Schonmal bei Joey’s Pizza in Ulm bestellt?
Fast so schlimm wie bei Payback:
Fehlt eigentlich nur noch, dass die Checkbox per Default aktiviert ist
Schonmal bei Joey’s Pizza in Ulm bestellt?
Fast so schlimm wie bei Payback:
Fehlt eigentlich nur noch, dass die Checkbox per Default aktiviert ist
Neulich hat der BCW in der Datenschutzvorlesung erwähnt, dass PGP-Unterschriften aus irgendeinem Grund nicht eine reale Unterschrift ersetzen können/dürfen. Irgendwie kam mir das eigenartig vor, da PGP ja eigentlich ein relativ sicheres Verfahren zur digitalen Signierung von Dokumenten darstellt. Jetzt habe ich also mal etwas nachgeforscht und siehe da: Der Grund für dieses Misstrauen in PGP liegt in der Tatsache, dass OpenPGP/GnuPG eine quelloffenene (bzw. OpenSource-) Technologie darstellt und es bisher noch nicht gelang, Vater Staat diese schmackhaft zu machen, denn eben dieser stellt die Forderung, dass Sofware, die eine digitale Unterschrift realisiert, eine nach SigG (Signaturgesetz) “qualifizierte” sein muss (Was immer das jetzt heissen mag). Eine solche Qualifizierung gelang bisher nur proprietären Systemen und das auch nur mit hohem Aufwand, da dieser Prozess eine Überprüfung und Zertifizierung der Software beinhaltet und nicht gerade billig ist.
Ist schon irgendwie interessant, wie die Bürokratie ausgereifte und sichere Technik ihrem eigentlichen Zweck vorbehalten kann und den Bürgern somit die Möglichkeiten der Vorteile eben dieser verwährt. Wie oft musste ich schon sinnlos irgendwelche Dokumente unterschreiben (um mich z.B. bei Payback abzumelden), in ein Kuvert packen, frankieren und warten, bis sich was tut, obwohl grade solche Dinge mit PGP sehr einfach zu realisieren wäre.
So, das Semester ist jetzt schon ein paar Wochen alt und es wird Zeit für ein Fazit (imho):
Alles in allem eine Vorlesung, die besser ist als ihr Ruf, die allerdings etwas unter den vielen juristischen Texten leidet, daher:
Vorlesung: Note 2-
Übungs: Note 2-
Alles in allem aber trotzdem wieder eine solide Weber-Vorlesung mit unangenehmen Übungen:
Vorlesung: Note 2
Übung: Note 3-
Alles in allem habe ich bisher nur einen kleinen Einblick bekommen und bin mir noch etwas unschlüssig, was ich davon halten soll. Daher:
Vorlesung: Vorläufig keine Note
Übung: s.o.
Wie erwartet, das was man von IS kennt, daher:
Anwendungsfach IS: Note 2
Ich werde oft von Computer-Einsteigern gefragt, warum man sich denn immer ein besonders kompliziertes Passwort merken bzw. ausdenken sollte. Bisher konnte ich das nie so richtig gut erklären (Mal abgesehen davon, zu versuchen, eine Dictionary-Attack zu erklären), aber heute in der Webengineering-Vorlesung war ein Techniker von team-ulm.de da und hat einen kleinen Vortrag über die Servertechnik dort gehalten und da kam mir die Erleuchtung
Unter anderem wurde in der Vorlesung gezeigt, dass md5-gehashte Passwörter nur dann sicher sind, wenn das gewählte Geheimwort nicht zu einfach ist.
Nehmen wir zum Beispiel als Passwort “berlin”. Das ist sehr einfach, denn die Phrase ist kurz, besteht nur aus Buchstaben und ist komplett klein geschrieben. Außerdem handelt es sich hierbei um ein “sinnvolles” Wort. Damit meine ich, dass es sich um ein tatsächlich existentes “Ding” handelt. In diesem Fall die Hauptstadt Deutschlands.
Da dieses Passwort nun so einfach ist, kann es durchaus sein, dass viele Leute dies zur Authentisierung benutzen, weil sie es sich einfach gut merken können, zum Beispiel weil es ihr Geburtsort ist oder ein guter Freund dort wohnt und genau das ist das Problem:
Im Internet gibt es inzwischen Datenbanken, die alle möglichen Wörter mit ihrem zugehörigem md5-hash speichern. So zum Beispiel http://www.md5decrypter.com.
Gibt man hier nun einen md5-hash ein, der aus einem sehr einfach Passwort gebildet wurde, ist die Wahrscheinlichkeit sehr hoch, einen Treffer zu landen.
