute, daran dürfte es also nicht liegen. Ich erinnerte mich an das alte Problem mit QNAP: Heimlich abgeschnittene Passwörter. Aber es ist sogar noch schlimmer als das.

Schritt 3: Passwort zurücksetzen

Ich beschließe kurzerhand, einfach mein Passwort zurückzusetzen um ein kürzeres zu wählen. Wenn deren System damit nicht klarkommt, hätten sie das bitte auch vorher so schreiben sollen. Aber ich will nun nicht so sein. Das Passwort-Zurücksetzen-Formular ist recht einfach gehalten: Erst den Benutzernamen und dann den vollständigen Vor- und Nachnamen eingeben. Das System prüft dann, ob ein solcher Account vorliegt, bevor man fortfahren kann. Und das System zeigt mir eine Fehlermeldung, dass es meinen Account angeblich gar nicht gibt. Das ist ja hochinteressant, vor allem weil ich eine Bestätigungs-E-Mail vorliegen habe, in der das Gegenteil behauptet wird. Netter Versuch, Jungs. Mir fällt auf, dass das Formular den Umlaut in meinem Nachnamen ebenfalls völlig zerlegt hat. Wenn die DANACH gesucht haben, wundert mich nicht, dass sie nichts finden konnten. Ich versuche es erneut mit „oe“ statt „ö“. Vergeblich. Dann versuche ich es, indem ich den umgewandelten Zeichensalat unverändert wieder ins Formular zurückkopiere, könnte ja sein, dass das dann korrekt umgedreht wird. Wieder kein Treffer. Ich darf mein Passwort also nicht zurücksetzen, weil die meinen Namen auf Grund eines Kodierungsproblems nicht wiedererkennen.

Schritt 4: Neuer Account

Ich versuche es nun mit einem anderen Formular, das mir wenigstens meinen Benutzernamen herausfinden soll, wenn man diesen vergessen hat. Entsetzt stelle ich auch hier fest, dass man seinen vollen Namen eingeben muss. Wie erwartet, gibt es auch hier keinen Treffer. Die Webseite kann mit meinem Namen nicht umgehen. Ich ergreife den letzten Strohhalm, der sich mir bietet: Ich versuche einen neuen Account anzulegen, diesmal dann doch ohne Umlaute – wider besseren Wissens. Ich komme aber nicht weit: Schon nach der E-Mail-Adresse teilt mir das System mit, dass es schon einen Account gibt, der auf diese Adresse registriert ist. Ach jetzt auf einmal doch? Neuregistrierung fällt weg. Eine schöne Scheiße ist das. Die Maus knarzt unter meinem zornigen Griff.

Schritt 5: Support kontaktieren

Ich entschließe mich, mich an den Support zu wenden. Ich weise höflich, aber dennoch leicht genervt darauf hin, dass ich einen Account angelegt habe, mich aber weder einloggen, noch mein Passwort zurücksetzen, noch einen neuen Account anlegen darf, und wie zur Hölle ich jetzt bitteschön weitermachen soll. Zusätzlich gebe ich meine Einschätzung an, woran es liegen dürfte. Und dass ich weiß, dass ich nur das lateinische Alphabet benutzen soll, mein Name damit aber nicht korrekt geschrieben werden könne. Überhaupt müsste dieser Fall mit den unerlaubten Sonderzeichen abgefangen werden. Eine automatische Antwort-Mail verspricht, dass man sich um mein Anliegen binnen fünf Tagen kümmern wird. Na toll.

Schritt 6: Trick 17 … bzw. Trick 25

Füße stillhalten liegt mir gerade nicht besonders. Das ganze Thema nervt mich so sehr, dass ich das Einloggen aus Trotz weiter probiere. Schließlich fällt mir auf, dass das Login-Formular gar nicht alle eingegebenen Zeichen aufnehmen will. Das ist auch kein Wunder, wie ein Blick in den HTML-Code bestätigt:

<input type=“password“ size=“20″ autocomplete=“off“ value=““ name=“loginpassword“ maxlength=“16″/>

Meine Damen und Herren, hier sehen Sie ein Eingabefeld, das zwar immerhin 20 Zeichen breit ist, aber maximal 16 Zeichen als Eingabe erlaubt. 16 Zeichen! Mein Passwort ist 22 Zeichen lang! Ihr bescheuerten Spaßvögel von Pearson VUE, mal davon abgesehen, dass eine 16-Zeichen-Limitierung hinsichtlich IT-Sicherheit mindestens steinzeitlich ist, hättet ihr neben der Angabe, dass das Passwort mindestens sieben Zeichen lang sein MUSS, nicht auch schreiben können, dass es MAXIMAL 16 Zeichen lang sein DARF? Verärgert über soviel Inkompetenz wage ich ein kleines Experiment: Mit Hilfe von Firebug verändere ich den entsprechenden Teil in HTML, und setze dort stattdessen ein Limit auf 25 Zeichen. Das von mir modifizierte Login-Formular weihe ich mit meinen Zugangsdaten ein. Ein Klick später – und ich bin tatsächlich drin! Ich habe deren Fehler mal eben für mich korrigiert, und anstandslos konnte ich mich einloggen. Und wie sich herausgestellt hat, steht auch mein Nachname mit dem richtigen Umlaut in deren Datenbank, lediglich das Eingabeformular überträgt die falsche Kodierung. Das Abgleichen schlägt fehl.

Man stelle sich das mal vor: Ich musste die Webseite von Pearson VUE in meinem Browser manipulieren, damit ich mich überhaupt einloggen konnte. Beim Registrieren wird ein starkes Passwort mit einem Farbindikator forciert, sogar 40 Zeichen werden dort erlaubt (ich habe nachgesehen!). Und beim Einloggen dürfen es plötzlich nur noch maximal 16 Zeichen sein, da weiß wohl die rechte Hand nicht was die linke tut. Offensichtlich gibt es auch Nachbesserungsbedarf beim Formular zum Zurücksetzen des Passworts. Inzwischen gab es auch Antwort von Pearson VUE bzw. Oracle: Es gebe wohl doch keine Probleme, wenn man seinen Namen etwas anders schreibt als im Personalausweis. Ich hätte das Problem also von Anfang an vermeiden können. Aber dann wäre mir ja gar nicht aufgefallen, wie schlecht deren Webseite funktioniert.

Erfahrungsbericht: Die erste Stunde mit Diablo 3

11 Antworten - 15. Mai 2012 von Vince in Spaß, Spiele

Normalerweise verdienen Spielehersteller, die ihre Produkte mit einem Onlinezwang versehen, keinen einzigen Cent von mir. Ich will solche Restriktionen bewusst nicht fördern, daher kaufe ich so etwas nicht. Normalerweise. Für Diablo 3 musste ich nun leider zum ersten Mal eine Ausnahme machen. Zum einen, weil ich ein großer Fan von Diablo 2 und ganz besonders vom Ur-Diablo war. Zum anderen, weil ich seit fünf Jahren auf einem doofen Mediamarkt-Gutschein sitze, den ich nun endlich loswerden wollte. Achievement unlocked: Spiel gekauft.

Nun habe ich inzwischen die erste Spielstunde hinter mich gebracht und ich möchte euch an einem kurzen Erfahrungsbericht teilhaben lassen, damit sich auch Leute entscheiden können, die noch am zweifeln sind, ob das Spiel wirklich was für sie ist.

Das Anlegen des Battle.net-Accounts geht relativ einfach und flott. Das Eintippen des Spielekeys ist nervig, aber zum Glück nur einmal nötig. Das Installationsprogramm ist schön gemacht, mit einer wundervollen Variation der Tristram-Theme, und die Installation legt 8 GB auf der Festplatte an. Nun konnte das Spiel endlich gestartet werden.

Das Hauptmenü sieht wunderbar aus. Ich drehe die Auflösung hoch und passe auch die Sound-Optionen an. Dann zum ersten Mal einloggen. Ich gebe meinen BattleTag ein und mein Passwort. Der Einloggen-Button ist grau und lässt sich nicht klicken. Nach kurzer Zeit wird mir klar, dass ich mich mit meiner E-Mail-Adresse einloggen muss, nicht mit dem blöden BattleTag. Wofür ist der Mist dann? An der Seite des Hauptmenüs weist Blizzard mich darauf hin, dass es einen großen Ansturm auf die Server gibt und dass sie sich für Unannehmlichkeiten entschuldigen. Wer konnte denn auch bitte mit einem großen Ansturm rechnen. Völlig überraschend muss das für Blizzard gewesen sein.

Einloggen klappt leider nicht. Manchmal dauert es eine Weile bis eine Fehlermeldung erscheint, meistens folgt sie aber sofort. Ich muss bei jedem gescheiterten Login-Versuch wegen überfüllter Server mein komplettes Passwort erneut eingeben. Das ist natürlich sehr gut gemacht und wirklich sicher. Irgendwann nach dem 30. Mal Passwort eingeben, kopiere ich das Passwort in die Zwischenablage. Von nun an kann ich mich zweimal pro Sekunde mit STRG-V + ENTER einloggen und mir jedesmal die hübsch designte Fehlermeldung anschauen.

