{ "version": "2.0", "xmlns": { "atom": "http://www.w3.org/2005/Atom", "content": "http://purl.org/rss/1.0/modules/content/", "georss": "http://www.georss.org/georss", "gml": "http://www.opengis.net/gml" }, "channel": { "title": "fboës - Der Blog | Artikel mit dem Tag \"Sicherheit\"", "link": "https://journal.3960.org/", "description": "Programmierung, Luft- & Raumfahrt, Kurioses: Der Blog von und mit Frank Boës.", "language": "de-DE", "copyright": "© 2008-2023 Creative Commons BY", "atom_link": { "href": "https://journal.3960.org/tagged/sicherheit/rss.json", "rel": "self", "type": "application/rss+json" }, "lastBuildDate": "Fri, 22 Mar 2024 18:00:20 +0100", "atom_updated": "2024-03-22T18:00:20+01:00", "generator": "blogophon", "image": { "url": "https://cdn.3960.org/images/tile-128x128.png", "title": "fboës - Der Blog", "link": "https://journal.3960.org/" }, "items": [ { "title": "Sichere Passwörter für Leute, die sichere Passwörter hassen", "description": "
Wirklich sichere Passwörter haben in der Regel den Nachteil, dass sie schwer zu merken oder schwer zu schreiben sind. Das muss aber nicht sein: mit diesem einfachen Rezept kann man die Sicherheit seiner Passwörter erhöhen, und muss sich nur ein Passwort merken.
", "content_encoded": "Wirklich sichere Passwörter haben in der Regel den Nachteil, dass sie schwer zu merken oder schwer zu schreiben sind. Das muss aber nicht sein: mit diesem einfachen Rezept kann man die Sicherheit seiner Passwörter erhöhen, und muss sich nur ein Passwort merken.
\n\nUnd damit sind nicht Passwort-Manager gemeint. Stattdessen versteht sich dieses einfache Rezept als Anleitung für diejenigen, die auch im Jahr 2020 nur ein Passwort für alle ihre Accounts verwenden. Denkt zum Beispiel an die Passwörter für eure Oma. 😉
\nWohlgemerkt: Das folgende Rezept sollte nur verwendet werden, wenn man keine Lust hat, sich ein wirklich sicheres Passwort zuzulegen. Deswegen nenne ich das folgende, mit meiner Frau zusammen entwickelte Rezept…
\nWir beginnen einfach mal mit der Annahme, dass das Standardpasswort bisher folgendes war:
\npasswort\n
\nDas ist nachgewiesenermaßen ein schlechtes Passwort: Es ist ganze 8 Zeichen lang, steht direkt so in einem Wörterbuch, und ist (laut Kaspersky-Tool zum Testen der Passwortsicherheit) in 20 Sekunden1 geknackt. Aber mit wenigen Tricks und gleichem Merkaufwand kann dieses schlechte Passwort in ein deutlich sichereres Passwort umgewandelt werden.
\nDie Minimalanforderungen an Passwörter sind in der Regel:
\nDie Groß- und Kleinschreibung erledigen wird über einen großen Anfangsbuchstaben, was die Zeit zum Knacken schon auf 39 Sekunden1 anhebt:
\nPasswort\n
\nDa die deutsche Sprache gerne Komposita verwendet, kann man zusätzlich jedes im Passwort vorkommende Nomen einzeln mit einem Großbuchstaben versehen:
\nPassWort\n
\nDas hebt die Zeit zum Knacken schon auf 12 Minuten1 an – diese Regel ignorieren wir aber der Einfachheit halber, und machen mit anderen Rezeptbestandteilen weiter.
\nEin paar Ziffern hat jeder von uns im Kopf. In der Regel Jahreszahlen mit vier Stellen – aber warum nicht eine deutsche Postleitzahl mit fünf Stellen, oder auch die auswendig gelernte Telefonnummer eures ersten Schwarms mit acht Stellen?
\nPasswort09648\n
\nJetzt benötigen wir zum Knacken bereits 16 Tage1.
\nUnd als Sonderzeichen fügen wir zwischen dem Buchstaben- und Ziffernteil sowie am Ende ein einfaches Sonderzeichen ein.
\nPasswort-09648!\n
\nDamit ist unser neues Standardpasswort zwar nicht kompliziert… aber mit 15 Zeichen ist es nun deutlich länger und widersteht Knackversuchen für circa 4 Jahrhunderte1!
\nDas eigentlich wichtige an Passwörtern ist aber, dass für jeden Account ein eigenes Passwort verwendet wird. Andernfalls riskieren wir, dass beim Hack einer Passwort-Datenbank der Hacker danach Zugriff auf alle unsere Accounts hat.
\nDarüber hinaus besteht die Gefahr, dass der Hacker das Passwort einfach mal bei eurem E-Mail-Account ausprobiert – und dann für alle eure Accounts das Passwort über die „Passwort vergessen“-Funktion zurückgesetzt werden kann. Also benötigen wir unterschiedliche Passwörter für alle Accounts.
