2017

Aug. 13, 2017

Links (124)

Kategorien Links
Tagged DHL Paketkasten Paketbox C++ Turing-complete laser laser show NASA child slave colony mars popculture abandoned HTTPS Games Dating dates reference Airport control Flughafenkontrolle Roboter Deep Learning Onlinewerbung schwanger Luigi Jabberserver Jabber XMPP Datenschutzhelden Facebook targeting Google Safetynet sexistisch Manifest
Mobil qrcode zeigen

0 Kommentare

Juni 11, 2017

Links (123)

Kategorien Links
Tagged Journalist Medienkompetenz Fotos Videos Google Analytics Homebrew Roomba Long exposure Langbelichtung ATM skimming Geldautomat Apple Musik Webmaster Github Open Source Kondome condoms Feministinnen Race Tube Underground U-Bahn Thimbleweed Park Bayes bayesian Stockfotos Nigera Prinz JavaScript Radium Bugreport Microsoft Apps Tracking Android Hatespeech Verschwörungstheorien Facebook
Mobil qrcode zeigen

0 Kommentare

April 10, 2017

Technischer Datenschutz: Passwörter

Der wichtigeste Tipp für Passwörter ist: Sichere nicht erratbare Passwörter verwenden, für jede Seite ein anderes Passwort verwenden und einen Passwortmanager installieren um sich die Passwörter nicht merken zu müssen.

Warum Passwortmanager?

Viele Leute benutzen nur wenige Passwörter für alle Seiten die sie besuchen. Wird nur eine Seite davon gehackt, kann das Passwort auch auf allen anderen benutzt werden. Der Grund nur wenige Passwörter zu benutzen ist, dass es schwer ist sich viele (sichere) Passwörter zu merken.

Unsichere Passwörter sind selbst mit starker Verschlüsslung schnell gehackt und auch sichere Passwörter sind gefährdet, weil viele Seiten sie unverschlüsselt speichern.

Fatal ist, wenn gerade das E-Mailpasswort mit dem Passwort einer Seite übereinstimmt. Wird die Datenbank der Seite dann gehackt, hat der Hacker das Passwort und die E-Mailadresse und kann es direkt nutzen um fremde E-Mails zu lesen. Das ist besonders gefährlich, weil die meisten Seiten es erlauben das Passwort mit Hilfe der E-Mailadresse zurückzusetzen. Das heißt wer das E-Mailpasswort hat, kann sich Zugang zu fast allen Accounts verschaffen. Deswegen ist es eine gute Idee gerade für den E-Mailaccount ein besonders kompliziertes Passwort zu verwenden, das nirgendwo sonst verwendet wird.

Ein Passwortmanager hilft hier für jede Seite ein eigenes kompliziertes Passwort zu benutzen ohne es zu vergessen.

Im Browser eingebaute Passwortmanager sind eine gute Wahl

Der im Browser eingebaute Passwortmanager hat den Vorteil, dass er automatisch erkennt ob das Passwort zur Seite gehört. Hat man das Passwort auf www.paypal.com eingespeichert wird es auf www.paypal-fake.com nicht eingefügt, wenn man es dort nicht neu eingibt. Damit hilft der Passwortmanager hier auch betrügerische Seiten zu erkennen.

Schließlich ist noch ein Vorteil, dass man keiner fremden Software vertrauen muss. Der Browser kann jedes eingegebene Passwort mitlesen, sodass man ihm sowieso vertrauen muss. Da ist das einspeichern der Passwörter im Browser nicht gefährlicher als das verwenden des Browsers selber. Bei externen Passwortmanagern sollte man gut darauf achten, ob sie von einer vertrauenswürdigen Firma kommen und ggf. ob die den Ruf hat unsichere Software herzustellen.

Es ist auf jeden Fall zu empfehlen für den Passwortmanager ein Masterpasswort zu verwenden, das beim ersten Passwort nach dem Start des Browsers eingegeben werden muss um den Passwort-Safe zu entsperren. Sonst kann jeder Computervirus direkt die ganze Passwortliste klauen.

Der Nachteil von in den Browsern eingebauten Passwortmanagern ist, dass sie meistens keine Funktion enthalten um für eine Seite ein sicheres Passwort zu generieren. Dazu muss also ein anderer Passwortgenerator verwendet werden.

