Sie sind hier: Startseite Blog

Blog

Passwort-Richtlinien bei DHL vergrätzen User

Ein richtig schlechtes Beispiel für Passwort-Richtlinien für Endkunden gibt es bei den Packstationen. Und die deuten auf Sicherheitsprobleme im Hintergrund hin und behindern Sicherheitsbewusste.

Ja, Passwort-Richtlinien solle dafür sorgen, dass die Passwörter sicher sind. Und ja, es ist gut, wenn ein Unternehmen nur "sichere" Passwörter zulässt.

Ein Beispiel, wie man es nicht machen soll, liefert dagegen die Deutsche Post mit ihrer Marke DHL und der Packstation. Wer sich unter paket.de anmelden will, wird mit folgender Passwort-Richtlinie drangsaliert (siehe Bild):

  • Mindestens 8 Zeichen
  • Maximal 13 Zeichen
  • Gültige Zeichen (Buchstaben, Zahlen, !§&/()=?*+-_)
  • Mindestens einen Groß und Kleinbuchstaben
  • Mindestens eine Zahl (nicht am Anfang)

Das klingt erst einmal gut, treibt aber diejenigen in den Wahnsinn, die einen Passwort-Manager verwenden und sich damit Passwörter erzeugen lassen:

  • Weshalb maximal 13 Zeichen? Längere Passwörter sind bekanntermaßen sicherer. Und wenn das Passwort als Hash gespeichert wird – wie es Stand der Technik ist –, dann ist die Eingabelänge ziemlich egal. Bei mir entsteht so der Eindruck, dass das Passwort womöglich nicht als Hash gespeichert wird, sondern nur verschleiert oder gar im Klartext. das wäre peinlich!
  • Weshalb sind so wenige Sonderzeichen zulässig? Wenn nur Umlaute verboten währen, könnten ich das noch einigermaßen verstehen (aber auch nicht wirklich), denn damit könnte es Encoding-Probleme geben. Aber dass noch nicht einmal der Zeichenvorrat von ASCII erlaubt ist, ist eine unnötige Einschränkung. Hier habe ich den Eindruck, dass die Entwickler ihrer Software nicht trauen.
  • Weshalb darf die Zahl nicht an Anfang stehen? Das verhindert zwar simple Passwörter wie "7Zwerge", aber nicht das ebenso simple "Zwerge7". Meine Einschätzung dazu: ziemlich unsinnig.

Fazit: Sicherheitsvorgaben sind sinnvoll, keine Frage. Allerdings dürfen sie den Benutzern nicht über Gebühr im Wege stehen. Wenn man sich – wie bei dieser DHL-Seite – wegen der schrägen Passwortvorgaben zig-mal ein neues Passwort überlegen muss, bis es endlich akzeptiert wird, verlieren Viele die Lust und wählen dann halt eine simplere und unsicherere Variante. "Zwerge7x" wäre eine.

P.S.: keepass kommt bei dieser Passwort-Regel auf gerade mal 81 Bit Entropie.

21.11.2013 15:04

I found a severe parsing error in nanoxml

nanoxml is a well know and widespread XML parser. Eleven years after the last release I fixed a severe parsing error.

17.11.2013 14:55

Universal Surveillance Justification Generator

Erzeugt Begründungen, egal für welche Überwachungsmasche

15.11.2013 15:32

PGP für Mails nutzen

Nachdem ich nun schon ein paar mal gefragt wurde, wie man denn einen PGP-Key erzeugt und wie man das für Outlook bzw. Thunderbird installiert, hier der Versuch einer Antwort.

Thunderbird unter Linux:

  1. Über die Paketverwaltung der Distribution das Paket "thunderbird-enigmail" installieren (der Name ist evtl. ein anderer, wichtig ist "enigmail"). Die benötigte Software (insb. gnupg) wird automatisch mit installiert.
  2. Thunderbird starten und nach dieser Anleitung ein Schlüsselpaar erzeugen, innerhalb Thunderbird.. Wer GUI-Tools außerhalb Thunderbird nutzen will: Ich kenne kgpg und kleopatra.
  3. Schlüssel auf einem Key-Server veröffentlichen: Per Rechtsklick auf den Schlüssel und dann "Auf Schlüsselserver hochladen ..."
  4. Weiter Tipps unter http://www.thunderbird-mail.de/wiki/Enigmail_OpenPGP


Thunderbird unter Windows:

  1. http://www.gpg4win.org/ manuell installieren. Wer eine schlanke Installation möchte: es wird nur die Hauptkomponente benötigt.
  2. Enigmail in Thunderbird über den Add-ons-Manager installieren.
  3. Nach dieser Anleitung ein Schlüsselpaar erzeugen, innerhalb Thunderbird.
  4. Schlüssel auf einem Key-Server veröffentlichen: Per Rechtsklick auf den Schlüssel und dann "Auf Schlüsselserver hochladen ..."
  5. Weiter Tipps unter https://www.enigmail.net/documentation/quickstart-ch1.php#id2532629 und http://www.thunderbird-mail.de/wiki/Enigmail_OpenPGP