30 Minuten später bin ich im Helden-Erstellungs-Menü. Ich entscheide mich für einen männlichen Barbaren, so wie ich das meistens mache. Name für meinen betagten langhaarigen Helden eingeben und ein Klick auf „Held erstellen“. Eine wilde Fehlermeldung erscheint. Nach einigen Sekunden eine weitere Timeout-Fehlermeldung. Ich klicke nochmal – derselbe Fehler. Manchmal erscheint eine andere Fehlermeldung, die besagt, dass der Service nicht erreichbar ist. Diablo 3 bietet einiges an Abwechslung. Ich gebe nicht auf, und klicke immer wieder auf den formschönen Knopf, doch leider klappt es auch nach 15 Minuten nicht.

Die erste Stunde ist damit vorbei und ich muss sagen, der Installer, das Hauptmenü und der Login-Bildschirm erfüllen meine Erwartungen wirklich in jeder Hinsicht. Ganz besonders gefallen hat mir der Helden-Erstellen-Bildschirm, weil der die besten Charaktere hat. Von der Handlung gibt der Installer am meisten her. Die Grafik ist bisher brillant, aber ich hoffe, das lässt sich noch steigern. Die Hardware-Anforderungen sind fair und Ruckler gab es bei mir keine. Ich bin gespannt wie es in der zweiten Spielstunde weitergeht und ob es mir tatsächlich irgendwann gelingen wird, einen Helden zu erstellen, wenn ich nur lange genug daran arbeite.

Fazit: Blizzard bekommt von mir den Goldenen Scheißhaufen verliehen, und zwar dafür dass ich 55 Euro zahlen durfte – für ein Spiel mit Onlinezwang, dessen Login-Server nicht erreichbar sind. Und das obwohl ich Diablo 3 für den Moment sowieso nur im Solo-Modus spielen möchte, wofür ich rein rational gar keine Internetverbindung bräuchte. Wenn Blizzard nicht in der Lage ist, ausreichend Kapazitäten zur Verfügung zu stellen, damit ihre Always-Online-Restriktion vernünftig funktioniert, dann haben die meiner Meinung nach die Pflicht, einen Patch anzubieten, der das Spielen ohne Login-Server ermöglicht. Ich bezahle doch nicht für ein Spiel, von dem ich dann den Login-Bildschirm bewundern darf. Es ist ja nun wirklich nicht so als wäre dieses Problem heute zum ersten Mal aufgetreten. Man hat sich lange vorher darauf vorbereiten können. Das wird erstmal für eine lange Zeit das letzte Spiel mit DRM gewesen sein, das ich mir gekauft habe. Blizzard soll zur Hölle fahren. „Hölle“ … höhö.

Not so weekly rant: Das beschnittene Passwort

5 Antworten - 29. April 2012 von Vince in Monolog, Software

Wie sieht ein sicheres Passwort aus? Soll es eine scheinbar sinnlose Kolonne aus unzusammenhängenden Zeichen sein, die man dann sowieso auf einem Zettel hinterlegt, weil man auch nach dem fünften Mal Eintippen immer noch abschreiben muss? Oder doch besser etwas Lesbares, das man nach dem ersten Blick im Kopf hat und dann auch nicht mehr vergisst? Muss es Sonderzeichen, Ziffern und am besten Groß- und Kleinbuchstaben gemischt enthalten, oder reicht es vielleicht schon aus, wenn das Passwort nur lang genug ist? Das Feld der IT-Sicherheit ist ein ziemlich weites, und je mehr Experten man befragt, desto mehr Empfehlungen bekommt man.

Bruteforce- und Dictionary-Angriffen hält ein Passwort leichter stand, wenn es lang ist. Also mindestens 12 Zeichen lang, besser noch mehr. Begriffe, die man in Wörterbüchern finden könnte, sollte man nur verwenden, wenn man gleich drei oder vier davon verwendet. Besser sind Fantasieworte. In Kombination mit einzelnen Sonderzeichen und Ziffern ist man in den meisten Fällen im grünen Bereich. Dass Passwörter nie lang genug sein können, wird immer wieder von allen möglichen Sicherheitsexperten gepredigt – was auch vollkommen nachvollziehbar und richtig ist – aber was ist mit den schwarzen Schafen in der IT, die in ihren Softwareprodukten und Netzdiensten dem Benutzer ein Maximum an verfügbaren Zeichen vorgeben? Nicht selten lässt die Eingabemaske keine weiteren Zeichen zu, wenn das Limit von z.B. 8 Zeichen erreicht wurde. Das steht ja eigentlich im absoluten Widerspruch zu dem Punkt, in dem sich alle einig sind.