Wie benutze ich die Passwortmanager der Browser?

Bei anderen Passwortmanagern ist es zu empfehlen auch die entsprechende Browserintegration zu installieren, außer man weiß genau was man tut.

Passwort synchronisieren: Segen oder Fluch?

Firefox bietet mit "Firefox Sync" eine Möglichkeit Browserdaten von mehreren Geräten auf dem gleichen Stand zu halten, unter anderem auch die gespeicherten Passwörter. Chrome ermöglicht das gleiche über den Googleaccount, wenn man sich im Browser damit einlogged.

Die Funktionen haben Vor- und Nachteile.

Der Vorteil ist, dass man überall die Passwörter hat und damit vermeidet einige vielleicht doch eher unsicher zu wählen, weil man sie häufig auf anderen Geräten braucht.

Der Nachteil ist, dass Passwörter die "in der Cloud" liegen auch bei Datenpannen der Dienste verloren werden können. Etwas das nur auf dem eigenen PC liegt ist ein überschaubares Risiko, Cloud hingegen ist ein modernes Wort für "Computer anderer Leute" ;-).

Sichere Passwörter

Die ganze Mühe ist natürlich immer noch nicht sicher, wenn man unsichere Passwörter benutzt. Daher lohnt es sich entweder Passwörter zu generieren (bei guten Funktionen dazu punkten vor allem die externen Manager) oder ein sicheres System zum finden von Passwörtern zu benutzen.

Der erste Tipp ist: Die Länge machts! Ein Buchstabe von A-Z macht 26 Passwörter, nimmt man A-Z und 0-9 sind es 36 mögliche Passwörter. Wenn man aber zwei Buchstaben von A-Z nimmt ergeben sich 676 mögliche Passwörter. Die Folgerung ist ganz klar: Lieber ein Passwort mit 16 Zeichen oder mehr mit wenig Zahlen und Sonderzeichen als ein 8 Zeichen Passwort mit so viel Zeichensalat dass es auch schwer zu merken ist.

Passwort? Warum keine Passphrase? Ein Passwort wie "K#(Ll$5]" ist schwer zu merken und schwierig zu tippen, gerade wenn man schnell blind tippen kann. Eine Passphrase wie "Wenn-lila-Hasen-abends-um-11-Kohlrabi-kochen" ist nicht nur sehr sicher, sondern auch einfach zu merken und schnell zu tippen. Und man hat sie jetzt schon im Gedächtnis. (Comic dazu[englisch]).

Wenn man sich einen solchen Satz komplett selber ausdenkt sollte man darauf achten, dass er "komisch" genug ist um nicht erraten zu werden. "Haenschen-klein-ging-allein-in-den-Wald-hinein" ist also nicht so gut geeignet, obwohl es gegenüber Hackern die einfach stumpf alle Buchstabenkombinationen durchprobieren trotzdem sehr sicher ist. Aber ein Mensch der die Methode kennt könnte auf die Idee kommen Zitate, Sprichwörter und Volkslieder einmal auszuprobieren und muss damit viel weniger Passwörter ausprobieren.

Eine sichere Passphrase: Diceware

Die Fantasie ist meistens nicht so kreativ, wie man denkt. Die Hasen oben kochen Kohlrabi. Lecker. Gummireifen wäre aber vielleicht besser, weil das kochen von Gemüse ja erraten werden könnte.

Also kann man doch ein System das einem zufällige aber merkbare Worte generiert nehmen. Eine weit verbreitete sichere Methode ist Diceware, bei der man mit einem Würfel und einer Wortliste die man runterladen kann sichere Passphrases generieren kann.

Sicher und leicht zu merken mit einem Reim

Eine weitere Idee ist, ein Passwort mit sechs Wörtern und Reim[englischer Artikel] zu verwenden. Die Idee dabei ist, dass sich auch ein langes Passwort mit einem Reim leicht merken lässt.

Passwortmanager? Oder doch offline?

Wer hat es noch nicht gehört: Passwörter bloß nie irgendwo aufschreiben!

Aber stimmt das? Der Zettel am Bildschirm ist sicher eine schlechte Idee und der unter der Tastatur nur wenig besser. Aber aufschreiben allgemein ist nicht immer eine schlechte Idee.

