Quantified Self: Ein Update

Quantified Me!Im August und im Oktober stellte ich euch mein neues digitales Hobby vor: Self Tracking, Quantified Self, Blablabuzzwordselfblabla. Für zwei Blogposts sammelte ich Informationen aus meinem Alltag, summierte sie oder stellte sie in Graphen dar.

Seitdem war es still hier im Blog zum Thema BuzzQuantified Self.

Aber nur hier! Denn meine QS-Interessen1 sind keines Falls abgekühlt. Nur, wie so häufig, fehlte mir vor lauter Enthusiasmus die Zeitpriorisierungsfähigkeit, einen Blogbeitrag daraus zu machen. Aber nun!

Was also in letzter Zeit so geschah:

Vortrag beim Quantified-Self-Meetup in Köln


PDF
In Köln gibt’s ein Treffen von QS-Interessierten. Ich wurde gefragt, ob ich vortragen mag, was so meine Erfahrungen zum Thema sind. Habe ich gemacht, am 30. Januar.2

Fitbit-Schritte im Verlauf einer WocheIch erzählte ein bisschen von meiner QS-Motivation, von den beiden Blogposts und von dem, was ich seitdem gemacht habe (s.u.). Am Ende gab’s dann auch noch ein paar beschriftete Graphen: Fitbit-Schritte (in verschiedenen Darstellungsarten), Chrome-Prozesse, Tastaturanschläge, Stromverbrauch.

Ein großer Spaß! Anwesend waren auch Reporter der dpa und des ZDFs3, denen ich beide Antwort stand. Vermutlich habe ich großen Quatsch erzählt — ich werde euch jedenfalls nicht darüber informieren, wenn Artikel und TV-Beitrag veröffentlicht sind…

Stromverbrauch im Verlauf des Monats. Wer erkennt Wochenenden?(Es gab einige andere interessante (Werbe-)Vorträge. Und Trinken. Für umsonst — alles! Ihr solltet auch mal hin! →meetup.com/QS-Koeln/)

quantified.andreasherten.de

quantified.andreasherten.de Screenshot. Quelle: Internet.Wie im letzten Blogpost schon angeklungen, arbeite ich daran, verschiedene Quants4 automatisch, on the fly, zu speichern. Chrome-Prozesse werden im Fünf-Minuten-Takt in eine Datenbank geschrieben, Tastenanschläge und Mausklicks werden zweistündlich aus der Programm-Datenbank in meine eigene Datenbank exportiert, Fitbit-Daten werden aus der Fitbit-API in meine eigene Datenbank befreit. Das waren meine Schritte, dann sollten es doch auch meine Daten sein, was? Aber ich möchte auch alle Daten an einer Stelle in simpler Form gebündelt haben. Und manche Daten (Chrome-Prozesse) müssen sowieso live aufgezeichnet werden.
Ihr seht: Eine eigene Datenbank bietet sich förmlich an.

Und wenn sowas existiert, warum dann nicht auf einer Webseite darstellen?
Genau.
Und deswegen gibt’s quantified.andreasherten.de.
Die Webseite zeigt in seiner momentanen Fassung Schritte, Stockwerke, Tastaturanschläge, Mausklicks und gehörte Songs an.5 Außerdem gibt’s einen hübschen Graphen der Schritte und Stockwerke der letzten zehn Tage.

Nachts werden ein paar der Infos von einem Twitter-Bot gepostet — @QuandiH, weil ich ja großer Freund minderqualitativer Wortspiele bin. Bisher ist der Inhalt eher mau, aber das kommt schon (es fand nur im Vortrag Erwähnung, deswegen auch hier).

Code, Code, Code

Während ich so an Wochenenden einen Quant nach dem anderen (weiter)programmiere, lerne ich so einige Programmiersprachen. Insbesondere Python. In das ich mich ein bisschen verliebt habe. So intuitiv, reduziert, elegant — und es gibt schon so furchtbar viel dafür in Paketen. <3.

