<< Themensammlung Organisieren

02.04.07Leser-Kommentare

Passwörter immer im Griff

Zugangscodes immer zur Hand, auch unterwegs: Passwort Speicher für Windows, Mac und Handies

Wieviele Post-Its kleben an ihrem Bildschirm? Wie oft rätseln Sie, welches wohl der Name ihres ersten Haustiers war, weil Sie Ihr Passwort vergessen haben und eine Webseite zuerst "Harro" sehen will, bevor Sie wieder Zugang kriegen? Wieviel Zeit vergeuden Sie mit der Suche nach den Codes in alten Notizen?

Ich habe dem Problem vor einigen Jahren ein Ende gesetzt. Paranoider Schweizer, der ich nun mal bin (was mir hier in den USA, wo Identitäts-Diebstahl blitzschnell geschieht und ein echtes Problem ist, zugute kommt), steckte ich ständig im gleichen Dilemma: Aufschreiben kommt nicht in Frage, jedenfalls nicht für wichtige Zungangscodes wie diejenigen fürs Telebanking oder Paypal; einfach memorisierbare Zugangscodes wiederum beruhen nun mal auf persönlichen Daten, und jeder bessere Social-Engineering-Hacker findet die blitzschnell raus.

Wie also organisiert man sich die Listen mit sicheren Zugangscodes, die meistens so aussehen: Xc408tlQ1rt? Eine verschlüsselte Speicherung umfangreicher Passwort-Listen in einem speziellen Programm erledigt den Trick. In meinem Fall ist es eine Kombination eines Desktop- und eines Mobilprogramms, die garantiert, dass ich jederzeit die aktuellesten Daten mit mir herumtrage. Wenn ich einen der Codes brauche, gewährt mir ein Master-Passwort Zugriff auf die Liste, und ein integrierter Suchdienst findet blitzschnell jedes noch so selten benutzte Kryptikum.

 

 

Apple: Keychain

Windows: Passwort-Tresor

Windows & Palm/Pocket PC

Mobiltelefone

Fazit

Zunächst: Nicht alle Passwörter sind es wert, sorgfältig gewählt und abgelegt zu werden - heute verlangen viele Webseiten nach einem Code, um sich selber vor Spammern und nicht so sehr um die Benutzer zu schützen. Um diese PW geht es hier nicht. Sie können entweder immer gleich sein, nach einem bestimmten Muster gewählt werden (Name der Webseite und Geburtsdatum rückwärts etc) - allerdings nur, wenn Ihnen beim Gedanken, dass jemand den entsprechenden Account knackt, keine Haare im Nacken zu Berge stehen, oder aber Sie geben die Kombination ein, öffnen unmittelbar danach die Webseite mit dem Browser erneut und lassen ihn die Kombination speichern.

Letzteres sollte erstens niemals mit sensiblen Passwörtern gemacht werden und birgt zweitens den Nachteil, dass Sie unterwegs am Notebook plötzlich merken, dass Sie keine einzige Kombination mehr kennen, weil die alle auf dem Desktop gespeichert sind.

Aber die Dutzenden von Codes für den Zugang zur Online-Bank, zu den Mailaccounts, zum Ebay-Konto, für den VPN-Zugriff aufs Firmennetz; die Kombination fürs Fahrradschloss, die Versicherungspolicen, die eigene IP-Adresse und der WiFi-Zugangscode, die Sozialversicherungs- und alle Kreditkartennummern: All diese Informationen trage ich ständig mit mir herum - in einem portablen Tresor.

In meinem Fall ist es das Verschlüsselungsprogramm "Secret!" für Palm- und Pocket-PC- Handcomputer, dessen grössere Schwester für Windows-Rechner jederzeit Neuzugänge - auf dem Mobilgerät wie auf dem Desktop - bei der Synchronisation abgleicht. Selbst die Streichlisten für meinen online-Bankzugang sind darin in einer eigenen Liste gespeichert. So habe ich nicht nur immer alles dabei, ich fühle mich auch absolut sicher.

Ich stelle hier Secret! und einige seiner Verwandten vor. Sie erlauben die systematische Speicherung und den Abruf von Zugangscodes und andern wichtigen Informationen zu. In der geballten Ladung sensibelster Daten steckt zwar gehöriger Zündstoff. Aber die richtige Technik, ein starkes Master-Passwort und den disziplinierten Umgang damit vorausgesetzt, ist ein solcher Datentresor allemal sicherer als Post-Its und Handschriftliche Notizen auf den Akten in der unverschlossenen Hängeregistratur.

