Kategorien
Meckerecke

Fuck Passwords? – eindeutig ja!


(xkcd comic über Passwörter)

Ich bin gerade über die Hacker News auf einen Artikel namens „fuck passwords“ gestoßen. Kernpunkte:

  • Eigentlich sollte man für jeden Dienst ein neues Passwort generieren, das lang und kompliziert genug ist
  • Manche Dienste wollen öfters mal das Passwort verifiziert haben und das geht nicht so leicht, wenn man sich es nicht merken kann (lang, kompliziert und überall ein anderes)
  • Es sind hauptsächlich Banken die Benutzer mit lächerlich schwachen Passwörtern versorgen. Etwas wie 6-10 Zahlen, etc

Passwörter für nicht-lokale Dienste sind keine gute Idee, der Meinung bin ich auch. Denn sie müssen zur Verifikation, dass ich ich bin an die Gegenseite geschickt werden. Diese Leitung kann meinetwegen auch eine sichere sein, jedoch hat die Gegenseite mein Passwort NICHT zu interessieren. Deshalb ist es auch Praxis, dass man als Webdienstanbieter dieses Passwort nicht speichert (viele tun es offenbar trotzdem, wie Lecks in den letzten Monaten zeigten).

Seine Lösung ist – und die fände ich auch spitze – Public-Key Kryptographie. Das funktioniert seit Jahrzehnten mit SSH-Verbindungen … warum sollte es nicht im „World Wide Web“ funktionieren? Ich gebe einem Anbieter meinen öffentlichen Schlüssel und wenn ich das was er damit verschlüsselt mit meinem privaten Schlüssel entschlüsseln kann, dann bin ich ich … fertig!

Wenn es nur so einfach wäre.

Aber deswegen poste ich das hier eigentlich gar nicht, sondern weil ich dann gleich mal bei meiner Sparkasse geschaut habe was dort eigentlich für Passwortregeln gelten. Die normalen Karten-Pins sind ja mit 4 Stellen und nur Zahlen schon ziemlich lächerlich (früher konnten sich Menschen deutlich längere Nummern merken und heute?! Heute weiß man nicht mal die eigene Bankleitzahl oder Kontonummer auswendig). Zeit für ein Zitat:

Bitte wählen Sie eine fünfstellige PIN, die nur Ihnen bekannt ist, und notieren oder speichern Sie diese nicht.
Erlaubte Zeichen zur Vergabe der PIN sind:
Kleinbuchstaben von a – z
Großbuchstaben von A – Z
Ziffern von 0 – 9
Sonderzeichen ä,ö,ü bzw. Ä,Ö,Ü und ß

Das sind also 69 (26+26+10+7) hoch 5 Möglichkeiten für ein Passwort oder auch 1564031349 in ausgeschriebener Form. Über das Webinterface wird die Testrate sicherlich nicht sehr hoch sein und evtl. das Konto gesperrt wenn es oft genug versucht wurde (auch toll, wenn das einem passiert, weil andere sich einen Spaß machen). Aber was passiert, wenn jemand mal Zugriff auf die Kundendatenbank der Sparkasse bekommen sollte? Denn warum sollen Banken hier eine Ausnahme sein? Passiert in jeder Ecke …

Anfang des Jahres haben Forscher WPA auf EC2 Instanzen geknackt und 400000 Passwörter pro Sekunde durchprobiert. Bei der Rate dauert es knapp 1 Stunde bis man die Pin für ein Konto herausbekommen hat. Und das nervt. Liebe Sparkasse, was soll das?

Ich weiß noch wie bei der Uni-Erlangen auch ein Passwort verlangt wurde. Das musste 8 Zeichen lang sein und mindestens 2 Zahlen und Großbuchstaben enthalten. Ich schätze in 100% der Fälle war das dann wohl das Geburtsjahr. Ein Unding! Und um auf das anfangs gezeigte Comic zurückzukommen: wenn schon Passwörter dann bitte ohne Beschränkung der Länge und der verwendeten Symbole!

Kategorien
Meckerecke

Wechselkursbescheißerei

Ich muss jetzt mal kurz „danke lieber Euro“ sagen. Die Wechselkursbescheißerei der Banken und Wechselstuben ist ehrlich gesagt zum Kotzen. Klar sind die nicht die Wohlfahrt und nehmen Gebühren für ihren Dienst, aber über 10% des Wertes?

Ich habe bei meiner Sparkasse 20 Lats (lettische Währung) eingezahlt und bekam dafür 25,51 Euro gutgeschrieben. Ein paar Tage vorher habe ich 50 Lats abgehoben was mich 75,15 Euro gekostet hat. Für den gleichen Wechselkurs hätte ich beim Zurücktauschen dann eigentlich 30 Euro bekommen müssen.

Beim Umtauschen von Euro nach Pfund und wieder zurück das gleiche Spiel.

Wie funktioniert der Handel mit Divisen denn eigentlich wenn einem bei jedem Umtausch dermaßen viel abgezogen wird? So stark schwankt doch keine Währung?

Eine Teillösung: ins fremde Land ohne viel Landeswährung einreisen. Vorher ein Postbank Konto mit Geld vollpumpen und dann von dort 4 mal im Jahr kostenlos im Ausland abheben. Fragt sich nur, ob die dann tatsächlich den richtigen Wechselkurs hernehmen oder die Gebühren einfach einrechnen (die Sparkasse nimmt den wirklichen Wechselkurs und haut pauschal 4,50 Euro drauf). Und bei der Heimreise am besten gar keine Fremdwährung mehr besitzen.

Oder einfach in der Eurozone bleiben ;-)

Kategorien
Dies und das Meckerecke

Unsicheres Sparkassen SB-Terminal

sb-terminal.jpg

Die Sparkasse hat ja bekanntlich in manchen Filialen sogenannte SB-Terminals an denen man allerlei Dinge mit seinem Konto anstellen kann. Gestern Abend standen wir vor den abgebildeten beiden Terminals am Hugenottenplatz in Erlangen und wunderten uns doch sehr. Wer stellt sich freiwillig an das rechte Gerät und gibt seine PIN ein, wenn man hinter sich einen Spiegel stehen hat? :twisted: