Mein Passwort-Safe

Online-Konten bilden unsere digitale Identität, ein Passwort-Safe schützt diese Identität.In diesem Blog ist es zur Zeit recht leise. Der Grund ist: ich gehe fremd. Konkret schreibe ich gerade an einer Serie zum Thema Passworte und Passwort-Safe – aber eben nicht hier. Die Serie läuft bei BASIC thinking, die Beiträge erscheinen immer Montags.

In den ersten 4 Beiträgen ist es mehr um Grundsätzliches gegangen.

  • Beitrag 1 stellt die Bedeutung des Themas „gute Passworte“ heraus. Im ernst: nie war es so wichtig wie heute!
  • In Beitrag 2 werden drei Wege vorgestellt, seine Passworte leidlich sicher zu managen – ohne dabei einen elektronischen Passwort-Safe zu verwenden.
  • In Beitrag 3 geht es um unterschiedliche Methoden, ein sehr sicheres Passwort zu erstellen. Eine dieser Methoden, etwas strange, ist es, einen Knittelvers zu verwenden.
  • Und in Beitrag 4, der am 12.2.18 erschienen ist, beschreibe ich, wie ein Passwort-Safe so ganz grundsätzlich funktioniert. Aber wirklich nur High-Level, keine Details.

In diesem letzten Beitrag bin ich außerdem ganz generell bei der Erkenntnis angekommen, dass es ohne einen ordentlichen Passwort-Safe nun mal nicht geht. Wer da nicht mitzieht, muss dann auch gar nicht mehr weiterlesen.

Stellt sich also die Frage: was ist ein ordentlicher Passwort-Safe? Welchen soll man nehmen?

Diesem Thema widmet sich Beitrag No. 5, der wohl am 19.2. erscheinen wird. Dabei werde ich Vergleiche aus anderen Quellen zitieren. Das Gute ist: wir haben keine Not, so einen „ordentlichen“ Passwort-Safe zu finden, es gibt tatsächlich einige davon.

Außerdem werde ich allerdings in dem Beitrag auch ein paar Kriterien vorstellen, die mir bei der Auswahl besonders wichtig sind – und die bei diesen anderen Vergleichen etwas zu kurz kommen.

Ab Beitrag 6 geht es dann nur noch um das von mir bevorzugte Produkt: KeePass. Da es Open Source ist und gratis zur Verfügung steht, hat kaum jemand Interesse daran, es groß zu promoten. Anleitungen und Erklärungen sind rar – insbesondere in deutscher Sprache.

In sehr kleinem Umfang werde ich versuchen das zu ändern.

Authentifizierung – so weist man sich aus

Hintergrund

Ich arbeite zur Zeit viel im Umfeld „Passworte“, suche, lese und schreibe täglich irgendetwas dazu.

Eine Abstraktionsstufe höher heißt das Ganze dann „Authentifizierung“. Wer über Authentifizierung nachdenkt, hebt den Blick über den Tellerrand der einfachen Passwort-Suppe.

Ein weiterer spannender Begriff in diesem Kontext ist „Identität“, noch etwas abstrakter und schon irgendwie fast philosophisch.

Wie hängen die drei zusammen?

In der digitalen Welt hat jeder soviele Identitäten, wie er will. Jedes neue Online-Konto etabliert eine neue Identität. Der Otto-Kunde ist vom Amazon-Kunden verschieden, auch wenn dahinter die gleiche physische Person steht. Doch wie erkennt das Shopping-Portal, die Bank, das E-Mail-Konto, der Router, das Vereinsblog und so weiter: wie erkennen sie alle, wer da gerade mit ihm irgendwie in Kontakt tritt? Via Authentifzierung.

Und die läuft heutzutage nun mal in erster Linie über Passworte. Bei besonders kritischen Themen kommt gelegentlich 2FA zum Einsatz, die 2 Faktor Authentifizierung. Der zweite Faktor ist dann etwa eine TAN, die per SMS zugestellt wird.

IBM-Studie

Vor kurzem bin ich nun auf eine Studie von IBM zu diesem Thema gestoßen, „Future of Identity Study, Consumer perspectives on authentication: Moving beyond the password“, erschienen im Januar 2018. Da haben wir gleich alle drei Begriffe in einem Titel.

In diesem Artikel wird die Studie recht ausführlich vorgestellt, er enthält auch einen Link zum Original-Dokument. Es ist kostenfrei, man muss aber seine Kontaktdaten angeben.

Die englisch-sprachige Studie hat einige interessante Ergebnisse zu Tage gefördert. Doch ob und in wie weit die Daten überhaupt belastbar sind, ist zumindest unsicher.

Kritisches Studien-Design

Es handelt sich um eine „globale Studie“ mit insgesamt 3.977 Befragten.

  • 1.976 in den USA
  • 1.004 in der EU (UK, F, I, D, E)
  • 997 im APAC-Raum (Australien, Indonesien, Singapur)

Süd- und Mittelamerika sowie Afrika sind nicht dabei und im APAC-Raum wurden auch nur Kandidaten aus sehr willkürlich ausgewählten Ländern befragt.

2.000 Befragte in den USA mag noch so gerade angehen, jeweils 1.000 Befragte in so inhomogenen Bevölkerungen wie in der EU oder im APAC-Raum ist deutlich zu wenig. Und eine Studie „global“ zu nennen, bei der gute zwei Drittel fehlen – nun ja.

Bias

Die Studie erfolgte online und es gibt keinen Hinweis darauf, dass in der jeweiligen Landessprache befragt wurde. Im Gegenteil, die Aufbereitung läßt vermuten, dass die Fragebögen nur in englischer Sprache waren.

Neben der zu kleinen Stichprobe ist das Studien-Design also ziemlich sicher auch ergebnisverfälschend: Befragt wurden nur Menschen die recht gut englisch sprechen. Wenn auch andere teilgenommen haben, ist anzunehmen, dass sie die Fragen gar nicht verstanden haben.

Gute Aufbereitung

Die Ergebnisse werden in 14 interpretierten und kommentierten Diagrammen präsentiert. Jedes Thema hat seine eigene Seite, ein Diagramm und etwas erläuternden Text. Das ist lesefreundlich und gut strukturiert umgesetzt. Die Komplexität des Themas belastet nicht die Klarheit und Verständlichkeit der Präsentation.

Findings

Die 14 Grafiken enthalten zahlreiche interessante und zum Teil überraschende Informationen. Wer sich mit dem Thema Authentifizierung beschäftigt, sollte diese Studie kennen.

Besonders aufgefallen sind mir diese Ergebnisse:

E-Mail-Sicherheit wird für unkritisch gehalten

Gleich die erste Grafik gibt Antwort auf die Frage: welche digitalen Bereiche halten die Menschen für besonders schutzbedürftig, und wo sollte es in erster Linie mehr um Bequemlichkeit gehen? Besonderen Schutz soll es danach für Finanzielle Anwendungen geben, ganz zuerst Banking-Apps. Deutlich weniger Schutz, aber dafür viel mehr Komfort benötigen hingegen E-Mail- und Social Media Apps.

Das ist eine sehr gefährliche Sichtweise. Denn das E-Mail-Konto ist mittlerweile von einem Kommunikationsmittel zu einer umfassende Authentifizierungs-Plattform mutiert. Sich irgendwo registrieren lassen? Das kann nur, wer eine E-Mail-Konto hat. Da wird der Bestätigungs-Link hingeschickt. Passwort vergessen? Die Rücksetzungs-Nachricht geht ans E-Mail-Konto.

Wenn Dritte unser E-Mail-Konto kontrollieren, dann kontrollieren sie unser digitales Ich.

Die Verkennung dieses Zusammenhangs bzw. der sehr blauäugige Umgang mit dem eigenen E-Mail-Konto sind besorgniserregend.

Alte Menschen sind vorsichtiger als junge

39% der 18-24-Jährigen verwenden komplexe Passworte aus Buchstaben, Zahlen und Sonderzeichen. In der Altersgruppe 55+ sind es 49%.

