Kategorie-Archiv: Internet

Gelesen im Internet KW 24

Diese Woche auch mit Videos. Leseseitig knabbere ich immer noch am Wait-But-Why-Artikel.
So long!

Tech

Programming

Science

Culture/TV/Cinema:

Gelesen im Internet KW 23

Zumindest eine Person interessiert sich für meine Artikelsammlung. Das reicht erstmal um ein bisschen weiter zu machen…
Spielregeln der Sammlung: Der Artikel muss mindestens fünf Minuten Lesedauer haben undoder besonders interessant sein. Englisch und deutsch gemischt mit Kommentar in jeweiliger Originalsprache.

Tech

Programming

  • Float or double?
    One of the things one (as in: I) learns when computing at the edge of performance (as in: high performance computing) – float or double, it does make a difference. In my case it’s usually not the storage aspect, but the computation. The current state-of-the-art NVIDIA GPU (P100) computes single-precision values twice as fast as double-precision values (10 TFLOP/s vs. 5 TFLOP/s). That’s at least worth a second thought about your data model, usually.
  • How is GNU `yes` so fast?
    Digging in to some GNU core utilities program
  • Detecting Fake Videos with Python
    Using fuzzy hash functions on video images in Python to disprove someone on the internet. (TIL imageio)

Politik

  • Telefónica: the well-connected EU and Spanish lobbyist
    How Europe’s big telco holds progress in EU roaming, and how the largest Spanish provider (owning O2) is pivotal to it all. Lobbyism…
  • How The Intercept Outed Reality Winner & Did the Intercept Betray Its NSA Source?
    First link: Interesting to see the ominous yellow dots in action and be reminded that they are there. If the dots are really the reason why the FBI found out who leaked the documents, it is at the very least embarrassing for The Intercept. Buuut…
    Second link: Maybe not the yellow dots were to blame, but other missteps during the leak? Additionally, the FBI claims that only six people printed the documents. Even though, The Intercept might have given them definitive proof. Also interesting: The parallel construction method. See The Newsroom (regarding dealing with single sources of classified information) and The Good Wife (for parallel construction).
  • Der größte Steuerraub in der deutschen Geschichte
    Krasse Geschichte. Aber a) ist mir der akute Hype zu hoch (wegen fehlender Aktualität) und b) ist die Geschichte ein wenig verworren erzählt.
  • Deutschland braucht einen Digitalminister
    2000 hat angerufen und möchte seine Zukunft zurück.

Entertainment/Cinema/Culture

  • The Lessons Warner Bros. (and Hollywood) Should Learn From ‘Wonder Woman’
    I have actually not seen Wonder Woman yet (the DE and NL premiere dates are both two weeks behind pretty much the rest of the world). But critics agree, this is finally the big budget DC movie which doesn’t suck. Slashfilm lists a few reasons.
  • Apple’s New Campus: An Exclusive Look Inside the Mothership
    Long piece about Apple’s new campus which unfortunately spends a lot of time praising all the great details and incredible sophistication without going into extensive, illustrated details. In any case, it is a great account of what one of the richest companies can produce outside of their niche. And that this building indeed is basically Steve Job’s legacy – »Apple Park is the architectural avatar of the man who envisioned it«.
  • Gun Emoji Pairings
    Analysis on how the gun emoji is placed in relation to other emojis in tweets