Dazu gibt es zwei technische Voraussetzungen, welche das Programm der Wahl erfüllen muss: Es sollte die Daten ständig mit mindestens 128Bit verschlüsselt speichern. Und es sollte den Klartext nach Eingabe des Master-Passsworts nur für eine limitierte Zeit offenlegen, bevor es den Zwischenspeicher des Geräts löscht.

Die menschliche Voraussetzung besteht in der Wahl eines starken Master-Passworts. Das sollte nun also angesichts der extremen Werte, die es vor neugierigen Augen schützt, wirklich sowas wie gKJlkj4670mn sein. Und es sollte nirgends, absolut nirgends ausser in Ihrem Gehirn niedergeschrieben stehen.

Schliesslich verlangt ein solcher Passwort-Tresor dem Benutzer eine gewisse Disziplin ab. Vor jeder neuen Passwortwahl sollte man sich zunächst überlegen, ob es sich um einen sensiblen Zugang handelt und, wenn dies der Fall ist, ein starkes Passwort wählen. Danach sollte dieses unmittelbar nach der Anmeldung zuerst ausprobiert und dann unverzüglich im Tresor vermerkt werden, und zwar mit einer leicht wiederauffindbaren Überschrift, denn damit wird man den Code später im rasch wachsenden Datenhaufen suchen. Das gleiche gilt für jede Änderung oder Rücksetzung eines bereits existierenden Passworts. Wenige Dinge sind schweisstreibender, als in der Bank zunächst mit überlegenem Lächeln den Pocketcomputer zu zücken, nur um danach festzustellen, dass darin der aktuelle Code zum eigenen Konto nicht gespeichert ist.

Es folgt eine (willkürliche) Liste von Passwort-Speicherprogrammen, die wir uns angesehen haben und für tauglich halten.

Mac OSX Schlüsselbund

Das Apfel-Betriebssystem bringt eine dreifach verschlüsselte Verwaltung für Passwörter für jeden Benutzer in Form des Programms "Keychain" eingebaut mit. Sie ist zu finden unter "Anwendungen/Extras/Schlüsselbund" und für einfache Sammlungen von Codes ausreichend.

Vor der Benutzung gilt es allerdings mindestens zwei Dinge zu beachten: Der standard-Schlüsselbund benutzt das Zugangspasswort des Benutzers auf dem entsprechenden Rechner, ist also für jeden Angreifer mit Kenntnis des Benutzerkontos kein Hindernis. Zudem bleiben die Daten unter Umständen, wenn die Liste einmal geöffnet wurde, unverschlüsselt einsehbar. Wer sich sein nur flüchtig zugeklapptes Notebook im Café klauen lässt, könnte also einen weit grösseren Verlust als nur den des Macbook erleiden.

Das Programm lässt deshalb einerseits die Einrichtung von weiteren Schlüsselbünden zu, die jeweils separate Namen und separate Passwörter tragen - die Software kann bei der Wahl des Master-Passworts Vorschläge machen und zeigt an, wie sicher die Kombination statistisch betrachtet ist. Dieser erste Schritt ist dringend anzuraten, damit die Codes auch für Eingeweihte, die Zugang zu Ihrem Konto auf dem Rechner haben, versteckt bleiben.

Danach können dem neu geschaffenen Schlüsselbund Passwort-Kombinationen zugefügt werden, wobei die Benutzeroberfläche einen Modus erlaubt, bei welchem die Eingabe nicht am Bildschirm angezeigt wird, was in öffentlichen Lokalen oder im Flugzeug durchaus Sinn ergibt.

In den Einstellungen schliesslich kann der Schlüsselbund so konfiguriert werden, dass er die Datenbestände nach einer festzulegenden Zeitspanne ohne Benutzereingabe und beim Umschalten in den Standby-Modus automatisch wieder verschlüsselt. Auch diese beiden Optionen sollten, namentlich auf Notebooks, unbedingt gesetzt und in regelmässigen Abständen kontrolliert werden.

Alles in allem ist der Schlüsselbund ein nützliches und einfach verständliches Werkzeug.

