ℹ︎ – Google speicherte Passworte ungeschützt – Skandal

▶︎ Wie konnte das passieren? Passwörter unverschlüsselt in der Cloud.

▶︎ Es müsste in der Tagesschau die erste Meldung sein, so unglaublich ist es: Google teilte am 21. Mai 2019 mit, dass im Januar eigentlich geheime Passworte unverschlüsselt gespeichert wurden.

Nicht das blaue Fratzenbuch ist mit 2,27 Milliarden das Unternehmen mit den meisten Accounts sondern Google mit 3,36 Milliarden, ist bei Statista nachzulesen*. Nicht alle Accounts waren betroffen; nur Business-Accounts. Es ist jedoch eine Frage des Prinzips.

⛔️ Google hat keinen Respekt vor den Daten der Menschen. Das ist so, als würde eine Bank den Tresor mit dem Geld der Kundeneinlagen offen stehen lassen und damit für alle zugänglich.

✅ Legen Sie bei jedem Dienst einen Account mit einer anderen Bezeichnung an, um Verknüpfungen zu erschweren. Mit einem Passwortmanager wie KeePass lassen sich nicht nur unratbare Passwörter erzeugen sondern auch zufällige Benutzernamen: das wirkt fast wie ein zweites Passwort.
Wenn Sie eine eigene Domain betreiben, verwenden sie einen Catch-All-Account, um damit für jeden Dienst eine eigene Adresse verwenden zu können, ohne dafür extra einen Mail-Account anlegen zu müssen. Nach dem Muster dienstname@ihreDomain.xy können sie dadurch die Sicherheit erheblich verbessern, weil das Knacken eines Kontos kein anderes Konto mitreißt.

Versuchen Sie, ohne Google auszukommen:

  • OpenStreetMap statt Google Maps – im Browser oder mit Apps auf dem SmartPhone
  • eine eigene Domain mit eMail-Accounts statt ein eMail-Konto bei Google
  • eine anonyme Suchmaschine wie StartPage, die zwar den Index von Google verwendet, dabei aber keine Daten erfasst

 Apple ist auch ein Datensammler. Da Apple aber mit Hardware, Musik und Diensten das Geld verdient, ist der Anspruch an den Datenschutz viel höher.

Quellen:  * Statista über G00GLE und F@CEB00K.

▶︎ Login mit Facebook verrät User-Daten

⦿ Wundert das noch jemanden? Nein.

Wissenschaftler an der Princeton-Universität (USA) haben in über 400 Websites der Top-Million datensammelnde Skripte gefunden. Die Skripte übertragen Informationen über den sich gerade anmeldenden User. Und zwar ohne, dass der Betreiber-Website dies bekannt wäre.

Für jede Site eine individuelle Anmeldung

Die sogenannten Single-Sign-On-Konzepte sind auf Grund ihrer zentralen Bedeutung begehrliche Ziele für Datensammler und Hacker.

✅ Wer schlau war, hat Anmeldungen mit dieser Technik vermieden und jeweils individuelle Accounts angelegt. Das ist jetzt erst recht die empfohlene Vorgehensweise. Mit einem Passwort-Manager wie KeePassX für macOSX und Windows ist das ein Klacks. Und liefert dafür ein Plus an Sicherheit. Die in die Betriebssysteme integrierten Schlüsselbunde sind eine weitere Option – wenn man den Herstellern vertraut.

Kommerzielle Passwort-Manager bieten zum Teil mehr Komfort. Aber genau da liegt der Hase im Pfeffer: Komfort bedeutet immer auch Verwundbarkeit.

⛔️ Bequemlichkeit hat immer einen Preis. Die Verwendung eines digitalen Schlüsselbundes ist etwas aufwändiger, so wie ein dickes Schlüsselbund unhandlich ist.

📞 Wenn Sie sich mit dem Thema nicht abmühen wollen, können Sie die Einrichtung und eine kurze Einweisung auch zu sich kommen lassen – Anruf genügt: 030 / 35 50 35 01.

ⓘ Quelle: Freedom to tinker.com, 18.4.2018

Enigmail-Logo

Enigmail 2 verfügbar

Thunderbird ist ein tolles e-Mail-Programm. Mit der Erweiterung Enigmail versteht es sich auf PGP-Zertifikate. PGP ist eine Technik, um e-Mails zu verschlüsseln.

PGP-Zertifikate sind vergleichbar mit einem Schlüssel und einem Schnappschloss: Der Absender einer e-Mail verwendet Ihre öffentlichen Schnappschlösser, um eine e-Mail an Sie zu verschlüsseln. Niemand kann dieses Schnappschloss öffnen. Nur Sie haben den Schlüssel, um dieses Schnappschloss zu öffnen – den sogenannten privaten Schlüssel. Den privaten Schlüssel haben nur Sie, in Form einer kleinen Datei, die sich in einem Schlüsselbund befindet (Zertifikatspeicher). Da diese Datei theoretisch auch jemand anderes in die Finger bekommen könnte, ist die Datei zusätzlich mit einem Passwort geschützt. Nur Sie sollten dieses Passwort kennen.

Wenn Sie sich für Verschlüsselung interessieren, melden Sie sich einfach.

letsencrypt-Logo

▶︎ »Let’s encrypt« jetzt mit Wild-Card-Zertifikaten

◉ Die kostenlosen Zertifikate der Internet Security Research Group (ISRG) werden ab sofort als Wild-Card-Zertifikat für alle Subdomains ausgestellt. Das bedeutet, nun kann etwa auch mail.example.com mit dem Zertifikat verwendet werden.

⦿ ISRG stellt automatisiert Zertifikate für Domains aus. Sofern man durch Zugriff auf TXT-Records im DNS nachweisen kann. In der Regel durch Erzeugung eines TXT-Records mit einem bestimmten Code. Das ganze ist kostenlos, um das Thema Verschlüsselung im Internet voranzubringen. Außerdem war den Machern ein Dorn im Auge, dass kommerzielle Anbieter erhebliche jährliche Gebühren für die Ausstellung und Verlängerung von Zertifikaten berechnet haben. Meist rund 80 Dollar – obwohl der Aufwand minimal ist.

▣ Google hat angekündigt, ab dem Frühjahr 2018 damit zu beginnen, verschlüsselt übertragende Domains in der Suche zu bevorzugen.

✅ Zertifikate für eine verschlüsselte Verbindung erhöhen die Sicherheit von personenbezogenen Daten, wie Zugangsdaten und Passwörter. Aber auch ganz allgemein die Vertraulichkeit, weil es weniger leicht ist, abgehört zu werden. Für den Erhalt demokratischer Rechte ist dies wichtig. Vor allem in Ländern ohne funktionierende Demokratie.

⛔️ Der technische Aufwand ist zwar an sich nicht groß. Aber nicht immer umzusetzen. Oder die Provider versuchen, daraus Kapital zu schlagen.

📞 Informieren Sie sich bei XAG.info über die Verschlüsselung für Ihre Website.

ⓘ Quelle: Heise Online am 14.3.2018