StartseiteAstrodicticum Simplex

Mein Weg zu mehr Sicherheit am Computer

Von / 1. Oktober 2015 / 41 Kommentare / Seite 2 von 4 / Auf einer Seite lesen
Mehr

Der Argumentation und ihrer Erklärung kann ich gut folgen. Ich möchte keine Passwortverwaltung mit kryptischen Passwörtern verwenden, weil ich auf vielen unterschiedlichen Systemen unterwegs bin und nicht auf einer Smartphonetastatur die Sonderzeichen suchen möchte. Ich entscheide mich also für die Methode von XKCD. Damit das Merken der Passwörter nicht zu schwierig wird, verzichte ich auf ein wenig Sicherheit und verpasse meinen Passwörtern ein System (ja, ich beschreibe hier nur ein ähnliches System, nicht meines): Ich lege Kategorien für die vier im Beispiel genutzten Wörter fest, z. B. bekanntes Gebäude/etwas an das mich der Dienst erinnert/Automarke/Land. Ein Problem bei dieser Methode ist, dass viele Webseiten und Dienste nach Zahlen und/oder Sonderzeichen verlangen. Hier streue ich dann an unterschiedlichen Stellen solche Zeichen ein.
Man soll ja für jeden Service ein eigenes Passwort benutzen. Das führt schnell zu einer riesigen Menge an Wortkombinationen, gegen die mein schwaches Hirn vermutlich nicht ankommen wird. Ich verzichte also auf noch ein wenig Sicherheit: Bei unkritischen Diensten (Hobbyforum, Flashgames…) werde ich jeweils nur das zweite Wort tauschen und drei gleich lassen. Zudem werde ich die Passwörter in einer verschlüsselten Datei ablegen. Das führt mich direkt zur zweiten Baustelle…

Dateiverschlüsselung
“Ich habe ja nichts zu verbergen!”, ist ein Argument, das man häufig hört, wenn es um Verschlüsselung geht. Ein paar Gegenargumente findet man z. B. bei den Piraten. Das Thema darf aber auch gerne in den Kommentaren diskutiert werden.
Egal, ob ich nun etwas zu verbergen habe oder nicht, zumindest meine Passwörter möchte ich nicht im Klartext ablegen (personenbezogene Daten mit denen ich im Beruf zu tun habe, möchte ich dann in Zukunft auch verschlüsselt speichern).
Also auf ins Netz und nach Datei- bzw. Laufwerksverschlüsselung gesucht. Dabei ist es nicht möglich, an TrueCrypt vorbeizukommen. Allerdings gab es da ja diesen Vorfall, dass die Entwickler so plötzlich die Entwicklung eingestellt haben. Ich entscheide mich auf dem PC für VeraCrypt einen freien Fork von TrueCrypt.
Um das Aufwand-Nutzen-Verhältnis nicht zu sehr zu strapazieren, entscheide ich mir vorerst dafür, mir “nur” verschlüsselte Container anzulegen und noch nicht ein ganzes Laufwerk bzw. sogar das ganze Betriebssystem zu verschlüsseln. Ich nehme auch kein verstecktes Volume, da ich die “glaubhafte Abstreitbarkeit” in meiner Position nicht für mich zu benötigen glaube.

Ich lade also den Installer herunter und lege los. Als Dateinamen kann man sich übrigens irgendetwas ausdenken, um so die Datei ein wenig zu tarnen. Für die Verschlüsselung wähle ich AES und SHA-512. Irgendwann kommt die Stelle, an der man das Passwort für den verschlüsselten Container eingeben soll. Frustriert stelle ich fest, dass VeraCrypt empfiehlt, keine zusammengesetzten Begriffe aus Wörterbüchern zu nehmen. Ich bleibe bei meinem System und streue Ziffern und Sonderzeichen ein. Jetzt kommt der lustigste Teil: Um Zufallszahlen zu generieren, bewegt man die Maus im Programmfenster hin und her; Achtung, man muss irgendwann auch auf “weiter” klicken. Jetzt kann man sich im Hauptfenster einen Laufwerksbuchstaben aussuchen und kann das Laufwerk “mounten” (verbinden). Dieses Verbinden dauert ein paar Sekunden, danach kann man wirklich wie mit einem normalen Laufwerk arbeiten. Achtung: Solange das Laufwerk verbunden ist, kann jeder, der am laufenden System sitzt, auf die Dateien im Container zugreifen. Man sollte also den Computer sperren, wenn man den Platz verlässt bzw. den Container schließen, wenn man ihn nicht mehr braucht. Für Android gibt es eine kostenpflichtige App, die VeraCrypt-Container unterstützt: EDS von sovworks.

