Mittwoch, 5. Oktober 2011
Onkel Pauls Australientagebuch: Passwort Tuning (Gastblog von Richard Peters)
Onkel Pauls Australientagebuch: Passwort Tuning (Gastblog von Richard Peters): Mahlzeit allerseits. Ich bin derjenige, bei dem Paul untergekommen ist, in St. Kilda, nicht weit entfernt von der Bucht. Es ist gut in unse...
Passwort Tuning (Gastblog von Richard Peters)
Mahlzeit allerseits. Ich bin derjenige, bei dem Paul untergekommen ist, in St. Kilda, nicht weit entfernt von der Bucht. Es ist gut in unserem Alter jemanden um un zu haben. Wir kennen uns vom deutschen Club Tivoli, wo ich auch Anderen helfe, mit ihren Computern klar zu kommen.
Um das Thema, mit-Computern-klarkommen geht es heute auch. Ist eigentlich mal jemandem aufgefallen wofür man alles Passworter braucht? Heute schon wieder: Ich will mich an einer Forumsdiskussion beteiligen - schwupps, soll ich mich schon wieder registrieren.
Aber, was kann ein Sterblicher im Zeitalter des fortgeschrittenen Hackings eigentlich tun, um seine Daten wirklich zu schützen?
Ich werde mir nicht schon wieder ein neues Passwort ausdenken. Mein Passwort wird auch niemals einen Mix aus Buchstaben, Nummern und Symbolen enthalten. Mein Passwort bleibt so, wie es schon immer war – vielleicht um eine Nummer ergänzt, wenn erforderlich. Aber diese Nummer wird immer null sein. So wichtig es auch für anderer Leute Website ist, dass mein Passwort so toll ist, dass es andere Passwörter auf einer Passwörter-Cocktailparty beeindrucken kann, bleibt es für mich am wichtigsten, dass ich mir mein Passwort merken kann. Wenn ich ein Ass darin wäre, mir irgendwelche bedeutungslosen Informationsschnipsel zu merken, wäre ich mit meinem Talent längst in einer Quizshow aufgetreten. Kann ich aber nicht und bin ich deshalb auch nicht.
Ich benutze ein und das selbe Passwort für jedes Website, an dem ich mich anmelde. Als ich kürzlich mein Passwort verwendet habe, um es am Website der Gibsons Research Corporation testen zu lassen, wurde ich darüber informiert, dass es im Rahmen eines Hackerangriffs in knappen 37,61 Sekunden geknackt werden würde. Ich glaube aber eher, jetzt, wo ich mein Passwort für den Test preisgegeben habe, geht es noch viel schneller.
Ich bin mir durchaus bewusst, dass es in der nahen Vergangenheit eine Reihe and Cyberattacken gegeben hat in denen riesige Mengen an Passwörtern gestohlen wurden. Im Juni veröffentlichte die Cyber Hacking Gruppe LulzSec (Motto: Lacht seit 2011 ueber Ihre Sicherheitseinstellungen) Namen, Emailadressen, Passwörter, Geburtstage und Anschriften von über 37000 Sonykunden. Im Dezember letzten Jahres hat eine Gruppe mit dem Namen Gnosis mehr als 200000 Emailadressen und Passwörter von registrierten Benutzern des Gawker Websites veröffentlicht.
Jedoch, immer wenn Sicherheitsprobleme dieser Güte sich auftun, sind die Experten schnell zur Hand um die Opfer als Schuldige zu entlarven. Sie behaupten, wir handeln wie Neanderthaler, wenn wir uns Passwörter ausdenken, die nur Kleinbuchstaben und Nummern enthalten. Jede zurückgebliebene Auster könne solch ein Passwort knacken. Leute, die sich mit der Sicherheit von Websites beschäftigen glauben, dass die Vernunft es gebietet, dass alle Welt sich für jede Anmeldung ein anderes Passwort ausdenkt und sich diese alle auch merken kann. Weiterhin wird erwartet, dass Passwörter alle paar Monate überarbeitet (upgedatet) werden, dass dabei kyrillische Buchstaben verwendet werden und dass keines der vielen Passwörter Rückschluesse auf unser Leben oder die Art wie wir denken zulässt. Und warum ist das alles so? Weil Sicherheitsexperten Nerds sind. Aus reinem Spass an der Freud merken Nerds sich die Namen der Monde von Tatooine. Vom wahren Leben haben sie aber keine Ahnung. Sie kommen nicht mal drauf, sich auszumalen, wie es wohl ist, wenn ihre Mutter irgendwann stirbt und sie jedes mal im Falle einer Sicherheitsabfrage bei der Registrierung heiter nach dem Mächennamen ihrer Mutter gefragt werden.
Ein weiteres Problem ist, dass das meiste wofür nach einem Passwort gefragt wird die Mühe überhaupt nicht lohnt. Ich sehe z.B. keinen Grund dafür, mir irgendeinen kryptischen Strang aus Symbolen zu merken, bloss um mir Alternativ Country Musik auf Pandora anzuhören oder um mir die neuesten Tweets von Justin Bieber durchzulesen.
