Mein Passwort gehört nur mir!

Mein Passwort gehört nur mir!
04.11.2009 15:54

Es war einmal, vor langer Zeit. Da haben sich die Mitlieder eines Internet-Forums einmal so richtig persönlich getroffen. Einige dieser Personen kannten sich schon wirklich, andere trafen sich dort zum ersten mal. Während wir uns alle köstlich amüsierten fragte Person a, jemanden der sich im Forum Kenshin nannte: "Du, wie ist eigentlich dein Passwort im Forum?"

Kenshin antwortete: "Das Passwort ist 'kenshin', wieso?"

Nach ca. 10 Minuten kam Kenshin ganz entrüstet zu mir - dem "Admin" - Das "die da" Irgendwie seinen Account gehackt haben, und nun Homosexuelle Liebeserklärungen in seinen Namen veröffentlichen. Die Moral von der Geschicht', gibt es heute leider nicht. Kenshin war etwas langsam und lebte noch Jahre glücklich mit seinem Passwort, genauso wie wir Admins - welche seinen Account öfters zum testen von Benutzerprivilegien verwendet haben.

Computer Rollenspiele

Nicht nur im Firmenumfeld auch zu Hause setzten sich Betriebssysteme durch die immer stärker auf Sicherheit pochen. Das grundlegende Modell ist immer das selbe. Es gibt unterschiedliche Anwender, welche unterschiedliche Rechte haben können. Das Hauptproblem ist nur wie die stupiden Schaltkreise eines PCs feststellen können das auch wirklich "Christian" vor dem PC sitzt und nicht "Verena"

Wir Menschen machen das mit einem Mix aus "Face Recognition", "Voice Fingerprinting" und weiteren Biometrischen Methoden. Vielen PCs fehlt aber die erforderliche Hardware für so ein Sicherheitsniveau und Biometrisch ist sowieso ein Alarmwort das sofort die Datenschützer alarmiert. Daher darf sich seit Jahrzehnten jeder Anwender ein "Geheimes Passwort" ausdenken, mit dem er seinen PC versichern kann das man wirklich und leibhaftig vor dem Computer sitzt und nicht jemand anderes.

Das Passwort gilt schon seit seiner Einführung als Hinkebein, doch es ist einfach und universell zu implementieren. Wenn der Anwender ein gutes Passwort wie "wHq/L(7)R!" wählt, ist es auch viel sicherer als Consumer-Biometrie Scanner. Der wichtigste Punkt ist jedoch folgender: "Ein persönliches Passwort nützt nur das was, wenn nur ICH es kenne und niemand es erraten kann!"

Die ganze Diskussion über die Sicherheit des GNOME-Schlüsselbundes geht daher vollkommen am eigentlichen Problem vorbei:

  1. Niemand bekommt mein Passwort! Mein Chef nicht, der Administrator nicht, die Kollengen nicht, und schon gar nicht meine "Bankbetreuer" die mir E-Mails schreiben.
  2. Niemand hat in meiner Abwesenheit etwas auf meinem Desktop mit meinen Dateien verloren! Weder Zuhause, noch in der Arbeit.
  3. Ein Benutzer basierendes Sicherheitsmodell funktioniert nur mit unterschiedlichen Benutzern.
  4. Auch wenn "Verena" meine Lebensgefährtin ist muss Sie nicht auf alles zugreifen dürfen was auf meinem PC gespeichert ist. Es gibt Geheimnisse die nicht einmal meine Frau wissen soll. Z.B. Der private SSH Schlüssel für den Server auf den 5.000 andere Benutzerpasswörter und E-Mail Adressen liegen.
  5. Es ist egal ob andere Personen meine Passwörter auslesen können, oder nur auf meine E-Mails zugreifen können. Denn heutzutage darf man sich fast alle Passwörter per E-Mail zuschicken lassen.
  6. Mit dem Passwort Wahnsinn des 21. Jahrhundert hat es sich leider eingebürgert das jedes Programm sich anbietet diese ganzen unterschiedlichen Passwörter zu speichern, viele Programme legen dabei jedoch nicht auf die Sicherheit wert und bieten einen schönen Nährboden für Trojaner und anderen Datenkraken.

Wie kann ich mich schützen?

