Mag keine Passwort Manager – Eigene Methode

Passwort-Manager sind praktisch, mag ich nicht abschreiten. Trotzdem sträube ich mich davor einen zu benutzen. Liegt vielleicht in der Natur der Dinge dass ich Passwörter ungerne jemandem anvertraue, auch keiner Software! Muss mich da aber wohl nicht rechtfertigen, jeder wie er will. Ich zu meinem teil benutze eine andere Methode.

Ich hab bei jedem Dienst ein anderes Passwort und kann mir jedes Passwort (ausnahmen bestätigen die Regel) merken. Dachte ich erläutere hier mal wie ich das mache, vielleicht mag das ja auch jemand als Tipp lesen.

Brauche mir lediglich einen einzigen Satz merken. Einen einzigen Satz! Hier ein Beispiel.

Mein Passwort für <Anbieter> <Anzahl Buchstaben die der Anbieter hat> ist so sicher, das knackt niemand!

Nun nehme ich von jedem Wort den Anfangsbuchstaben und fülle die Variablen aus. Für Google würde es so aussehen.

MPfG6iss,dkn!

Für Microsoft hingegen sieht das Passwort anders aus.

MpfM9iss,dkn!

Hierbei handelt es sich nur um ein Beispiel. Einbauen kann man noch viele andere Variablen.

  • Firmensitz
  • Hauptdomain (de, com, net, ect…)
  • Registrierungsdatum (müsste man sich wieder merken, lässt sich notfalls jedoch auch erraten)
  • und vieles mehr…

Die Vorteile sind für mich ganz klar.

  • Muss mir für alle Passwörter nur einen einzigen Satz merken
  • Jedes Passwort ist anders
  • Sicherheitsrelevante Dinge wie z.B Gross- und Kleinschreibung, Zahlen ect.. sind gewährleistet

Doof ist nur das es sicherlich wieder irgend einen Anbieter gibt der einem einen Strich durch die Rechnung macht. So darf man z.B bei Origin (um ein Beispiel zu nennen) keinen Punkt im Passwort verwenden. “Unerlaubtes Sonderzeichen”, oder so steht dann. Kacke! Egal, für solche Accounts tuts dann auch wieder ein einfaches Passwort oder auch ein zweiter abgespekter Algorithmus für Notfälle.

Achja, und der Hauptvorteil gegenüber einem Passwort Manager: Ich muss mir diesen schrott nicht mitschleppen. (Passwort Datenbank auf Smartphone oder USB-Stick)

+1 8 Teilen 4 Twittern 6

Blog hat Geburtstag! (+Gewinnspiel)

Heute vor einem Jahr hab ich meinen ersten Blog-Post veröffentlicht. Weitere 70 Blog-Posts sind diesem gefolgt. Diese Gelegenheit nehme ich mir als Grund um eine Google Play Store Karte zu verlosen. Zuerst aber ein par Zahlen.

Inhalt:

Artikel: 70
Interaktionen: 186

Seitenaufrufe:

Besuche: 2'321
Seitenansichten: 3'364
Durchschnittliche Aufenthaltszeit: 1 Minute 24s

Beliebteste Beiträge:

Telefonbetrüger von „Microsoft“
Vergiss Photoshop, nimm Microsoft Word!
Ich mag Windows 8
Vermögensübersicht, PayPal Passwort, Fotos.. alles im Internet

Zugegeben: Es sind nicht abertausend viele Aufrufe. Man bedenke jedoch das ich mich nie um SEO gekümmert habe und Piwik keine Bots zählt (Google Analytics macht das).

Aber eigentlich ja völlig egal. Was zählt – und immer Freude bereitet – sind Kommentare hier im Blog und Interaktionen auf Twitter und Google+! Auch die Tatsache das ihr durchschnittlich über eine Minute verweilt zeigt doch so einiges. :-)

Google Play Gutschein - Die Katze gehört nicht dazu
Zu Gewinnen – Die Katze gehört nicht dazu!

Nun aber zum Gewinnspiel: Seit einiger zeit liegt bei mir zuhause eine Google Play Store Karte im Wert von €25. Da ich diese nicht einlösen kann (Der CH-Store frisst kein Euro) und die meisten Leser so oder so aus Deutschland sind habe ich gedacht ich könne den hiermit los werden. Hab somit sozusagen zwei Fliegen mit einer Klappe geschlagen! Der Gewinner erhält den Code auf der Rückseite währenddessen ich die Karte verantwortungsbewusst vernichte. Oder irgendwie so.

So kannst Du mitmachen:

Jeder der hier im Blog kommentiert, auf Twitter/Google+ kommentiert oder Retweetet/Teilt erhält ein Los. Als Beispiel nochmals zum mitschreiben: Hier im Blog, auf Twitter und Google+ kommentieren = Drei Lose. Ausgelost wird in einer Woche.