Windows: Passwort-Tresor

Oliver Lege hat ein ausgeklügelteres Programm für Windows geschrieben, welches er kostenlos zur Verfügung stellt. "BlackBurn's Passwort.Tresor" ist eine alleinstehende Software, welche die Ablage von Passwörtern und andern Informationen in frei wähl- und benennbaren Gruppen zulässt und mit einem Master-Passwort gesichert ist.

Nette kleine Zusatzfunktionen wie der direkte Aufruf von Webseiten/ID&PW-Kombinationen in einem Browser aus dem Tresor heraus machen die Arbeit mit Webpasswörtern einfacher; die Sicherheitseinstellungen sorgen dafür, dass keine Spuren der Passwörter zu finden sind: Der Zwischenspeicher des Windowsrechners kann via Option automatisch zwanzig Sekunden nach dem Kopieren eines Passworts vom Tresor gelöscht werden, ebenso, wie die Software den Zwischenspeicher beim Minimieren des Programms sofort löscht und zugleich wahlweise in den Sperrmodus umschalten kann.

Eher als Risiko denn als nützliche Funktion empfinde ich den Export der gewählten Passwort-Gruppen auf Knopfdruck in eine HTML- oder XML-Datei (wobei das Programm defaultmässig bei jedem Export ausdrücklich vor den Risiken warnt). Mir fehlt ausserdem die Zeitschaltung, die das Programm nach einer gewissen Zeit automatisch sperrt, wenn es im Fenster-Modus ausgeführt wird oder die automatische Sperrung, bevor der Rechner in den Standby-Modus schaltet.

Grade für eine Software, die vor allem für den Gebrauch auf dem Desktop entwickelt wurde, wäre ein spezieller Modus für Streichlisten (TAN) wünschenswert; der Tresor glänzt hingegen mit einer sauberen Organisation der PW-Kombinationen in Haupt- und Untergruppen.

Einem geschenkten Gaul schaut man nicht ins Maul, aber bei einem Gratisprogramm mit Sicherheitsfokus würde sich Transparenz gut machen. Warum der Autor die Software als Freeware verschenkt, dann aber doch relativ strikte Lizenzbedingungen anmahnt und den Code nicht freigibt, ist nicht ganz verständlich.

Zumal eine solche Entwicklung, als OpenSource zur Verfügung gestellt, binnen kurzer Zeit mit einer grossen Zahl Verbesserungen ausgestattet werden sein dürfte.

Palm/Pocket PC und Desktop: Secret!

Der Nachteil der beiden bis hierhin vorgestellten Programme besteht darin, dass sie die Passwöter an nur einem Ort fest speichern - und grade Zugangscodes, PIN oder TAN werden ja häufig unterwegs benötigt. Ideal wäre hier eine synchronisierbare Lösung für den Desktop-Rechner und das Smartphone: Zu Hause speichern, überall benutzen.

palm1

Secret! von LinkeSoft bietet genau diese Funktionalität mit einer Suite von zwei programmen, entweder für Windows und Palm (die ursprüngliche Version) oder Pocket-PC (Windows Mobile). Alle Programme können auch einzeln erworben werden, das Kombi-Paket aus Secret! für Windows und eine der beiden Mobil-Plattformen kostet 29 Euro.

Ich vertraue seit Jahren persönlich auf Secret! und bin bisher nie enttäuscht worden. Der grösste Wert liegt für mich in der absolut sicheren Verschlüsselung auf dem Palm Treo (und auf drei Vorgängermodellen mit dem Palm-Betriebssystem): Sobald der Benutzer auf dem Mobilgerät die Anwendung wechselt, sprich Secret! verlässt, oder sich das Gerät in den Standby-Modus schaltet, wird die Datei mit den Passwörtern sofort verschlüsselt; weil die Entschlüsselung niemals im Flash-Speicher, sondern nur im flüchtigen RAM stattfindet, sind alle lesbaren Daten damit auch gleich wieder gelöscht.

Die Desktop-Anwendung lässt kaum Wünsche offen, auch sie erlaubt die automatische Schliessung der Datei nach einer einstellbaren Zeitspanne; ferner kann das Programm so eingerichtet werden, dass es die enthaltenen Daten nach dem dritten Zugriffsversuch mit falschem Masterpasswort löscht. Da ich der einzige zu sein hoffe, der je mit brutaler Gewalt verschiedene Passwörter durchprobieren wird, lasse ich diese Option ausgeschaltet. Auch Secret! erlaubt einen Export der Daten, und zwar als verschlüsselte Palm-Datenbankdatei (sinnvoll als sicheres Backup) wie auch in deutlich weniger sinnvollen, unverschlüsselten Listen - auch das Drucken der Datenbestände ist implementiert und meiner Meinung nach ein überflüssiges Risiko.