Allen Code, den ich so für meine QS-Erstellung produziert habe, gibt’s natürlich im entsprechenden Github-Repository: → github.com/AndiH/QuantifiedSelf. Dinge programmieren macht nämlich doppelt so viel Spaß, wenn man sein Resultat danach mit anderen teilt.
Jedes Quant (im entsprechenden Ordner) im Repository ist so angelegt, dass auch ihr mit eurer persönlichen Datennahme beginnen könnt. Jede README erklärt, was ihr benötigt und wie ihr vorzugehen habt. Ihr könntet zum Beispiel doch auch mal den Vorlauf eurer offenen Chrome-Tabs aufzeichnen — na?
Außerdem gibt’s Todo-Listen, falls ihr mir bei meinen zu vielen Ideen helfen wollt.

Zukunft

Ich habe noch einige Quants in petto. Manches läuft schon im Hintergrund und wartet nur auf die Auswertung, manches hat kleine Proof-of-Concept-Test-Dateien, manches habe ich nur als Idee skizziert. Aber davon habe ich genug.
Mal sehen, wo es als nächstes mit weitergeht. Wünsche?

  1. »QS«, wie wir Insider sagen — ich bin ja jetzt einer. []
  2. Dann, als in Köln eine Bombe entschärft wurde. Das weiß ich deswegen, weil mich die Google-Maps-Navigation mitten in den Bombenentschärfungsstau geleitet hat, mein Zeitpolster zum Staustehen und -umfahren drauf ging und ich keine Zeit mehr zum Abendessen hatte. Sadface. []
  3. Die sich, wiederholt, für meine Motivation hinter allem interessierten. Und Datenschutz! []
  4. So habe ich die analysierten Dinge genannt. Clever, was? []
  5. Schritte und Stockwerke sind sogar farbkodiert nach meiner erreichten Leistung! []

Passwortsicherung

TL;DR: 150 000 000 Adobe-Passwörter wurden veröffentlicht. Auch meins. Also: Andi benutzt jetzt einen Passwort-Manager mit Randompasswörtern (1Password) und allen Schikanen; Außerdem Two-Factor-Authentifizierung überall wo geht.
Safe
Adobe-KreuzworträtselVor ein paar Monaten wurden 150 Millionen Adobe-Passwörtern veröffentlicht.1 Passwörter, von Leuten, die irgendwann in den letzten Jahren GEZ-Vertreter-mäßig mal dazu gezwungen wurden, sich für die Nutzung eines Adobe-Diensts einen Login zu generieren. Yay!
Die Passwörter gingen nicht im Klartext publik, sondern in gehashter, also verschlüsselter, Form. Aber sie waren weit entfernt von vernünftig verschlüsselt. Es fehlte zum Beispiel das Salt beim Verschlüsseln: Ein Zusatz, der dafür sorgt, dass die verschlüsselte Version zweier gleicher Passwörter unterschiedlich aussehen. Besonders toll, weil neben den Passwort-Hashes auch die Passwort-Erinnerungseinträge mit veröffentlicht wurden.Adobe-Passwörter von http://stricture-group.com/files/adobe-top100.txt. In den Freitextfeldern konnte jeder User beliebige Hinweise zum Passwort eintragen. Beliebige…2 Ihr könnt zum Beispiel ein lustiges Adobe-Passwörter-Kreuzworträtsel spielen und euch überzeugen.

Mittlerweile könnt ihr euch auf Rückwärtssuchseiten (hier oder hier) davon überzeugen, dass auch ihr von den veröffentlichten Passwörtern betroffen seid. Und ihr könnt herausfinden, wie klug derjenige im Freitext-Feld war, der das gleiche Passwort wie ihr hatte.

Puh!
Tatsächlich ist auch mein Passwort irgendwo da draußen. Und es ist eigentlich nur eine Frage der Zeit, bis es jemand entschlüsselt hat. Bei Adobe hatte ich nicht mein sicherstes Passwort benutzt — aber ein Passwort, was ich bei anderen Diensten gleichen Kalibers auch verwendet hatte. Das »Schnell mal anmelden damit du, blöder Dienst, mich aufhörst zu nerven und ich dich endlich benutzen kann«-Passwort.

