Der Standardleitweg

Mittwoch gab es einen besonders interessanten xkcd Comic:

(draufklicken für volle Version)

Zusammengefasst: Ein Passwort Kennwort das aus 4 normalen, leicht zu merkenden Wörtern besteht ist leichter zu merken und sicherer als ein kryptisches, schwer zu merkendes.

Daraufhin hat Jeff Preshing einen xkcd Password Generator gebaut der auf Mausklick ein Kennwort aus 4 (englischen) Wörtern generiert.
In der Diskussion dort in den Kommentaren ist auch erklärt warum ein solches aus 4 trivialen Wörtern bestehendes Kennwort nicht so trivial zu knacken ist wie jedes einzelne Wort das über Rainbow-Tables in Sekunden geknackt ist. Im bei xkcd Comics immer vorhandenen Kommentar den man als Tooltipp bekommt wenn man mit der Maus auf dem Comic bleibt entschuldigt sich der Autor übrigens für die Diskussionen die entstehen werden

Kennt jemand eine Quelle/Liste mit deutschen Worten? So 3000-5000 sollten es sein, dann würde ich davon eine deutsche Version bauen, den Javascript-Code hat er verlinkt und er besteht im Prinzip nur aus einer riesigen Wortliste aus der halt 4 zufällig ausgewählt werden.

Meldet man sich im Internetz irgendwo an benötigt man dazu seinen Benutzernamen (oder E-Mail Adresse) sowie ein Kennwort.
Das ist eine einfache Authentifizierung. Mit dem Benutzernamen sage ich wer ich bin und mit dem zugehörigen Kennwort zeige ich dass ich es bin.

Das ist einfach, das funktioniert, das geht auch besser. Denn der Benutzername ist meist eher offensichtlich, also kein Geheimnis. Vor allem wenn es eine E-Mail Adresse ist. Bekommt jemand Zugriff auf das zugehörige Passwort kann er mit dem Zugang machen was er will. Da die meisten Leute überall das gleiche Kennwort nutzen wird der potenzielle Schaden umso größer.

Eine Methode es besser zu machen ist die 2-Wege Authentifizierung. 2 Wege bedeutet dabei nicht zwei Kennwörter sondern wirklich 2 Wege. Neben dem Weg “Webseite” kommt z.B. der Weg “SMS” hinzu.
Das bedeutet dass man nach der Eingabe von Benutzername und Kennwort eine Kurznachricht mit einem weiteren Kennwort auf das Handy bekommt das man auch eingeben muss. Ein Unbefugter müsste nicht nur Benutzername und Kennwort herausbekommen sondern auch im Moment der Anmeldung Zugriff auf das Handy haben. Denn der per SMS zugeschickte Code gilt nur eine bestimmte Zeit.

Zwei Dienste die ich relativ viel nutze bieten seit kurzem die 2 Wege Authentifizierung an:

• Zum einen Google für den Zugriff auf das Google-Konto bei jedem Login (oder nur alle 30 Tage) — Anleitung bei Google.
• Facebook sobald ein neuer Computer oder Gerät auf das Facebook-Konto zugreifen möchte — Beschreibung bei Caschy.

Für Android-Nutzer hat Google die App Google Authenticator im Market die statt der Kurznachricht alle 30 Sekunden einen neuen Sicherheitscode generiert. Die ist auch wirklich empfehlenswert denn sie funktioniert autark, auch ohne Empfang.
Als zusätzliche Sicherheit falls man das Handy verliert generiert google einen Papiercode den man sich ausdrucken kann/soll und man kann eine weitere Rufnummer angeben die als zusätzliche Rückfallebene via SMS oder Sprachnachricht einen Code bekommen kann falls sowohl das Handy als auch der Papierzettel verloren gehen. Da geht Google wirklich auf Nummer sicher.

Fallstricke:

• Bei Facebook scheint es nur für O2 Kunden zu funktionieren. Das steht zwar nicht unter ‘Kontosicherheit’ aber wenn man im ‘Handy’ Reiter sein Telefon registrieren will gibt es nur O2 in der Providerauswahl. Und auf mein E-Plus Handy kam auch kein Code an.
• Da ich ja die Google Apps für einer meiner Domains nutze musste ich erst dort die “Bestätigung in zwei Schritten” aktivieren (als Administrator für die Domain erlauben, dann für meinen Account aktivieren), anschliessend hatte ich die Option auch bei meinem (verknüpften) gmail-Account, dessen Konfiguration wurde anschliessend auch automatisch aufgerufen.

Diese Sicherheit sollte man wenn möglich aktivieren, der Blick auf das Telefon ist kein großer Umstand, der Sicherheitsgewinn aber sehr gross.

Ich kontrolliere regelmässig was es so an schnurlosen Netzwerken in meiner Nachbarschaft gibt um Störungen durch doppelte oder zu dichte Kanäle zu vermeiden.
Heute brachte der Scan nun u.a. folgendes Netzwerk zum vorschein:

SSID	Mode	MAC Address	Channel	Rssi	Noise	beacon	Open	dtim	Rate
WLAN	AP	00:03:C9:--:--:--	11	-83	-83	100	Yes	0	12(g)

Lieber Nachbar! Wer auch immer du bist: das ROT markierte solltest du schleunigst ändern!