Die Software erlaubt die Gruppierung von Passwörtern in Kategorien, bringt einen speziellen TAN-Modus mit (den auch die Mobil-Versionen unterstützen) - die Code-Listen werden durchnummeriert und lassen die Löschung jedes benutzten Codes auf Knopfdruck zu. Das suchen Nach Passwörtern erledigt auf dem Desktop ein eingebautes Suchprogramm in Sekunden, auf dem Palm die Systemeigene Stichwortsuche, die bei geöffnetem "Secret!" auf letzteres beschränkt bleibt.

Die Version für PocketPC konnte ich nicht testen, ich nehme aber an, dass sie im Wesentlichen die gleichen Funktionen bietet wie die "grosse" Windows-Version.

Der absolute Clou ist natürlich die Synchronisation von Desktop- mit Mobilgerät, die in der Palm-Version auf Knopfdruck mit allen andern Abgleichen stattfindet (es war dieses Feature, das mich schon immer an den Palms begeistert hat). Dabei werden die verschlüsselten Datensammlungen angeblich nicht entschlüsselt; trotzdem überschreibt nicht einfach eine Datenbank die andere, sondern selbst wenn in beiden Änderungen vorgenommen wurden, sind sie danach auf beiden Geräten vorhanden.

Für mich ist Secret! die Lösung eines alten Problems, die mir seit Jahren hilft, jederzeit für alle noch so unerwarteten Abfragen gewappnet zu sein. Eine einzige Ausnahme gibt es: Telebanking via Smartphone-Browser ist nicht möglich - ganz einfach deshalb, weil ich dazu die Webseite der Bank verlassen muss, um in Secret! die erforderliche TAN zu finden, und wenn ich zur Bankenseite zurückkehre, verlangt die einen andern Code - aber Telebanking via Smartphone ist ohnehin keine sonderlich gute Idee.

Alle Passwörter im Handy: MobileSitter

Das Fraunhofer Institut SIT hat an der eben zu Ende gegangenen Cebit in Hannover eine ausgereifte Passwörter-Lösung für praktisch jedes moderne Handy vorgestellt, den MobileSitter. Gemäss den bisherigen Meldungen erlaubt das programm zwar keine Synchronisation, aber zumindest eine Kopie der Datei auf dem Handy auf jedes andere Gerät (inklusive PC), welches ebenfalls Java ME (Micro Edition) unterstützt.

blog3

MobileSitter soll demnächst für rund 10 Euro erhältlich werden und bietet in der Anwendung nicht viel mehr als die meisten andern Passwort-Speicher - beliebige Daten, PINs oder TAN-Listen lassen sich darin ablegen. In Sachen Sicherheit aber dürfte das Tool ungeschlagen sein.

Abgesehen davon, dass der MobileSitter auf den meisten Mobiltelefonen eingesetzt werden kann, glänzt er durch ein eben so simples wie wirksames Sicherheitssystem: JEDES Masterpasswort führt nämlich dazu, dass dem Benutzer eine Liste von Passwörtern angezeigt wird. Allerdings ist es nur dann die richtige, wenn das ECHTE Masterpasswort eingegeben wurde. Ein Angreifer hat keine Chance, weil er schlicht niemals weiss, ob er die fingierten (mit falschen Codes übersetzten) Passwörter oder die echten vor sich hat; der Benutzer hingegen erkennt an einer eingeblendeten Grafik, die nur ihm bekannt ist, ob er sich vertippt hat oder ob er seinen Datenbestand ansieht.

Diese Methode ist meiner Meinung nach preisverdächtig. Wo das früher erwähnte Secret! mit einem Abwehrmechanismus glänzt, der Angriffe mit der Brute-Force ("Ausprobier-") Methode ganz einfach durch Löschung der Daten unnütz macht, lässt MobileSitter den Cracker im Ungewissen und vereitelt damit alle Versuche, das richtige Masterpasswort beispielsweise durch schiere Rechnerleistung zu finden. Das hat den riesigen Vorteil, dass selbst schwach gewählte Masterpasswörter eine zusätzliche Schicht an Sicherheit gewinnen.