Und umgekehrt sagen 42% der Jungen, dass sie das gleiche Passwort mehrfach verwenden, bei den „Alten“ sind es nur 31%.

Die Werte zwischen diesen Jung-Alt-Eckpunkten verlaufen kontinuierlich steigend bzw. fallend.

Ergebnis-Summary

Im Summary der Studie werden noch diese Punkte besonders herausgestellt:

  • Die Menschen sind insgesamt über die verschiedenen Authentifizierungs-Möglichkeiten recht gut informiert.
  • Sie sind sich der Bedeutung des Themas Sicherheit bewusst.
  • Manchen biometrischen Methoden der Authentifizierung stehen viele noch skeptisch gegenüber, aber die allgemeine Bereitschaft dafür ist vorhanden. Man möchte nur die Wahl haben und nicht eine Methode aufgezwungen bekommen.
  • Der Gedanke des Sicherheits-Risikos im Sinne einer Gefährdungs-Wahrscheinlichkeit („risk-based authentication“) stößt auf Akzeptanz. In der Tat ist es schon jetzt absurd, wenn einfach zwischen sicher und nicht sicher unterschieden wird. Schon jetzt gibt es nur eine kleine oder eine größere Chance, dass zum Beispiel ein Konto gehackt wird. Entsprechend dieser Chance könnte die Authentifizierungs-Methode angepasst bzw. ausgewählt werden.

Weitere Passwort-Beiträge

In der jüngeren Vergangenheit sind hierzu noch diese Beiträge von mir erschienen:

  • Teil drei einer Serie rund um das Thema Passwort. Geplant waren ursprünglich sieben Artikel, aber das wird wohl nicht reichen, acht oder neun sind möglich.
  • 8 Fakten zu Passworten, die helfen das Thema Passworte besser zu verstehen.

Facebook Neuerungen zum Jahresende

Facebook NeuerungenSteckbrief zur Beitrags-Serie

Thema der Serie:

  • Neuerungen und Updates von und zu Facebook.
  • Nur Informationen, die in Deutschland wichtig oder frisch aktiviert sind.

Zielgruppe: Ganz normale Mitglieder, keine Profi-Anwender.

Serien-Takt: Alle 5-12 Wochen ein neuer Beitrag. Wenn’s was zu berichten gibt.

Bisher erschienen:

  • „Facebook“ 3. Auflage, erschienen bei der Stiftung Warentest; siehe auch rechter Rand (Desktop-Browser) bzw. unten (mobile App) in diesem Blog. Das Buch ist ist nicht wirklich Teil der Serie. Aber der erste Beitrag setzte beim Redaktionsschluss des Buches auf.
  • Beitrag vom 5.12.2017 mit den Themen Marketplace, An diesem Tag, Entdecker Feed, Crisis Response, Änderungen für Gruppen-Admins, Suizid-Prevention, Design und Creator.

Neuerungen in diesem Beitrag

Jede Woche gibt es irgendwas Neues, mal von Facebook, mal über Facebook und mal von Dritten zu Facebook. Zum Jahresende sind wieder ein paar interessante Funktionen, Infos, Meinungen und Fakten zusammengekommen, hier erstmal die Übersicht:

weiterlesenFacebook Neuerungen zum Jahresende

Neues bei Facebook – für ganz normale Mitglieder

Ein paar kurze Vorbemerkungen

Wenn man eine Blog-Serie startet, sollte man kurz erklären, worum es darin eigentlich geht und wieso die Serie gerade jetzt startet. Und genau das steht in diesen Vorbemerkungen.

Worum geht’s?

Facebook ist sehr fleißig beim Entwickeln, Testen und Verteilen von neuen oder veränderten Funktionen, Möglichkeiten, Regeln und Apps. Fast jede Woche ist irgendwas zusätzlich da oder ein bißchen anders als zuvor. Vieles richtet sich an Fanpage-Inhaber und Werbetreibende. Ich nenne das mal den Business-Bereich. Was es da laufend Neues bei Facebook gibt und wie man es am besten einsetzt, für noch mehr Klicks, Fans und Kunden, kann man in vielen Blogs und Newslettern nachlesen und bei Webinaren lernen.