Zeit, den Passwortscheiß mal sicherer zu machen. Projekt Passwortsicherung.

Passwort-Manager

Lange Zeit hatte ich mich dagegen gewehrt, die Kontrolle über Passwörter abzugeben. Ich wollte im Kopf wissen, wie das Passwort für jenen Dienst ist. Weil mein Gehirn leider noch auf Firmware-Version 1.0 läuft und nur über begrenzte Speicherkapizitäten verfügt, führt das unweigerlich dazu, dass Passwörter dienstübergreifend ähnlich sind. Nicht identisch (ich hatte mir da was ausgedacht) aber ähnlich.
1PasswordAber wenn jemand ein Passwort dieser Art vorfindet, wird er relativ schnell auf die dienstabhängige Anpassung kommen und so auch auf die jeweiligen anderen Passwörter. Blöd.
Wiederstand ist also wieder mal zweckles und es bleibt nur übrig, einen Passwort-Manager zu benutzen, der zufällige Passwörter voller Sonderzeichen generiert und abspeichert.
Ich benutze nun also 1Password, das Nonplusultra-Passwort-Verwaltungs-Tool für OS X. Leider etwas teuer, aber toll zu benutzen. (Alternativ war LastPass in der näheren Auswahl. Das gibt’s auch für Windows und Linux. Auch eine Alternative: KeePass. Frei und Open Source und für alle Plattformen erhältlich.)
1Password Menu App1Password hat eine Mini-App, die in der OS-X-Menüleiste läuft, hat Plugins für alle wichtigen Browser (Chrome, Firefox, Safari) und eine iOS-App3 zum mobilen Passwortzugang. Die 1Password-Passwort-Datenbank liegt in meiner Dropbox zum automatischen Backup — und, weil die Datenbank eine Webseite integriert hat, mit der man seine Passwörter auch ohne 1Password-Programm entschlüsseln kann. Gut für den Linux-PC auf der Arbeit.
1Password via Dropbox auf einem Linux-PCAusgeschlossen habe ich Dropbox, weil dort die Datenbank liegt, Google, weil GMail meine Haupt- und auch Passwort-Vergessen-E-Mail-Adresse ist, und Apple, weil ich auf dem Handy zum Authentifizieren nicht immer in die 1Password-App wechseln möchte. Letzteres mag sich in Zukunft aber durchaus noch ändern.

Für 1Password habe ich mir ein tolles neues Passwort ausgedacht. Das ist so lustig und clever, da bin ich ein bisschen stolz drauf und werde es deswegen hoffentlich so schnell nicht vergessen4. Außerdem habe ich das Passwort auf Papier notiert und auf der Rückseite meiner Tastatur versteckt.
Wenn ihr für euer super cleveres Passwort Inspiration braucht, es gibt einen auf xkcd-Comic-936-basierenden Passwort-Generator.

Zwei, drei, vier Faktoren

Der heiße Scheiß am Passwort-Himmel sind mehrschichtige Passwörter. Genauer: Two Factor Authentification. Neben eines Passworts braucht man noch einen weiteren, temporär gültigen Code zum einloggen.
Facebooks Passcode-EingabeDie klassische, etwas manuellere Variante ist das Zusenden eines Codes auf sein Handy. Wie beim Online-Banking kriegt man eine SMS mit einem numerischen Code auf’s Mobiltelefon, wenn man sich einloggen oder sensible Operationen ausführen will. Der Vorteil: Das Vorhandensein des Handys generiert eine zweite Stufe der Sicherheit. Nachteil: Für die Dienstbetreiber entstehen zusätzliche Kosten. Außerdem sind SMS ja 1998.
Google Authenticator (iOS)Ein alternativer Standard, der sich gerade durchsetzt, ist TOTP – Time-based One-Time Passwords. Zur Aktivierung der TOTP-Two-Factor-Authentifizierung tauscht man zwischen dem zu schützenden Dienst und einer TOTP-App Initiierungsgeheimnisse aus — in Form des Scannens eines QR-Code5 oder des händischen Eintragens der Zeichenkette. Dann generiert die TOTP-App kontinuierlich, in 30-Sekunden-Abständen, neue 6 Ziffern, die ihr beim Einloggen in den TOTP-aktivierten Dienst eintragt. Nur dann dürft ihr euch einloggen — für diese, aktuellen 30 Sekunden. In einer halben Minute gibt’s einen neuen Schlüssel.
Der Google Authenticator ist eine kleine TOTP-App für iOS und Android, die sich wunderbar für den Zwei-Faktor-Krams eignet.

