Hi, my name is Timo Ernst and I am a web expert.

Archive for February, 2008

OpenID & die Qual der Wahl

Posted on: February 12th, 2008 by Timo

Nach dem Bericht bei heise.de über den Beitritt von Microsoft in den Vorstand von OpenID habe ich mich mal ein bißchen mit dem Thema beschäftigt und mir auch gleich mal versucht eine eigene ID zu holen. Die Betonung hierbei liegt auf “versucht”!

Doch nicht zu voreilig. Was ist OpenID eigentlich? Nun, im Prinzip ist das nichts anderes als der Versuch, eine einheitliche Identität für Benutzer im WWW zu erstellen. Die Idee ist folgende: Statt für alle möglichen Services einen eigenen Account anlegen zu müssen, loggt man sich jedesmal mit der gleichen ID ein, egal ob bei ebay, amazon oder bigfatdildos.com.

OpenID ist ein OpenSource Projekt und wird von vielen großen Konzernen, darunter Google, Yahoo und Microsoft unterstützt.

Ich bin ehrlich gesagt schon sehr gespannt ob und wie sich das durchsetzt. Frühere Versuche von Microsoft mit “Passport” (bzw. “Infocard”) oder “live.com” sind ja, mal abgesehen von hotmail, kläglich gescheitert.

Inzwischen gibt es aber bereits eine beträchtliche Anzahl an OpenID Providern und viele Webservices bieten bereits die Möglichkeit an, sich mit diesem neuen System anzumelden. Selbst für WordPress gibt es bereits ein eigenes Plugin, welches, laut Chris zumindest, wohl noch nicht so ganz ausgereift zu sein scheint.

Wie auch immer. Auf jeden Fall wollte ich mir jetzt auch so ne eigene ID besorgen, also bin ich auf die offizielle Seite openid.net gegangen und hab das ganze mal ausgecheckt. Sehr schnell bin ich dann auf ein how-to und einer Liste von Providern gestoßen, die wohl alle kostenlos ihren Service anbieten. Also habe ich gleich mal ein paar ausprobiert:

  1. Verisign
    Vom Namen her natürlich kein unbeschriebenes Blatt. An Verisign kann ich mich noch gut durch die Vorlesung “Sicherheit in IT-Systemen” erinnern bei Dr. Kargl an der Uni Ulm. Außerdem taucht der Name im Netz sehr häufig auf. Bekannt wurde die Firma durch die Vergabe von Zertifikaten.
    Ich also gleich mal drauflosregistriert. Cool fand ich auf jeden Fall, dass man gleich mehrere Identitäten bzw. Konten anlegen konnte. Leider waren mir die Namen dort alle zu lang. valmar.pip.verisignlabs.com ist mir einfach zu lang. Wer hat da eigentlich schonwieder gepennt, beim unterschreiben?
  2. myID.net
    Also habe ich mir mal einen Provider aus der Liste ausgesucht, wo die Domain schön kurz war: valmar.myid.net find ich gar nicht mal so schlecht.
    Nachteil: SUPER-langsamer Server und das Profil ist auf koreanisch, obwohl “englisch” ausgewählt ist. Na, danke.
  3. Versuch: claimID.com und myopenid.com
    Diese zwei Provider teste ich zur Zeit gerade. Leider haben (jetzt schon) beide ihre Nachteile:

    • claimID.com: Domäne ist leider etwas nichtssagend. Ich hätte gerne sowas wie xyz.thatsme.net oder zumindest xyz.openid.org oder sowas. Die Webseite an sich ist ok. Leider nur auf Englisch und das Profilinterface ist etwas unübersichtlich.
    • myopenID.com: Auf den ersten Blick wohl ein ganz ordentlicher Verein. Übersichtliche Accountverwaltung, Deutsche Sprache (automatisch erkannt!), guter Speed. Leider ist mir die Domain etwas zu lang und ohne “Pepp”.

Das gelbe vom Ei habe ich bisher noch nicht gefunden. Vielleicht was ja jemand was? Für Vorschläge wäre ich dankbar.

Ich habe auch schon mit dem Gedanken gespielt, meinen eigenen OpenID Host aufzusetzen (Soll ja wirklich nicht schwer sein) oder das Delegation Feature von OpenID zu nutzen, aber da ist mir meine URL wieder zu lang für…

TwitterDiggFacebookShare

Hausdurchsuchung – Und jetzt?

Posted on: February 11th, 2008 by Timo

Alex hat mir ein sehr interessantes Video von einem Chaos Communication Congress gezeigt, in dem Udo Vetter, ein sehr humorvoller Jurist aus Düsseldorf, die genaue Rechtslage erkärt, was man im Falle einer Hausdurchsuchung tun bzw. lieber lassen sollte.

Die Art wie Vetter diesen doch recht komplizierten Sachverhalt vermittelt ist sehr gut verständlich und angenehm mit wenig juristischem Blah-blah gespickt. Wen das ganze also interssiert, wird hier die nächsten 65min seinen Spaß haben :)

TwitterDiggFacebookShare

OpenLaszlo Paper fertig :)

Posted on: February 10th, 2008 by Timo

So, mein Paper ist fertig.

Ich würde mich freuen, wenn das jemand lesen und reviewen würde, bevor ich das meinem Seminarleiter vor’n Latz knall ;)

TwitterDiggFacebookShare

Arbeitslose ITler ?