Zweite Ernüchterung
Man sollte so eine Aktion nicht am Arbeitsplatz kurz vor dem Wochenende starten!
Ich komme am Montag an meinen Rechner und möchte die Mailverschlüsselung (zu der ich gleich komme) in Betrieb nehmen. Bitte geben Sie das Passwort ein … Falsches Passwort! Oh je! Naja, ich habe die Passwörter in dem verschlüsselten Container abgelegt. Ich starte, mounte… Bitte geben Sie das Passwort ein … Falsches Passwort! Vielleicht eine Fehleingabe? Habe ich einen der Begriffe vertauscht? Nach einer Viertelstunde Ausprobieren habe ich dann alle Passwörter und Begriffe, an die ich mich noch erinnerte, auf einen Zettel geschrieben und systematisch alle Variationen ausprobiert. Nach einer weiteren Viertelstunde hatte ich es dann geschafft (Keine Angst, den Zettel habe ich verbrannt und die Asche in einer zufällig vorhandenen Pfütze zermatscht. Vielleicht sollte ich noch einmal an dem System arbeiten?

1 / 2 / 3 / 4
Stichworte: , , ,
Mehr

Kommentare (41)

  1. #1 JoergHH
    1. Oktober 2015

    Für die Verschlüsselung von kompletten Partitionen über Veracrypt ist ein Neuaufsetzen des Rechners nicht notwendig. Dies ist “on-the-fly” möglich: https://veracrypt.codeplex.com/wikipage?title=System%20Encryption

    Zur Sicherheit würde ich aber vorher ein Image-Backup des kompletten Rechner durchführen, damit man im Falle, dass was schief geht, eine Rückfallmöglichkeit hat.

  2. #2 jochen
    1. Oktober 2015

    Das Problem mit den Sonderzeichen und Groß, Kleinschreibung bei Passwörtern kann man lösen, indem man “1!Q” oder eine ähnlich Kombination ganz am Anfang seines Passwort steckt:
    “1!Qpferdbatteriastapel”
    Ich selber verschlüssel meinen PC nicht. Da ist das Problem nur, wenn bei mir eingebrochen wird. Dann habe ich aber andere Sorgen.
    Mein Android Handy möchte ich gerne Verschlüsseln, habe es aber noch nicht gemacht, da mir noch keiner meine Frage beantworten konnte:
    Ist es möglich, das Handy auf folgende Art zu verschlüsseln:
    1.) Beim Starten des Handys muss ich das lange Passwort eingeben.
    2.) Wenn mein Handy läuft, aber gesperrt ist, reicht eine 4 Stellige Nummer um es zu entsperren
    3.) Wird diese Nummer einmal (oder dreimal) falsch eingeben, muss ich das lange Passwort eingeben, um es zu entsperren.

  3. #3 Crazee
    1. Oktober 2015

    @jochen: 1!Q So habe ich das bisher auch gemacht, wäre aber z. B. für Keylogger/unverschlüsselten Datenverkehr wieder ein Anzeichen für “Achtung! Es folgt ein Passwort”.

  4. #4 JoergHH
    1. Oktober 2015

    @jochen:

    Die vollständiger Verschlüsselung eines Android Smartphones hängt sowohl von der Android Version als auch vom Smartphone Typ ab. Manche Hersteller kochen dabei ihr eigenes Süppchen.

    Ich kann Dir daher nur beschränkt auf mein eigenes Smartphone vom Typ Sony Xperia Z3 antworten, wobei ich das Smartphone selbst bisher nicht verschlüsselt habe, sondern nur eine PIN für die Bildschirmsperre einsetze:

    Zu 1): Was meinst Du mit “langes Passwort”? Ich muss nach dem Start zunächst die PIN der SIM-Karte und danach die selbstgewählte PIN der Bildschirmsperre eingeben.

    Zu 2): Ja, ich kann aber durchaus eine längere PIN als nur 4 Ziffern für die Bildschirmsperre definieren.

    Zu 3): Hab ich noch nicht getestet. Aber nochmal: Was meinst Du mit “langes Passwort”?

  5. #5 Barbaz
    1. Oktober 2015

    Sehr guter Artikel. Verschlüsselung muss Standard werden, nicht etwas was nur Nerds machen. Artikel wie dieser können helfen die Einstiegshürde zu verringern.

    Ein Thema hast du aber vergessen: Schutz des Internet-Verkehrs. Hierfür gibt es verschiedene gute Browserplugins für alle wichtigen Browser.
    HTTPS Everywhere versucht automatisch verschlüsselte Verbindungen herzustellen.
    Perspectives für Firefox versucht SSL-Zertifikate unabhängig zu überprüfen.
    Ghostery verhindert dass Google und Facebook dein komplettes Surfverhalten kennen.

  6. #6 jochen
    1. Oktober 2015

    @JoergHH
    Danke für die Antwort. Ich besitze derzeit auch ein Sony Xperia Z3. Langes Passwort ist für mich so 12-16 Zeichen, inkl. Sonderzeichen und Zahlen. Dies bei jedem entsperren einzugeben wäre mir zu nervig. Aber da mein Handy meistens an ist, würde keine Sperre das Verschlüsseln unsinnig machen. Daher dachte ich an sowas wie vier Zahlen.
    Wenn ich mir die Handys in meiner Familie anschaue, kann man am Handy sehr leicht erkennen, welche Muster/Zeichen zum Entsperren genutzt werden. Daher möchte ich gerne angeben können, wie oft man das Entsperren mit den 4 Zahlen machen kann, bis diese 4 Zahlen ungültig sind.

