Ich nutze Linux schon seit vielen Jahren. Zuerst Kubuntu, Lubuntu. Dann später KDE Neon. Und seit ich bei OpenSUSE LEAP gelandet bin, habe ich die für mich ideale Distribution gefunden. Aber obwohl ich jetzt seit Jahren Linux nutze, ist mir erst jetzt bewusst gewesen, dass mein Linux-System von zB Microsoft jederzeit übernommen oder gekillt werden kann. Warum? Weil ich für dauernde Teams-Meeting-Einladungen gezwungen war, Microsoft Edge in der Linux-Version zu nutzen. Auch nutze ich gerne Visual Studio Code für die Entwicklung. Und beide Tools habe ich über die offiziellen Linux-Repositories von Microsoft in mein System eingebunden. Warum ich das so tat? Weil ich so immer die neuesten Updates bekomme.

Ich war der Meinung, dass mich mein Linux auf angemessene Weise vor Missbrauch durch externe Repository-Maintainer schützt. Das ist aber nicht so!

Weiter lesen? Klicke die Headline um den ganzen Artikel zu sehen!

Wenn man die aktuelle Presse verfolgt kann man zu dem Schluss kommen, dass bei allen Servern die im Internet stehen der Verlust von Daten nur noch eine Frage der Zeit ist. Tatsächlich ist die IT-Infrastruktur vieler Unternehmen inzwischen offenbar so komplex, dass Lücken unentdeckt bleiben und damit schon leichte Fahrlässigkeit oder fehlende Patches umgehend zu großen Datenverlusten führen. Durch zunehmendes Cloud-Hosting sind viele der Systeme heute öffentlich zugänglich, was die Wahrscheinlichkeit von Angriffen weiter erhöht.

Weiter lesen? Klicke die Headline um den ganzen Artikel zu sehen!

Fast täglich werden große Mengen Daten verloren. Inzwischen ist das schon so normal, dass es nur noch die ganz großen Meldungen bis in die Medien schaffen. Die breite Öffentlichkeit schaut weg und denkt sich, dass sie das nichts angeht. Man glaubt, dass der Wechsel eines Passworts doch bestimmt alle Wunden heilt.

Viele IT-Verantwortliche sind auf dem Datenschutz-Auge Blind. Sie rennen zur jeweils günstigsten Cloud-Lösung und missachten dabei absolut jeden gesunden Menschenverstand.

Dieser Artikel soll das Problem und die "offensichtlichen" Reaktionen etwas näher beleuchten.

Weiter lesen? Klicke die Headline um den ganzen Artikel zu sehen!

Vor einiger Zeit hatte ich in meiner Firma das Problem, dass Nutzer sich über verschiedene Aspekte unserer Software beschwerten und zeitgleich bestimmte Anforderungen stellten, die genau die vorigen Dinge unmöglich machten. Die widersprüchlichen Anforderungen haben mich fast zu Weißglut getrieben. Das führte nach einer Weile dazu, dass ich das einmal aufbereitet habe und in ein Dokument überführte.

Es geht vor allem darum, dass die Nutzer bestimmte Anforderungen an die Benutzbarkeit und Einfachheit stellen. Soweit ist das ja nachvollziehbar. Im selben Moment wird aber nach Sicherheit verlangt, die am Besten auch NSA und alle anderen Geheimdienste vor unüberwindbare Hürden stellt.

Weiter lesen? Klicke die Headline um den ganzen Artikel zu sehen!

Die Herausforderung

Vor einiger Zeit stand ich bei der Arbeit vor der Herausforderung, eine Erkennung der Passwort-Sicherheit zu entwickeln. Es ging darum zu bewerten, ob ein vom Nutzer eingegebenes Kennwort für uns sicher genug ist oder eben nicht. Als erstes habe ich die gängigen Verfahren angesehen. Meist geht es nach dem selben Schema:

Mindestens N Zeichen, davon mindestens Groß und Kleinbuchstaben, Zahlen, Sonderzeichen...

Genaugenommen variiert meist nur die minimum Anzahl geforderter Zeichen und die gewünschte Auswahl und Kombination der anderen Kriterien. Manchmal wird getrickst und es müssen mindestens 2 Zahlen verwendet werden etc.

Ich selbst fand diese Variante nicht ausreichend und gleichzeitig zu unsicher. Was ist mit diesem Passwort?

Donald+1

Es erfüllt schon alle Kriterien wenn N = 8 der oben vorgeschriebenen Regeln. Das ist sicher nicht im Sinne des Erfinders. Macht man die Regeln noch strenger, so kann der Nutzer kaum ein Passwort wiederverwenden. Ob die Nutzung des selben Passworts an verschiedenen Stellen jetzt gut oder schlecht ist, ist ein ganz anderes Thema. Aber der Nutzer ist auf jeden Fall schnell gefrustet, wenn er ein Passwort eintippt und der Algorithmus immer NEIN sagt.

Weiter lesen? Klicke die Headline um den ganzen Artikel zu sehen!