Wenn wir nun unser Beispielpasswort “berlin” hashen, erhalten wir: d35a02eb49149450fb2fffc6e467eb37
Wer möchte, kann diesen hash nun im decryptor eingeben und erhält wieder das ursprüngliche Wort. Dabei wird kein einziges Mal gerechnet, um das ursprüngliche Passwort rauszukriegen. Es wird lediglich nach einem Treffer in der Datenbank gefahndet.
Dies funktioniert deswegen so gut, weil md5 kaum Kollisionen erzeugt und somit die Hashwerte nahezu eindeutig sind. Und selbst wenn zwei Werte mal den gleichen Hashwert besitzen, wäre es kein Thema, beide Passwörter bei eBay auszuprobieren.
Da md5 ansonsten ein relativ sicheres Verfahren darstellt, ist es sehr schade, dass der Algorithmus durch die Wahl schwacher Passwörter praktisch ad absurdum gestellt wird. Dabei ist es so einfach, sich ein gutes auszudenken und vor allem zu merken:
Bleiben wir beim Beispiel Berlin. Nehmen wir an, wir haben einen Freund oder Freundin in Berlin. Diese Person stinkt aber sehr. Also könnte man daraus einen Satz bilden:
Paul
aus
Berlin
stinkt
unglaublich
stark
am
Fuß !
Das neue Passwort bildet sich nun aus den Anfangsbuchstaben des Satzes, der ja durchaus einprägsam ist: PaBsusaF
Obwohl das Passwort allerdings 8 Zeichen besitzt (Was ausreichend ist) und sowohl Groß- als auch Kleinschreibung beinhaltet fehlen noch Sonderzeichen und Zahlen.
Diese können aber sehr einfach eingebaut werden, indem man Buchstaben durch andere Zeichen ersetzt, die ähnlich aussehen und daher leicht zu merken sind.
Zum Beispiel könnte aus einem I einfach eine 1 werden. Oder ein !
Der Bustabe O könnte durch eine 0 ersetzt werden usw. …
Bei unserem Beispiel könnte man also folgendes (endgültig sicheres) Passwort bilden:
Pa85u5aF!
Das Ausrufezeichen habe ich am Ende noch eingefügt, da mir kein gutes Sonderzeichen eingefallen ist
Heute ist Prof. Weber in der Webengineering-Vorlesung etwas über Blogs hergezogen, was mich dazu angeregt hat, mir über die ganze Sache ein wenig Gedanken zu machen. Seiner Meinung nach ist gibt es wohl eine Diskrepanz zwischen dem Thema Datenschutz und dem Publizieren von persönlichen Informationen im WWW über Blogs. Weiterhin sagte er, dass interessanterweise gerade Leute, die sich dem Datenschutz verschrieben haben zum Beispiel irgendwelche Urlaubsfotos in’s Netz stellen, die man dann wohl so “nie mehr wieder weg kriegt”.
Besonders letzter Punkt hat mich dazu gebracht, etwas nachzudenken, denn so Unrecht hat der gute Mann natürlich nicht. Auf der einen Seite bemühe ich mich, dass das StudiVZ nicht so einfach an meine Daten kommt, auf der anderen Seite hab ich hier in diesem Blog tonnenweise Bildergalerien, die mir später bei der Suche nach einem Job Probleme machen können.
Allerdings muss ich auch sagen, dass ich, gerade wenn es um private Fotos geht, zu diesen stehe. Ich habe kein Problem damit, wenn mein zukünftiger Chef sieht, wie ich als Student betrunken unter’m Tisch lag. Ist ja kein Geheimnis, dass Studenten gerne feiern.
Außerdem gebe ich mir sehr viel Mühe, dass zum Beispiel Spambots nicht so einfach über meinen Blog “drübercrawlen” können und zum Beispiel meine e-Mail Adresse abgrasen, obwohl ich diese unter “Kontakt” angegeben habe. Zumindest der Google Bot soll nicht in der Lage sein, diesen “Sicherheitsmechanismus”, bestehend aus etwas Javascript und einem CSS-Hack, auszulesen.
Sucht man auch zum Beispiel bei Google nach “Timo Ernst” findet man nicht viel, da ich alles, was ich dort gefunden habe und mir nicht passte, von Google habe entfernen lassen. Das geht übrigens relativ schnell und einfach, indem man einfach nur ein Formular bei den Brüdern ausfüllt und das war’s. Ob dadurch die Daten wirklich aus den Datenbanken von Google gelöscht werden oder ob sie einfach nicht mehr in den Suchergebnissen angezeigt werden, wage ich allerdings zu bezweifeln.
Trotzdem bleibt irgendwie ein fader Beigeschmack, den mir Onkel Weber nun bereitet hat und den ich wohl so schnell nicht loswerde.
Recent Comments