Ein aufgeschriebenes Passwort kann nicht durch einen Computervirus geklaut werden, auch der eifersüchtige Partner kann nicht den Passwortmanager (ohne Masterpasswort) auf dem PC nutzen um heimlich E-Mails zu lesen. Man muss das Passwort nur an einer Stelle verwahren, wo es sicher ist.

Eine Möglichkeit ist hier ein Zettel im Portemonaie. Warum dort? Wenn einem der Geldbeutel geklaut wird, hat man sowieso ein Problem und viel zu tun. Die Bankkarte muss gesperrt werden. Und die Kreditkarte. Und vielleicht muss man den Ausweis neu beantragen. Da ist das ändern aller Passwörter nur ein weiterer Schritt den Schaden zu beseitigen, wenn man schon einmal dabei ist.

Und das Schützen seines Portemonaies ist etwas, das jeder versteht. Egal ob der Computerfreak oder nur gelegentlicher Nutzer, wie man vermeidet wertvolles Papier zu verlieren hat man von klein auf gelernt und ist meistens ziemlich gut darin.

Dafür sollte man natürlich gegebenenfalls eine Liste der Accounts (ohne Passwörter) noch irgendwo anders aufgeschrieben haben. Und das E-Mailpasswort sollte nie aufgeschrieben oder abgespeichert sein, weil es wie oben schon erwähnt der Generalschlüssel für alle anderen Accounts ist, der zum Beispiel hier benutzt wird um die verlorenen Passwörter zurückzusetzen.

Kategorien Datenschutz Sicherheit Software
Tagged Passwörter Passwortmanager technischer Datenschutz
Mobil qrcode zeigen

0 Kommentare

März 5, 2017

Links (122)

Kategorien Links
Tagged Browser Security Line of Death Backdoors Kryptografie Messenger Crypto Messenger Nintendo Supermario Datenhändler gläsern Metadata Whistleblower PGP Physik Strassenbeleuchtung LED Adblock Anti-Adblock ASCII PaintsChainer Inpainting Neuronale Netze Markov Markov Model Therapien Internetsucht Winamp Youtube Dateigroesse Universitaet IoT Internet of Things Monster Airdrop Chat PDF Zucker Bananen
Mobil qrcode zeigen

0 Kommentare

Feb. 6, 2017

Technischer Datenschutz: Die Firefox Tracking Protection

Firefox hat einen eingebauten Trackingschutz, der normalerweise aber nur im Privaten Modus aktiviert wird. Er lässt sich aber auch für das normale Surfen verwenden.

Übersicht
Typ: Browsereinstellung für Firefox
Aufwand: Einmaliges Einstellen.
Komplexität: Muss ggf. auf manchen Seiten deaktiviert werden.
Schützt vor: Tracking.

Um den Trackingschutz zu aktivieren öffnet man ein neues Tab und gibt als Adresse "about:config" ein. Dort muss man zunächst eine Warnung bestätigen, dass man mit einigen der dort verfügbaren Einstellungen einiges kaputt machen kann.

Die Liste hat oben ein Suchfeld, in dem man privacy.trackingprotection.enabled suchen muss. Die Einstellung sollte normalerweise auf "false" (deaktiviert) stehen und kann per Doppelklick auf "true" (aktiv) geändert werden.

Bei Seiten auf deinen Tracking unterbunden wurde erscheint links in der URL-Zeile ein kleines Schutzschild. Sollte eine Seite durch den Trackingschutz nicht funktionieren, was leider manchmal vorkommt, kann man auf dieses Schild klicken und "Schutz für diese Sitzung deaktivieren" anklicken.

Kategorien Datenschutz
Tagged technischer Datenschutz Firefox tracking protection
Mobil qrcode zeigen

0 Kommentare

Jan. 20, 2017

WhatsApp Lücke, Alternativen und Unabhängigkeit

Momentan gibt es Aufregung um eine Sicherheitslücke in Whatsapp, die vielleicht auch gar keine ist. Während viele zum Wechsel auf verschiedene andere Messenger raten, gibt es jetzt einige Stimmen, welche die "Panikmache" als kontraproduktiv betrachten weil sie befürchten, dass die Nutzer auf weniger sichere Apps wechseln könnten. Das ist insofern ungünstig, da WhatsApp mit der Lücke ebenfalls als unsicher angesehen werden muss.

