Kategorie-Archiv: Internet

Passwortsicherung

TL;DR: 150 000 000 Adobe-Passwörter wurden veröffentlicht. Auch meins. Also: Andi benutzt jetzt einen Passwort-Manager mit Randompasswörtern (1Password) und allen Schikanen; Außerdem Two-Factor-Authentifizierung überall wo geht.
Safe
Adobe-KreuzworträtselVor ein paar Monaten wurden 150 Millionen Adobe-Passwörtern veröffentlicht.1 Passwörter, von Leuten, die irgendwann in den letzten Jahren GEZ-Vertreter-mäßig mal dazu gezwungen wurden, sich für die Nutzung eines Adobe-Diensts einen Login zu generieren. Yay!
Die Passwörter gingen nicht im Klartext publik, sondern in gehashter, also verschlüsselter, Form. Aber sie waren weit entfernt von vernünftig verschlüsselt. Es fehlte zum Beispiel das Salt beim Verschlüsseln: Ein Zusatz, der dafür sorgt, dass die verschlüsselte Version zweier gleicher Passwörter unterschiedlich aussehen. Besonders toll, weil neben den Passwort-Hashes auch die Passwort-Erinnerungseinträge mit veröffentlicht wurden.Adobe-Passwörter von http://stricture-group.com/files/adobe-top100.txt. In den Freitextfeldern konnte jeder User beliebige Hinweise zum Passwort eintragen. Beliebige…2 Ihr könnt zum Beispiel ein lustiges Adobe-Passwörter-Kreuzworträtsel spielen und euch überzeugen.

Mittlerweile könnt ihr euch auf Rückwärtssuchseiten (hier oder hier) davon überzeugen, dass auch ihr von den veröffentlichten Passwörtern betroffen seid. Und ihr könnt herausfinden, wie klug derjenige im Freitext-Feld war, der das gleiche Passwort wie ihr hatte.

Puh!
Tatsächlich ist auch mein Passwort irgendwo da draußen. Und es ist eigentlich nur eine Frage der Zeit, bis es jemand entschlüsselt hat. Bei Adobe hatte ich nicht mein sicherstes Passwort benutzt — aber ein Passwort, was ich bei anderen Diensten gleichen Kalibers auch verwendet hatte. Das »Schnell mal anmelden damit du, blöder Dienst, mich aufhörst zu nerven und ich dich endlich benutzen kann«-Passwort.

Zeit, den Passwortscheiß mal sicherer zu machen. Projekt Passwortsicherung.

Passwort-Manager

Lange Zeit hatte ich mich dagegen gewehrt, die Kontrolle über Passwörter abzugeben. Ich wollte im Kopf wissen, wie das Passwort für jenen Dienst ist. Weil mein Gehirn leider noch auf Firmware-Version 1.0 läuft und nur über begrenzte Speicherkapizitäten verfügt, führt das unweigerlich dazu, dass Passwörter dienstübergreifend ähnlich sind. Nicht identisch (ich hatte mir da was ausgedacht) aber ähnlich.
1PasswordAber wenn jemand ein Passwort dieser Art vorfindet, wird er relativ schnell auf die dienstabhängige Anpassung kommen und so auch auf die jeweiligen anderen Passwörter. Blöd.
Wiederstand ist also wieder mal zweckles und es bleibt nur übrig, einen Passwort-Manager zu benutzen, der zufällige Passwörter voller Sonderzeichen generiert und abspeichert.
Ich benutze nun also 1Password, das Nonplusultra-Passwort-Verwaltungs-Tool für OS X. Leider etwas teuer, aber toll zu benutzen. (Alternativ war LastPass in der näheren Auswahl. Das gibt’s auch für Windows und Linux. Auch eine Alternative: KeePass. Frei und Open Source und für alle Plattformen erhältlich.)
1Password Menu App1Password hat eine Mini-App, die in der OS-X-Menüleiste läuft, hat Plugins für alle wichtigen Browser (Chrome, Firefox, Safari) und eine iOS-App3 zum mobilen Passwortzugang. Die 1Password-Passwort-Datenbank liegt in meiner Dropbox zum automatischen Backup — und, weil die Datenbank eine Webseite integriert hat, mit der man seine Passwörter auch ohne 1Password-Programm entschlüsseln kann. Gut für den Linux-PC auf der Arbeit.
1Password via Dropbox auf einem Linux-PCAusgeschlossen habe ich Dropbox, weil dort die Datenbank liegt, Google, weil GMail meine Haupt- und auch Passwort-Vergessen-E-Mail-Adresse ist, und Apple, weil ich auf dem Handy zum Authentifizieren nicht immer in die 1Password-App wechseln möchte. Letzteres mag sich in Zukunft aber durchaus noch ändern.

