Mein Passwort-Safe

Online-Konten bilden unsere digitale Identität, ein Passwort-Safe schützt diese Identität.In diesem Blog ist es zur Zeit recht leise. Der Grund ist: ich gehe fremd. Konkret schreibe ich gerade an einer Serie zum Thema Passworte und Passwort-Safe – aber eben nicht hier. Die Serie läuft bei BASIC thinking, die Beiträge erscheinen immer Montags.

In den ersten 4 Beiträgen ist es mehr um Grundsätzliches gegangen.

  • Beitrag 1 stellt die Bedeutung des Themas „gute Passworte“ heraus. Im ernst: nie war es so wichtig wie heute!
  • In Beitrag 2 werden drei Wege vorgestellt, seine Passworte leidlich sicher zu managen – ohne dabei einen elektronischen Passwort-Safe zu verwenden.
  • In Beitrag 3 geht es um unterschiedliche Methoden, ein sehr sicheres Passwort zu erstellen. Eine dieser Methoden, etwas strange, ist es, einen Knittelvers zu verwenden.
  • Und in Beitrag 4, der am 12.2.18 erschienen ist, beschreibe ich, wie ein Passwort-Safe so ganz grundsätzlich funktioniert. Aber wirklich nur High-Level, keine Details.

In diesem letzten Beitrag bin ich außerdem ganz generell bei der Erkenntnis angekommen, dass es ohne einen ordentlichen Passwort-Safe nun mal nicht geht. Wer da nicht mitzieht, muss dann auch gar nicht mehr weiterlesen.

Stellt sich also die Frage: was ist ein ordentlicher Passwort-Safe? Welchen soll man nehmen?

Diesem Thema widmet sich Beitrag No. 5, der wohl am 19.2. erscheinen wird. Dabei werde ich Vergleiche aus anderen Quellen zitieren. Das Gute ist: wir haben keine Not, so einen „ordentlichen“ Passwort-Safe zu finden, es gibt tatsächlich einige davon.

Außerdem werde ich allerdings in dem Beitrag auch ein paar Kriterien vorstellen, die mir bei der Auswahl besonders wichtig sind – und die bei diesen anderen Vergleichen etwas zu kurz kommen.

Ab Beitrag 6 geht es dann nur noch um das von mir bevorzugte Produkt: KeePass. Da es Open Source ist und gratis zur Verfügung steht, hat kaum jemand Interesse daran, es groß zu promoten. Anleitungen und Erklärungen sind rar – insbesondere in deutscher Sprache.

In sehr kleinem Umfang werde ich versuchen das zu ändern.

Authentifizierung – so weist man sich aus

Hintergrund

Ich arbeite zur Zeit viel im Umfeld „Passworte“, suche, lese und schreibe täglich irgendetwas dazu.

Eine Abstraktionsstufe höher heißt das Ganze dann „Authentifizierung“. Wer über Authentifizierung nachdenkt, hebt den Blick über den Tellerrand der einfachen Passwort-Suppe.

Ein weiterer spannender Begriff in diesem Kontext ist „Identität“, noch etwas abstrakter und schon irgendwie fast philosophisch.

Wie hängen die drei zusammen?

In der digitalen Welt hat jeder soviele Identitäten, wie er will. Jedes neue Online-Konto etabliert eine neue Identität. Der Otto-Kunde ist vom Amazon-Kunden verschieden, auch wenn dahinter die gleiche physische Person steht. Doch wie erkennt das Shopping-Portal, die Bank, das E-Mail-Konto, der Router, das Vereinsblog und so weiter: wie erkennen sie alle, wer da gerade mit ihm irgendwie in Kontakt tritt? Via Authentifzierung.

Und die läuft heutzutage nun mal in erster Linie über Passworte. Bei besonders kritischen Themen kommt gelegentlich 2FA zum Einsatz, die 2 Faktor Authentifizierung. Der zweite Faktor ist dann etwa eine TAN, die per SMS zugestellt wird.