Die Frage, die man sich unweigerlich als nächstes stellt: Wie komme ich in meine Two-Factor-aktivierten Dienste rein, wenn ich mein Handy an der Skaterbahn hab liegen lassen? Dafür gibt’s, je nach Dienst, mindestens eine Liste von Backup-Codes, manchmal aber auch Alternativ-Telefonnummer, auf denen man im GAU-Fall angerufen wird.

Ich habe Two-Factor-Authentifizierung (und befreundete Sicherheitsmaßnahmen) bei folgenden Diensten aktiviert:

  • Google
    Inklusive ausgedruckter Backup-Codes, verschiedener SMS- und Sicherheits-Telefonnummern und Single-Use-Passwörter für einzelne, die Google-Dienste-verwendende Programme (Mail.app, Picasa…).
  • Dropbox
    Inklusive Sicherheits-Telefonnummer. Der Wiederherstellungscode ist auch ausgedruckt.
  • Facebook
    Inklusive SMS-Telefonnummer, Umstellung auf Google Authenticator anstelle des Facebook-eigenen Code-Generators der mobilen Facebook App, Backup Codes und fünf zuverlässige Kontakte.
  • Github
    Inklusive Backup Codes.
  • WordPress Blogs
    Ein Plugin für die lokale WordPress-Installation, um den Login mit zusätzlichem Code abzusichern.

Habt ihr noch mehr Two-Factor-Dienste, die ich hier in der Liste nicht aufgezählt habe? Apple unterstützt bisher leider nur das Versenden von Codes per SMS und deswegen auch nur in den USA. Europa soll aber Anfang 2014 kommen. Habichwogehört. Bei Twitter kann man auch nur sein Two-Factor-Handynummer eingeben, wenn man aus einer Reihe von Ländern kommt, zu der Deutschland nicht gehört.

Ein bisschen nervt das doppelte Passworteingeben schon, ja. Aber dafür erhöht es die Sicherheit ordentlich. Und da ist das für mich ein gern in Kauf genommener Zwischenschritt.

Zwischendurch fand ich den Yubikey ziemlich interessant. Das ist ein kleines Gadget, was man immer bei sich trägt und in den USB-Port des Computers steckt. Das kümmert sich dann um den (T)OTP-Kram.
Zusätzlich könnte man auch ein langes statisches Passwort reinhacken und das, ergänzt mit einer einfachen Passphrase (»Käse«) aus dem Kopf, zum Entsperren des 1Password-Tresor nehmen. Something you know and something you have.
Aber so ganz überzeugt hat mich das alles erstmal nicht.

Handy

Ich bin kein großer Freund der Handy-Passcodes zum Entsperren der Mobiltelefone. Sie nerven, wenn man sie dauernd eingeben muss, außerdem zweifele ich am Kosten-Nutzen-Verhältnis: Wann verliert man schon mal sein Telefon oder bekommt es geklaut? Wir sind hier schließlich nicht in der Bronx.
Da wegen Two-Factor-Authentification und der Gehirnauslagerung zu 1Password allerdings mein Handy zu einem wesentlichen Punkt in meiner Sicherheitskette geworden ist6, habe ich mich hinreißen lassen, meinem Telefon einen Passcode zu geben.7 Außerdem fand ich raus, dass man das Passcode-Abfrage-Intervall auf vier Stunden setzen kann. Das ist gut.