Es gibt aber etwas, das fast noch lästiger ist, und das mir inzwischen schon mehrfach begegnet ist. Ich bin ein echter Fan von langen Passwörtern. Selten verwende ich weniger als 15 Zeichen, manchmal über 20, dazu irgendwelche Ziffern und Sonderzeichen, aber gerade so, dass ich es mir mit Mühe merken kann. Vor kurzem habe ich meinen QNAP-Netzwerkspeicher konfigurieren wollen und legte mir dazu ein Administratorkonto im Webinterface an. Das Passwort war nun also 19 Zeichen lang und ließ sich auch in voller Länge eingeben. Hinweise bezüglich irgendeines Limits gab es nicht, soweit ich mich erinnere. Account angelegt. Alles wunderbar.

Der erste Loginversuch mit dem taufrischen Konto wurde dann allerdings abgelehnt – Falsches Passwort. Kein Problem, einfach nochmal versuchen, ich muss mich vertippt haben. Kommt bei solch langen Passwörtern regelmäßig vor. Auch der zweite Versuch geht schief. Ein dritter Versuch bringt keine Verbesserung. Ich habe den Account doch gerade vor zwei Minuten angelegt, bin ich denn auf einmal unfähig? Etwa bereits beim Anlegen vertippt? Unwahrscheinlich. Plötzlich war mir klar, woran das liegen musste.

Was habe ich nun gemacht? Ich habe das Passwort wie zuvor eingegeben, aber das letzte Zeichen weggelassen, so dass es nur noch 18 Zeichen lang war. Login failed. Zwei Zeichen hinten weglassen: Wieder nichts. Dann drei Zeichen. Das Passwort ist damit nur noch 16 Zeichen lang. Ein Druck auf Enter und ich bin drin. Ich lag goldrichtig mit meiner Vermutung. Was für Dilettanten arbeiten da bei QNAP als Programmierer? Beim Anlegen des Accounts gibt das Eingabefeld keine maximale Länge vor, man kann also eingeben soviel man will. Beim internen Speichern des Passworts oder des Hashes wird es gekürzt auf 16 Zeichen, so ganz heimlich. Ist doch auch total unwichtig so eine Information. Die Kurve hätte man noch kriegen können, wenn wenigstens die Eingabemaske für den Login eine Zeichenbegrenzung gehabt hätte, um das zu kompensieren, aber auch hier darf man eingeben soviel man lustig ist. Das vom System gespeicherte (kürzere) Passwort und das zuvor eingegebene komplette Passwort stimmen nicht überein, der Benutzer kann sich so niemals einloggen. Niemand sagt ihm, was dabei das Problem ist.

Schlimmer noch, wenn der Benutzer das NAS auf Werkseinstellungen zurücksetzt und nochmals ein Administratorkonto mit demselben Passwort oder mit einem gleich langen Passwort anlegt, wird er schon wieder in dieselbe Falle laufen. Wohl dem, der lieber kürzere und unsichere Passwörter verwendet. Aus Softwareentwickler-Sicht ist das ein unverzeihlicher Fehlgriff. So sehr kann man eigentlich gar nicht pennen, dass so etwas nicht getestet wird und in die finale Firmware kommt. Noch dazu kommt der Fehler gar nicht so unwahrscheinlich selten vor, da ich ja bereits woanders Erfahrung damit machen durfte. Damals musste ich mir nach unzähligen Fehlversuchen mein Passwort aus der Datenbank per E-Mail zuschicken lassen (als Plain Text: ja, das alleine ist schon eine Ohrfeige wert). So stellte ich hocherstaunt fest, dass mein Passwort auf dem Weg von der Tastatur in die Datenbank irgendwo kommentarlos gekürzt wurde. Da hätte ich echt noch stundenlang erfolglos mit dem eigentlich richtigen Passwort versuchen können mich einzuloggen.

Achja, noch ein Tipp bezüglich der Sonderzeichen, weil ich damit ebenfalls schon Probleme hatte. Sonderzeichen in Passwörtern sind gut und schön, aber gefahrlos sind nur die ganz gewöhnlichen Sonderzeichen, die man ohne Druck auf die ALT-Taste eingeben kann. Hier spielt es nämlich auch eine wichtige Rolle, welchen Zeichensatz der eigene Browser benutzt und welchen Zeichensatz der Server, auf dem das Passwort gespeichert wird. Umlaute sind daher ebenfalls sehr gefährlich. Ein „Ö“ ist auf dem Server vielleicht auf einmal ein ganz anderes Zeichen. Das Euro-Symbol, Accents, und vieles was der Unicode-Zeichensatz hergibt, könnte auf dem Server beim Konvertieren verloren gehen und somit das Passwort unbrauchbar machen.

Success Denied

Ein Autor, ein Computer, ein Blog

Schlagwort-Archive: Passwort

Die liebe Not mit den Passwörtern

Steam-Hürdenlauf für ein Gratisspiel