IBM-Studie

Vor kurzem bin ich nun auf eine Studie von IBM zu diesem Thema gestoßen, „Future of Identity Study, Consumer perspectives on authentication: Moving beyond the password“, erschienen im Januar 2018. Da haben wir gleich alle drei Begriffe in einem Titel.

In diesem Artikel wird die Studie recht ausführlich vorgestellt, er enthält auch einen Link zum Original-Dokument. Es ist kostenfrei, man muss aber seine Kontaktdaten angeben.

Die englisch-sprachige Studie hat einige interessante Ergebnisse zu Tage gefördert. Doch ob und in wie weit die Daten überhaupt belastbar sind, ist zumindest unsicher.

Kritisches Studien-Design

Es handelt sich um eine „globale Studie“ mit insgesamt 3.977 Befragten.

  • 1.976 in den USA
  • 1.004 in der EU (UK, F, I, D, E)
  • 997 im APAC-Raum (Australien, Indonesien, Singapur)

Süd- und Mittelamerika sowie Afrika sind nicht dabei und im APAC-Raum wurden auch nur Kandidaten aus sehr willkürlich ausgewählten Ländern befragt.

2.000 Befragte in den USA mag noch so gerade angehen, jeweils 1.000 Befragte in so inhomogenen Bevölkerungen wie in der EU oder im APAC-Raum ist deutlich zu wenig. Und eine Studie „global“ zu nennen, bei der gute zwei Drittel fehlen – nun ja.

Bias

Die Studie erfolgte online und es gibt keinen Hinweis darauf, dass in der jeweiligen Landessprache befragt wurde. Im Gegenteil, die Aufbereitung läßt vermuten, dass die Fragebögen nur in englischer Sprache waren.

Neben der zu kleinen Stichprobe ist das Studien-Design also ziemlich sicher auch ergebnisverfälschend: Befragt wurden nur Menschen die recht gut englisch sprechen. Wenn auch andere teilgenommen haben, ist anzunehmen, dass sie die Fragen gar nicht verstanden haben.

Gute Aufbereitung

Die Ergebnisse werden in 14 interpretierten und kommentierten Diagrammen präsentiert. Jedes Thema hat seine eigene Seite, ein Diagramm und etwas erläuternden Text. Das ist lesefreundlich und gut strukturiert umgesetzt. Die Komplexität des Themas belastet nicht die Klarheit und Verständlichkeit der Präsentation.

Findings

Die 14 Grafiken enthalten zahlreiche interessante und zum Teil überraschende Informationen. Wer sich mit dem Thema Authentifizierung beschäftigt, sollte diese Studie kennen.

Besonders aufgefallen sind mir diese Ergebnisse:

E-Mail-Sicherheit wird für unkritisch gehalten

Gleich die erste Grafik gibt Antwort auf die Frage: welche digitalen Bereiche halten die Menschen für besonders schutzbedürftig, und wo sollte es in erster Linie mehr um Bequemlichkeit gehen? Besonderen Schutz soll es danach für Finanzielle Anwendungen geben, ganz zuerst Banking-Apps. Deutlich weniger Schutz, aber dafür viel mehr Komfort benötigen hingegen E-Mail- und Social Media Apps.

Das ist eine sehr gefährliche Sichtweise. Denn das E-Mail-Konto ist mittlerweile von einem Kommunikationsmittel zu einer umfassende Authentifizierungs-Plattform mutiert. Sich irgendwo registrieren lassen? Das kann nur, wer eine E-Mail-Konto hat. Da wird der Bestätigungs-Link hingeschickt. Passwort vergessen? Die Rücksetzungs-Nachricht geht ans E-Mail-Konto.

Wenn Dritte unser E-Mail-Konto kontrollieren, dann kontrollieren sie unser digitales Ich.

Die Verkennung dieses Zusammenhangs bzw. der sehr blauäugige Umgang mit dem eigenen E-Mail-Konto sind besorgniserregend.

Alte Menschen sind vorsichtiger als junge

39% der 18-24-Jährigen verwenden komplexe Passworte aus Buchstaben, Zahlen und Sonderzeichen. In der Altersgruppe 55+ sind es 49%.