    @Crazee
    Danke, guter Hinweis. Aber kann man aus dem Datenverkehr/Keyloggen nicht eh einsehen, wann ich ein Passwort eingebe:
    Website –> Username –> Passwort
    müßte man doch einfach aus einem Keylogger extrahieren können.

  7. #7 mathias
    1. Oktober 2015

    @JoergHH
    “Langes Passwort” bedeutet, dass Einbruchsversuche mit “brute force” Millionen von Jahren dauern würden. 4096 Bit oder so, wie im xkcd Cartoon des Artikels. Wären dann, wenn ich richtig gerechnet habe 32 ASCI-Zeichen.
    Das ist bei der SIM-Karten PIN (nur Zahlen) ja nicht nötig, weil ja nur 3 Versuche erlaubt sind. Da reichen normalerweise 4 Zeichen bei einer Trefferwahrscheinlichkeit von 1/10000 pro Versuch.

  8. #8 Ferrer
    1. Oktober 2015

    “Ich habe ja nichts zu verbergen!”, ist ein Argument, das man häufig hört. Das Thema darf aber auch gerne in den Kommentaren diskutiert werden. Bitte:
    Ich führe gerne ein Snowden-Zitat an: “Wer nichts dagegen einzuwenden hat, dass seine Daten ausgehorcht werden, weil er nichts zu verbergen habe, ist mit demjenigen vergleichbar, der nichts gegen die Beschneidung der Redefreiheit hat, weil er nichts zu sagen habe.”

  9. #9 Crazee
    1. Oktober 2015

    @Barbaz: Danke. Und die Ergänzungen sind in der Tat hilfreich. HTTPS-Everywhere benutze ich schon, Ghostery hatte ich zumindest schon mal.

    @Ferrer: interessantes Zitat. Es gibt bei WRINT Politik in einer Folge ein schönes Beispiel, wie ein Lehrer die Sensibilität seiner Schüler zu dem Thema erhöht. Vielleicht finde ich das noch wieder.

    @Jochen/JoergHH: Eine längere SIM-Pin würde da vermutlich auch nicht helfen, weil man ja eine andere SIM einbauen könnte. Eine Software um ein Android-System zu verschlüsseln ist mir bislang noch nicht untergekommen.

    Einzelne Dateien/Ordner kann man z. B. direkt im ES-Datei-Explorer verschlüsseln.

  10. #10 JoergHH
    1. Oktober 2015

    @jochen:

    Die Wartezeit zwischen den Entsperrversuchen ist vom System vorgegeben genau so wie der Zeitpunkt der generellen Ungültigkeit der PIN/des Passworts. Ich habe aber zu beiden keine Informationen und ausprobieren möchte es derzeit nicht.

  11. #11 Withold Ch.
    1. Oktober 2015

    @ JoergHH # 1

    Zur Sicherheit würde ich aber vorher ein Image-Backup des kompletten Rechners durchführen, damit man im Falle, dass was schief geht, eine Rückfallmöglichkeit hat.

    Genau das habe ich leider unterlassen, als ich vor paar Wochen meinen alten Rechner einem “Fachmann” zur Umrüstung von Windows XP auf Windows 10 übergab. Im Nachhinein wäre ich sehr froh gewesen, wenn er mich auf diese grundlegende Sicherheitmassnahme “ultimativ” hingewiesen hätte, bevor er dann nach eineinhalb Stunden und mehreren vergeblichen Versuchen, den Rechner wieder aufzustarten, von dannen zog.

    @ Crazee

    Ich zähle mich auch zu den “relativ durchschnittlichen Computerbenutzern” und bin dankbar für die hier im Artikel anschaulich dargestellten Schritte zu mehr “Sicherheit am Computer”.

  12. #12 bikerdet
    1. Oktober 2015

    Die Jungs/ Mädels vom CCC in Hamburg gehen einen fatalistischeren Weg : Da ich weis, das ich ausspioniert werde, muss ich selber darauf achten nur Dinge mit meinem Handy zu machen, die wirklich JEDER wissen darf.

    Mir wäre es natürlich auch lieber, wenn man uns nicht ausspionieren würde, aber das wird für alle Zeiten ein Wunschtraum bleiben. Die Verschlüselungsprogramme sind ja ganz nett, aber wer garantiert eigendlich, das sie KEIN Hintertürchen für Spione haben ? Firmen sind relativ leicht beeinflussbar, besonders wenn man ihnen bei einer Verweigerung ‘Förderung des Terrorismus’ vorwerfen kann.