Posted on: February 9th, 2008 by Timo

Vor ein paar Monaten habe ich mal in den Nachrichten gesehen, wie darüber berichtet wurde, dass in Deutschland nach wie vor eine sehr hohe Nachfrage nach IT-Fachkräften herrscht. Ein Personalchef hat in einem Interview sogar gesagt, dass seine Firma teilweise bis zu 9 Monate warten muss, um eine solche Stelle zu besetzen, da schlicht und einfach keine Fachkraft zu finden ist.

Ich habe mich darüber natürlich sehr gefreut und schon mit dem Gedanken gespielt, welche Firma ich mir denn nach meinem Sudium “aussuche”.

Heute allerdings habe ich auf der heise gelesen, dass ca. 30.000 IT-Fachleute arbeitslos sind. Darunter 7375 Informatiker. Ich kann mir unter den Zahlen schlecht was vorstellen und weiss auch nicht, ob das jetzt viel oder wenig ist im Vergleich zu “Putzfrau” oder “Manager”. Aber 30.000 ist schon irgendwie eine stolze Zahl, oder?

Glücklicherweise scheint der Trend aber deutlich nach unten zu gehen:
Arbeitslose ITler. Quelle: heise.de

Quelle: heise.de

“Zum Glück” hab ich ja noch meinen Job beim ZAWiW :)

TwitterDiggFacebookShare

md5-Hashes und schwache Passwörter

Posted on: February 7th, 2008 by Timo

Ich werde oft von Computer-Einsteigern gefragt, warum man sich denn immer ein besonders kompliziertes Passwort merken bzw. ausdenken sollte. Bisher konnte ich das nie so richtig gut erklären (Mal abgesehen davon, zu versuchen, eine Dictionary-Attack zu erklären), aber heute in der Webengineering-Vorlesung war ein Techniker von team-ulm.de da und hat einen kleinen Vortrag über die Servertechnik dort gehalten und da kam mir die Erleuchtung :)

Unter anderem wurde in der Vorlesung gezeigt, dass md5-gehashte Passwörter nur dann sicher sind, wenn das gewählte Geheimwort nicht zu einfach ist.

Nehmen wir zum Beispiel als Passwort “berlin”. Das ist sehr einfach, denn die Phrase ist kurz, besteht nur aus Buchstaben und ist komplett klein geschrieben. Außerdem handelt es sich hierbei um ein “sinnvolles” Wort. Damit meine ich, dass es sich um ein tatsächlich existentes “Ding” handelt. In diesem Fall die Hauptstadt Deutschlands.

Da dieses Passwort nun so einfach ist, kann es durchaus sein, dass viele Leute dies zur Authentisierung benutzen, weil sie es sich einfach gut merken können, zum Beispiel weil es ihr Geburtsort ist oder ein guter Freund dort wohnt und genau das ist das Problem:

Im Internet gibt es inzwischen Datenbanken, die alle möglichen Wörter mit ihrem zugehörigem md5-hash speichern. So zum Beispiel http://www.md5decrypter.com.

Gibt man hier nun einen md5-hash ein, der aus einem sehr einfach Passwort gebildet wurde, ist die Wahrscheinlichkeit sehr hoch, einen Treffer zu landen.

Wenn wir nun unser Beispielpasswort “berlin” hashen, erhalten wir: d35a02eb49149450fb2fffc6e467eb37

Wer möchte, kann diesen hash nun im decryptor eingeben und erhält wieder das ursprüngliche Wort. Dabei wird kein einziges Mal gerechnet, um das ursprüngliche Passwort rauszukriegen. Es wird lediglich nach einem Treffer in der Datenbank gefahndet.

Dies funktioniert deswegen so gut, weil md5 kaum Kollisionen erzeugt und somit die Hashwerte nahezu eindeutig sind. Und selbst wenn zwei Werte mal den gleichen Hashwert besitzen, wäre es kein Thema, beide Passwörter bei eBay auszuprobieren.

Da md5 ansonsten ein relativ sicheres Verfahren darstellt, ist es sehr schade, dass der Algorithmus durch die Wahl schwacher Passwörter praktisch ad absurdum gestellt wird. Dabei ist es so einfach, sich ein gutes auszudenken und vor allem zu merken:

Bleiben wir beim Beispiel Berlin. Nehmen wir an, wir haben einen Freund oder Freundin in Berlin. Diese Person stinkt aber sehr. Also könnte man daraus einen Satz bilden:

Paul

aus

Berlin

stinkt

unglaublich

stark

am

Fuß !

Das neue Passwort bildet sich nun aus den Anfangsbuchstaben des Satzes, der ja durchaus einprägsam ist: PaBsusaF

Obwohl das Passwort allerdings 8 Zeichen besitzt (Was ausreichend ist) und sowohl Groß- als auch Kleinschreibung beinhaltet fehlen noch Sonderzeichen und Zahlen.

Diese können aber sehr einfach eingebaut werden, indem man Buchstaben durch andere Zeichen ersetzt, die ähnlich aussehen und daher leicht zu merken sind.

Zum Beispiel könnte aus einem I einfach eine 1 werden. Oder ein !

Der Bustabe O könnte durch eine 0 ersetzt werden usw. …

Bei unserem Beispiel könnte man also folgendes (endgültig sicheres) Passwort bilden:

Pa85u5aF!

Das Ausrufezeichen habe ich am Ende noch eingefügt, da mir kein gutes Sonderzeichen eingefallen ist :)

TwitterDiggFacebookShare

©2012 TIMO ERNST
iPhone icon by Jack Cai. Android icon by wpzoom.com