  1. Ein gutes sicheres Passwort wählen das aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen besteht. Toll ist die Methode des "Matras". Man nimmt einen Satz und reduziert ihn auf die Anfangsbuchstagen. "Slhd7B,bd7Z" Merkt man sich mit "Schneewittchen liegt hinter den 7 Bergen, bei den 7 Zwergen"
  2. Für jedes Mitglied in der Familie einen eigenen Benutzer anlegen. Anfangs verstehen Sie den Zweck nicht, freuen sich aber schnell wenn der eifersüchtige Papa nicht die Liebesbriefe vom Liebhaber lesen kann. Addons wie eigener Bildschirmhintergrund & Co versüßen die eigene Privatspäre sehr schnell.
  3. Bildschirm sperren wenn ich den PC für einige Zeit verlasse - vor allem im Büroalltag. Solange Ich angemeldet bleibe glaubt mein PC das Ich vor ihm sitze.
  4. Niemals das Passwort verraten. Wenn der PC zum Service muss, dann das Passwort ändern. Immer ein Backup vorher machen, wer Geheimnisse auf dem Rechner hat sollte diese vorher löschen. Das ist mein ernst. Ich habe Jahre lang Computer repariert und habe schon viele nackte Freundinnen am Desktop-Hintergrund gesehen.

Mir würde vor kurzem Vorgeworfen das ich "Elitär" bin weil ich Mitarbeitern welche diesen Verhaltenskodex nicht einhalten wollen den Zugang zu dem Firmennetzwerk verbieten würde. Vielleicht hab ich mich aber auch zu kurz bündig ausgedrückt und es ist falsch angekommen. Ich möchte das jedoch mit dem klassischen Autovergleich verbinden.Von der richtigen Handhabung mit einem Auto hängen Menschenleben ab. Von der richtigen Handhabung mit einem Computer meist nur Firmen- manchmal auch Privatexistenzen.

Wenn ich ein als Fahrer eines Autos dieses Verlasse, muss ich: Mich vergewissern das mein Auto innerhalb von 5Sek Wegzeit gut sichtbar ist, es nicht den Einblick auf Schutzwege, Krezungen, oder Schilder verdeckt, auch Nachts erkennbar ist, der richtige Gang eingelegt ist, die Handbremse gezogen ist, Das Licht je nach Bedarf aus, oder das Begrenzungslicht aktiv ist, die Türen versperrt sind, und kein Schlüssel steckt.

Wenn ich als Anwender eines PCs meine Arbeitsplatz verlasse, muss ich: Je nach Bedarf mich von dem Arbeitsplatz abmelden, oder den Bildschirm sperren. Windows, MacOS X, Linux und viele andere Betriebssysteme kümmern sich um den Rest. Für viele Fälle von Cyber-Kriminalität reicht dieses Verhalten um aus der Haftung heraus zu fallen.

Was macht jetzt Linux für meine Sicherheit?

Auch den Vorwurf das Linux aktiv mehr für die Sicherheit von Datenschutzverweigerern tun soll, kann ich nicht unkommentiert stehen lassen:

  1. Wirklich jede Linux Distribution legt im Vorfeld einen unprivilegierten Benutzeraccount an. Der "root" bekommt entweder ein eigenes Passwort, oder wird gleich deaktiviert.
  2. Die guten Linuxe richten die HOME Verzeichnisse so ein das niemand außer dem Eigentümer sich irgendetwas darin ansehen darf, früher war das nicht so.
  3. Jedes Linux und Unix das ich in den letzten Jahren in der Hand hatte, warnt sehr aufdringlich von unsicheren Passwörter, oder verweigert sie komplett. Windows XP konnte das auch, aber nur mit einem teuren Active-Directory Controller im Hintergrund.
  4. Viele Distributionen sind von Haus aus so eingestellt das Sie den Bildschirm nach 10 Min inaktivität sperren. Noch lassen alle Distributoren dem Anwender noch eine einfache Möglichkeit über, diesen wieder zu Deaktivieren. Bug, oder Feature?
  5. Der GNOME Keyring ist eine der besten Schutzmethoden gegen Trojaner die sich ein Anwender wünschen kann. Gott sei dank verwenden viele Projekte diese Methode zum speichern von Passwörter und nicht irgendwelche unsicheren Eigenbauten wie versteckte .ini Dateien, oder die Windows Registry.
  6. Die großen Distributoren sichern mit SELinux, AppArmor u.s.w. die eh schon regulierten Rechte von einzelnen Anwendungen noch mehr ab um theoretische Sicherheitslücken im Vorfeld abzublocken.
  7. Abgesehen davon gibt es vorinstalliert ein hübsches Grafisches Tool mit dem man neue Benutzer noch viel einfacher anlegen kann, als unter Windows. Wenn man etwas verbessern soll, dann das gleich der Installer das Anlegen von mehreren Anwender anbieten sollte.
  8. Jede Distribution kommt mit sehr hübschen Bildschirmschoner, die das Sperren des Bildschirms auch sehr Attraktiv machen.
  9. Jede gute Distribution bietet im Vorfeld viele exotische Möglichkeiten um die schon hohen Basis Sicherheit noch weiter zu Erhöhen, sie das E-Mail Verschlüsselung mit GPG, Das PAM System mit dem ich zusätzliche Sicherheitsabfragen wie Smartcards einfach integrieren kann, Off-The-Record Messenging, WPA2-Enterprise Unterstützung (nicht das ein normaler Router das könnte), und vieles Mehr. Die Sommer-Spezial Gewinnerin Kerstin hat in Ihren Blog auch bewiesen das man sich als Anfänger durchaus mit so harter Materie erfolgreich beschäftigen kann.