    Praktisch alle Firmen die Softwarelösungen verkaufen, bauen notgedrungen eine Hintertüre ein. Es geht ja immer dann was schief, wenn der normale Benutzer nicht da ist und irgendwie muss der Techniker der Softwarefirma das Programm wieder zum laufen kriegen …

    Und genauso wie die Spielecheats von Insidern (= Mitarbeitern) verraten werden, so bekommt man von den Softwarefirmen, evtl. mit mehr oder weniger Druck, auch die Passwörter für die Hintertüren.

    Wer in der heutigen Zeit noch glaubt, sicher vor Spionage zu sein, hat einfach nicht begriffen das er sobald er irgendwie in Erscheinung tritt auch Daten für die Spione liefert. Noch einfacher wird die Überwachung, wenn das Bargeld abgeschafft wird. Schweden ist gerade dabei, Kleinbeträge sollen übers Handy, größere (umgerechnet ~ 20 Euro) über Kredit- / EC-Karten bezahlt werden . Dient natürlich nur der Bekämpfung von Kriminellen. Aber dann weis ‘der Spion’ sogar wenn Du ein Eis kaufst und wann und wo …

    Nein, wir KÖNNEN nichts mehr verbergen und wir wollen es auch nicht. Lieber kostenlos und ausspioniert als langwierig und teuer bezahlt sichern Datenverkehr nutzen.

  13. #13 JoergHH
    1. Oktober 2015

    @Withold Ch.:

    Das ist bedauerlich zu hören 🙁

    Für alle:

    Bei massiven Eingriffen in das Betriebssystem empfiehlt sich IMMER und VORHER ein Backup-Image zu ziehen. Die entsprechende Software läßt sich mit den Suchbegriffen “backup image programm” ergooglen. Dabei fallen auch kostenlose Programme auf, die man i. d. R. bedenkenlos nutzen kann – besser als den Betriebszustand überhaupt nicht zu sichern sind sie allemal.

  14. #14 mathias
    1. Oktober 2015

    Imagesicherung geht ab Win7 (und Linux sowieso) ohne Extrasoftware.

  15. #15 Karl Mistelberger
    1. Oktober 2015

    > #1 JoergHH, 1. Oktober 2015
    > Zur Sicherheit würde ich aber vorher ein Image-Backup des kompletten Rechner durchführen, damit man im Falle, dass was schief geht, eine Rückfallmöglichkeit hat.

    Es hat noch nie geschadet, das Image zu überprüfen, bevor man sich darauf verlässt:

    https://de.wikipedia.org/wiki/Loop_device

    Dann ist sichergestellt, dass es auch zu etwas nütze ist, wenn man es tatsächlich brauchen sollte. 😉

  16. #16 JoergHH
    1. Oktober 2015

    @mathias:

    Frei nach Radio Eriwan: Im Prinzip ja, aber …

    Die Sicherung und Wiederherstellung eines Systemabbildes ab Windows 7 ist mitunter etwas hakelig, nicht immer zuverlässig und daher IMHO nur bedingt zu empfehlen.

    Otto Normalbenutzer ist mit einer externen Software (selbst die kostenlosen bieten vom Leistungsumfang mehr als die Windows-eigene Backup-Lösung) besser bedient.

  17. #17 schlappohr
    1. Oktober 2015

    Also, das ist mein Sicherheitskonzept:

    Meine Passwörter sind immer eine vollkommen sinn- und bedeutungslose Kombination aus den Zeichen, die die Tastatur hergibt, z.B. tZ&18%dkA+>? Ja, das ist schwer zu merken, aber nach ein paar Tagen habe ich das Passwort im Kopf. Natürlich gibt es ein Backup auf einem Zettel an einem geheimen Ort. Das ist skurril und altmodisch, genau wie mechanische Türschlösser, und die benutzt fast jeder. Die wichtigsten Passwörter werden in unregelmäßigen Abständen geändert, die unwichtigen Accounts gelöscht und bei Bedarf neu angelegt.

    Mein Android-Tablet hat keine Verbindung zum Netz. Niemals. Ich stelle gelegentlich eine Verbindung zu einem lokalen Accesspoint her, um größere Files zu kopieren. Software, die offline nicht funktioniert, kommt nicht auf das Tablet. Ich nutze das Tablet als E-Book-Reader, MP3-Player, GPS-Navi (Mit Navit+Openstreetmap), Bild- und Videoviewer und ein paar “Äppchen” für dies und das. Ich installiere nur Software, die sich vorab als apk auf dem PC speichern und dann offline installieren lässt. Damit fällt der gesamte Google Store als Softwarequelle aus (oder kennt jemand eine Möglichkeit, Packages dort herunter zu laden?) Aber es gibt genug Alternativen, und bisher habe ich für das meiste eine passende App gefunden. Zugegeben, das Tablet ist nicht gerade mein Lebensmittelpunkt. Es gibt keine Software, die ich dringend genug brauche, um dieses Prinzip zu verletzen.

    Ich bin mir allerdings nicht ganz sicher, ob das Tablet nicht doch versucht, nachhause zu telefonieren, denn eine fehlende SIM-Karte kein grundsätzliches Hindernis zum Betrieb des GSM-Transceivers. Vielleicht werde ich das einmal nachmessen.

    Abgesehen davon bekommt ein Rechner bei mir nur dann Internetzugriff, wenn mindestens eine der folgenden Bedingungen erfüllt ist:

    1. Er läuft auf Linux
    2. Er enthält keinerlei persönliche Daten
    3. Er gehört nicht mir 🙂

    Platten- und E-Mailverschlüsselung stehen auf der Todo-Liste. Die Software dazu muss *zwingend* open source sein (ein Verschlüsselungsverfahren, das nicht offengelegt ist, ist keines. Das ist gewissermaßen der erste Hauptsatz der Kryptografie). In diesem Zusammenhang, danke für den veraCrypt-Link, das kannte ich noch nicht.

    Der Wahsinn geht noch weiter: Ich verwende kein Facebook, kein Twitter und kein Whatsapp. Der Hauptgrund ist der, dass mir das Zeug einfach auf den Geist geht (Während in Syrien Kinder geschlachtet werden, bringt ein deutscher Nachrichtensender zur vollen Stunde als erstes die Meldung, dass in den USA Facebook für eine halbe Stunde nicht erreichbar war. Das mit den Kindern kam später nach dem Sport. In der Informatik nennt man das Prioritätsinversion.)

    Das hat den Vorteil, dass mich praktisch niemand kennt. Meine Mailbox ist fast immer leer, und ich kann sie ein paar Tage ungelesen liegen lassen, ohne dass sie überläuft. Ich bekomme fast nur E-Mails von Leuten, die wirklich etwas von mir wollen, z.B. mein Paypal-Passwort. Hier ist es: NICETRYBOYZ.

  18. #18 JoergHH
    1. Oktober 2015

    @Karl:

    Die meisten Software-Lösungen bieten eine Prüfroutine nach der Image-Sicherung. Das Win7/8/10-interne Backup übrigens nicht.

  19. #19 JoergHH
    1. Oktober 2015

    @schlappohr:

    Das klingt alles ein bisschen paranoid, aber wenn es Dich glücklich macht ^^

    APKs direkt aus dem Google Play Store runterladen? Bitte sehr: https://www.androidpit.com/how-to-download-apk-file-from-google-play

    Hat mich 5 Sek. Suche in Google gekostet 😉

  20. #20 Crazee
    1. Oktober 2015

    @Withold Ch.: Danke, das war mein Anliegen.

    @bikerde/schlappohr: Das würde mir in dieser extremen Lesart ein wenig zu schwer fallen.

  21. #21 Eisentor
    1. Oktober 2015

    Ein (Microsoft?) Manager hat einmal gemeint das man sich Passwörter einfach aufschreiben sollte. So doof der Rat auf den ersten Blick erscheint hat er doch einige recht sinnvolle Gedanken im Hintergrund. Bei einem notierten Passwort kann man eine wesentlich höhere Komplexität verwenden als bei einem das ich mir merken können muss. Zum anderen erfolgen die meisten Angriffe auf meine (online) Daten nicht von meinem Rechner zuhause aus.
    Natürlich sollte man Passwörter nicht so notieren.

  22. #22 schorsch
    1. Oktober 2015

    Warum sollte man für jeden Dienst ein anderes Passwort nutzen? In der realen Welt habe ich genau einen Ausweis, und es ist völlig egal, an welcher Stelle ich mich ausweise, ich lege immer genau diesen einen Ausweis vor.

    Das wäre, rein technisch betrachtet, in der virtuellen Welt ohne weiteres genauso möglich, z. B. über die eID-Funktion des Personalausweises. Dann könnte man den ganzen Passwortquatsch vergessen…

    Dienste, die auf Passwörter als Identifikationsmerkmal setzen, sind schlicht dumm, sowas ist IT-Steinzeit. Dummerweise ist es heute sehr schwer, um solche Dienste herumzukommen. Eine Cloud, einen Mailserver und ähnliche Dienste kann man zur Not noch selbst betreiben, aber bei Diensten, die der Kommunikation mit Dritten dienen, ist das schon sehr schwierig. Zwar liessen sich auch solche Dienste über H.323 abwickeln, ohne auf irgendwelche Steinzeit-IT-Dienste angewiesen zu sein – aber dummerweise haben die Steinzeittrottel wie Skype, Whatsapp u. Konsorten eine viel zu hohe Marktabdeckung, um sie ignorieren zu können.

    Andererseits werden solche Dienste weltweit angeboten, und es macht natürlich für keinen Anbieter Sinn, irgendein Authentifizierungsverfahren zu unterstützen, das nicht weltweit genutzt werden kann.

    Und dann gibt’s noch das Problem, dass die Nutzung mobiler Geräte bzw. Betriebssysteme gleich welchen Herstellers ein ganz erhebliches Gottvertrauen in den Hersteller des Geräts, in den Provider, über den man es gekauft hat und in den Marktplatzbetreiber, über den man seine Apps bezieht, voraussetzt. Denn die alle installieren ihre Spionageapps auf dem Gerät – natürlich nur zum Nutzen des Kunden – und keiner bietet irgendwelche Transparenz, welche Daten diese Spionageapps tatsächlich übertragen. Mein Telefon hat regelmäßig und intensiv an Samsung berichtet, an die Deutsche Telekom und an Google und ich habe nicht die geringste Ahnung, was es alles berichtet hat. Erst mit Cyanogenmod ist es ein bisschen weniger auskunftsfreudig gegenüber diesen mir wildfremden Dritten geworden.

    Dass man mittels starker Passwörter Sicherheit gewönne, ist ein trauriger Witz, solange die IT-Industrie sich in ihren gemütlichen Höhlen einbunkert und die Verantwortung für die Sicherheit ihrerDienste ihren Kunden aufbürdet bzw. gar ihr Geschäftsmodell darauf aufbaut, dem Kunden jede Privatsphäre zu nehmen.

  23. #23 Adromir
    1. Oktober 2015

    @JoergHH: Du kannst die Verschlüsselung erst mit deinem gesetzten Pin fürs Entsperren des Bildschirms durchführen und dann änderst du den Pin mittels der APP CryptFS . So habe ich das auch immer gemacht, aber nur mit nem CustomRom . Die Verschlüsselung mancher StockRoms kann anders sein, so daß die App da nicht mehr funktioniert.

  24. #24 JoergHH
    1. Oktober 2015

    @Adromir:

    CustomROMs sind ein Sonderfall und für Normalbenutzer eher ungeeignet.

  25. #25 schlappohr
    1. Oktober 2015

    @JoergHH

    “Das klingt alles ein bisschen paranoid, aber wenn es Dich glücklich macht ^^”

    Paranoid bedeutet “Du machst Dir in die Hose wegen etwas, was nur halb so schlimm ist”.
    Ist es das? Warum disktutieren wir dann über IT-Sicherheit?

    Danke für den Link. Ich habe vor etwa 2 Jahren zum letzten mal gesucht und nichts gefunden. Muss ich gleich mal ausprobieren *freu*

  26. #26 schlappohr
    1. Oktober 2015

    “[…] und die Verantwortung für die Sicherheit ihrerDienste ihren Kunden aufbürdet bzw. gar ihr Geschäftsmodell darauf aufbaut, dem Kunden jede Privatsphäre zu nehmen.”

    Völlig korrekt. Aber warum sollte die IT-Industrie etwas daran ändern, wenn Ihre Kunden mit einer unfassbaren Bereitschaft und Leichtgläubigkeit Ihre gesamten privaten Daten bereitstellen? Enfacher Geld verdienen geht doch garnicht.

    Was die Passwörter betrifft: Dein Vorschlag mit den eIDs geht am Ziel vorbei, weil Du Dich damit dem Provider gegenüber als reale Person identifizierst. Das ist in den meisten Fällen nicht erwünscht. Es geht darum, sicher zu stellen, dass außer Dir niemand Zugriff erhält, ohne dass der Provider von Dir als Nutzer Kenntnis erhält. Das geht nur mit einem selbst gewählten und selbst änderbaren geheimen Schlüssel.

  27. #27 JoergHH
    1. Oktober 2015

    @schlappohr:

    Nein, das bedeutet, dass ICH beim Datenschutz eine rationale Abwägung zwischen Aufwand und Ergebnis vornehme. Aber das ist natürlich nur meine eigene unmaßgebliche Meinung.

  28. #28 Silava
    1. Oktober 2015

    @Crazee
    Tolle Übersicht, ich hatte mich immer wieder mal mit dem Thema beschäftigt, konnte aber noch ein paar neue Dinge lernen, danke!

    Was nicht explizit erwähnt wurde, aber was man noch beachten könnte/sollte: So wenige “intelligente” Geräte wie möglich daheim rumstehen haben. Ich glaube es war der Heise-Verlag der aufgedeckt hat dass Smart-TVs massiv Daten nach Hause schicken. Und Home-Automation ist meiner Meinung nach eine einzige große Sicherheitslücke. Ich werde mir auch niemals einen Kühlschrank mit Internetanschluß kaufen. Die Geräte, die wirklich ins Internet sollen (Handy, Tablet usw.) werden vom OS her gesichert. Hier bietet sich z.B. Cyanogenmod an.

    Wenn man wirklich tief einsteigen will, dann könnte man darüber nachdenken den Umgang mit einer Software wie Wireshark zu erlernen. Dann sollte man halbwegs sicher sein können. Und alles, was einem an Verkehr verdächtig vorkommt wird auf dem Internet-Router erstmal geblockt.

  29. #29 schlappohr
    1. Oktober 2015

    @Silava
    “Und alles, was einem an Verkehr verdächtig vorkommt wird auf dem Internet-Router erstmal geblockt.”

    Guter Ansatz, aber dann muss der Router vertrauenswürdig sein. Ein Raspberry mit einem weiteren USB-Ethernetport zwischen dem Router und dem lokalen Netz würde die Sache enspannen, besonders mit einem readonly-Filesystem und eine automatischen Reboot alle 6 oder 12 Stunden.

  30. #30 Dampier
    1. Oktober 2015

    Lesenswert! Guter Artikel.

  31. #31 gaius
    2. Oktober 2015

    Guter Ansatz, deinen eigenen Weg zu mehr Sicherheit zu beschreiben!

    Ich selber denke darüber auch immer mal wieder nach (nach dem Motto: man müsste eigentlich …). Sowohl aus eigener Erfahrung aus diesen Phasen als auch aus meiner Arbeit als Produktentwickler muss ich leider sagen (wie ich neulich schon irgendwo schrieb): Verschlüsselungssysteme sind so hoffnungslos überkomplex, dass sie auf absehbare Zeit niemanden ausser ein paar Nerds interessieren werden. Niemand ist bereit, darin so viel Lebenszeit zu investieren (und dann noch in seiner täglichen Kommunikation behindert zu werden).

    Eigentlich finde ich, dass diese Sicherheitssysteme Standard sein sollten. Ich kann mir aber auf diesem Stand der Entwicklung keine im Alltag normaler Menschen funktionierende Lösung vorstellen …

  32. #32 Franz
    2. Oktober 2015

    @JoergHH
    Nein, das bedeutet, dass ICH beim Datenschutz eine rationale Abwägung zwischen Aufwand und Ergebnis vornehme.
    Genau das ist der Punkt. Das macht man ja auch beim Haus. Eine Tür (Firewall) ja, verdunkelte Fenster oder Elektrozaun (kein I-net, Verschlüsselung), nein. Wobei man ja beim staatlichen Überwachungswahn mittlerweile das Gefühl bekommt, dass dies gefährlicher ist als Verbrecher, vor allem weil man sich gegen Verbrecher wehren kann.

  33. #33 Knaecke
    2. Oktober 2015

    Kleiner Tipp um sich das Merken viiieeeler Passwörter zu vermeiden: Man merkt sich nur ein kompliziertes, wie z.B. von schlappohr vorgeschlagen: tZ&18%dkA+>?.

    Und nun baut man an ein (oder besser zwei) ausgesuchten Stellen jeweils 1-2 Buchstaben der besuchten Seite ein.

    Mit Platzhalter ‘X’ an dritter und vorletzter Stelle im Passwort sieht das so aus: tZX&18%dkA+>?X.

    Nun muss man sich noch merken, welche Stellen der besuchten Seite man für die Platzhalter verwenden möchte, sagen wir mal zweite und letzte Stelle. Bei paypal.de wären das ein A (zweite Stelle) und ein L (letzte Stelle), bei web.de ein E und ein B, bei amazon.de ein M und ein N usw.

    Dann sehen die Passwörter so aus:
    Paypal: tZA&18%dkA+>?L.
    Web: tZE&18%dkA+>?B.
    Amazon: tZM&18%dkA+>?N.

    So hat man für jede Seite ein eigenes ziemlich kompliziertes und somit schwer zu knackendes Passwort. Merken muss man sich aber trotzdem nur eins. 🙂

  34. #34 Karl Mistelberger
    2. Oktober 2015

    > #18 JoergHH, 1. Oktober 2015
    > Die meisten Software-Lösungen bieten eine Prüfroutine nach der Image-Sicherung. Das Win7/8/10-interne Backup übrigens nicht.

    Diese Tatsache scheint den meisten Benutzern nicht bekannt zu sein.

    Software-Lösungen funktionieren fast immer, nur manchmal denkt der Benutzer an der Realität vorbei:

    Ein Bekannter machte eine Datensicherung, dachte er. Doch als die Harddisk auf die er sicherte defekt war stellte er fest, dass die Originale verschwunden waren. Die vermeintliche Sicherung machte keine Kopie sondern zog die Daten um. 😉

  35. #35 Wizzy
    2. Oktober 2015

    @Knaecke Interessante Idee, aber das halte ich nicht für sicher. Sobald jemand zwei Deiner Passwörter hat – es gibt ja auch weniger sichere Dienste, Webforen usw. und selbst GMX/Sony etc. wurden jeweils millionenfach Userdaten gestohlen – kann er alle Deine restlichen Passwörter praktisch sofort erraten und ist überall drin!