Fazit

Genau dieser Letzte Punkt ist die häufigste Kritik an Passwort-Speicherprogrammen: Die stärkste Verschlüsselung nützt nichts, wenn der Benutzer als Master-Passwort für den Zugang zu jenen Daten, die sein ganze Leben ausmachen, sein Geburtsdatum wählt. Aus dem gleichen Grund ersetzen (sehr zu meinem Ärger) immer mehr Banken die Streichlisten (TAN), welche das Telebanking in meinen Augen erst richtig sicher machen, durch kleine Geräte, die einen zeitabhängigen Zufallscode generieren: Zu viele Leute hatten offenbar ihre TAN-Listen zusammen mit ID und Passwort fürs Telebanking auf Zettelchen geschrieben, wodurch sie sehr schnell in falsche Hände geraten. Das kann mit den Code-Generatoren ausgeschlossen werden, aber ich mag eigentlich nicht für jedes Konto auch noch einen feuerzeug-grossen Dongle mit LCD-Anzeige mit mir rumschleppen.

Generell lässt sich sagen, dass mit den gängigen 128-Bit-Verschlüsselungstechnik gespeicherte Passwortlisten gegenwärtig aus technischer Sicht absolut sicher sind - den richtigen Umgang und ein starkes Passwort vorausgesetzt. Leichtes Unbehagen befällt mich lediglich angesichts der fehlenden Verschlüsselungsautomatik des Passwort-Tresors und immer dann, wenn ich die Desktop-Anwendung von Secret! benutze, das Gefühl, jemand könnte mir via Trojaner über die Schulter gucken. Darin besteht wohl das grösste Risiko im Zusammenhang mit auf dem PC gespeicherten Sicherheitscodes: Spionage-Software auf dem eigenen Rechner, Tastatur-Sniffer, die alle Eingaben abfangen und weiterleiten oder Phising-Emails, die angeblich von der Bank, von Ebay oder Paypal stammen und (angeblich) auf die Webseite des Dienstes verlinken, wo Benutzer dann viel zu häufig ihre Passwörter eintippen - um später zu merken, dass es sich um eine raffinierte Kopie der Originalseite handelte. Aus diesem Grund klicke ich niemals einen Link aus einer Email an, und wenn meine Bank etwas von mir will, dann tippe ich ihre Adresse jedesmal eigenhändig in die Adresszeile des Browsers, bevor ich Passcodes benutze.

Auf mobilen Geräten hingegen halte ich die Passwort-Lösung für ideal, und so mancher sollte sich überlegen, ob er nicht mit dem MobileSitter vom hochangesehenen Fraunhofer Institut sein Handy zum endgültigen Passwortbehälter machen soll. Denn dies ist das Gerät, dass sowohl am heimischen Bildschirm wie auch vor dem Bankautomaten immer in Griffweite ist. Und wenn ich eins aus Erfahrung sagen kann: Die paar Tastendrucke haben mir noch jedesmal im Vergleich zum Grübeln nach Passwörtern enorm viel Zeit eingespart.

Kommentare

  • Gabriel

    02.04.07 (10:21:03)

    Um ehrlich zu sein ist mir da ein gut versteckter Zettel lieber. Jemand der die Mittel und Kenntnisse hat knackt den Algorithmus. Außerdem ist ja bekannt das größere Geheimdienste über die Algorithmen bescheidwissen. Ich benutzte selbst nur ein Passwort und zwar ein leicht memorisierbares das allerdings in keiner Wörterbuchliste vorkommt. Außerdem verwende ich Groß-/Kleinbuchstaben und zahlen. :) Sollte ich also wirklich mal ein Passwort vergessen, lasse ich es mir einfach per E-Mail erneut zusenden.