Verweigerer sind eine Gefahr für uns alle!

Ich verstehe noch immer nicht warum man in Ubuntu Ctrl+Alt+Backspace deaktiviert hat. Früher konnte man damit die Grafische Oberfläche neu starten und viele Probleme schnell lösen. Das habe ich in einem Buch gelesen das ich mir damals gekauft habe um den Umgang mit SuSE zu lernen. Jetzt geht es nicht mehr da einige Anfänger durch Zufall mit dieser Fingerverränkung ihren X Server abgeschossen und damit 10 Minuten Arbeit in OpenOffice verloren haben.

Früher konnte man Dateien ganz schnell mit PGP verschlüsseln - mit Hilfe des Kontextmenüs. Doch die Einträge verwirrten einige Quereinsteiger und wurden im Namen des Papercut Projektes entfernt.

Früher bombardierte Linux mich mit Datenmüll der mir wirklich nichts sagte. Auch heute könnte ich mit den Meldungen nichts anfangen. Aber Google kann es! Es kommt vor allem in letzter Zeit vor das Linux auf meinem Netbook versagt. Da die Startmeldungen die Anwender irritieren leuchtet nur noch ein Ubunutu Logo beim Start. Das erscheint jetzt bei einer Neuinstallation für 10 Stunden und ich weis nicht warum. Ich habe mittlerweile gelernt wie man das Logo abschalten kann. Es überschreitet die Technischen Kompetenzen eines Anfängers, vor allem weil dieser 0.5 Sekunden Zeit hat die [esc] zu drücken.

Die Entwickler und Distributoren versuchen seit Jahren eine gute Ausgewogenheit zwischen Komfort und Sicherheit zu finden. Ich finde das dieser Mix bei Ubuntu auch sehr gut gelungen ist. Fedora 11 ist nach der Installation mit SELinux etwas nervig, und von Vista wollen wir besser gar nicht reden!

Doch wie soll man die Linux Oberfläche effektiv vor solchen Verweigern schützen?

  1. Man kann z.B. das Speichern von Passwörtern deaktivieren, und nur über einen gconf Hack, oder einen Shellbefehl aktivieren. Das wäre die Shuttleworth Methode. Wir könnten damit viele Anwender erfolgreich zu Windows 7 migrieren.
  2. Man könnte den Schlüsselbund ändern das er nicht mehr mit Nein, Ja und Immer um Erlaubnis fragt, sondern immer nach den Passwort fragt. Das ist nervig und wie wir wissen haben die Verweigerer keine Scheu ihr Passwort weiter zu geben. Fedora ist aber ganz gut darin.
  3. Wir könnten Die Passwort Authentifizierung deaktivieren, und Anmeldung nur per Smartcard erlauben. Wer Linux verwenden will, soll sich einen 100 € Cardreader kaufen! Österreich subventioniert das eh, wegen dem E-Goverment. Ein Hoch auf die Bügercard, wo der Staat eine Kopie meines Schlüssels hat!
  4. Wir könnten einen Mechianismus einführen der laufend überprüft, ob der richtige Benutzer vor dem PC sitzt. Es gibt unzuverlässige Methoden um den Anwender an seinem Tippverhalten zu erkennen, eine Tastatur hat ja jeder PC. Wird der Benutzer nicht erkannt, wird sein PC gesperrt.
  5. Weitere Methode um Anwender zu Ihrem Glück zu zwingen: Die Webcam läuft immer, mit Facerecognition im Hintergrund. Dann braucht halt immer jeder Anweder eine Webcam und eine Quadcore CPU.
  6. Ziehen wir das Pferd von hinten auf: Linux macht endlich Gebrauch von der TPM Hardware. Nur vom Linuxsecurity Consortium Signierte Binärpakete bekommt Zugriff auf den Schlüsselbund und dieser kann und darf vom Benutzer nicht eingesehen werden. Neue und selbst kompilierte Programme können ihre Gehiminisse daher nicht in diesem Schlüsselbund schreiben und müssen auf versteckte .ini Dateien und ungesicherten gconf-Schlüssel ausweichen.