Auf ein weiteres Jahr!

Update: Gewonnen hat Jürgen Hagn

+1 34 Teilen 1 Twittern 29

Passwort verschlüsselt/gehasht abgelegt?

Ich brauch mal kurz eure Hilfe. Bin mir nicht sicher ob ich mir das richtig überlegt hab bzw. ob ich keinen Denkfehler mache.

Nehmen wir mal an Person1 hat bei Anbieter1 einen Benutzeraccount1 erstellt. Für diesen Benutzeraccount1 hat Person1 ganz normal einen Benutzernamen und ein Passwort. Der Anbieter1 bietet mehrere Dienste an. Diese Dienste können innerhalb von Benutzeraccount1 aktiviert werden.

Person1 loggt sich nun also in Benutzeraccount1 ein und aktiviert dort einen neuen Dienst, wir nennen den jetzt einfach mal Dienst1. Bei diesem Dienst1 handelt es ich um eine E-Mail Adresse.

Wir halten also fest: Person1 hat bei Anbieter1 einen Benutzeraccount1, darin Dienst1 aktiviert. Für Dienst1 (also die E-Adresse/Mail-Server) hat Person1 ein separates Passwort.

Das kuriose: Person1 kann sich in Benutzeraccount1 einloggen und dort das Passwort von Dienst1 anzeigen lassen. Da hat es also wirklich einen Button mit der Überschrift “Passwort anzeigen”!

Meine frage wäre nun: Ist das sicher? Weshalb kann das Passwort angezeigt werden? Gehe ich richtig der Annahme das dieses Passwort nicht gehasht ist, ansonsten könnte dies ja nicht angezeigt werden?

Ok, ich gebe es zu. Die Erklärung hier ist scheisse. Vielleicht versteht ja trotzdem jemand das ganze und kann mir erklären ob das Passwort unter diesen Umständen überhaupt gehasht sein kann.

+1 3 Teilen 1 Twittern 7

Neue Drohnen Verordnung ab 1. August 2014

Das BAZL hat die Verordnung für Drohnen-Besitzer verschäft.

In Zukunft wird es verboten sein, [..] Drohnen mit einem Gewicht von 500 Gramm bis 30 Kilogramm in einer Entfernung von weniger als 100 Metern von Menschenansammlungen im Freien ohne Bewilligung des BAZL einzusetzen.

Quelle: Bundesamt für Zivilluftfahrt

Am 11. Juni 2014 hab ich mit einem DJI Phantom (~900 Gramm ohne Kamera) ein Foto einer kleinen Menschenmassse geschossen, dass drei tage später sogar in die Zeitung kam. In Zukunft bräuchte ich also eine Bewilligung. Na, toll…

Übrigens gilt auch:

  • Der Pilot muss direkten Augenkontakt zur Drohne aufrecht erhalten. Fliegt man mit einer Videobrille (First Person View) so muss ein Copilot mit direkter Sicht und der Möglichkeit die Drohne zu übernehmen vorhanden sein.
  • Eine Haftpflichtversicherung über eine Garantiesumme von mindestens einer Millionen Franken muss vorhanden und als beweis schriftlich bei sich getragen werden.

Ausführlicher nachzulesen im Blog von Martin Steiger.

+1 4 Teilen 1 Twittern 3

no-ip.org: Microsoft betreibt Legales DNS-Hijacking

Meine Grosseltern housen für mich einen Raspberry Pi. Dieser ist für mich normalerweise jederzeit über einen Dynamischen DNS Provider aufrufbar. Ein solcher DDNS Service ist für mich unumgänglich da die IP-Adresse in regelmässigen Abständen wechselt.

Dynamisches DNS oder DDNS ist eine Technik, um Domains im Domain Name System dynamisch zu aktualisieren. Der Zweck ist, dass ein Rechner nach dem Wechsel seiner IP-Adresse automatisch und schnell den dazugehörigen Domaineintrag ändert. So ist der Rechner immer unter demselben Domainnamen erreichbar, auch wenn die aktuelle IP-Adresse für den Nutzer unbekannt ist. – Quelle: Wikipedia

Das ein solcher DDNS Provider auch missbraucht werden kann ist als selbstverständlich zu betrachten. Ich kann ja auch mit einem harmlosen Baseballschläger jemanden erschlagen. In diesem Fall würde aber ich belangt werden und nicht gleich der Verkäufer oder alle die einen Baseballschläger besitzen.