Dazu hier nun eine Einschätzung des Fehlers, warum es allgemein sinnvoll ist von Whatsapp weg zu kommen, was andere Kryptomessenger taugen und schließlich eine Empfehlung für eine bessere Alternative.

(Für die Eiligen: Die Empfehlung ist der Wechsel auf XMPP mit Conversations auf Android, ChatSecure auf dem iPhone und gajim auf dem PC).

Was ist der Whatsapp Bug und was bedeutet das für die Sicherheit?

Der WhatsApp Bug, großspurig auch Backdoor genannt, besteht darin, dass WhatsApp es schwer macht zu bemerken, wenn sich jemand unerlaubt in die Verbindung einklinkt. In der Standardeinstellung bekommt man in einem solchem Fall keine Nachricht. Wenn in den Einstellungen "Sicherheits-Benachrichtigungen anzeigen" aktiviert ist, gibt es einen eher unscheinbaren Hinweis "Die Sicherheitsnummer von X hat sich geändert". Dazu kommt, dass Nachrichten, die man geschrieben hat während das Handy keinen Empfang hatte, gesendet werden bevor man überhaupt die Chance hat diese Benachrichtigung zu sehen.

Um die Gefahr kurz einzuordnen: Wenn sich die "Sicherheitsnummer" einer Webseite ändert zeigt ein Webbrowser die Seite gar nicht mehr an, sondern nur eine seitenfüllende Warnung, dass man wahrscheinlich auf einer Betrüger-Webseite ist.
Whatsapp zeigt in der Situation einen Hinweis an, der völlig harmlos scheint, tatsächlich aber bedeutet dass ab jetzt eventuell jemand mitliest.


Die WhatsApp Sicherheitswarnung: Ab jetzt liest eventuell jemand mit

Wer kann die Lücke ausnutzen?

Wie die meisten Messenger ist die Whatsapp-Verbindung selber sowieso dagegen geschützt, dass jemand nur durch Anzapfen der Leitung mitelesen kann. Eine Ende-zu-Ende Verschlüsslung, soll weiterhin sicherstellen, dass auch der Betreiber nicht mitlesen kann. Genau dabei sorgt das Verhalten von WhatsApp aber dafür, dass es in der Praxis möglich ist, dass Facebook als Anbieter von WhatsApp mitliest. Das entsprechende Szenario sieht wie folgt aus:

WhatsApp möchte selber mitlesen oder bekommt von einer Regierung die Verpflichtung Daten abzufangen, was sie nicht ablehnen können und niemandem mitteilen dürfen. Daraufhin erstellt sich WhatsApp selber einen Account und teilt dem Nutzer und seinem Gesprächspartner jeweils mit, dass die Sicherheitsnummer des Fakeaccounts, die des jeweils anderen wäre, welche sich geändert hat. Wenn die Nutzer jetzt schreiben, erreichen die Nachrichten den falschen Account. Das fällt aber nicht auf, da dieser sie nicht nur mitliest, sondern auch direkt an den richtigen Account weiterleitet.

Das Statement von Whatsapp zu dem Problem ist, dass es kein Fehler sei, sondern eine Vereinfachung für Nutzer um sie nicht damit zu überfordern, dass sie prüfen müssen ob sich die Sicherheitsnummer geändert hat weil der Gesprächspartner ein neues Handy hat oder weil jemand die Verbindung unterbricht um mitzulesen.

Nicht zuletzt ist noch zu erwähnen, dass WhatsApp seinen Quelltext geheim hält und damit sowieso niemand sicher sagen kann, ob es nicht einen geheimen "Schick mir alle Chats des Nutzers" Befehl gibt. Eine echte Sicherheit hat man hier nur bei Programmen, die ihren vollen Code zur Verfügung stellen.

Was kann ich tun um mich bei WhatsApp zu schützen?

Das Wichtigte ist in den Einstellungen zu aktivieren, dass man benachrichtigt wird, wenn sich die Sicherheitsnummer des Gesprächspartners ändert. Wenn man dann diese Meldung erhält, dann darf man sie nicht ignorieren, sondern muss die Verbindung als unsicher einstufen, bis man die Nummer des anderen neu bestätigt hat.