  • Heiko Jung

    02.04.07 (13:02:11)

    Ich nutze die freie, kostenlose, OSSoftware KeePass: http://keepass.info/download.html Sie bietet eine vernünftige Verschlüsselung (AES), ist portabel (Also ohne Installation benutzbar) und hat auch noch einige nette Zusatzfeatures, die manchmal recht praktisch sind. So enthält sie z.B. auch einen Passwort Generator, der nach selbst definierbaren Regeln (erlaubte Zeichen) sichere Passwörter generieren kann. Die Software gibt es für alle relevanten Desktop Betriebssysteme (Windows, Linux, OSX, PocketPC)

  • sabine

    02.04.07 (14:37:56)

    Frage: wenn ich mit einem der genannten Tools arbeite und gleichzeitig Google Desktop aktiv habe, schnappt sich dann dieses Google Desktop ruckzuck sämtliche Passwörter, TAN usw. sobald ich Secret! o.ä. gestartet habe? Und stehen dann alle meine wohlgehüteten Passwörter im Klartext im Google Desktop?

  • oli

    02.04.07 (15:48:20)

    http://www.roboform.com/ ist auch nicht schlecht.

  • Peter Sennhauser

    03.04.07 (10:18:19)

    @Gabriel: Die Algorithmen sind allesamt bestens bekannt, weil es sich fast durchwegs um OpenSource handelt. Das macht sie sicherer und nützt Angreifern nicht viel, denn der Passcode von 128Byte ist mit heutigen Mitteln auch mit brachialer (Rechen-)Gewalt nicht zu knacken. Das Gerücht betreffend die Geheimdienste bezieht sich auf angebliche Masterschlüssel für die Krypto-Programme. @Heiko: Klingt gut. Allerdings könnte ich bei "relevanten Betriebssystemen" gerne auf PocketPC verzichten, aber nicht auf PalmOS... @Sabine: Hervorragende Frage. Darüber sollten wir mal bei den Programmierern Auskunft einholen - ich frag bei LinkeSoft. (Und ich verzichte aus just derlei Gründen auf Zeug wie Googles lokalen Kram).

  • martin

    03.04.07 (13:19:28)

    @ sabine: man kann ja bei google desktop über "desktop preferences" > "don't search these items" das durchsuchen von gewissen ordnern verbieten. das sollte doch so auch bei passwortspeichern funktionieren, oder täusche ich mich?

  • sabine

    03.04.07 (13:37:21)

    @ martin: definitely maybe oder anders: keine Ahnung! Was muss ich denn als Ordner angeben? Desktop? Wenn ich aber genau dafür Google Desktop benutze? @ Peter: jajaja, aber Google Desktop ist halt schon ziemlich genial, wenn man mal eben schnell wissen will, wo in den 500 GB Daten man das Dokument abgelegt hat, in dem es um Makrelen, Japan und Jazz ging - so von wegen Imgriff und so... Gibt's schon eine Antwort von den Programmieren?

  • Peter Sennhauser

    03.04.07 (13:40:49)

    Wenn Du Google Desktop für deinen Desktop benutzt, hast Du eindeutig ein organisatorisches Problem, vor allem wenn da tatsächlich 500MB Dokumente drauf rumliegen! Daten gehören nicht aufs Laufwerk C(wozu der Desktop gehört) und regelmässig gesichert. Ich meld mich, wenn ich Antwort habe...

  • sabine

    03.04.07 (14:00:30)

    OK, auf die Gefahr, dass wir abschweifen: FYI, Google Desktop ist nicht nur für's Desktop, der Name ist vielleicht irreführend...http://desktop.google.com/de/features.html. Und ich bin durchaus dankbar für einen Tipp zu einer Suchmaschine vergleichbar mit denen für's www aber halt für meine Platte/E-Mail/Chats - egal ob C oder D oder sonst wo.

  • Peter Sennhauser

    03.04.07 (14:07:15)

    Völlig klar, Sabine - ich dachte bloss, weil du davon sprachst, den Desktop nicht in die Ausnahmeliste aufnehmen zu wollen, weil Du Google Desktop genau dafür brauchst... GD ist zweifellos eine der besten Suchmaschinen für den Desktop-Rechner. Ich würde auch grundsätzlich davon ausgehen, dass es Deine Passwörter nicht indiziert, weil die von den PW-Tresoren nur für die temporäre Ansicht entschlüsselt, angezeigt und lediglich im flüchtigen RAM gespeichert werden. GD indiziert meines Wissens (und sinnvollerweise...) nur Harddisk-bestände.