Bottomline

Passwortmäßig bin ich jetzt so sicher wie eine Kugel vor’m Umkippen.
Zumindest, bis jemand den NSA-Exploit im Zufallsgenerator von 1Password postet und alle meine Passwörter reproduzierbar macht. Oder der Google Authenticator beginnt, hexadezimale Zahlen auszuspucken.
Auch gut, dass ich mir keine Sorgen vor schlecht-programmierten Diensten mit zwielichtigen Passwortsicherheitsmaßnahmen und -datenbanken mehr machen brauche. Das lässt mich nachts direkt viel tiefer schlafen.

Fühlt sich gut an.

Was macht ihr anders? Was macht ihr besser? Seht ihr Gefahren? SPRECHET ZU MIR.

  1. Von den gefährlichen Meta-Auswirkungen der Adobe Leaks für die Arbeitsweise von Passwortcracker möchte ich nicht sprechen. Ich, als hypothetischer Passwortcracker, würde jetzt jedenfalls alles daran geben, mir das größte Dictionary-File aller Zeiten zu entschlüsseln… []
  2. »Numbers from 1 to 6.« []
  3. Die man sich natürlich noch mal extra kaufen muss. []
  4. Das ist, glaube ich, ein guter Trick: Ein Passwort, mit dem man etwas verbindet. []
  5. Vielleicht der einzige sinnvolle Einsatzzweck von QR-Codes? []
  6. Außerdem funktionieren manche Apple-Dienste nur mit eingeschaltetem Handy-Passcode. []
  7. Lustige Geschichte: Beim Setzen des von langer Hand überlegten Passcodes unterhielt ich mich. Natürlich war der Passcode danach nicht der, den ich eigentlich haben wollte. Irgendwann fand ich ihn dann heraus. Apple resetet den »Ihr Telefon ist für X Minuten gesperrt«-Counter übrigens, wenn man das Handy an den Rechner anschließt. []

Wer Red John nicht war (fast spoilerfrei)

Am Sonntag lief in den USA Folge 6×08 von The Mentalist. Episodentitel: Red John. (Link in der Fußnote1.)

Wer Red John nicht war:

  • Patrick Janes schizophrene Persönlichkeit, mit der er sein Ermorden von Frau und Kind rechtfertigte.
  • Ein guter Maler.
  • Ein Bewohner Asgards, seit Jahren schon auf der Erde, dem langweilig geworden ist.
  • Das Fegefeuer, bei dem sich Patrick Jane für seine Taten zu Lebzeiten rechtfertigen musste. Jane starb mit Frau und Kind bei einem Hauseinbruch.
  • Jemand, der nicht von Anfang dabei war.
  • Teresa Lisbon, eigentlich eine psychopathische Transvestite.
  • John Connor, aus der Zukunft gekommen, um den zukünftigen Erfinder von Skynet, Patrick Jane, umzubringen. Leider lief der Zeitsprung schief, John wird wahnsinnig und findet zu viel gefallen am Spiel mit Patrick.
  • Voldemort.
  • Jemand, der sein Finale genauso akribisch und genial plante wie alle anderen Verbrechen.
  • Der nette Steuerberater Jimmy, der tollpatschig von einem zum nächsten Mord stolperte.
  • Das personalisierte Böse der Menschheit. Nur wenn jemand regelmäßig den Druck aus der Insel ablässt, bleibt die Menschheit verschont. Patrick Jane ist übrigens tot. Alle sind tot.
  • Agent Cho, der alle jahrelang durch seinen allzeit gut gelaunten, sympathischen Hundeblick täuschte. Bastard.
  • Der Regisseur der »The Trumen-talist Show«, der Quote für seine Realityshow brauchte.
  • Edgar, die Schabe aus dem Weltall.
  • Kein Goldesel.

Zu guter letzt: Red John war auf jeden Fall nicht:

  • Rot.
  1. Die Wikipedia verrät, völlig korrekt, in der Synopsis der Episode, wer Red John ist. Also: Obacht! []