Wie sicher muss ein Passwort sein?

0
 
 
2. Aug. 2011

Tom König hat sich ges­tern in sei­ner Kolumne War­te­schleife auf Spie­gel Online dar­über beschwert, dass jeder Dienst und jede Web­site einen eige­nen Login erfor­dert. Zudem plä­diert er dafür, ein­fa­che Pass­wör­ter wie »Mutti« zu verwenden.

Er argu­men­tiert bei den ein­fa­chen Pass­wör­tern damit, dass die beson­ders sen­si­ti­ven Ser­vices EC-Karte oder Mobil­te­le­fon nur mit einem sehr ein­fa­chen vier­stel­li­gen Code gesi­chert sind. Königs Argu­men­ta­tion greift aber hier deut­lich zu kurz. Er über­sieht einen ganz deut­li­chen Unter­schied zwi­schen einem Dienst wie Face­book und einer EC-Karte: Die EC-Karte hat ein nicht zu ver­ach­ten­des Zusatz­mo­men­tum gegen­über einem klas­si­schen Login — man muss die EC-Karte phy­sisch besit­zen und eine PIN ken­nen. Zudem wird die Karte nach drei Fehl­ver­su­chen gesperrt. Hier reicht also nicht nur Wissen.

Ein klas­si­scher Online Login funk­tio­niert aber meist nur mit Wis­sen. Und ein Teil des Wis­sens ist meist kein Geheim­nis. Sei es E-Mail-Adresse, Benut­zer­name oder — schon etwas gehei­mer — die Kun­den­num­mer. Hier muss also das Pass­wort den allei­ni­gen Schutz gewähr­leis­ten. Folg­lich muss das Pass­wort auch mehr Kom­bi­na­tio­nen als eine vier­stel­lige Zahl haben (das sind genau 10000). Diese könnte man in einer für einen Rech­ner recht über­schau­ba­ren Zeit durch­pro­bie­ren. Ähnlich ein­fach sind auch Dictionary-Attacks, bei denen nach­ein­an­der Wör­ter aus einem Wör­ter­buch durch­pro­biert wer­den, zu rea­li­sie­ren. Ins­be­son­dere, wenn man über ein Bot­netz ver­fügt. Natür­lich wer­den auch hier Sper­ren nach einer bestimm­ten Anzahl von Fehl­ver­su­chen seit lan­gem imple­men­tiert, aber auch diese sind ja nur eine Ver­lang­sa­mung des Problems.

Ein wich­ti­ges Ele­ment ist aber auch, dass man für jeden Dienst ein eige­nes Pass­wort nut­zen sollte. Dies kann natür­lich nach irgend­ei­ner merk­ba­ren Regel gebil­det wer­den. Dabei schlie­ßen sich leicht zu mer­ken und sicher nicht gegen­sei­tig aus. Oder man nutzt einen Passwort-Safe wie 1Password und Last­Pass. Ganz nach Gusto. Den­noch: ohne ein wenig Hirn­schmalz, wie man mit sei­nen Zugangs­da­ten umgeht, geht es bei rein wis­sens­ba­sier­ten Zugangs­sys­te­men nicht.

Google geht mit der 2-Step-Verification wie­derum den Weg einer Kom­bi­na­tion aus Wis­sen und Besitz. Und zwar in einer sehr kom­for­ta­blen Weise. Der Besitz­nach­weis muss nicht bei jedem Log­in­ver­such erbracht wer­den, es reicht die ein­ma­lige Veri­fi­ka­tion in einem bestimm­ten Zeit­raum an einem Rech­ner — bei Google alle 30 Tage.

Königs Arti­kel ist mei­nes Erach­tens nach eine große Gefahr, ruft er doch zu einer deut­lich zu gerin­gen Vor­sicht beim Umgang mit Pass­wör­tern auf. Wird die Benutzer/Passwort-Kombination an einer Stelle her­aus­ge­fun­den, kön­nen inner­halb kür­zes­ter viele andere Ser­vices betrof­fen sein. Und dann ist die Kacke am dampfen…

 

Wag the dog

2
 
 
1. Mrz. 2011

Gut­ten­berg ist zurück­ge­tre­ten. End­lich. Der Scha­den den der ehe­ma­lige Ver­tei­di­gungs­mi­nis­ter — ins­be­son­dere für den Wis­sen­schafts­stand­ort Deutsch­land — ange­rich­tet hat ist nicht zu unter­schät­zen. Und auch seine Uni­ver­si­tät muss deut­lich unter sei­ner »Dis­ser­ta­tion« leiden.

Indra hat letzte Woche sehr schön dar­ge­stellt, warum es soweit kom­men musste. Guten­berg ist letzt­end­lich dar­über gestol­pert, dass er gelo­gen, sich aber zudem als Inbe­griff der Ehr­lich­keit und Gerad­li­nig­keit dar­ge­stellt hat. Und ein Schuld­be­kennt­nis lässt immer noch auf sich warten.