  • Gabriel

    03.04.07 (19:20:46)

    Ich habe mich auf einzelne Aussagen bezogen: >>Der Gründer von Dimension Music - Angelo Sotira - erklärt, wie es zu dem Hack kommen konnte: "Wir alle wissen, dass die CIA in alle Projekte einbezogen wird, die nur im entferntesten mit Verschlüsselung zu tun haben. Der CIA bestimmt auch, wie gut die Verschlüsselung sein darf. Und wenn die CIA eine Verschlüsselung knacken kann, dann können wir es auch." Quelle: http://netnewsletter.de/letter/archiv/9933.html Auch sehr interessant ist der Wikipedia Artikel zu DES (s. Rolle der NSA).: http://de.wikipedia.org/wiki/Data_Encryption_Standard#Die_Rolle_der_NSA bzw.: http://www.heise.de/newsticker/meldung/6000 bzw.: http://www.gulli.com/news/wie-der-us-geheimdienst-starke-2005-03-29/ Außerdem braucht man doch für PGP seinen eigenen privaten Schlüssel, der elendig lang ist? Überzeugt mich vom Gegenteil :P Grüße

  • Peter Sennhauser

    04.04.07 (09:49:01)

    Ich will Dich doch gar nicht vom Gegenteil überzeugen. Ich glaube ja selbst, dass 9/11 ein Inside-Job war. Die wirkliche Bedrohung sind nicht Regierungen, sondern Private Firmen und ihr Datenhunger. Wohin der führt, zeigen der HP-Spionageskandal und andere Fälle in den USA: Die öffentlichen Verwaltungen wissen praktisch nichts über die Einwohner, aber die Kreditkartenfirmen verkaufen Informationen über ihre Kunden und die Internet-Provider ganze Clickstreams. http://www.swissreporter.ch/blog.php?Blognr=311 Mich bietet die Stadt San Francisco als Geschworenen für einen Prozess auf, weil sie noch nicht einmal herausfinden kann, dass ich ein Ausländer bin. Aber ich kriege Werbung von Drittfirmen, die wissen, welche Automarke ich fahre. Ich glaube, wenns um meine Passwörter geht, ist die NSA die kleinste Bedrohung.

  • Gabriel

    04.04.07 (19:30:33)

    War ja auch nicht böse gemeint :). Das mit den Clickstreams hat mich auch schon erstaunt, nur leider blogst du in deinem Blog so wenig :(.Welches Blog übriegens auch ganz nett ist (es erinnert mich ein bisschen an dein Blog): http://konvergenz.kaywa.com/ Grüße Gabriel

  • mds

    04.04.07 (22:46:52)

    «Security by Obscurity» funktioniert erfahrungsgemäss nicht, entsprechend sollte man die Finger von Verschlüsselungsprogrammen lassen, die nicht als Open Source verfügbar sind.

  • Lothar Degen

    11.04.07 (17:18:26)

    @Peter, nach der Lektüre obiger Kommentare hätte ich da noch ein paar Themenvorschläge für "Imgriff": - Verwaltung von persönlichen Daten, speziell die Suche von Dateien - Verschlüsselung von e-mails (und warum das eigentlich niemand so richtig ernsthaft macht) Gruss und weiter so Lothar

  • Peter Sennhauser

    12.04.07 (10:03:41)