Und umgekehrt sagen 42% der Jungen, dass sie das gleiche Passwort mehrfach verwenden, bei den „Alten“ sind es nur 31%.

Die Werte zwischen diesen Jung-Alt-Eckpunkten verlaufen kontinuierlich steigend bzw. fallend.

Ergebnis-Summary

Im Summary der Studie werden noch diese Punkte besonders herausgestellt:

  • Die Menschen sind insgesamt über die verschiedenen Authentifizierungs-Möglichkeiten recht gut informiert.
  • Sie sind sich der Bedeutung des Themas Sicherheit bewusst.
  • Manchen biometrischen Methoden der Authentifizierung stehen viele noch skeptisch gegenüber, aber die allgemeine Bereitschaft dafür ist vorhanden. Man möchte nur die Wahl haben und nicht eine Methode aufgezwungen bekommen.
  • Der Gedanke des Sicherheits-Risikos im Sinne einer Gefährdungs-Wahrscheinlichkeit („risk-based authentication“) stößt auf Akzeptanz. In der Tat ist es schon jetzt absurd, wenn einfach zwischen sicher und nicht sicher unterschieden wird. Schon jetzt gibt es nur eine kleine oder eine größere Chance, dass zum Beispiel ein Konto gehackt wird. Entsprechend dieser Chance könnte die Authentifizierungs-Methode angepasst bzw. ausgewählt werden.

Weitere Passwort-Beiträge

In der jüngeren Vergangenheit sind hierzu noch diese Beiträge von mir erschienen:

  • Teil drei einer Serie rund um das Thema Passwort. Geplant waren ursprünglich sieben Artikel, aber das wird wohl nicht reichen, acht oder neun sind möglich.
  • 8 Fakten zu Passworten, die helfen das Thema Passworte besser zu verstehen.

Digitaler Nachlass – ein guter Auftaktevent: digina16

Am 24. November 2016 haben sich Unternehmer, Wissenschaftler, Juristen, Journalisten und Blogger getroffen, um das Themenfeld „Digitaler Nachlass“ gemeinsam zu diskutieren – auf der digina16 (digitaler Nachlass 2016). Es war die erste Veranstaltung dieser Art, und die anregenden Vorträge, Gespräche und Kontakte, aber auch die öffentliche Resonanz (Tagesschau!) lassen annehmen, dass im nächsten Jahr die digina17 folgen wird.

Die Veranstalter haben hier bereits viele interessante Ergebnisse zusammengefasst.

In meinem Beitrag hier stelle ich einige persönliche Eindrücke sowie ergänzende Aspekte, die kaum zur Sprache kamen, vor.

weiterlesenDigitaler Nachlass – ein guter Auftaktevent: digina16

Standort-Tracking via Facebook

Sie befinden sich hier auf Geolocation- Symbol blauEins meiner Lieblings-Cartoons geht so: Die Katze („Le Chat“ von Philippe Geluck) steht vor einer öffentlichen Stadtkarte und sieht den Pfeil „Sie sind hier“. Le Chat sagt: „Das hat sich aber schnell rumgesprochen!“

Vielen Facebook-Nutzern ist nicht bekannt, dass die Mutter aller sozialen Netze diesen schnellen Info-Austausch zum aktuellen Standort des mobilen Mitglieds bereits jetzt technisch ermöglicht. Spannend ist daran insbesondere, dass auch, wenn die Facebook App gar nicht genutzt wird, trotzdem ein solches Standort-Tracking erfolgt.

In einem aktuellen Beitrag hat Jens Wiese von allfacebook.de hierauf hingewiesen und auch gezeigt, wie man das Protokoll dieses Standort-Trackings, also alle bisherigen Einträge, mit 2 Klicks löscht.

Wir fassen die wichtigsten Punkte des guten Beitrags hier noch einmal zusammen und zeigen zudem, wie man das Standort-Tracking via Facebook auch für die Zukunft auf seinem Smartphone unterbindet – wenn man es denn will.

weiterlesenStandort-Tracking via Facebook

Zero – ein Cyber-SciFi-Krimi

zero

Das Titel-Monstrum zeigt: es ist gar nicht so einfach, das Genre dieses Romans richtig zu beschreiben.