Die wirkliche Moral von der Geschichte

Beim Beispiel des Autos werden fast alle Autofahrer den Kopf geschüttelt haben und sich Dinge wie "Das macht doch kein Mensch" gedacht haben. Wer beleuchtet schon sein Auto wenn er auf einer Landstraße hält, bzw parkt? Wer verschwendet einen Gedanken daran das der einzig freie Parkplatz in der Stadt vor einem Zebrastreifen ist? Wer zieht sich schon wirklich eine Sicherheitsweste an, wenn er eine Panne hat? Genau darum gibt es ja auch so viele Verkehrstote und eine StVO die so lange ist das Sie in der Fahrschule nicht gelehrt wird, sondern nur Ihre Interpretation.

Genauso wenig beachten viele das "baumann" kein gutes Passwort für das WLAN-Netzwerk "baumann" ist. Haften aber wenn über Ihren Internetzugang Werbung für Kinderpornographie versendet wurde. Wenn der Schaden durch Ihr Fehlverhalten erst entstanden ist, war Windows, oder halt manchmal Linux schuld. Die Entwickler werden unter Druck gesetzt das Fehlverhalten dieser Leute zu unterbinden, koste es was es wolle. Linux entwickelt sich damit immer mehr zum Windows Klon, zum Leidwesen aller die von Windows weg wollten.

Warum wechselt man denn von Windows auf Linux? 80% Aller Windows Versionen sind Raubkopien, oder waren "Gratis" beim PC dabei. Der Preis fällt weg. Man kann also nur deshalb Windows verlassen, weil man damit nicht glücklich war. Warum sollte ich also als Linux Entwickler alles daran setzen meine Anwender so stark zu bevormunden wie unter Windows?

Was hat es für einen Sinn, das Leben von tausenden Vernunft begabten Menschen schwerer zu machen, nur weil es ein paar dumme Stuhrköpfe gibt die es einfach nicht lernen wollen? Klar sollte man versuchen ein Betriebssystem resistenter gegen Dummheiten zu machen. Darum ist DOS ja auch schon ausgestorben, und Windows 98 wird hoffentlich auch bald verschwinden. Natürlich darf die Evolution nicht stehen bleiben und die Sicherheitsmodelle müssen mit wachsen, aber man muss dem Anwender immer ein gewissen Maß an Eigenverantwortung zu trauen können.

Lippenbekenntnisse helfen hier nichts. Einbrecher brechen nie über den Hauseingang mit Sicherheitsschloss ein, sondern über die Hintertür, oder dem Fenster das offen steht. Im Fall des GNOME-Keyring darf jede Anwendung nach Benutzerinteraktion auf einzelne Passwörter zugreifen, wenn ich eine Anwendung zusätzlich absichere, gibt es im Internet dutzende weitere die es nicht machen. Ich kann auch einen Security zum Hauseingang stellen der ein Passwort erfragt. Die Hintertüre bleibt trotzdem offen.

Im Falle des Keyring ist es nicht mal die Hintertüre, sondern der Hauseingang den ich unversperrt lasse wen ich das PC-Ge-Häuse verlasse.


Kommentare
Straßenverkehr, Datenverkehr
blau (unangemeldet), Freitag, 06. November 2009 09:35:35
Ein/Ausklappen

"Mir würde vor kurzem Vorgeworfen das ich "Elitär" bin weil ..."

Wenn Du für die Sicherheit verantwortlich bist, ist Dein Handeln nicht elitär, sondern verantwortungsbewußt. Du solltest dafür gelobt werden und den Usern einen Computerkurs anbieten.


"Doch wie soll man die Linux Oberfläche effektiv vor solchen Verweigern schützen?"

Gegen Verweigerung kann man nicht fremdschützen.


"(...) aber man muss dem Anwender immer ein gewissen Maß an Eigenverantwortung zu trauen können."