    @Gabriel: Ich würd gern mehr auf Swissreporter bloggen, aber ich komm kaum mehr dazu. Ausserdem steht dort ein grosses rollout der total überarbeiteten Seiten an, und ich hab tierisch Schiss, dass nachher nichts mehr läuft - die Artikeldatenbank ist auch völlig veraltet. Mach ich alles - gleich nach der Steuererklärung... @mds: Meine Rede. @Lothar: Gute Vorschläge, stimmt. Vor fast zehn Jahren habe ich eine Kampagne für die konsequente PGP-Verschlüsselung von Mails gestartet: Für den Versender bestünde überhaupt kein Mehraufwand, allerdings muss bei diesen asynchron-Systemen der EMPFÄNGER seinen öffentlichen PGP-Key bereitstellen - und das tut fast niemand. Hier ist meiner: -----BEGIN PGP PUBLIC KEY BLOCK----- Version: PGP 8.0.3 mQGiBEXbV3MRBADhiMbdCi834UH6DVr1CscUcOwIbFa9Mk6PIDUZ+fqwonL1qXjo QFa5pFvoGwobJUiyOq7WOQJB6iZimXiAeXhc2674arAiESNQ02OzhmVGp/Dr7/Hr Sf8ntLhXqWRQgF5TsQ0O+KuP989qVDfEuqze5+k5kSXrcQIQQa59EsY27QCg/+ax Gr3fy2UVPcDomaVQoGy3jb8EAKNKM2Tidd+1HX1t57+k0NwKR6Q9cah0ttHJnduy nGmgXeFb4Ad67FwpiIMxcoyHl7DIqI7IAghhNLGh7zGiowf3HhOUOIoI9lXXLLrq JLiz0gzYiuiVdAqG95ojfNRtqrNzAj/UROCPaQ+9iQsz01zWbSH440kXiYCDXjJy 6MLHBADRs1OvQmB94T/4TGxK3NtEMyMO65xh9/TXEBOa1w6AjkRED487uHOt5ZDw p5DOf/lPn55FqZDGecWRD7SUhYBE705PPWxr31WNc3L7B1DtINkIXbsr9jUUZfA9 SGmdkl+j+Ywq/qUbQIwXm4HgmP7Hb5+Aj0Ztqg4WQIL3kRfS/bQmUGV0ZXIgU2Vu bmhhdXNlciA8cHNAc3dpc3NyZXBvcnRlci5jaD6JAFcEEBECABcFAkXbV3MHCwkI BwMCCgIZAQUbAwAAAAAKCRDd+lJrfE3kWotsAKCInNfIoiH9TjVHjffQ/YM1AyU7 TACghcziOs6fyISZuJi5RKcU9G1koZS5Ag0ERdtXcxAIAPZCV7cIfwgXcqK61qlC 8wXo+VMROU+28W65Szgg2gGnVqMU6Y9AVfPQB8bLQ6mUrfdMZIZJ+AyDvWXpF9Sh 01D49Vlf3HZSTz09jdvOmeFXklnN/biudE/F/Ha8g8VHMGHOfMlm/xX5u/2RXscB qtNbno2gpXI61Brwv0YAWCvl9Ij9WE5J280gtJ3kkQc2azNsOA1FHQ98iLMcfFst jvbzySPAQ/ClWxiNjrtVjLhdONM0/XwXV0OjHRhs3jMhLLUq/zzhsSlAGBGNfISn CnLWhsQDGcgHKXrKlQzZlp+r0ApQmwJG0wg9ZqRdQZ+cfL2JSyIZJrqrol7DVeky CzsAAgIIAI/DU6Vsl1eMjjgWCcNPEyrugvaNVeilrstM86cWMrHvNNW+bVeEuaU7 SU/ZICENRx1+nZ9oQoaiBBCC/GLzwW6+q1L1Mcs6cHHXMzbdnYppVNjQ13jWUT+g 7RkVcU44K73bE1zxNzIAQjvKS8UQ8jpN1Y7O7rxatqItzoe75lrmdZLSutEMQNKP 6QQjtEEr0CCpgScn7q+nl48W+TFsP8VnQJNGdFKrLtPvYVhRnqqH/icPnzIcaI2c 6tgcptzs5mqs3JD0bpPyZ2cMFdO36rZjaHveAwuNGKXTG/UP7LIHMhCbSr5HfN/f f3sPyxaDeSQfxPptIrhLJiYsmgfZrwSJAEwEGBECAAwFAkXbV3MFGwwAAAAACgkQ 3fpSa3xN5FpKHQCeMU1K37ODJGijOlcJYdqV+hJVATkAoOUDBqoR8ftDzQL0vWcq A4VTk3gv =b5wB -----END PGP PUBLIC KEY BLOCK-----

  • mds

    12.04.07 (23:40:51)

    Dein Public Key in obiger Form scheint nicht gültig zu sein, jedenfalls verweigern GPG und PGP den Import? für den Fall, dass jemand Deinen Public Key verwenden möchte, habe ich ihn temporär unter https://www.formosa.ch/tmp/ps@swissreporter.ch_PGPPublicKey.asc zugänglich gemacht.

Diesen Beitrag kommentieren:

Die Kommentare können nur zwischen 9 und 16 Uhr
freigeschaltet werden. Wir bitten um Verständnis.

Um Spam zu vermeiden, schreiben Sie bitte die Buchstaben aus diesem Bild in das nebenstehende Formularfeld:

Das könnte Sie auch interessieren

Förderland-Newsletter

Wissen für Gründer und Unternehmer