Kategorien
Meckerecke Politik

Bestandsdatenauskunft

Nur damit ihr bescheid wisst, der Bundestag befasst sich mit all seiner Kompetenz mit einer Nachbesserung beim Telekommunikationsgesetz. Es geht um die Herausgabe von Bestandsdaten (besser bei Zeit Online erklärt).

Klingt harmlos, aber darunter fällt aller möglicher Krimskrams wie Kontoverbindungen und Passwörter und das schon bei Ordnungswidrigkeiten bzw. bei gar nichts, wenn der Geheimdienst fragt. Und alle so yeah!

Und man darf sich auch fragen wieso Pins und Passwörter? Ok, dann hat die Polizei also meine Handy Pin (SIM Karte, eine andere kennt der Provider ja nicht), die ich ausgestellt oder geändert habe. Sinnfrei. Und warum das Passwort von meinem Emailprovider? Warum nicht gleich die Emails, die dieser Provider vermutlich eher unverschlüsselt speichert als das Passwort (ich würde ihn auf den Mond schießen, wenn er das Passwort überhaupt irgendwo speichert und nicht nur einen Hashwert davon). Ich nehme an sie wollen das Passwort, weil das ja wiederum häufig auch anderswo verwendet wird.

Dieser Kontrollwahn geht mir ein wenig auf den ****. Klar möchte man Verbrechen doch möglichst effizient aufklären, aber verstehen die entsprechenden Personen nicht, dass diese Zugriffsmöglichkeiten nicht nur von rechtschaffenen Menschen genutzt werden könn(t)en? Das sind gewollte Sicherheitslücken … meh!

Kategorien
Meckerecke

Fuck Passwords? – eindeutig ja!


(xkcd comic über Passwörter)

Ich bin gerade über die Hacker News auf einen Artikel namens „fuck passwords“ gestoßen. Kernpunkte:

  • Eigentlich sollte man für jeden Dienst ein neues Passwort generieren, das lang und kompliziert genug ist
  • Manche Dienste wollen öfters mal das Passwort verifiziert haben und das geht nicht so leicht, wenn man sich es nicht merken kann (lang, kompliziert und überall ein anderes)
  • Es sind hauptsächlich Banken die Benutzer mit lächerlich schwachen Passwörtern versorgen. Etwas wie 6-10 Zahlen, etc

Passwörter für nicht-lokale Dienste sind keine gute Idee, der Meinung bin ich auch. Denn sie müssen zur Verifikation, dass ich ich bin an die Gegenseite geschickt werden. Diese Leitung kann meinetwegen auch eine sichere sein, jedoch hat die Gegenseite mein Passwort NICHT zu interessieren. Deshalb ist es auch Praxis, dass man als Webdienstanbieter dieses Passwort nicht speichert (viele tun es offenbar trotzdem, wie Lecks in den letzten Monaten zeigten).

Seine Lösung ist – und die fände ich auch spitze – Public-Key Kryptographie. Das funktioniert seit Jahrzehnten mit SSH-Verbindungen … warum sollte es nicht im „World Wide Web“ funktionieren? Ich gebe einem Anbieter meinen öffentlichen Schlüssel und wenn ich das was er damit verschlüsselt mit meinem privaten Schlüssel entschlüsseln kann, dann bin ich ich … fertig!

Wenn es nur so einfach wäre.

Aber deswegen poste ich das hier eigentlich gar nicht, sondern weil ich dann gleich mal bei meiner Sparkasse geschaut habe was dort eigentlich für Passwortregeln gelten. Die normalen Karten-Pins sind ja mit 4 Stellen und nur Zahlen schon ziemlich lächerlich (früher konnten sich Menschen deutlich längere Nummern merken und heute?! Heute weiß man nicht mal die eigene Bankleitzahl oder Kontonummer auswendig). Zeit für ein Zitat:

Bitte wählen Sie eine fünfstellige PIN, die nur Ihnen bekannt ist, und notieren oder speichern Sie diese nicht.
Erlaubte Zeichen zur Vergabe der PIN sind:
Kleinbuchstaben von a – z
Großbuchstaben von A – Z
Ziffern von 0 – 9
Sonderzeichen ä,ö,ü bzw. Ä,Ö,Ü und ß

Das sind also 69 (26+26+10+7) hoch 5 Möglichkeiten für ein Passwort oder auch 1564031349 in ausgeschriebener Form. Über das Webinterface wird die Testrate sicherlich nicht sehr hoch sein und evtl. das Konto gesperrt wenn es oft genug versucht wurde (auch toll, wenn das einem passiert, weil andere sich einen Spaß machen). Aber was passiert, wenn jemand mal Zugriff auf die Kundendatenbank der Sparkasse bekommen sollte? Denn warum sollen Banken hier eine Ausnahme sein? Passiert in jeder Ecke …

Anfang des Jahres haben Forscher WPA auf EC2 Instanzen geknackt und 400000 Passwörter pro Sekunde durchprobiert. Bei der Rate dauert es knapp 1 Stunde bis man die Pin für ein Konto herausbekommen hat. Und das nervt. Liebe Sparkasse, was soll das?

Ich weiß noch wie bei der Uni-Erlangen auch ein Passwort verlangt wurde. Das musste 8 Zeichen lang sein und mindestens 2 Zahlen und Großbuchstaben enthalten. Ich schätze in 100% der Fälle war das dann wohl das Geburtsjahr. Ein Unding! Und um auf das anfangs gezeigte Comic zurückzukommen: wenn schon Passwörter dann bitte ohne Beschränkung der Länge und der verwendeten Symbole!