Wir brauchen einen Internetführerschein, eine Art StVo für die Teilnahme am Internet. IRL werde ich, wenn ich mit einem schadhaften Wagen unterwegs bin und andere Verkehrsteilnehmer dadurch einer Gefahr aussetze, bestraft. Genauso sollte das im Internet sein. Wenn mein Rechn er eine Virenschleuder ist und die Sicherheit anderer Rechner dadurch gefährdet, muß das sanktioniert werden.




Bewertung: 182 Punkte bei 41 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Straßenverkehr, Datenverkehr
Peter Panski (unangemeldet), Freitag, 06. November 2009 10:25:32
Ein/Ausklappen

@blau: Dann brauchen wir aber auch einen Internet-TÜV, und jeder ohnehin GEZ-zahlende Internetnutzer müßte eine zusätzliche halbjährliche TÜV-Gebühr entrichten, damit er ein Zertifikat erhält, welches bescheinigt, dass der Rechner derzeit sicher genug für den Verkehr im Internet ist. Das Internet ist der einzige Raum, der dem Bürger bleibt, in dem ihm das Gefühl der Anarchie zumindest vorgegaukelt wird. Dieses bisschen Chaos will sich niemand durch einen Führerschein nehmen lassen. Ich zumindest nicht. Wie wäre es alternativ mit Heckenschützen, die Virenschleudern aus der Ferne abschießen. Der Nutzer, dessen Maschine verseucht ist, wird wahrscheinlich nicht genügend Kenntnis im Umgang mit dem PC haben, um ihn selbst wieder ins Rennen zu bringen. Den Heckenschützen könnte man eine Kopfgeldprämie von 5€ anbieten. Der Fachmann, der den Rechner entseucht und wieder online bringt, verdient auch daran. Wenn Du mich fragst ist das ein hervorragendes Konzept, um die Wirschaft ein wenig anzukurbeln. Genau das Richtige für die KRISE!


Bewertung: 186 Punkte bei 39 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Straßenverkehr, Datenverkehr
Christian Berg, Freitag, 06. November 2009 11:15:52
Ein/Ausklappen

*lol*, das ist jetzt schon leicht sarkastisch, oder?

Aber irgendwas scheint in der Welt schon schief zu laufen, währens sie bei mir in der 9 Schulstufe ausgiebig Datenschutz und Datensicherheit auf dem Lehrplanpln hatten, ob wohl wir das auch schon in der Grundschule hatten, lernen die Stundenten auf der Uni zwar mit Biopython umzugehen, aber wissen nicht wie man ein Backup machen kann. Schlimmer noch: Der verantwortungs bewusste Umgang mit einem PC wird nichtmal beim ECDL gelehrt. Was soll das?

Darum gibts ja auch Heckenschützen im Internet, wir nennen Sie halt Spammer und die verdienen meist mehr pro einverleibten PC. Mein Provider allerdings nimmt infiltrierte Server kostenlos vom Netz.

Als Fachmann der verseuchte Windows PCs wieder säubert hab ich mir Jahre lang meinen Unterhalt verdient. Ca 80 - 120 Euro hat eine durschnittliche Bereinigung gekostet, je nach Aufwand. Kaufte der Kunde einen Kaspersky-Virenscanner dazu, wurde eine 1/4 Arbeitszeit Rabatt gegeben. Trotzdem sind viele Kunden wieder gekommen, mit dem nächsten Virus. :)




Bewertung: 182 Punkte bei 41 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Re: Straßenverkehr, Datenverkehr
blau (unangemeldet), Freitag, 06. November 2009 14:22:26
Ein/Ausklappen

@ Peter Panski

"(...) und jeder ohnehin GEZ-zahlende Internetnutzer müßte eine zusätzliche halbjährliche TÜV-Gebühr entrichten, damit er ein Zertifikat erhält, welches bescheinigt, dass der Rechner derzeit sicher genug für den Verkehr im Internet ist. "

Nicht ganz.
Meine Idee ist, daß jeder *ohne vorherige Sicherheitsüberprüfung* am Internet teilnehmen darf. Daß aber jeder sanktioniert wird, der dadurch auffällt, daß er mit einer Virenschleuder unterwegs ist. Vielleicht im Sinne einer "Mitstörerhaftung" oder so.


Wie der User seinen PC sauberhält, bleibt ihm überlassen. Ich denke das sich da schon der eine oder andere Fachmann finden ließe, der den inkrimierten Rechner gehen Entgelt reinigt.




Bewertung: 183 Punkte bei 38 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Infos zum Autor