Skip to content

Das leidige Thema: Passwörter

Die alte Leier: Jeder Dienst braucht Zugangsdaten mit langen Passwörtern, jeder Dienst ein anderes. Wer soll sich das merken?

Lösungsmöglichkeiten

  • Papier und Bleistift. Zumindest für daheim eine Option. Solange das Blatt nicht unter der Tastatur liegt, sondern z. B. in der Bibel im Bücherregal steckt. Garantiert hackersicher. Hilft nicht gegen Personen, die Zugriff auf das Bücherregal haben.
  • Basispasswort mit Änderungen, die sich z. B. aus der Anwendung ableiten. Also blafasel als Basis und Ergänzungen wie z. B. fk8 für Facebook– Anfangsbuchstabe, letzter Buchstabe, Anzahl Buchstaben. Nachteil: wenn jemand die Facebook-Passwörter klaut, kann er das Schema erkennen und das bei Deinem Paypal- oder Amazon-Account ausprobieren. Deshalb auf keinen Fall ein offensichtliches Muster verwenden. Also eher der dritte Buchstabe und die Zahl mit irgendwas multipliziert oder ähnliches. Kreativ sein.
  • Logo KeepassXC Passwortmanager: man speichert die Daten in einer verschlüsselten Datei und benutzt ein Master-Passwort. Entweder im Browser oder mit einer eigenen Software wie z. B. KeePassXC. Problem: alle Eier in einem Korb. Ist die Software fehlerhat oder das Master-Passwort geknackt, hat der Dieb alles auf einmal in der Hand.
  • Für wichtige Anwendungen sollte man unbeding die sogenannte Zwei-Faktor-Authentisierung (2FA) nutzen: Man hat ein Passwort und einen Gegenstand. Bei der Bank EC-Karte und Pin. Bei Anwendungen (Amazon, Paypal) ein Passwort am PC und eine SMS, die aufs Handy geschickt wird. Umständlicher zu handhaben, erhöht die Sicherheit beträchtlich. No-go: wenn man alles per Handy abwickelt, wird der Vorteil zunichte gemacht. Und Mobiltelefone zählen zwangsläufig zu den unsichersten Geräten. Nachteil: Facebook verwendet z. B. die für 2FA hinterlegte Handynummer für Werbung!

EFF-Logo Fazit: Sicherheit ist aufwendig, ein kontinuierlicher Prozess. Ohne Nachdenken und auf dem Laufenden bleiben geht es leider nicht. Gute Informationsquellen sind z. B. https://www.heise.de/security/ oder auf Englisch die EFF.org (Electronic Frontier Foundation).

Hilfreiche Lektüre rund um IT-Sicherheit

»Spurenarm Surfen mit Mozilla Firefox, Mails verschlüsseln mit Thunderbird, Anonymisierungsdienste nutzen, chatten und Daten verschlüsseln.«

Das ist das Motto der Webseite privacy-handbuch.de. Man mag auf den ersten Blick die Macher für paranoid halten. Spätestens seit Edward Snowden sollten wir gelernt haben, dass die Wirklichkeit die schlimmsten Befürchtungen übertrifft.

Von dieser Seite bin ich auf kuketz-blog.de gelandet, die mich mit den ersten Sätzen der Datenschutzerklärung für sich eingenommen hat:

»An dieser Stelle erwarten Sie bestimmt einen Satz wie: Wir nehmen den Schutz Ihrer Daten sehr ernst. Doch diese oder ähnliche Eingangsformulierungen werden Sie hier vergeblich suchen. Vielmehr habe ich das, was durch solche Sätze versucht wird auszudrücken, direkt in Taten umgesetzt.«

Statt juristischem Geschwafel wird dort verständlich erklärt, welche Daten tatsächlich beim Besuch der Webseite erhoben werden. Und die Artikel über sichere Browsereinstellungen, Add-Ins etc. sind sehr lohnenswert.

Kommentarfunktion außer Betrieb

Viele Experten (alle?) schließen aus den gesetzlichen Regelungen, insbesondere der DSGVO, dass Datenaustausch nur noch verschlüsselt erfolgen dürfe. Vereinfacht ausgedrückt.

Praktisch verstehen das viele (alle?) so, dass Webseiten mit Eingabefeldern (wie z. B. Kommentare im Blog) nur bei Verwendung von https zulässig seien.

Weil ich aktuell keine Zeit habe, mich darum zu kümmern, sind Kommentare aktuell deaktiviert, sorry. Natürlich kann man auch weiterhin E-Mails an die Adresse im Impressum schicken.

Kekse

Ich hab die Keks-Warnung-Nerv-Meldung wieder deaktiviert, weil ich folgenden Absatz dazu gefunden habe.

Quelle:
https://hosting.1und1.de/digitalguide/websites/online-recht/die-eu-cookie-richtlinie-teil-1-was-gilt-in-deutschland/

»[...] Cookies dürfen laut der Richtlinie nur dann ungefragt gesetzt werden, wenn sie technisch notwendig sind – also beispielsweise um einen durch den Nutzer erwünschten Dienst umzusetzen. Hierzu zählen etwa Session-Cookies zur Speicherung der Spracheinstellung, der Log-in-Daten und des Warenkorbs oder Flash-Cookies zur Wiedergabe von Medieninhalten. [...]«

Soweit ich das verstanden habe, wird von s9y hier im Blog ein Cookie gesetzt, das für den Login benötigt wird. Ohne das könnte ich mich nicht einloggen, hat man mir gesagt.