Microsoft (ja, der grosse Konzern) hat nun beim DDNS Betreiber no-ip.org ein par Bot-Netzwerke (und andere Schädlinge) gefunden. Nichts tragisches, könnte man meinen. Der entsprechende User der dafür verantwortlich ist sollte sich leicht bannen lassen. Stattdessen erhält Microsoft gerichtlich die Gewalt über die ganze Domain. Die Folge: Der DDNS Betrieb auf no-ip.org wird eingestellt.

Toll für Millionen Kunden die nun nicht, oder vorübergehen nicht, auf ihre eigenen Serverdienste zugreifen können.

Ich bin enttäuscht von:

  • Microsoft
  • no-ip.org
  • und dem Richter der dies so entschieden hat.

Und ich hab mich noch gewundert weshalb mein Raspberry Pi nicht erreichbar ist. Hab übrigens bis jetzt noch kein Info E-Mail von no-ip.org erhalten, hätte ich durchaus erwartet.

(Gelesen bei heise.de)

+1 5 Teilen 1 Twittern 2

Starbucks installiert nutzlose Drahtlos-Ladestationen

Für das drahtlose aufladen gibt es zwei verschiedene Standards. Der Qi-Standard ist jedoch klarer Vorreiter. Diverse Handys wie z.B. Nexus-Geräte oder auch Windows Phones haben den Qi-Standard verbaut. Nebst diesem gibt es aber auch den PMA-Standard.

Nun ratet mal…

…für welchen Standard es kein einziges Gerät gibt!
…welchen Standard in den Starbucks Filialen verbaut werden soll!

Ich sag nur: Facepalm! Ne, im ernst: Wieso verbaut man eine Technik die niemand nutzt? Die hätten meiner Meinung nach lieber viel mehr Steckdosen verbaut und Ladekabel bereitgestellt.

(Gelesen bei heise.de)

+1 4 Teilen 3 Twittern 1

Apple benutzt Windows um Macs herzustellen

Heute war Tim Cook (Apple Chef) eine Produktionsstätte für Apple Geräte besichtigen. Über den Offiziellen Twitter Account von Tim Cook wurde diesbezüglich ein Fotos gepostet.

Nun, was sehen wir bei genauerem betrachten? Richtig: Da läuft Windows auf einem Mac. Upps!

(gelesen bei Caschy)

+1 3 Teilen 1 Twittern 1

Büpf Demo auf dem Bundesplatz in Bern

Am Samstag fand in Bern eine Demo gegen das Büpf statt. Organisiert wurde diese durch ein Komitee aus diversen Jungparteien und nicht Politischen Organisationen.

Unterstützt durch:

Grüne, Piratenpartei, Junge SVP, Jungfreisinnige, Juso, Junge Grüne, Junge Grünliberale, AL, PDA Bern, Digitale Gesellschaft, CCC, Anonymous, Internet Society, Swiss Privacy Foundation, Swico, Grundrechte.ch und Wilhelm Tux

Im vorhinein wurden Unterschriften gesammelt. Dort dabei waren zusätzlich:

Digitale Allmend, Kinder ohne rechte, Open Factory und TheAlternative

Finde die Demo und das Arrangement der einzelnen Organisationen, insbesonderen der Piratenpartei, sehr lobenswert. Bei einer weiteren Demo werde ich gerne wieder dabei sein.

Nebst den Anerkennungen muss ich aber doch auch was anderes los werden: Ich war ein wenig enttäuscht. Anwesend waren laut diversen Medien ca. 400 Demonstranten. Ich persönlich hätte die Zahl auf mehr geschätzt, dennoch weniger als ich mir im vorhinein vorgestellt hätte.

Wo sind die Leute alle geblieben? Und wichtiger: Wo waren die Parteien die das Projekt angeblich alle unterstützen? Vor Ort anwesend (sichtbar) waren Hauptsächlich die Piraten. Nebst diesen waren auch Fahnen der Grünen und der Juso zu sehen. Schade das nicht mehr gekommen sind.

Dennoch: Danke an alle sei es Organisatorisch, Reden vor Ort oder einfach nur Unterstützer irgendwelcher art!

+1 4 Teilen 3 Twittern 2

Eigene Ausfallsichere Cloud dank Raspberry Pi

Seit längerer Zeit plagt mich eine Idee die ich nur noch Umsetzen müsste. Ich möchte meine Daten (Dokumente, Fotos, Videos) schon seit geraumer Zeit vernünftig sichern. Mit vernünftig meine ich keine Sicherung auf einer externen Harddisk sondern vielmehr eine Sicherung ausser Haus. Irgendwo an einem anderem Standort.

Doppelt an zwei Standorten

Ein Backup nützt wenig wenn das eigene Haus abbrennt. Deshalb sollten die Daten zusätzlich an einem zweiten Ort aufbewahrt werden. Wohin könnte ich nun also sichern? Dabei fielen mir mehrere Anbieter ein.