Passwortsicherung

TL;DR: 150 000 000 Adobe-Passwörter wurden veröffentlicht. Auch meins. Also: Andi benutzt jetzt einen Passwort-Manager mit Randompasswörtern (1Password) und allen Schikanen; Außerdem Two-Factor-Authentifizierung überall wo geht.
Safe
Adobe-KreuzworträtselVor ein paar Monaten wurden 150 Millionen Adobe-Passwörtern veröffentlicht.1 Passwörter, von Leuten, die irgendwann in den letzten Jahren GEZ-Vertreter-mäßig mal dazu gezwungen wurden, sich für die Nutzung eines Adobe-Diensts einen Login zu generieren. Yay!
Die Passwörter gingen nicht im Klartext publik, sondern in gehashter, also verschlüsselter, Form. Aber sie waren weit entfernt von vernünftig verschlüsselt. Es fehlte zum Beispiel das Salt beim Verschlüsseln: Ein Zusatz, der dafür sorgt, dass die verschlüsselte Version zweier gleicher Passwörter unterschiedlich aussehen. Besonders toll, weil neben den Passwort-Hashes auch die Passwort-Erinnerungseinträge mit veröffentlicht wurden.Adobe-Passwörter von http://stricture-group.com/files/adobe-top100.txt. In den Freitextfeldern konnte jeder User beliebige Hinweise zum Passwort eintragen. Beliebige…2 Ihr könnt zum Beispiel ein lustiges Adobe-Passwörter-Kreuzworträtsel spielen und euch überzeugen.

Mittlerweile könnt ihr euch auf Rückwärtssuchseiten (hier oder hier) davon überzeugen, dass auch ihr von den veröffentlichten Passwörtern betroffen seid. Und ihr könnt herausfinden, wie klug derjenige im Freitext-Feld war, der das gleiche Passwort wie ihr hatte.

Puh!
Tatsächlich ist auch mein Passwort irgendwo da draußen. Und es ist eigentlich nur eine Frage der Zeit, bis es jemand entschlüsselt hat. Bei Adobe hatte ich nicht mein sicherstes Passwort benutzt — aber ein Passwort, was ich bei anderen Diensten gleichen Kalibers auch verwendet hatte. Das »Schnell mal anmelden damit du, blöder Dienst, mich aufhörst zu nerven und ich dich endlich benutzen kann«-Passwort.

Zeit, den Passwortscheiß mal sicherer zu machen. Projekt Passwortsicherung.

Passwort-Manager

Lange Zeit hatte ich mich dagegen gewehrt, die Kontrolle über Passwörter abzugeben. Ich wollte im Kopf wissen, wie das Passwort für jenen Dienst ist. Weil mein Gehirn leider noch auf Firmware-Version 1.0 läuft und nur über begrenzte Speicherkapizitäten verfügt, führt das unweigerlich dazu, dass Passwörter dienstübergreifend ähnlich sind. Nicht identisch (ich hatte mir da was ausgedacht) aber ähnlich.
1PasswordAber wenn jemand ein Passwort dieser Art vorfindet, wird er relativ schnell auf die dienstabhängige Anpassung kommen und so auch auf die jeweiligen anderen Passwörter. Blöd.
Wiederstand ist also wieder mal zweckles und es bleibt nur übrig, einen Passwort-Manager zu benutzen, der zufällige Passwörter voller Sonderzeichen generiert und abspeichert.
Ich benutze nun also 1Password, das Nonplusultra-Passwort-Verwaltungs-Tool für OS X. Leider etwas teuer, aber toll zu benutzen. (Alternativ war LastPass in der näheren Auswahl. Das gibt’s auch für Windows und Linux. Auch eine Alternative: KeePass. Frei und Open Source und für alle Plattformen erhältlich.)
1Password Menu App1Password hat eine Mini-App, die in der OS-X-Menüleiste läuft, hat Plugins für alle wichtigen Browser (Chrome, Firefox, Safari) und eine iOS-App3 zum mobilen Passwortzugang. Die 1Password-Passwort-Datenbank liegt in meiner Dropbox zum automatischen Backup — und, weil die Datenbank eine Webseite integriert hat, mit der man seine Passwörter auch ohne 1Password-Programm entschlüsseln kann. Gut für den Linux-PC auf der Arbeit.
1Password via Dropbox auf einem Linux-PCAusgeschlossen habe ich Dropbox, weil dort die Datenbank liegt, Google, weil GMail meine Haupt- und auch Passwort-Vergessen-E-Mail-Adresse ist, und Apple, weil ich auf dem Handy zum Authentifizieren nicht immer in die 1Password-App wechseln möchte. Letzteres mag sich in Zukunft aber durchaus noch ändern.

Für 1Password habe ich mir ein tolles neues Passwort ausgedacht. Das ist so lustig und clever, da bin ich ein bisschen stolz drauf und werde es deswegen hoffentlich so schnell nicht vergessen4. Außerdem habe ich das Passwort auf Papier notiert und auf der Rückseite meiner Tastatur versteckt.
Wenn ihr für euer super cleveres Passwort Inspiration braucht, es gibt einen auf xkcd-Comic-936-basierenden Passwort-Generator.

Zwei, drei, vier Faktoren

Der heiße Scheiß am Passwort-Himmel sind mehrschichtige Passwörter. Genauer: Two Factor Authentification. Neben eines Passworts braucht man noch einen weiteren, temporär gültigen Code zum einloggen.
Facebooks Passcode-EingabeDie klassische, etwas manuellere Variante ist das Zusenden eines Codes auf sein Handy. Wie beim Online-Banking kriegt man eine SMS mit einem numerischen Code auf’s Mobiltelefon, wenn man sich einloggen oder sensible Operationen ausführen will. Der Vorteil: Das Vorhandensein des Handys generiert eine zweite Stufe der Sicherheit. Nachteil: Für die Dienstbetreiber entstehen zusätzliche Kosten. Außerdem sind SMS ja 1998.
Google Authenticator (iOS)Ein alternativer Standard, der sich gerade durchsetzt, ist TOTP – Time-based One-Time Passwords. Zur Aktivierung der TOTP-Two-Factor-Authentifizierung tauscht man zwischen dem zu schützenden Dienst und einer TOTP-App Initiierungsgeheimnisse aus — in Form des Scannens eines QR-Code5 oder des händischen Eintragens der Zeichenkette. Dann generiert die TOTP-App kontinuierlich, in 30-Sekunden-Abständen, neue 6 Ziffern, die ihr beim Einloggen in den TOTP-aktivierten Dienst eintragt. Nur dann dürft ihr euch einloggen — für diese, aktuellen 30 Sekunden. In einer halben Minute gibt’s einen neuen Schlüssel.
Der Google Authenticator ist eine kleine TOTP-App für iOS und Android, die sich wunderbar für den Zwei-Faktor-Krams eignet.

Die Frage, die man sich unweigerlich als nächstes stellt: Wie komme ich in meine Two-Factor-aktivierten Dienste rein, wenn ich mein Handy an der Skaterbahn hab liegen lassen? Dafür gibt’s, je nach Dienst, mindestens eine Liste von Backup-Codes, manchmal aber auch Alternativ-Telefonnummer, auf denen man im GAU-Fall angerufen wird.

Ich habe Two-Factor-Authentifizierung (und befreundete Sicherheitsmaßnahmen) bei folgenden Diensten aktiviert:

  • Google
    Inklusive ausgedruckter Backup-Codes, verschiedener SMS- und Sicherheits-Telefonnummern und Single-Use-Passwörter für einzelne, die Google-Dienste-verwendende Programme (Mail.app, Picasa…).
  • Dropbox
    Inklusive Sicherheits-Telefonnummer. Der Wiederherstellungscode ist auch ausgedruckt.
  • Facebook
    Inklusive SMS-Telefonnummer, Umstellung auf Google Authenticator anstelle des Facebook-eigenen Code-Generators der mobilen Facebook App, Backup Codes und fünf zuverlässige Kontakte.
  • Github
    Inklusive Backup Codes.
  • WordPress Blogs
    Ein Plugin für die lokale WordPress-Installation, um den Login mit zusätzlichem Code abzusichern.