Beim Kommentieren werden vermutlich zusätzliche Kekse gesetzt, deshalb habe ich dort im Text den Hinweis auf Cookies mit untergebracht.

In der Datenschutzerklärung habe ich nach einer Bemerkung von Mark folgende Einleitung hinzugefügt:

Anmerkungen des Blogbesitzers zum Geleit

Wichtiger als eine Datenschutzerklärung sind ein Minimum an technischem Verständnis, entsprechende Browsereinstellungen und der gesunde Menschenverstand.

Informieren Sie sich per Suchmaschine über sichere Browsereinstellungen, schützende Add-Ons etc.

Schauen Sie doch mal bei der Electronic Frontier Foundation (EFF), bei Digitalcourage oder Netzpolitik.org vorbei.

DSGSTVZO oder immer Ärger mit dem Datenschutz

Als Blogger fühlt man sich vom Gesetzgeber gegängelt und gequält. Ständig tun sich neue Abgründe auf, in die man fallen kann bzw. Abmahnungen drohen.

Das fing vor Jahren mit dem Zirkus um das sog. Double-Opt-In-Verfahren beim Abonnieren von Kommentaren an.

Jetzt steht die Datenschutzgrundverordnung (DSGVO) vor der Tür. Zugegeben, sie steht da schon monatelang; gültig wird sie jetzt am 25. Mai 2018. Wenn man sich in Foren und sozialen Medien nach diesem Thema umschaut, scheint das Ende des Internets nah.

Frei nach dem Motto »In der Ruhe liegt die Kraft« habe ich das mit einem Auge verfolgt, ohne in Aktionismus auszubrechen. Jetzt endlich ist mir ein leicht verständlicher Artikel in den Feedreader gekommen: Datenschutz, geringfügige Veränderungen – obacht! von Matthias, Serendipity-Benutzern wohlbekannt als unermüdlicher Helfer im Forum und wegen seiner großartigen Templates.

Für mich völlig überraschend gibt es für Serendipity bereits ein Plugin namens »DSGVO / GDPR: Datenschutz-Grundverordnung«, das einem unter die Arme greift. Das ersetzt natürlich nicht das Selberdenken, keine Rechtsberatung und ist auch nicht rechtlich »kugelsicher«. Kann es nicht sein, es liefert verschiedene Funktionen, nicht den Inhalt der Datenschutzerklärung. Außerdem ist die Verordnung in manchen Punkten etwas, sagen wir wage formuliert. Es bleibt abzuwarten, was erste Gerichtsurteile dazu sagen werden.

Das Plugin sorgt u. a. dafür, dass

  • am unteren Blogrand ein Link »Datenschutzerklärung / Impressum« eingefügt wird,
  • bei Kommentaren eine Checkbox »Einwilligung in Datenspeicherung« (mit Hinweis auf die Datenschutzerklärung) eingefügt wird,
  • dieser Zimt mit »Diese Seite verwendet Cookies - Zustimmen« automagisch eingeblendet wird,
  • Teile der IP-Adressen anonymisiert werden.

Außerdem werden Felder für die benötigten Texte mit Platzhaltern bzw. Mustern mitgeliefert.

Ein großes Dankeschön an alle Beteiligten, vor allem an Garvin für die Plugin-Entwicklung. Danke an Matthias für seinen Artikel.

Ebenfalls über das Blog von Matthias bin ich auf die Webseite von Dr. Schwenke gestoßen, der auch einen für Privatleute und Kleinunternehmen kostenlosen Generator für Datenschutzerklärungen anbietet. Auch der ist work in progress und ändert sich immer mal wieder.

Also gibt es hier im Blog neuerdings eine Datenschutzerklärung (seufz), eine notwendige Einwilligung in Datenspeicherung bei Kommentaren, den Hinweise "Diese Seite verwendet Cookies" (großes seufz - gibt es überhautp Webseiten ohne?), anonymisierte IP-Adressen und Double-Opt-In-Verfahren beim Abonnieren von Kommentaren.

Fehlt noch was? Ach ja, https sollte noch kommen, damit die Daten bei Kommentareingaben nach Stand der Technik geschützt sind (noch größerer Seufzer).

PS: das genutzte s9y-Theme in diesem Blog unterstützt Google-Fonts. Das habe ich schon vor Wochen deaktiviert. Statt dessen wird die Schriftart Georgia verwendet, sofern lokal beim Leser vorhanden. Wenn nicht, eine lokale Serifenschrift. Außerdem hatte ich hier noch nie Facebook-Buttons oder sonst irgendwelches Social-Media-Gedöns. Das vereinfacht die Sache natürlich.

Basic Rules for IoT-Devices

Brian Krebs gibt wichtige Tipps zur Absicherung von »intelligenten« Geräten (Stichwort IoT), die im Haushalt im Internet hängen (auf Englisch).

Solche eigentlich selbstverständlichen Sachen, die man meistens doch vergisst: Default-Passwörter ändern, nicht benötigte Funktionen abschalten (z. B. UPnP), Firmware regelmäßig aktualisieren etc.