Sein Kri­sen­ma­nage­ment, sein Abgang und seine Rück­tritts­rede war aber nicht ansatz­weise gut. Es erin­nert mich viel mehr an den gran­dio­sen Film »Wag the Dog« mit Robert De Niro und Dus­tin Hoffman.

»Wag the Dog« habe ich das erste Mal in einem Stra­te­gie­work­shop als Bei­spiel für erfolg­rei­ches stra­te­gi­sches Pla­nen gese­hen. Er hat mich tief beein­druckt und eine grund­le­gende Skep­sis gegen­über Blen­dern hervorgerufen.

Nur ist Gut­ten­berg mit sei­nem Ablen­kungs­ma­nö­ver, zu dem er die in Afgha­nis­tan getö­te­ten Sol­da­ten instru­men­ta­li­siert hat, geschei­tert. Und natür­lich ist der Krieg ist im Unter­schied zum Film real.

Wenn aller­dings — wie in den letz­ten Wochen gesche­hen — die öffent­li­che und mediale Betrach­tung fast aus­schließ­lich auf die Per­son Gut­ten­berg und seine Dis­ser­ta­tion statt bei­spiels­weise auf den Tod und die Ver­wun­dung von 13 Sol­da­ten abzielt, so fin­det eine dra­ma­ti­sche Ver­schie­bung der Auf­merk­sam­keit zu Las­ten der mir Anver­trau­ten statt.

Es wirkt so, als ob er deut­lich bedau­ert, dass seine Insze­nie­rung nicht funk­tio­niert hat. Sol­che Insze­nie­run­gen gehö­ren aber ins Kino und nicht auf die poli­ti­sche Bühne.

YouTube Preview Image
 

Meine FDP — nur noch ein Wurmfortsatz der Union?

0
 
 
8. Jun. 2010

Ich bin ein Libe­ra­ler. Keine Par­tei steht mir vom Grund­ge­dan­ken so nah, wie die FDP. Ich hab in dem Ver­ein mit­ge­mischt. Ich war Kreis­vor­sit­zen­der der Jun­gen Libe­ra­len im Ober­ber­gi­schen. Aber wie sich die FDP — oder bes­ser gesagt deren (Noch-) Bun­des­vor­sit­zen­der und Bun­des­au­ßen­mi­nis­ter — gerade posi­tio­niert, geht abso­lut gar nicht.

Die FDP ist gerade dabei, wie­der zur Par­tei der Bes­ser­ver­die­nen­den zu wer­den. Ein Image gegen dass ich lange ange­ar­bei­tet habe und das so nicht ganz zutrifft. Johan­nes Vogel, bis vor Kur­zem Bun­des­vor­sit­zen­der der Julis und — wäh­rend mei­ner Amts­zeit im Ober­ber­gi­schen — Kreis­vor­sit­zen­der der Julis im Rheinisch-Bergischen Kreis, hagt letz­tes Wochen­ende bei West­pol einen sehr tol­len Satz gesagt: »Wir sind die Par­tei der Frei­heit, nicht der Frei­be­träge.« Ein Satz den ich einem Guido Wes­ter­welle oder einem Rai­ner Brü­derle nie­mals zutrauen würde.

Sicher ist Wirt­schafts­kom­pe­tenz wich­tig, aber zur Wirt­schafts­kom­pe­tenz gehört auch einen sozia­len Aus­gleich zu schaf­fen. Nicht dass wir uns falsch ver­ste­hen, ich will keine Umver­tei­lung von oben nach unten. Und ja wir müs­sen spa­ren. Aber warum spa­ren wir nicht dort wo es weni­ger weh tut als beim Kin­der­geld für Hartz IV Emp­fän­ger? Ich ver­steh lei­der zu wenig von Wirt­schafts– und Steu­er­po­li­tik, dass ich hier einen ver­nünf­ti­gen Vor­schlag machen könnte, aber nehmt lie­ber erst­mal mir etwas weg, bevor ihr ans Kin­der­geld geht.

Die Wei­ge­rung der FDP, in Rich­tung einer Ampel­ko­ali­tion zu gehen und nur mit der CDU reden zu wol­len, stört mich gewal­tig. Diese Ver­wei­ge­rungs­hal­tung zur gemein­sa­men Gestal­tung mit SPD und Grü­nen geht gar nicht. Dadurch würde die große Koali­tion und damit die schlech­teste aller Alter­na­ti­ven zur ein­zig ver­blei­ben­den Mög­lich­keit. Ich per­sön­lich sehe ja schon immer mehr Schnitt­men­gen zwi­schen FDP und Grü­nen als mit der CDU. Aber immer­hin hat der NRW Lan­des­vor­sit­zende Andreas Pink­wart jetzt doch Son­die­rungs­ge­sprä­che mit Roten und Grü­nen — vor allem gegen Ger­hard Papke — durchgesetzt.