  • Google Drive
  • Dropbox
  • Webspace mieten
  • Sonstige Cloud- oder Serveranbieter

Datenschutz

Mit dem Datenschutz nehme ich es nicht sonderlich ernst. Mein Name und meine Adresse steht im Klartext im Internet. Meine Gedanken wandern durch Social Netzwerke wie Twitter oder Google+. Doch müssen all meine bisher Offline verfügbaren Daten auch ins fremde unendliche web? Eigentlich nicht. Vielleicht auch einfach nicht aus Prinzip.

Manchmal braucht man keine plausible Erklärung, die Aussage “aus Prinzip” sagt bereits genug.

Aus diesem Grund muss eine eigene Lösung her. Eine Lösung bei der ich all meine Daten zugleich Zuhause wie auch ausser Haus hab. Aber nicht bei einem fremden Anbieter.

Eigene Lösung: 2x Raspberry Pi

Die Idee ist so simpel wie auch einfach. Benötigt wird:

  • 2x Raspberry Pi
  • 2x SD-Speicherkarte
  • 2x Externe Festplatte (mit externer Stromversorgung)
  • 2x USB Ladegerät und mico-Kabel
  • 2x Gehäuse

Wie man sieht wird alles in doppelter Ausführung benötigt. Eine Ausführung steht bereits bei mir zuhause weshalb ich alles nur noch 1x bräuchte.

(Auf die SD-Karte kommt das Betriebssystem für den Raspberry Pi. Der RPi kommt in ein kleines Gehäuse. Die externe Festplatte wird direkt an den RPi angeschlossen.)

Raspberry Pi Typ B
Raspberry Pi Typ B

Doch wohin mit dem zweiten Equipment? Irgendwo zu Verwandten, Bekannten oder Kollegen. Diejenige Person sollte mehrere Kriterien erfüllen.

  • Vertrauenswürdig (trotzdem bietet es sich an die externe Festplatte zu verschlüsseln)
  • In der nähe (Um bei Problemen auch vorbei gehen zu können)
  • Vernünftige Internet Anbindung

Werde mir tatsächlich überlegen ob ich bei meinen Grosseltern einen zweiten Raspberry Pi aufstellen werde. Grosseltern sagen bekanntlich nie nein und besitzen auch nicht die Fähigkeiten – zumindest in den meisten Fällen – auf die Daten zuzugreifen. Wenn sie es könnten so würden sie es sich aber auch nicht getrauen. Liebe Leute halt.

Eine schnellere Internet Anbindung als ich hat so oder so jede Person. Synchronisieren könnte ich vorzugsweise lediglich über Nacht, sagen wir mal ab 01:00 Uhr bis morgens um 06:00 Uhr.

Software

Auf dem Raspberry Pi läuft ein auf Debian basierendes Linux. Nun fehlt nur noch eine Software um die Daten zu Synchronisieren. Einsetzen möchte ich dazu die Gratis Software BtSync. Die Gründe sind wie folgt.

  • Kostenlos
  • Kann jederzeit beliebig viele zusätzliche Rechner hinzuschliessen. Könnte also auch noch einen dritten oder sogar vierten Raspberry Pi irgendwo unterbringen.
  • Bereits damit Erfahrungen gemacht.
  • Nicht zu kompliziert
  • Für alle Desktop Systeme und sogar für Android verfügbar

Ich denke das sollte damit ganz gut hinhauen.

Synchronisation ist nicht dasselbe wie ein Backup

Ein Backup soll nicht nur bei Hardware Verlust schützen, sondern auch wenn ein User eine Datei aus versehen löscht. Hierfür müsste man auf mindestens einem der Systeme zusätzlich noch eine Software oder ein Script einrichten um einmal pro Woche die Daten in einen anderen Ordner zu kopieren. In einen Ordner der nicht synchronisiert wird.

Somit hätte ich folgende Szenarien abgedeckt.

  • User löscht aus versehen Daten. (Wöchentliches Backup & BtSync Versionshistory  vorhanden)
  • Hardware Verlust bzw. fällt aus. (Anderes System vollständig lauffähig vorhanden)

Ich hoffe ich hab kein relevantes Szenario vergessen das nicht abgedeckt wäre.

Eure Meinungen

Ich zögere noch mit der Umsetzung. Aus diesem Grund wollte ich mal in die Runde fragen:

  • Wo seht ihr dabei Nachteile?
  • Hab ich was übersehen?
  • Überlegungsfehler?
  • Welche Probleme könnten auf mich zukommen?

Immerhin gibt man ja wieder Geld für Hardware aus. Man(n) sollte sich dass also doch gut überlegen. Falls also jemand gute Einwände hat: Nur her damit!

+1 9 Teilen 0 Twittern 5