Um zu vermeiden, dass Nachrichten geschickt werden bevor man sieht, dass sich die Nummer geändert hat kann man darauf achten nur dann Nachrichten zu schicken, wenn das Handy eine Internetverbindung hat. Hier geht es aber tatsächlich nur um die Nachrichten die zwischen Verlust des Empfangs und dem Sehen der Sicherheitswarnung nachdem der Empfang wieder vorhanden ist geschrieben wurden.

Andere Messenger die häufig empfohlen werden

Hier kurz ein paar Worte zu anderen Messengern, die häufig als Alternative empfohlen werden.

Threema
Das Konzept des Messengers ist gut: Mit einem Ampel-System wird angezeigt wie genau man die Sicherheitsnummer seiner Kontakte schon geprüft hat und es existiert kein Zwang den Chataccount mit der Telefonnummer zu verknüpfen. Die benutzte Verschlüssung hat offenen Quellcode, aber der Rest des Programms ist nicht offen.
Signal
Signal hat einen komplett offenen Quellcode, funktioniert aber nicht ohne nicht offene Dienste von Google bzw. Apple. Das kann für Backdoors ausgenutzt werden. Versionen die das Problem beseitigen sind von den Entwicklern nicht erwünscht.
Telegram
Telegram hat seine Verschlüsslungsfunktionen mit fragwürdiger Qualität selber gebaut und es wurde auch schon mehrfach gezeigt, dass sie unsicher sind.

Trotzdem haben alle drei und auch die meisten anderen Alternativen das Problem, dass sie von einem Anbieter abhängig sind.

Abhängigkeit vom Anbieter

Was in der Diskussion um den Lieblingsmessenger sehr häufig untergeht ist, dass die meisten Apps von einem einzelnen Anbieter abhängig sind.

Wenn Whatsapp seine Verschlüsslung wieder abschafft hat man keine Möglichkeit, außer es zu akzeptieren oder alle Kontakte zu überzeugen mit zu einer anderen App umzuziehen. Wenn Signal plötzlich eine viel zu hohe monatliche Gebühr haben möchte, wird man wohl oder übel zahlen müssen. Wenn Telegram aufhört ihren Server anzubieten ist man von heute auf morgen nicht mehr erreichbar.

Die Probleme betreffen nicht nur die drei Apps, sondern fast alle Messenger. Daher braucht es eine dezentrale Lösung, die nicht von einer einzelnen Firma abhängig ist.

Dezentral heißt, dass es wie E-Mail funktioniert. Von einer Googlemail-Adresse aus lassen sich GMX-Nutzer erreichen und wenn GMX zu macht muss jemand der seine Adresse bei posteo hat nur die neuen Adressen seiner Kontakte bei GMX erfahren und nicht das ganze Adressbuch abklappern.

Für einen Messenger heißt das:

  • Unabhängigkeit von einem Anbieter. Es gibt mehr als einen Service den man mit der gleichen App nutzen kann.
  • Unabhängigkeit von den Anbietern anderer. Jeder kann sich einen Dienst aussuchen und Leute bei anderen Diensten erreichen.
  • Unabhängigkeit von einem Programm. Jeder kann sich ein Programm aussuchen mit dem er chattet ohne dass andere das gleiche benutzen müssen.

Für die Technikbegeisterten kommt noch der Punkt dazu, dass sie die Möglichkeit haben für sich und ihre Freunde selber einen solchen Dienst zu betreiben und in den Quelltext von den Programmen, Apps und auch Serverdiensten reinsehen zu können.

Die Empfehlung: Jabber (XMPP)

Eine solches Chatsystem gibt es schon und es existiert sogar länger als WhatsApp schon: Jabber.

XMPP ist dabei das verwendete "Protokoll", also die Art wie verschiedene Jabberprogramme miteinander Nachrichten austauschen.

Unabhängigkeit vom Anbieter: Es gibt eine lange Liste von kostenlos nutzbaren XMPP Servern. Dazu gibt es auch eine Liste, welche optionalen Funktionen von welchem Anbieter unterstützt werden. Technikfreaks können selber einen betreiben.