Habt ihr noch mehr Two-Factor-Dienste, die ich hier in der Liste nicht aufgezählt habe? Apple unterstützt bisher leider nur das Versenden von Codes per SMS und deswegen auch nur in den USA. Europa soll aber Anfang 2014 kommen. Habichwogehört. Bei Twitter kann man auch nur sein Two-Factor-Handynummer eingeben, wenn man aus einer Reihe von Ländern kommt, zu der Deutschland nicht gehört.

Ein bisschen nervt das doppelte Passworteingeben schon, ja. Aber dafür erhöht es die Sicherheit ordentlich. Und da ist das für mich ein gern in Kauf genommener Zwischenschritt.

Zwischendurch fand ich den Yubikey ziemlich interessant. Das ist ein kleines Gadget, was man immer bei sich trägt und in den USB-Port des Computers steckt. Das kümmert sich dann um den (T)OTP-Kram.
Zusätzlich könnte man auch ein langes statisches Passwort reinhacken und das, ergänzt mit einer einfachen Passphrase (»Käse«) aus dem Kopf, zum Entsperren des 1Password-Tresor nehmen. Something you know and something you have.
Aber so ganz überzeugt hat mich das alles erstmal nicht.

Handy

Ich bin kein großer Freund der Handy-Passcodes zum Entsperren der Mobiltelefone. Sie nerven, wenn man sie dauernd eingeben muss, außerdem zweifele ich am Kosten-Nutzen-Verhältnis: Wann verliert man schon mal sein Telefon oder bekommt es geklaut? Wir sind hier schließlich nicht in der Bronx.
Da wegen Two-Factor-Authentification und der Gehirnauslagerung zu 1Password allerdings mein Handy zu einem wesentlichen Punkt in meiner Sicherheitskette geworden ist6, habe ich mich hinreißen lassen, meinem Telefon einen Passcode zu geben.7 Außerdem fand ich raus, dass man das Passcode-Abfrage-Intervall auf vier Stunden setzen kann. Das ist gut.

Bottomline

Passwortmäßig bin ich jetzt so sicher wie eine Kugel vor’m Umkippen.
Zumindest, bis jemand den NSA-Exploit im Zufallsgenerator von 1Password postet und alle meine Passwörter reproduzierbar macht. Oder der Google Authenticator beginnt, hexadezimale Zahlen auszuspucken.
Auch gut, dass ich mir keine Sorgen vor schlecht-programmierten Diensten mit zwielichtigen Passwortsicherheitsmaßnahmen und -datenbanken mehr machen brauche. Das lässt mich nachts direkt viel tiefer schlafen.

Fühlt sich gut an.

Was macht ihr anders? Was macht ihr besser? Seht ihr Gefahren? SPRECHET ZU MIR.

  1. Von den gefährlichen Meta-Auswirkungen der Adobe Leaks für die Arbeitsweise von Passwortcracker möchte ich nicht sprechen. Ich, als hypothetischer Passwortcracker, würde jetzt jedenfalls alles daran geben, mir das größte Dictionary-File aller Zeiten zu entschlüsseln… []
  2. »Numbers from 1 to 6.« []
  3. Die man sich natürlich noch mal extra kaufen muss. []
  4. Das ist, glaube ich, ein guter Trick: Ein Passwort, mit dem man etwas verbindet. []
  5. Vielleicht der einzige sinnvolle Einsatzzweck von QR-Codes? []
  6. Außerdem funktionieren manche Apple-Dienste nur mit eingeschaltetem Handy-Passcode. []
  7. Lustige Geschichte: Beim Setzen des von langer Hand überlegten Passcodes unterhielt ich mich. Natürlich war der Passcode danach nicht der, den ich eigentlich haben wollte. Irgendwann fand ich ihn dann heraus. Apple resetet den »Ihr Telefon ist für X Minuten gesperrt«-Counter übrigens, wenn man das Handy an den Rechner anschließt. []