Auch die vor­schnelle Fest­le­gung auf Chris­tian Wulff als neuem Bun­des­prä­si­den­ten miss­fällt mir deut­lich. Die Kanz­le­rin hat Füh­rungs­stärke bewie­sen, hat gezeigt das auch Wes­ter­welle ihr nicht gewach­sen ist und einen CDU–Sol­da­ten als Kan­di­da­ten durch­ge­setzt. Joa­chim Gauck wäre — vor allem auf­grund sei­ner bei der Ver­gan­gen­heits­be­wäl­ti­gung der DDR geleis­te­ten Arbeit — der weit­aus bes­sere Prä­si­dent. Hier macht mir beson­ders große Hoff­nung, dass auch einige der ost­deut­schen Lan­des­ver­bände der FDP sich eher für Gauck posi­tio­nie­ren. Naja, und recht lus­tig finde ich auch, dass einige der Admi­nis­tra­to­ren der Face­book Gruppe Joa­chim Gauck als Bun­des­prä­si­dent aus dem Umfeld der Julis stammen.

Nicht das die FDP keine guten Leute hat, sie ste­hen nur lei­der noch hin­ter der »Licht­ge­stalt« Guido Wes­ter­welle in der zwei­ten Reihe. Ein Par­tei­vor­sit­zen­der Chris­tian Lind­ner oder Phil­ipp Rös­ler kön­nen der Par­tei nur gut tun. Und natür­lich wäre Johan­nes ein guter Nach­fol­ger für Chris­tian als Generalsekretär.

Unter Wes­ter­welle hat sich die FDP zum Wurm­fort­satz der Union ent­wi­ckelt. Aber sie kann mehr. Sie muss mehr können.

 

Die Wahlbenachrichtigung reicht zur Identifikation aus

2
 
 
2. Sep. 2009

Ich habe eine sehr aus­führ­li­che und infor­ma­tive Stel­lung­nahme vom Wahl­amt der Stadt Köln zu mei­nem Blog­bei­trag über die mei­ner Mei­nung nach unzu­rei­chende Iden­ti­täts­prü­fung bei der Kom­mu­nal­wahl erhal­ten. Hier­für einen herz­li­chen Dank.

Nach Auf­fas­sung der Stadt Köln stellt sich die Rechts­lage stellt sich wie folgt dar:

Bevor der Stimm­zet­tel in die Wahl­urne gewor­fen wird, wird die Iden­ti­tät der Wäh­le­rin bzw. des Wäh­lers durch den Wahl­vor­stand über­prüft und fest­ge­stellt. Der Wahl­vor­stand kann einen Aus­weis ver­lan­gen, grund­sätz­lich reicht aber die Vor­lage der Wahl­be­nach­rich­ti­gung und ein Abgleich mit dem Wäh­ler­ver­zeich­nis aus. Soll­ten Zwei­fel bezüg­lich der Iden­ti­tät eines Wäh­lers beste­hen, z.B. wenn er keine Wahl­be­nach­rich­ti­gung dabei hat, so darf er trotz­dem nicht zurück­ge­wie­sen wer­den. Dann kann und soll der Wahl­vor­stand aber die Vor­lage eines Aus­weis­do­ku­men­tes ver­lan­gen. Wenn die Zwei­fel an der Iden­ti­tät der Wäh­le­rin bzw. des Wäh­lers auf diese Weise nicht aus­ge­räumt wer­den kön­nen, so muss der Wahl­vor­stand den Wäh­ler nach Beschluss zurückzuweisen.

Der Wahl­vor­stand muss sich also nicht von jedem Wäh­ler — ohne kon­kre­ten Anlass — einen Aus­weis vor­le­gen las­sen. Wenn der Wahl­vor­stand es for­dert, muss sich die­ser jedoch aus­wei­sen (vgl. § 40 Abs. 1 der Kommunalwahlordnung).

Der Gesetz­ge­ber hat, vor allem um den Ablauf der Wahl flüs­si­ger gestall­ten zu kön­nen, diese ver­ein­fachte Iden­ti­täts­prü­fung expli­zit so vorgesehen.

Die von mir bemän­gel­ten Abläufe ent­spre­chen dem­nach den Bestim­mun­gen. Obwohl dem­nach die Rechts­lage sehr klar ist, bin ich mit die­ser nicht wirk­lich glück­lich und würde mir sehr eine Ände­rung der ent­spre­chen­den Gesetze wün­schen. Die Gefah­ren, die ich in die­ser Her­an­ge­hens­weise sehe, sind des­halb mei­nes Erach­tens nicht aus­ge­räumt. Da sind dann aller­dings andere Pro­zesse notwendig.

Ins­be­son­dere der »Zwei­fel bezüg­lich der Iden­ti­tät« lässt natür­lich ein gros­sen Inter­pre­ta­ti­ons­spiel­raum zu. Mei­nes Erach­tens nach besteht die­ser Zwei­fel in dem Moment, wo ich jeman­den nicht per­sön­lich kenne. Aber wie gesagt, der Inter­pre­ta­tion die­ses Sat­zes sind kaum Gren­zen gesetzt.

 


Über onygo

onygo ist das persönliche Notizbuch von Martin Gude. Ich arbeite als Berater im Bereich Beratung und Konzeption der nexum AG.

 
 
 
re:publica 12
 
 
 
ältere Einträge
neuere Einträge
 
Creative Commons-Lizenz BY-NC-SA 3.0 DE