Für 1Password habe ich mir ein tolles neues Passwort ausgedacht. Das ist so lustig und clever, da bin ich ein bisschen stolz drauf und werde es deswegen hoffentlich so schnell nicht vergessen4. Außerdem habe ich das Passwort auf Papier notiert und auf der Rückseite meiner Tastatur versteckt.
Wenn ihr für euer super cleveres Passwort Inspiration braucht, es gibt einen auf xkcd-Comic-936-basierenden Passwort-Generator.

Zwei, drei, vier Faktoren

Der heiße Scheiß am Passwort-Himmel sind mehrschichtige Passwörter. Genauer: Two Factor Authentification. Neben eines Passworts braucht man noch einen weiteren, temporär gültigen Code zum einloggen.
Facebooks Passcode-EingabeDie klassische, etwas manuellere Variante ist das Zusenden eines Codes auf sein Handy. Wie beim Online-Banking kriegt man eine SMS mit einem numerischen Code auf’s Mobiltelefon, wenn man sich einloggen oder sensible Operationen ausführen will. Der Vorteil: Das Vorhandensein des Handys generiert eine zweite Stufe der Sicherheit. Nachteil: Für die Dienstbetreiber entstehen zusätzliche Kosten. Außerdem sind SMS ja 1998.
Google Authenticator (iOS)Ein alternativer Standard, der sich gerade durchsetzt, ist TOTP – Time-based One-Time Passwords. Zur Aktivierung der TOTP-Two-Factor-Authentifizierung tauscht man zwischen dem zu schützenden Dienst und einer TOTP-App Initiierungsgeheimnisse aus — in Form des Scannens eines QR-Code5 oder des händischen Eintragens der Zeichenkette. Dann generiert die TOTP-App kontinuierlich, in 30-Sekunden-Abständen, neue 6 Ziffern, die ihr beim Einloggen in den TOTP-aktivierten Dienst eintragt. Nur dann dürft ihr euch einloggen — für diese, aktuellen 30 Sekunden. In einer halben Minute gibt’s einen neuen Schlüssel.
Der Google Authenticator ist eine kleine TOTP-App für iOS und Android, die sich wunderbar für den Zwei-Faktor-Krams eignet.

Die Frage, die man sich unweigerlich als nächstes stellt: Wie komme ich in meine Two-Factor-aktivierten Dienste rein, wenn ich mein Handy an der Skaterbahn hab liegen lassen? Dafür gibt’s, je nach Dienst, mindestens eine Liste von Backup-Codes, manchmal aber auch Alternativ-Telefonnummer, auf denen man im GAU-Fall angerufen wird.

Ich habe Two-Factor-Authentifizierung (und befreundete Sicherheitsmaßnahmen) bei folgenden Diensten aktiviert:

  • Google
    Inklusive ausgedruckter Backup-Codes, verschiedener SMS- und Sicherheits-Telefonnummern und Single-Use-Passwörter für einzelne, die Google-Dienste-verwendende Programme (Mail.app, Picasa…).
  • Dropbox
    Inklusive Sicherheits-Telefonnummer. Der Wiederherstellungscode ist auch ausgedruckt.
  • Facebook
    Inklusive SMS-Telefonnummer, Umstellung auf Google Authenticator anstelle des Facebook-eigenen Code-Generators der mobilen Facebook App, Backup Codes und fünf zuverlässige Kontakte.
  • Github
    Inklusive Backup Codes.
  • WordPress Blogs
    Ein Plugin für die lokale WordPress-Installation, um den Login mit zusätzlichem Code abzusichern.

Habt ihr noch mehr Two-Factor-Dienste, die ich hier in der Liste nicht aufgezählt habe? Apple unterstützt bisher leider nur das Versenden von Codes per SMS und deswegen auch nur in den USA. Europa soll aber Anfang 2014 kommen. Habichwogehört. Bei Twitter kann man auch nur sein Two-Factor-Handynummer eingeben, wenn man aus einer Reihe von Ländern kommt, zu der Deutschland nicht gehört.

Ein bisschen nervt das doppelte Passworteingeben schon, ja. Aber dafür erhöht es die Sicherheit ordentlich. Und da ist das für mich ein gern in Kauf genommener Zwischenschritt.

Zwischendurch fand ich den Yubikey ziemlich interessant. Das ist ein kleines Gadget, was man immer bei sich trägt und in den USB-Port des Computers steckt. Das kümmert sich dann um den (T)OTP-Kram.
Zusätzlich könnte man auch ein langes statisches Passwort reinhacken und das, ergänzt mit einer einfachen Passphrase (»Käse«) aus dem Kopf, zum Entsperren des 1Password-Tresor nehmen. Something you know and something you have.
Aber so ganz überzeugt hat mich das alles erstmal nicht.