Outlook unter Windows

  1. http://www.gpg4win.org/ manuell installieren. Das Outlook-Plugin GpgOL muss mit installiert werden.
  2. Nach dieser Anleitung ein Schlüsselpaar erzeugen, mit dem Tool "Kleopatra".
  3. Schlüssel auf einem Key-Server veröffentlichen: http://gpg4win.de/handbuecher/einsteiger_9.html
  4. "Das mitgelieferte Outlook-Plugin GpgOL ermöglicht E-Mails direkt in Microsoft Outlook zu signieren und zu verschlüsseln." Wie genau möge bitte jemand anderes ergänzen.

Wem diese Stichpunkte nicht genügen, dem hilft vielleicht http://digitalcourage.de/support/digitale-selbstverteidigung weiter.

14.11.2013 21:25

Unternehmer gegen Vorratsdatenspeicherung

CDU/CSU und SPD verhandeln über eine Große Koalition. Da musste ich als Unternehmer Stellung beziehen – vor Ort, mit den Freunden von digitalcourage.

31.10.2013 21:00

Quelltext für Tolino Shine

Beinahe hätte ich eine Kampagne gegen den deutschen Buchhandel lostreten müssen. Aber nach zwei Monaten habe ich den Kernel für den e-Book-Reader "tolino shine" doch noch offiziell bekommen.

Den Slogan hatte ich mir schon ausgedacht: "Deutscher Buchhandel missachtet Urheberrecht".

Nun brauche ich den doch nicht, denn der Source wurde inzwischen veröffentlicht – allerdings gut versteckt unter "Technische Daten".

23.10.2013 19:35

Wir lassen uns nicht länger bespitzeln!

Edward Snowden hat enthüllt, in welch gigantischem Ausmaß deutsche und US-Geheimdienste uns bespitzeln. Doch Bundeskanzlerin Angela Merkel versucht seit Wochen, den Skandal auszusitzen und weigert ...

Ich habe gerade einen Appell für eine wirksame Kontrolle der Geheimdienste unterschrieben. Unterzeichne auch Du den Appell von Campact!

Die Kampagne von Campact. wird unter anderem unterstützt von FIfFdigitalcourage e.V. und DVD - Deutsche Vereinigung für Datenschutz e.V. Bitte unterstützen Sie den Appell - für umfassende Aufklärung über die weltweite Datenausspähung und klare Konsequenzen daraus!

Weitere Hintergründe im 5-Minuten-Info...

21.10.2013 22:44

Sag Nein zum Routerzwang

Immer mehr Provider untersagen, beliebigen Router verwenden zu dürfen. Nach einem Workshop im Juni bittet die Bundesnetzagentur nun um Stellungnahme. Hier ist meine Stellungnahme dazu.

Wer auch eine schicken möchte:

 

Sehr geehrte Damen und Herren,

ich bin freiberuflicher Berater für IT-Sicherheit. In meinen Büro- und Privatanschlüssen werden nur Anschlüsse zum Einsatz kommen, die dem

Modell A: Netzzugangsschnittstelle vor dem Leistungsabschlussgerät

entsprechen.

Denn mein Unternehmen muss die Hoheit über die Netzgrenze haben. Aus mehreren Gründen:

  • Unsere Kunden fordern, dass wir unser Netzwerk schützen. Sollte wir gezwungen sein, ein Endgeräte eines TK-Anbieters bei uns zu installieren, so müssten wir dahinter ein zweites Geräte installieren, über das wir die Hoheit haben. Jedes weitere Geräte bedeutet aber nicht nur höheren Strombedarf, sondern auch *höheres Ausfallwahrscheinlichkeit* des Gesamtsystems.
  • Wir könnten keine Vorsorge mehr treffen gegen Hardwareausfall. Wenn der Router/Modem des TK-Anbieters kaputt geht, sind müssten wir warten, bin dieser sich bequemt, Ersatz zu liefern. Nur mit einem Router, den wir unter unserer Hoheit haben, können wir ein Ersatzgerät vorhalten und binnen Minuten einbauen.
  • Als High-tech-IT-Unternehmen können wir uns nicht abhängig machen von Technik-Entscheidungen, die ein TK-Anbieter trifft. Beispielsweise könnte der TK-Anbieter entscheiden, zwangsweise NAT zu aktivieren, oder bestimmte Protokolle zu filtern Damit könnten wir aber einen Großteil unserer Tätigkeiten nicht mehr durchführen. Selbst wenn der Anbieter heute zusagt, dies nicht zu tun, würde ein Router unter seiner Hoheit ermöglichen, dies von heute auf morgen umzustellen -- ohne Chance für uns, Vorsorge zu treffen.