\nAuch hier greift Omas Passwort-Rezept – als Extra-Zutat erweitert man das Passwort um den Namen des Dienstes:
\nPasswort-09648!google\nPasswort-09648!facebook\nPasswort-09648!web.de\n
\nDamit wird aus unserem 15-Zeichen-Passwort ein Passwort mit über 20 Zeichen Länge, dass mehr als 10.000 Jahrhunderte1 standhält, und durch seine Länge verblüffenderweise sicherer ist als z.B. „&uG4ftL!
“ mit 12 Tagen Knackdauer1. Selbst ein so einfacher Vertreter wie „Klaus-123!google
“ hält immerhin 24 Jahrhunderte1.
Um die Tipparbeit zu reduzieren kann die Extra-Zutat auch nur durch drei Buchstaben ersetzt werden (mit Dank an Mathias für die Inspiration). Das können zum Beispiel die ersten drei Buchstaben des Dienstes sein, oder jeder zweite Buchstabe – was verblüffenderweise bei der bereits erreichten Länge die Sicherheit gar nicht so großartig reduziert1:
\nPasswort-09648!goo\nPasswort-09648!fac\nPasswort-09648!web\n
\nDie Extra-Zutat kann für Schreibfaule noch weiter verkürzt werden, indem man nur den Anfangsbuchstaben des Dienstes verwendet, was zumindest 8 Jahrhunderte hält1:
\nPasswort-09648!g\nPasswort-09648!f\nPasswort-09648!w\n
\n„Moment“, denkt ihr jetzt, „wenn mein Passwort in einem Account geklaut wird, kann man ja einfach erraten, wie es in einem anderen Account aussehen würde.“ Gut mitgedacht, aber gar nicht so wahrscheinlich:
\nTatsächlich speichert kein ernsthafter Dienst euer Passwort, sondern eine Art „Quersumme“ eures Passworts, ein sogenanntes Hash. Euer Passwort passt genau zu diesem Hash, aber von dem Hash kann man nicht unbedingt auf das Passwort schließen. Alleine aus diesem Grund kann euch niemand euer Passwort nachträglich zuschicken. Je länger das Passwort, desto zufälliger wird das Hash, und desto schwerer ist es, auf das ursprüngliche Passwort zurückzuschließen2.
\nPasswort | \nMD5 Hash ohne Salt | \n
---|---|
Passwort-09648! | \nb443a258958c87a19b7fe521de7a6958 | \n
Passwort-09648!g | \nda01b07dd811a00e6576fa4d83b4eee6 | \n
Passwort-09648!goo | \nfd39389348f433257dbde5361d33d757 | \n
Passwort-09648!google | \n0da72493f73589b4e1c96dbff8f7d2e1 | \n
Passwort-09648!facebook | \nc20ed3dc0acd60e05a6d668ad25758fb | \n
Passwort-09648!web.de | \n7a3d0f5304dd9bdad469c025269ca274 | \n
Ergo: Falls jemand das Hash eures Passworts klaut, wird er viel Zeit brauchen, dieses Hash in euer Passwort zurückzuverwandeln, um sich danach in eurem Namen in dem Dienst anzumelden. In der Regel macht sich aber niemand die Mühe, dieses Passwort anzuschauen um dann auszuknobeln, wie das Passwort bei anderen Diensten aussehen könnte.
\nOmas Passwort-Rezept besteht also aus den folgenden Schritten:
\n-
“.!
“.Die ganze schöne Anleitung ändert aber nichts an der Tatsache, dass man die eigenen Passwörter geheim halten muss – und jedes Gerät sicher sein muss, auf dem man ein Passwort eintippt.
\nWerbung nervt. Tracking nervt. Nerven nervt. Und gerade mobil habe ich eigentlich keine Zeit, meine geringe Download-Rate mit dem Herunterladen von hässlichen Werbemitteln zu verbringen. Aber welche Optionen hat man schon auf einem Smartphone?
", "content_encoded": "Werbung nervt. Tracking nervt. Nerven nervt. Und gerade mobil habe ich eigentlich keine Zeit, meine geringe Download-Rate mit dem Herunterladen von hässlichen Werbemitteln zu verbringen. Aber welche Optionen hat man schon auf einem Smartphone?
\n\nSchon vor einiger Zeit war ich auf Firefox für Android gestoßen. Da ich schon immer ein Herz für Mozilla hatte und Firefox einer der wenigen Browser unter Android war, in dem ein AdBlocker funktionierte, war ich von Chrome für Android auf Firefox für Android umgestiegen.
\n\nOh, ein Nerd-Telefon! Android, Firefox und DuckDuckGo.
Ein Wermutstropfen hatte damals Firefox für Android aber: Im Vergleich zu Android-Chrome war er nicht wirklich schnell. Das fiel augenscheinlich auch Mozilla auf, so dass sich in der stetig vergrößernden Palette an Mozillas Android-Apps eine neue Version von Firefox für Android fand: Mozilla Firefox Preview – und die Früchte dieser Arbeit sind nun im regulären Mozilla Firefox integriert worden.