Aber auch für ganz normale Mitglieder tut sich regelmäßig allerhand. Allerdings sieht es hier nicht so gut aus mit der Information des Publikums. Oft wird das Neue oder Geänderte einfach so bereitgestellt, über Nacht sozusagen, sang- und klanglos. Kaum ein Blog oder Newsletter, kaum ein Webinar informieren darüber.

In diesem Beitrag geht es genau darum: Was gibt es Neues bei Facebook für das ganz normale Mitglied?

Wir reden hier also nicht über Testphasen oder Ankündigungen von einem Rollout in den USA. Wir reden über Anwendungen, Apps und Algorithmen, die jedes Facebook-Mitglied hier in Deutschland aktuell nutzen kann.

Warum gerade jetzt? Gab es vorher nichts Neues bei Facebook?

Die Idee zu so einer Beitragsreihe kam mir, als ich die Arbeit an meinem Buch „Facebook“, 3. Auflage, gerade abgeschlossen hatte. Das Buch ist jetzt erschienen bei der Stiftung Warentest, ich habe es hier recht ausführlich beschrieben. Am rechten Rand dieser Seite ist auch noch ein Link zur Buchvorstellung bei Amazon.

Wie dieser Beitrag richtet sich auch das Buch ausschließlich an ganz normale Mitglieder. Redaktionsschluss für das Buch war der August 2017. Mit dem Beitrag hier setze ich nun genau an diesem Punkt auf und stelle vor, was es seitdem wichtiges Neues bei Facebook gegeben hat.

Und es soll nicht bei diesem einen Beitrag bleiben, in etwa 3 Monaten will ich den nächsten schreiben, und dann so weiter. Soweit zu den guten Vorsätzen.

Nach so viel Vorrede geht es nun aber auch gleich los.

Neuigkeiten

Marketplace

Diese App war schon lange für Deutschland angekündigt, denn in den USA ist sie bereits erfolgreich. Seit August gibt es sie nun auch in Europa, Marketplace mit dem kleinen Marktstandsymbol. Auf meinem Desktop ist die App am linken Rand sehr weit oben angesiedelt, auf dem iPhone sehr gewichtig unten in der Mitte.

weiterlesenNeues bei Facebook – für ganz normale Mitglieder

Ich kann den Beitrag nicht teilen!

Immer mal wieder lese ich in Facebook die Frage: Und warum kann ich diesen guten Beitrag jetzt nicht teilen?

Die Antwort ist aber recht schlicht und irgendwie auch naheliegend: weil er nicht öffentlich ist.

Beispiel: ich will, dass nur meine 20 besten Freunde auf Facebook sehen, wo ich gestern einen tollen Abend verbracht habe. Exakt so stelle ich die Zielgruppe ein, nur diese 20. Jetzt wäre es doch sehr ärgerlich, wenn einer dieser 20 Freunde meinen spitzenmäßigen Abendgestaltungs-Geheimtip beliebig in der Welt herumschickt. Genau das wollte ich ja nicht!

Nur wenn ich die Zielgruppe auf „öffentlich“ stelle, ist es mir recht, dass ihn jeder anschaut – und dann kann man den Beitrag eben auch teilen.

Etwas komplizierter wird es, wenn jemand einen ursprünglich öffentlichen Beitrag nur mit seinen Freunden teilt. Aber auch hier macht die Lösung Sinn: Da der Beitrag ja schon mal „frei herumlief“, kann er jetzt auch wieder öffentlich geteilt werden.

Fazit

Empfänger eines Beitrags in Facebook können die Zielgruppe nachträglich nicht größer machen, als vom Ursprungsautor zu Beginn eingestellt.

Facebook-Buch: frische Auflage für neue wie ältere Hasen

Ende November habe ich mein neues Facebook-Buch vorgelegt. Es ist die dritte Auflage und richtet sich einerseits an neue und fast neue Facebook-Mitglieder. Aber auch „ältere Hasen“ finden hier Beschreibungen der vielen neuen Funktionen und Regeländerungen aus den letzten Jahren.