Um meinem Frust über den Passwort-Overkill Luft zu machen habe ich mich an Diana Smetters vom Google Sicherheitsteam gewand. Sie hat mir erklärt, dass sie ein simples System für ihre eigenen Passwörter hat. Sie schreibt sich diejenigen Passwörter auf, die sie nicht regelmässig nutzt und schliesst sie in einen Feuergeschützten Safe in ihrem Haus ein. Ehrlich gesagt kann mir nichts tragischeres ausmalen als jemanden dem das Haus inklusiver seiner gesamten Habe über dem Kopf abbrennt und diesem Jemand fällt dazu nichts besseres ein als, “naja, macht nichts, zum Glück kann ich sicher sein, dass meine Internet Passwörter überlebt haben”.
Frau Smetters hat einen Doktor der Philosophie auf dem Spezialgebiet der Computationalen Neurowissenschaften (zwei eindrucksvolle Begriffe, die sich für mich auf den ersten Blick gegenseitig ausklammern) und einen eigenen Algorithmus anhand dessen sie ihre Passwörter zusammenstellt. Ihr Vorschlag war, dass ich mir ein Wort suche - sowas wie Fussball - und einen beliebigen Buchstabe gross schreibe (sowas wie “fussBall”) und dann ein Ausrufungszeichen ans Ende setze (also “fussBall!”). Dann sollte ich das erste Wort oder den ersten Satz anhängen, an den ich denke, wenn ich Einlass zu einem speziellen Website begehre. Also habe ich mir für meinen Online-Banking-Zugang das Passwort “fussBall!HierWirdManAuchNurVerarscht” ausgedacht.
Frau Smetters hat einen Doktor der Philosophie auf dem Spezialgebiet der Computationalen Neurowissenschaften (zwei eindrucksvolle Begriffe, die sich für mich auf den ersten Blick gegenseitig ausklammern) und einen eigenen Algorithmus anhand dessen sie ihre Passwörter zusammenstellt. Ihr Vorschlag war, dass ich mir ein Wort suche - sowas wie Fussball - und einen beliebigen Buchstabe gross schreibe (sowas wie “fussBall”) und dann ein Ausrufungszeichen ans Ende setze (also “fussBall!”). Dann sollte ich das erste Wort oder den ersten Satz anhängen, an den ich denke, wenn ich Einlass zu einem speziellen Website begehre. Also habe ich mir für meinen Online-Banking-Zugang das Passwort “fussBall!HierWirdManAuchNurVerarscht” ausgedacht.
Aber das ist ziemlich einfach nachzuvollziehen. Also habe ich mich an Kevin Mitnick gewendet.
Herr Mitnick ist ein etwas grösseres Kaliber. Er führt ein Sicherheitsberatungsunternehmen, nachdem er fünf Jahe in Haft verbracht hat für Hacking Attacken. Er schlug vor, dass ich vier Selbstlaute aufschreiben sollte, von vier Mitlauten unterbrochen. Das Ergebnis könne man sich sehr einfach einprägen – “ixulatev” – hallo? Bin ich Klingone oder was? Die einzig sinnvolle Anwendung die mir für dieses System einfällt, ist damit Namen für verschreibungspflichtige Medikamente zu erfinden. Herr Mitnick ergänzte noch zu seinen Ausführungen, dass es viele Leute gibt die ihre Initialen vor ein Wort setzen, das sie beschreibt. Ich schlug deshalb “rpSteinalt!” vor. Wir unterhielten uns noch weitere fünf Minuten in denen er ohne mein bewusstes zutun meinen Geburtstag, meine Sozialversicherungsnummer, meine Adresse und den Mädchennamen meiner Mutter herausgefunden hatte. Die Konversation mit Herrn Mitnick hatte etwas beunruhigendes, als ob er noch mehr über mich wüsste. Sehr private Dinge eben, aber ich hatte auch das Gefühl, dass er davon nicht sonderlich beeindruckt war.
Herr Mitnick schlug mir zum Ende des Gesprächs noch vor, mich beim zweistufigen Google Anmeldeprozess zu registrieren. Ich könnte diese Anmeldung für eine Vielzahl von anderen Websites anwenden. Irgendwas mit einem Prozess zu dem es gehört, ein Foto von einem Barcode auf meine Bildschirm, mit meinem Mobiltelefon zu fotografieren oder so...
Ich muss sagen, das scheint ein wirklich effektives Sicherheitssystem zu sein – selbst, nachdem ich mir ein Video darüber zum wiederholten Male angesehen habe, verstehe ich immer noch kein Wort. Aber keine Frage, im Grossen und Ganzen fühle mich schon sehr viel sicherer, aber ich befürchte auch, dass ich mich auf einen sehr beschwerlichen Weg begeben habe, an dessen Ende die Anschaffung einer feuersicheren Safes steht.
Schönen Gruss soll ich noch von Paul ausrichten. Der ist nächsten Monat wieder dabei.
Richard
Ich muss sagen, das scheint ein wirklich effektives Sicherheitssystem zu sein – selbst, nachdem ich mir ein Video darüber zum wiederholten Male angesehen habe, verstehe ich immer noch kein Wort. Aber keine Frage, im Grossen und Ganzen fühle mich schon sehr viel sicherer, aber ich befürchte auch, dass ich mich auf einen sehr beschwerlichen Weg begeben habe, an dessen Ende die Anschaffung einer feuersicheren Safes steht.
Schönen Gruss soll ich noch von Paul ausrichten. Der ist nächsten Monat wieder dabei.
Richard
Abonnieren
Kommentare (Atom)