  36. #36 Albrecht
    2. Oktober 2015

    Hallo!
    Die Länge eines PW ist wichtig! “Geheim” ist natürlich ein direkter Treffer im Wörterbuch. “Geh99eim” wird auch sehr schnell gefunden von einem Crackprogramm. Mit trivialen Erweiterungen wird die Komplexität aber so groß, dass sie nicht mehr (leicht) automatisch gefunden werden kann:

    “—–Geh::::e+++i##m” ist extrem aufwändig zu knacken.

    Selbst “Geh++++++++++++++eim” ist noch ziemlich sicher, aber sehr leicht zu merken.

    Wichtig ist nur die Länge des Passworts. Merkt man sich nur 6 und Griesbrei ergibt das ein tolles Passwort, welches mit Wörterbuch Attacken nicht zu finden ist:
    “Griessssssbbbbbbrei”
    Natürlich ist ein 19-stelliges Passwort mit einer zufälligen Zusammensetzung aus dem kompletten Ascii-Satz viel stärker, aber unser Griesbrei ist stärker, als “zH3$v,.” (zumindest, wenn ich den Vortrag auf der CEBIT richtig in Erinnerung habe).
    mfg Albrecht

  37. #37 JoselB
    6. Oktober 2015

    Wobei Vorschläge wie “Griessssssbbbbbbrei” nur solange sicher bleiben, solange sie nicht zu häufig benutzt werden. Wird das normal, so werden Krackprogramme gezielt danach suchen. Und dann hat man ein normales Wort (vermutlich deutlich unter 20 Bit Entropie, XKCD nimmt oben z.B. 11 Bit pro englischem Wort an) und eine weitere Modifikation von 2 verlängerten Buchstaben mit jeweils um die 3 Bit für deren Position und 2-3 Bit für die Verlängerung (wobei man zum schnelleren Knacken noch davon ausgehen kann, dass sehr wahrscheinlich beide Buchstaben auf die gleiche Länge verlängert wurden). Sprich wenn gezielt nach dieser Möglichkeit gesucht wird, so hat man etwa 29-32 Bit Entropie (sofern Griesbrei alleine schon 20 Bit Entropie ergeben), was nicht wirklich viel ist. Da kommt “zH3$v,.” (zumindest wenn wirklich rein zufällig) schon auf eine höhere Entropie von über 40 Bit.

    Fazit: Solche Tricks helfen nur solange, bis Hacker davon ausgehen, dass sie benutzt werden. Und auf die Länge alleine kommt es nicht an, weil sonst 100 mal ein Buchstabe sicher wäre, aber in Wirklichkeit von einem Computer sehr leicht eraten werden kann (26*100 Möglichkeiten entspricht knapp über 11 Bit)

  38. #38 Crazee
    6. Oktober 2015

    @Knaecke: Neben den anderen Kritikpunkten ist Dein Vorschlag auch nicht sehr Bildschirmtastaturtauglich.

  39. #39 Till
    7. Oktober 2015

    @jochen
    Das mit dem entsperren vom Handy klappt fast genau so wir du die das vorgestellt hast mit einem Fingerabdruckscanner wie z.B. beim iPhone oder bei Samsung Galaxy 5. ich selbst habe ein Galaxy s5 mini und da funktioniert es folgendermaßen: ich habe ein langes Passwort, und drei Fingerabdrücke eingerichtet. Das Passwort wird nur nach 30 falsch erkannten Fingerabdrücken zwingend erforderlich (ist nur einmal in der Hosentasche bei verdrecktem Sensor passiert). Ich bin damit sehr zufrieden. Das ist zwar weniger sicher als ein langes Passwort aber viel sicherer als gar keins.

  40. #40 Till
    7. Oktober 2015

    @Albrecht, joselb
    Leicht abgewandelte Worte wie Griesssssssbrei oder selbst Grie+++++++++++ssbrei werden von modernen Wörterbuch Attacken wie jacktheripper in Sekunden geknackt. Die hacker sind da schon viel weiter als man so denkt. Die haben geklaute Passwort Datenbanken mit Millionen von Passwörtern statistisch analysiert und probieren zuerst die häufigsten Zeichenfolgen und Abwandlungen davon durch. Da ist alles was man sich leicht merken kann ganz vorne mit dabei. Selbst vermeintlich zufällige Zeichenketten die man von Hand eingegeben hat folgen bestimmten mustern weil manche tasten leichter zu erreichen sind als andere. Wirklich sicher sind nur Passwörter mit min. 13-16 Zeichen die von einem echten Zufallsgenerator erzeugt wurden.

  41. #41 Till
    7. Oktober 2015

    @wizzy ich denke es ist ziemlich unwahrscheinlich, dass die selber Person zwei Passwörter von unterschiedlichen seiten klaut und dann alle geklauten Passwörter auf ein system hin analysiert der findet in der geglauten Datenbank doch so viele Passwörter die einfach so wieder verwendet wurden. Die Ausnahme ist, dass der hacker es gezielt auf dich abgesehen hat aber dann verwendet er einfach eine Lücke in deinem Betriebssystem und installiert einen Keylogger…