Unabhängigkeit von den Anbietern anderer: Eine XMPP-Adresse sieht aus wie eine E-Mailadresse und enthält damit den Anbieter hinter dem @ Zeichen, sodass man ihn nicht getrennt mitteilen muss. Einfach die Adresse zur Kontaktliste hinzufügen und loschatten.

Unabhängigkeit von einem Programm: Es gibt viele verschiedene XMPP Programme und Apps. Jedes davon kann mit allen anderen chatten, ohne dass man überhaupt wissen muss, welche App die anderen benutzen.

Die Programme und Apps dazu

Zunächst muss man sich einen Server aussuchen aus einer der Listen (oder durch eigene Suche oder Empfehlung von jemand anders):

Kriterien können dabei sein:

  • Der Servername, der Teil der Adresse wird als meinnickname@servername,
  • die Sicherheit (siehe insbesondere den ersten Link),
  • die unterstützten zusätzlichen Funktionn (siehe zweiter Link)
  • und ob der Nickname auf dem ausgesuchten Server noch nicht vergeben ist.

In den meisten Programmen wird bei der Einrichtung gefragt ob man einen Account anlegen will und man kann sich eine Adresse meinnickname@servername einfach ausdenken, wobei servername die Adresse von einem der Anbieter aus den Listen ist. Ist die Adresse schon vergeben, bekommt man eine Meldung und kann sich eine andere aussuchen.

Nach dem Server muss man sich ein Programm aussuchen. Wie erwähnt gibt es viele Programme und Apps aus denen man sich eine aussuchen kann. Es lohnt sich auch sich verschiedene Apps anzusehen, welche einem am besten gefällt.

Bei der Auswahl der Programme sollte man darauf achten, dass diese auch Verschlüsslung unterstützen. Das erkennt man an den Funktionen "OMEMO" oder "OTR", wobei OMEMO die bessere Technik ist.

Hier sind meine Empfehlungen:

Für Android ist Conversations eine sehr gute App.

Auf dem PC ist gajim zu empfehlen. Hier muss "OMEMO" noch in der Liste der Plugins aktiviert werden.

Für iPhone oder iPad empfehle ich ChatSecure, was seit kurzem auch OMEMO kann und damit eine moderne Verschlüsslung hat.

Hinweis: Bei der Einrichtung von Conversations wird einem vorgeschlagen, ob man den Dienst conversations.im benutzen möchte. Dieser kostet nach den ersten 6 Monaten 8 Euro pro Jahr, hat dafür aber auch Unterstützung für alle optionalen Funktionen. Wer einen kostenlosen Dienst möchte kann beim Einrichten selber einen Server aus den Listen oben angeben, statt den vorgeschlagenen conversations.im Server zu verwenden.

Anmerkungen, Anregungen, Kommentare?

Ich habe im Text an einigen Stellen absichtlich die von Whatsapp vereinfachten Bezeichnungen für ein paar Dinge benutzt, damit der Text für Nutzer von WhatsApp verständlicher wird. Ich bitte die Technikfreaks das zu entschuldigen ;-).

Ergänzungen willkommen, die E-Mailadresse steht rechts in der Seitenleiste. Ich werde den Artikel ggf. noch noch um weitere Dinge zum Whatsapp-Problem erweitern, aber die wichtigste Empfehlung bleibt:

Nutzt XMPP, denn es ist eins der wenigen Chatsysteme bei denen ihr euch nicht von einem Anbieter abhängig macht.

Kategorien Software Datenschutz Sicherheit OpenSource Verschlüsslung
Tagged gajim chatSecure Conversations WhatsApp XMPP Jabber Telegram Threema Signal SignalApp Sicherheitslücke Backdoor Bug
Mobil qrcode zeigen

0 Kommentare

Jan. 1, 2017

Links (121)

Kategorien Links
Tagged Piraten Abschied Fakenews Duschangelegenheiten git Github macster DS_Store Schnieptröte Restart Jacob Appelbaum Appelbaum ballot voting Wahlen Chemtrails Flugzeuge Datenblumen Frauen women IoT Internet of Things Amazon Echo echo Amazon
Mobil qrcode zeigen

0 Kommentare