Besonders wichtig: die mobile Nutzung am Smartphone wird ausführlich behandelt, die Android- wie auch die iOS-App! Die Unterschiede zwischen diesen Apps sowie zur Browser-Version sind erstaunlich groß.

In diesem Beitrag gebe ich einen Überblick zu den Inhalten.

Wer sollte diesen Beitrag lesen? Jeder, der gerade Mitglied geworden ist oder vor dieser Entscheidung steht. Außerdem jeder, der das Gefühl hat, aktuell ein wenig die Übersicht über die vielen neuen Möglichkeiten und Einstellugs-Optionen bei Facebook verloren zu haben.

Und schließlich auch jeder, der gerade ein Geschenk für einen solchen möglichen Kandidaten sucht.

Aber: Es ist kein Buch für Fanseiten-Betreiber und solche, die Rat zum Thema Facebook-Marketing suchen. Davon gibt es viele am Markt, das hier gehört nicht dazu.

Mein Facebook-Buch richtet sich an das ganz normale Mitglied.

Inhalt

Das Buch hat sechs Kapitel, die unterschiedlich lang ausgefallen sind.

weiterlesenFacebook-Buch: frische Auflage für neue wie ältere Hasen

Ist nun langsam Schluss mit Hassreden?

Um es gleich ganz klar zu sagen: nein, Hassreden gibt es weiterhin im bekannten Umfang.

Das Lieblingsmedium der Hassredner ist immer noch Twitter. Gute 70% all dieser unerfreulichen Beiträge finden sich im Zeichen des kleinen niedlichen Vogels. Beim großen Standard-Bösewicht Facebook sind es nur gute 10%, der Rest verteilt sich auf Foren und Blogs.

Bei keinem dieser Seitentypen konnte ich einen nennenswerten Rückgang innerhalb der letzten 6 Monate (Mai-Oktober 2017) feststellen. Einen irgendwie stetigen Anstieg allerdings auch nicht.

weiterlesenIst nun langsam Schluss mit Hassreden?

Digitale Reife

Abstract

Die mangelnde digitale Reife in Deutschland ist Ursache für seine international zweitklassige IT-Position. Aber digitale Reife hat nichts mit modernen Geräten und üppiger Bandbreite zu tun. Die Ursachen des Mangels stecken in unseren Köpfen.

Die folgenden drei Beispiel zeigen einmal mehr: die wichtigste Zukunfstinvestition in Deutschland muss der digitalen Reife gelten.

weiterlesenDigitale Reife

Facebook Stories – wie funktioniert das?

(c) Photocreo Bednarek - Fotolia.comSeit März 2017 gibt es in Deutschland die Facebook Stories. Obwohl sie schon sehr oft besprochen wurden, stelle ich sie hier nochmal vor und beschreibe Schritt für Schritt, wie man diese neue Funktion nutzt. Zusammen mit Stories hat Facebook nämlich auch seine Kamera weiter entwickelt und außerdem den Direct-Modus eingeführt. Alle drei Innovationen begegnen dem Mitglied nun in ein und derselben Situation, im gleichen Moment. Darum ist das alles am Anfang etwas verwirrend.

Meine Screenshots hier sind sowohl unter iOS wie auch unter Android erstellt worden.

Das Allerwichtigste zu erst

  • Facebook Stories gibt es nur in den mobilen Apps, nicht unter dem Desktop-Browser und nicht auf dem iPad.
  • Facebook Stories sind immer Bilder oder Videos, die man eingeschränkt mit etwas Text versehen kann und die mit vielen verschiedenen Filtern und Gimmicks verfremdet bzw. angereichert werden können.
  • Freunde können diese Beiträge 24 Stunden lang sehen, dann sind sie unwiederbringlich verschwunden.
  • Beiträge, die via Facebook Stories geteilt werden, erscheinen nicht im Aktivitätenprotokoll.
  • Es gibt (noch) keine speziellen Einstellungs-Optionen für Facebook Stories. Das heißt unter anderem, dass alle Stories immer mit allen Freunden geteilt werden. Will man eine kleinere Zielgruppe, dann wählt man als Versand-Option „Direct“, symbolisiert durch einen Papierflieger. Will man den Beitrag mehr Personen zeigen oder öffentlich teilen, dann wählt man „Posten“ und stellt die Zielgruppe dort entsprechend ein.

Und wozu dieses neue Format?

weiterlesenFacebook Stories – wie funktioniert das?

Software-Schwachstellen gehen zurück, yippie!?

Gute Nachricht?

Anfang des Jahres erreichte uns diese tolle Nachricht: Gegenüber 2015 ist die Anzahl der registrierten Software-Schwachstellen weltweit von 6.400 auf 5.600 zurückgegangen, über 10% minus! Die Quelle ist das Hasso-Plattner-Insititut in Potsdam.

Die Nachricht ist aus dem Januar 2017, jetzt, einen Monat später sind wohl doch noch ein paar Bugs nachgemeldet worden, jetzt sieht es doch wieder nach Anstieg aus. (gelb = geringer Schweregrad, rot = hoher Schweregrad). Schade, zu früh gefreut.

Software-Schwachstellen laut Hasso-Plattner-Institut am 18.2.17

Ein Armutszeugnis

Doch es ist eigentlich gar nicht so wichtig, ob die Werte nun noch ein wenig gestiegen oder womöglich wirklich ein kleines bisschen gesunken sind. Viel wichtiger ist mir ihre absolute Höhe. 6.500 Schwachstellen sind einfach zu viele. Diese Zahlen sind darum für mich ein Armutszeugnis für eine ganze Branche.

Es gab alleine knapp 2.500 schwere Software-Schwachstellen – so groß ist der rote Balken. Wenn das Autos wären, dann würden in all den betroffenen Modellen die Bremsen oder die Lenkung nicht funktionieren. Kühlschränke würden über Nacht abtauen. Atomkraftwerke würden unerlaubte Mengen Strahlung abgeben.

Seit 30 Jahren haben wir uns aber daran gewöhnt, dass das gute alte Prinzip der 0-Fehler-Auslieferung für Software einfach nicht gilt. Hier herrscht statt dessen das Multi-Fehler-Prinzip, ganz hemmungslos. Die spätere Fehlerbehebung ist ja bereits Teil des initialen Roll-Out-Plans, sie ist Teil der Marketing Strategie.

Zugegeben: es klappt auch bei den Autos, Kühlschränken und Atommeilern nicht immer. Wir kennen aufwendige Rückrufaktionen und wir kennen auch Tschernobyl. Aber in diesen Branchen wird es zumindest angestrebt. Im IT-Bereich ist grüne Banane das Geschäftsprinzip.

Ebenfalls zugegeben: Eine Ursache der Malaise ist der massive Preisdruck – und dafür sind am Ende ja wir selbst verantwortlich. Aber andererseits: bei Autos und Kühlschränken sind wir doch nicht wirklich großzügiger.

Dabei misst dieser Index (es ist der CVSS-Index) nur die Sicherheits-Schwachstellen, die Angreifbarkeit. Die reine Funktionalität (tut es, was es verspricht?) steht dabei noch gar nicht zur Debatte. Vermutlich könnte man alle Werte verdoppeln oder verdreifachen, wenn die Qualität in diesem Sinne ganzheitlich bewertet würde.

Die wirkliche Ursache

Aus meiner Sicht ist die wirkliche Ursache, dass Software keinen ernst zu nehmenden Zulassungsbedingungen unterliegt. Jeder, der sich für einen Entwickler hält, kann entwickeln und dann vermarkten. Angesichts der IT-Abhängigkeit von immer mehr Lebensbereichen ist diese Situation wirklich absurd fahrlässig. Doch welche (semi-)staatliche Stelle traut sich an eine solche Aufgabe heran?

Die schwierigen Deutschen gelten nicht gerade als Digitalisierungs-Fans. Sie sind eben Qualitäts-Fans, schon immer gewesen. Ein Grund für ihre Zurückhaltung ist darum sicher in dieser Multi-Fehler-Kultur zu suchen.