  • Krimi – denn Menschen werden in dem Roman aus ausgesprochen niedrigen Beweggründen getötet. Und alle suchen den Täter, aber niemand kann glauben, wer’s wirklich war.
  • SciFi – denn manches ist dann doch zu abgefahren, als dass es schon in einigen Ecken des Silicon Valley Realität sein könnte. Auch gut ein Jahr nach Erscheinen dudelt immer noch Zukunftsmusik im Hintergrund.
  • Cyber – denn es geht ums Internet, die Macht der Apps, ihre alles kontrollierende Präsenz und die Schwächen unserer Datensicherheit und unseres Datenschutzes.

Man könnte Zero aber auch durchaus einen politischen Roman nennen. Eine Kampfschrift gegen übermächtige Datenkraken und einen Appell an uns, kritisch und wehrhaft zu bleiben.

Dafür spricht unter anderem, dass der Autor eine zwar marketing-technisch voll aufgebrezelte, aber letztlich doch recht engagierte Seite betreibt: www.marcelsberg.de. Hier findet man mehr rund um private Transparenz und möglichen Schutz vor zu viel Intimitätsverlust, als auf manchen offiziellen Seiten zu dem Thema.

Worum es in Zero geht

weiterlesenZero – ein Cyber-SciFi-Krimi

Mein Recht im Netz – die komplette Inhaltsübersicht

Im Herbst 2015 ist „Mein Recht im Netz“ bei der Stiftung Warentest erschienen. Der Titel klingt interessant, aber um was es genau darin geht, ist vermutlich gar nicht so leicht zu erkennen.

Auf der entsprechenden Webseite von test.de findet man immerhin eine Kurzbeschreibung zum Inhalt mit einigen weiteren Stichworten sowie der Möglichkeit, einige Seiten des Buchs zu besichtigen. amazon.de und thalia.de haben Teile dieser Informationen übernommen.

Wir werfen hier jetzt einen ausführlichen Blick ins Buch.

weiterlesenMein Recht im Netz – die komplette Inhaltsübersicht

Der Passwort-Reim so kräftig holpert, …

…dass Brute-Force-Angriff sich verstolpert.

Dieser Vers ist ein mögliches Format für wirkliche sichere Passworte, folgt man einer Arbeit von Marjan Ghazvininejad und Kevin Knight von der University of Southern California (USC).

Der Reim ist ein vierfüßiger Jambus (aka „Knittelvers“), in dem sich betonte und unbetonte Silben abwechseln, beginnend mit einer unbetonten. Binär würde man dieses Ab und Auf in jeder Zeile so abbilden: 01010101. (In unserem Beispiel haben wir das Schema etwas stark „verknittelt“: die unbetonte letzte Silbe gehört da eigentlich nicht hin.)

Auf Englisch ist es etwas leichter:

Sophisticated potentates
misrepresenting Emirates

macht so gut wie keinen Sinn mehr, aber ist formal voll korrekt und reimt sich eben.

Und was soll der ganze Poesie-Zirkus? Die Verse sind gute Passworte!

weiterlesenDer Passwort-Reim so kräftig holpert, …

Phishing Fritz phished frisch

phishingGerade ist eine recht gut gemachte Phishing-Mail im Umlauf. Sie ähnelt recht stark den Mails, die man sofort nach einer Zahlung von PayPal bekommt.

Als Phishing ist die Mail eigentlich nur erkennbar an der fehlenden Anrede, da müsste „Guten Tag, Peter Apel!“ stehen. Ein weiteres Indiz ist noch die Referenznummer. Bei PayPal heißt das Transaktionscode – aber wer merkt sich solche Details?

Verdächtig sollte dem Empfänger die Mail allerdings sofort sein, denn erstens hat er die Bestellung ja gar nicht ausgelöst und zweitens stimmt die Lieferadresse nicht (hier mit grauem Balken).