\nVon seinem Vorgänger unterscheidet Firefox Preview neben einer etwas kompakteren Oberfläche vor allen Dingen seine rasante Geschwindigkeit. Bei den Plugins für diesen Browser gibt es auch bekannte AdBlocker, der eingebaute AdBlocker (Enhanced Tracking Protection bzw. ETP genannt) funktioniert aber auch bereits ausgezeichnet (so das meine Bastelei für den FritzBox-AdBlocker für diesen Browser überflüssig wird).
\nNebenbei kann Firefox auch den Webview auf Android ersetzen. Damit sind alle Apps auf dem Telefon, die Webview verwenden, nicht nur mit der Rendering-Engine sondern auch mit dem AdBlocker von Firefox ausgestattet.
\nNicht zuletzt ist in Firefox der Dienst „Firefox Sync“ eingebaut. Sobald man sich einen kostenlosen Firefox Account zugelegt hat, können alle anderen mit diesem Account registrierten Firefox-Browser Historie und Lesezeichen teilen. Damit ist das Erlebnis wie bei Google Chrome mit aktivierten Google Account.
\nÜbrigens: Mozillas Bemühen um neue Privatsphären-Services hat Firefox Monitor hervorgebracht. Mit einem Firefox-Account kann man sich so informieren lassen, ob die eigene E-Mail-Adresse von einem Datenleck betroffen ist. Ein sinnvoller Service, der mich zum Beispiel darauf gebracht hat, dass einige von mir benutzte Dienste meine E-Mail-Adresse nebst Passwort-Hash verloren hatten – und merkwürdigerweise ein nicht von mir benutzter Dienst, womit sich hier möglicherweise der Kreis zum Trackingschutz von Mozilla Firefox schließt. 😉
\nUpdate 2020–08: Inzwischen hat sich die Browser-Palette von Mozilla für Android leicht verändert: Der reguläre Mozilla Firefox verbindet die Vorteile vom Firefox Preview mit der Stabilität vom regulären Firefox.
", "link": "https://journal.3960.org/posts/2019-12-22-firefox-weniger-werbung-mehr-speed-unter-android/", "pubDate": "Sun, 22 Dec 2019 18:33:43 +0100", "atom_published": "2019-12-22T18:33:43+01:00", "atom_updated": "2020-08-25T11:55:12+02:00", "guid": "user/posts/2019-12-22-firefox-weniger-werbung-mehr-speed-unter-android/index.md", "author": "info@3960.org (Frank Boës)", "categories": [ "Sicherheit", "Für Tumblr", "Geckobar", "Review", "Technologie", "Webdevelop", "Adblocker" ] }, { "title": "Fritz!Box als AdBlocker", "description": "Ein schlauer Eintrag hat mich auf die Tatsache hingewiesen, dass man die Fritz!Box als Adblocker verwenden kann. Mit dieser Methode kann Werbung und Tracking auf Tablets und Smartphones blockiert werden, die zwar selber keinen Adblocker haben, die aber über die Fritz!Box ins Internet gehen.
", "content_encoded": "Ein schlauer Eintrag hat mich auf die Tatsache hingewiesen, dass man die Fritz!Box als Adblocker verwenden kann. Mit dieser Methode kann Werbung und Tracking auf Tablets und Smartphones blockiert werden, die zwar selber keinen Adblocker haben, die aber über die Fritz!Box ins Internet gehen.
\n\nDas Vorgehen dazu ist denkbar einfach:
\nDie Anleitung zur Einrichtung von Filtern findet sich auch bei AVM im Detail.
\nDanach kann kein mit der Fritz!Box verbundenes Gerät die blockierten Domains aufrufen, so dass auch Werbung und Tracking-Skripte nicht mehr geladen werden.
\nEine Liste der Domains, die man eintragen könnte, kann man mit ein bisschen Googlen finden (z.B. bei Stefan auf Twitter). Ansonsten habe ich auch eine Adblock-Liste für die Fritz!Box bei Github hinterlegt.
\nUpdate Mai 2019: Die Adblock-Liste für die Fritz!Box auf Github erfreut sich stetig wachsender Beliebtheit, und wird immer wieder von großzügigen Spendern um neue Einträge erweitert.
\nEine andere Alternative zum Blockieren von Werbung auf Mobilgeräten ist die Verwendung eines Browers mit Adblocker. Firefox für Android hat die Möglichkeit, einen Adblocker zu installieren.
", "link": "https://journal.3960.org/posts/2015-07-02-fritz-box-als-adblocker/", "pubDate": "Thu, 02 Jul 2015 21:18:43 +0200", "atom_published": "2015-07-02T21:18:43+02:00", "atom_updated": "2022-11-07T16:21:48+01:00", "guid": "user/posts/2015-07-02-fritz-box-als-adblocker.md", "author": "info@3960.org (Frank Boës)", "categories": [ "Sicherheit", "Programmierung", "Webdevelop", "Adblocker", "AVM" ] } ] } }