Handy

Ich bin kein großer Freund der Handy-Passcodes zum Entsperren der Mobiltelefone. Sie nerven, wenn man sie dauernd eingeben muss, außerdem zweifele ich am Kosten-Nutzen-Verhältnis: Wann verliert man schon mal sein Telefon oder bekommt es geklaut? Wir sind hier schließlich nicht in der Bronx.
Da wegen Two-Factor-Authentification und der Gehirnauslagerung zu 1Password allerdings mein Handy zu einem wesentlichen Punkt in meiner Sicherheitskette geworden ist6, habe ich mich hinreißen lassen, meinem Telefon einen Passcode zu geben.7 Außerdem fand ich raus, dass man das Passcode-Abfrage-Intervall auf vier Stunden setzen kann. Das ist gut.

Bottomline

Passwortmäßig bin ich jetzt so sicher wie eine Kugel vor’m Umkippen.
Zumindest, bis jemand den NSA-Exploit im Zufallsgenerator von 1Password postet und alle meine Passwörter reproduzierbar macht. Oder der Google Authenticator beginnt, hexadezimale Zahlen auszuspucken.
Auch gut, dass ich mir keine Sorgen vor schlecht-programmierten Diensten mit zwielichtigen Passwortsicherheitsmaßnahmen und -datenbanken mehr machen brauche. Das lässt mich nachts direkt viel tiefer schlafen.

Fühlt sich gut an.

Was macht ihr anders? Was macht ihr besser? Seht ihr Gefahren? SPRECHET ZU MIR.

  1. Von den gefährlichen Meta-Auswirkungen der Adobe Leaks für die Arbeitsweise von Passwortcracker möchte ich nicht sprechen. Ich, als hypothetischer Passwortcracker, würde jetzt jedenfalls alles daran geben, mir das größte Dictionary-File aller Zeiten zu entschlüsseln… []
  2. »Numbers from 1 to 6.« []
  3. Die man sich natürlich noch mal extra kaufen muss. []
  4. Das ist, glaube ich, ein guter Trick: Ein Passwort, mit dem man etwas verbindet. []
  5. Vielleicht der einzige sinnvolle Einsatzzweck von QR-Codes? []
  6. Außerdem funktionieren manche Apple-Dienste nur mit eingeschaltetem Handy-Passcode. []
  7. Lustige Geschichte: Beim Setzen des von langer Hand überlegten Passcodes unterhielt ich mich. Natürlich war der Passcode danach nicht der, den ich eigentlich haben wollte. Irgendwann fand ich ihn dann heraus. Apple resetet den »Ihr Telefon ist für X Minuten gesperrt«-Counter übrigens, wenn man das Handy an den Rechner anschließt. []

The Battle for Power on the Internet

What happened? How, in those early Internet years, did we get the future so wrong?
The truth is that technology magnifies power in general, but rates of adoption are different. The unorganized, the distributed, the marginal, the dissidents, the powerless, the criminal: They can make use of new technologies very quickly. And when those groups discovered the Internet, suddenly they had power. But later, when the already-powerful big institutions finally figured out how to harness the Internet, they had more power to magnify.

Sicherheitsmeister Bruce Schneier für The Atlantic über den aufkommenden Kampf über das Internet. Mit einem Vergleich zum Mittelalter, in dem die Bürger dem Lehnsherren dienten und im Gegenzug Schutz bekamen. So, wie wir heute unsere Daten Google und Facebook geben, um dafür deren Dienste benutzen zu dürfen. Unsere Daten sind die Währung mit der die Cloud-Lehnsherren bezahlt werden.
Jeder neue Technologie, so Schneier, wird als erstes von einer kleinen, agilen Subgruppe adaptiert. Als eine Art Filter findet diese heraus, ob der Kram was taugt. Wenn die neue Technologie auch nach langer Zeit noch relevant ist, bewegen sich die etablierten Konzerne und Staatsapparate auf die Technologie zu und beginnen mit großer Kraft, ihren Nutzen zu ziehen. Agilität vs. präetablierte Macht.
Wir seien jetzt an einem Punkt, an dem wir die Zukunft des bisherigen Internets formen. Ein entscheidender und wichtiger Punkt, wenn wir (das Internetvolk) unsere Autonomie und Souveränität behalten wollen.

Ihr merkt: Furchtbar interessanter Essay über die Philosophie unserer1 Zukunft.

→ Bruce Schneier: »The Battle for Power on the Internet«

  1. Wir sind das Internet. []