Letzte Sicherheit, dass es sich um Phishing handelt, gibt dann ein Besuch beim Online Konto, kennt PayPal diese Zahlung? Nein, natürlich nicht.

PayPal ist ein beliebtes Angriffsziel für Spoofer und Phishermen, alles ist immer nur Online und gerade die vielen Sicherheits-Mails stumpfen irgendwie ab, machen den Aufmerksamkeits-Sensor taub. Darum hat das Unternehmen auch selbst dazu eine FAQ-Seite eingestellt.

Unter anderem findet man da eine Adresse, an die man verdächtige Mails schicken kann: spoof@paypal.com. Und auf der Facebook-Seite von PayPal sollen immer aktuelle Phishing-Fälle vorgestellt werden. Der hier gezeigt Fall ist da allerdings noch nicht, das frischeste Beispiel ist vom 21.10.15, also gut 20 Tage alt.

Wie schützt man sich gegen Phishing?

weiterlesenPhishing Fritz phished frisch

Koppelungsverbot – Facebook nicht mehr kostenlos?

Data and MoneyEin alter Spruch sagt: Geld allein macht nicht glücklich – es gehören auch Aktien und Grundstücke dazu. Heute müsste man besser ergänzen: es gehören auch Stammdaten und persönliche Merkmale vieler Privatpersonen dazu.

Denn schon längst wird der Wert eines New Economy Unternehmens nicht mehr in den klassischen „Assets“ gemessen, Mitarbeiter, Maschinen, Grundstücke, Patente, Beteiligungen. Immer wichtiger ist der laufende Zugang zu aktuellen Personendaten geworden, je mehr desto besser. Der Grund ist einfach: diese Daten lassen sich hervorragend weiter nutzen wie auch verkaufen. Das nennt man dann ein Koppelungsgeschäft.

Kostenlose Services können durch solche Koppelungen also durchaus erfolgreich und lukrativ sein – wie das Beispiel Facebook sehr anschaulich zeigt.

In einem lesenswerten FAZ-Artikel beleuchtet Rolf Schwartmann die Bedeutung dieser neuen Währung „Daten“ und zeigt einen Weg, wie die digitale Transparenz in rechtlichen Einklang gebracht werden kann mit moderner unternehmerischer Wertschöpfung.

weiterlesenKoppelungsverbot – Facebook nicht mehr kostenlos?

IT-Sicherheit: Sind die Deutschen Pharisäer?

riskyUnvorsichtige Bürger

Vor wenigen Tagen konnte man erfahren: nur jeder vierte Internetnutzer verwendet systematische Methoden zur Passwortverwaltung wie Passwortmanager oder Passwortsafe (BITKOM vom 22.10.14). Und in der FAZ konnte man fast zeitgleich lesen, dass knapp 30% der Internetnutzer aus Sicherheitsgründen auf Online Banking verzichtet, Quelle wiederum BITKOM.

Schaut man auf die andere Seite der Kuchen, auf die anderen jeweils 70-75%, dann stellt man fest: Wie immer man die halben und Viertel-Torten übereinander legt, übrig bleiben rund 50%, die am Online Banking teilnehmen und ihre Passwörter nicht mit den o.g. Tools verwalten und schützen.

Nun ist Online-Banking ja kein Kinderfasching, hier kann man nicht nur versehentlich ein paar peinliche Fotos aus der Sauna oder Joint-Bekenntnisse aus frühen Schultagen den falschen Leuten zugänglich machen. Beim Online Finanzmanagement kann man richtig was versemmeln!

Alles Pharisäer?

Haben wir hier also einen weiteren Beleg für die schizophren-hysterischen Deutschen, die zwar abstrakt und theoretisch sehr viel Angst vor allen möglichen Bedrohungen der IT-Welt äußern (BITKOM: 81% haben Angst vor Ausspähung im Web), die aber, wenn es um das eigene umsichtige und sicherheitsbewusste Datenmanagement geht, sehr nachlässig weil vermutlich bequem sind? Sind wir Deutschen IT-Pharisäer?

weiterlesenIT-Sicherheit: Sind die Deutschen Pharisäer?