Zudem gibt es einige Marktpolitische Gründe gegen den "Routerzwang":

  • Ein "Routerzwang" würde zudem zu einer Marktverzerrung führen: Nicht mehr die Anschlussnehmer entscheiden, welche Features sie haben sollen, sondern der TK-Anbieter. Der Anschlussnehmer müsste doppelt zahlen: das Gerät des TK-Anbeiters und das, das die gewünschten Features bietet. Denn das Gerät des TK-Anbieters ist ja nicht geschenkt.
  • Ein "Routerzwang" würde TK-Anbietern die Möglichkeit geben, proprietäre, nicht standard-konforme Übertragungsprotokolle zu nutzen. das wiederum könnte Auswirkungen auf die anderen Teilnehmer an der gleichen Leitung haben (ähnlich wie jetzt bereits DSL-Vektoring) und anderenn Anbietern den Zungang zur Teilnehmerleitung verwehren.
  • Damit wäre der Teilnehmer womöglich *nicht mehr frei, seinen TK-Anbieter* zu wechseln. Eine Re-Monopolisierung könnte die Folge sein.

Einen Anbieter, der uns zwingt, einen Router/Modem unter dessen Hoheit anzuschließen, würde bei und aus der Auswahl fallen. Sollte unser momentaner Anbieter dies zukünftig verlangen, würden wir wechseln.

Schönen Gruß
Hartmut Goebel

06.10.2013 19:28

TrustCenter.de nimmt es mit der Sicherheit nicht mehr so genau

Passwörter im Klartext und unnötige Daten sammeln

Früher konnte man bei TrustCenter.de ohne großen Aufwand ein Zertifikat erstellen, das die Gültigkeit der E-mail-Adresse bestätigt. Das ist völlig ausreichend, um E-mails verschlüsselt zu verschicken und empfangen.

Heute nun ist mein Zertifikat abgelaufen und ich benötige ein neues. Ich habe mich entschieden, zur Abwechslung mal wieder eine Zertifikat von "TC Trustcenter" zu nehmen. Immerhin hat die Firma ihren Sitz in Deutschland.

tc-trustcenter-2013-1.pngVon TC Trustcenter war ich abgekommen, weil sie zu viele Daten haben wollen, um ein simples Zertifikat nur auf die E-mail-Adresse zu erstellen. Ich hatte mich damals sogar beim Hamburger Datenschutzbeauftragten beschwert, der auch nachgefragt hat.TC Trustcenter hat dann anscheinend irgendwas von "brauchen wir, um im Notfall die Zertifikatsnehmer zu kontaktieren" erzählt und der Datenschutzbeauftragte war zufrieden. Ich nicht!

Trotzdem heute ein neuer Versuch -- und ich bin leicht entsetzt!

Noch immer werden die Adresse und die Telefonnummer abgefragt – das Formular lässt sich aber mit Dummydaten (00000, - und ähnlichem) abspeisen. Aber:

tc-trustcenter-2013-2.pngDas Notfallpasswort darf nur noch 15 Zeichen lang sein und nur noch aus den Zeichen A-Z, a-z, 0-9 sowie §%&*# bestehen. Kein Unterstich, kein Bindestrich (ich habe es ausprobiert). Eine sehr eigenartige Einschränkung. Solche Einschränkungen kenne ich, wenn die Datenbank das Passwort im Klartext speichert. Denn wenn es – entsprechend dem Stand der Technik – als Hash gespeichert wird, benötigt man diese Einschränkungen nicht.

tc-trustcenter-2013-3.pngAls Sahnehäubchen: Das Passwort wird auf der Bestätigungsseite dann auch schön im Klartext angezeigt. Naja, dann kann man es wenigstens schön ausdrucken, gell?!

Nachtrag: Das Thema hat sich quasi erledigt: TC Trustcenter wird ab 31. Oktober 2013 keine Zertifikat mehr ausstellen

01.10.2013 10:44

Funktioniert Sprachausgabe inzwischen brauchbar?

Gestern habe ich mir überlegt, auch mal eine kleines Tutorial auf You-Tube zu stellen. Aber ohne meine Stimme ...

... denn ich möchte ungern einem amerikanischen Großkonzern meine Stimmmuster geben.

Darum die Frage: Funktioniert bei Sprachausgabe denn die Umsetzung von Sätzen in Sprache einigermaßen gut?

Wer damit Erfahrung hat, möge mir bitte eine Mail schicken.

Meine Versuche mit Sprachausgabe (auf dem Amiga und damit zugegeben in den 1990ern) haben völlig unbrauchbare Ergebnisse geliefert:: Statt "Ami go home" ein kam nur ein Kaugummi-artiges "Ääämei go home". Dabei kam Commodore (der Herstelelr des Amiga) aus Pennsylvania, weit weg von Texas.

13.02.2013 08:45

(0) Kommentare