Nicht nur dass man in Deutschland gern als Mitstörer haftet wenn man sein Netzwerk nicht sichert, ein Filesharer macht auch ganz schnell mit seiner illegalen Tauschbörsennutzung die Leitung (den Upstream) so dicht dass eine sinnvolle Nutzung der Internetverbindung nicht mehr möglich ist.

Leider habe ich keine sinnvolle möglichkeit herauszufinden wer du bist sonst würde ich es dir persönlich sagen. Aber bedenke, dass die Musik- und mittlerweile auch Pornoindustrie durchaus ihre Möglichkeiten hat und durchsetzt.

Also sichere dein Netzwerk besser ab, vorzugsweise mit WPA(2), aber selbst WEP ist besser als gar nichts.

oder: Terroristen, die diesen Artikel gekauft haben, kauften auch:

Manchmal macht Amazon Angst. Zum Beispiel bei diesem Sack Kalkammonsalpeter. Kalkammonsalpeter ist ein Stickstoffdünger. Laaaaangweilig!
Guckt man bei Amazon aber nach der Kaufanregung ‘Kunden, die diesen Artikel gekauft haben, kauften auch’ die unter jedem Artikel steht und automatisch generiert wird so findet man keine Gartenfibel sondern das Taschenbuch “Die Chloratsprengstoffe“. Ups!

Das kann nun je nach persönlicher Einstellung Angst machen oder Lustig sein, klickt man dann aber auf jenes Buch und sieht da wieder nach was die Käufer des Buches sonst so gekauft haben bekomme ich als Computeraffiner Mensch das Bedürfnis mich davon zu distanzieren: Ich baue keine Bomben!

Angst bekomme ich nicht weil der Dünger scheinbar nur für Bombenbauer interessant ist. Das werden eher belustigt Interessierte sein die das Buch nicht gekauft haben um Bomben zu bauen sondern um zu sehen wie Absurd so manche Diskussion um unsere Sicherheit seit 9/11 ist weil man vieles Gefährliche aus alltäglichen Grundzutaten wie eben Dünger herstellen kann.
Dass sich dessen mehrheitlich Computeraffine Menschen bewusst sind wundert mich auch nicht, der Durchschnitts-Bildleser glaubt vermutlich auch dass die Pläne unseres Innenministers nur toll und nichts gefährliches sind. Sie haben ja nichts zu verbergen. und hören die Scorpions nicht…
Angst macht mir die Assoziation “Computer” und “Bomben” die dadurch geschaffen wird und in Schäuble-Zeiten zu einer Hexenjagd werden kann. Der Typ ist durchgeknallt genug um da einen Kausalzusammenhang zu sehen.
Traurig ist, dass ich glaube mir um so einen Schwachsinn Gedanken machen zu müssen


via @kaffeeringe

Vor etwa zwei Jahren kaufte Microsoft die Firma Sysinternals die mit vielen praktischen und kostenlosen Programmen zu einiger Bekanntheit gekommen war. Die Programme gab es weiterhin, als Komplettpaket downloadbar. Laut Heise hat Microsoft das geändert, unter der Subdomain live sind die Programme direkt download- und startbar(!):

Die kostenlosen Programme sind nicht gepackt, lassen sich unter Windows also direkt etwa durch Eingabe etwa von http://live.sysinternals.com/Procmon.exe unter Start\Ausführen starten.

Ich bin erschüttert. Man kann unter Windows unter ‘ausführen’ direkt http-Links eingeben und die Programme werden dann gestartet? Nichts gegen die Programme von sysinternals, denen vertraue ich. Aber wie kann man die Menschen nur an eine derartige Funktion gewöhnen? Das schreit doch geradezu danach ausgenutzt zu werden.
Neben den Leuten die auf alles klicken was nicht bei drei auf den Bäumen ist, ist es vor allem Microsoft selbst die für solch fahrlässiges Verhalten verantwortlich sind. Verantwortung und Sicherheit wird dort nicht gelebt, im Gegenteil, es wird mit Füssen getreten wo es geht.

Diese Meldung ist fast zu schön um Wahr zu sein:
Der “Cheftechnologe” einer Sicherheitsfirma wollte auf dem Fall Microprocessor Forum sein bisher einmaliges System zur optischen Bedrohungserkennung vorstellen. Und wird auf dem Flug dorthin bei einem Zwischenstop prompt von seinem eigenen Produkt als Gefahr erkannt.
Wirklich überzeugend

Ein WLAN sollte man aus Sicherheitsgründen verschlüsseln, das mittlerweile kein Geheimnis mehr sein. Ansonsten läuft man Gefahr, dass allerlei fremde Gestalten das Netz mitnutzen.
Man kann das aber auch ausnutzen.
Auf dieser Seite beschreibt ein Jemand, wie er seinen Router so konfiguriert hat, dass Fremde in einem eigenen Subnet landen und deren Surferlebnis etwas manipuliert wird.
Lustige Sache, wenn auch in der gezeigten Form nicht wirklich sicher. Man sollte den privaten Teil des Netzes immer noch absichern.