14. Februar 2008

Safer Internet Day

Category: Allgemein,Datenschutz — Christian @ 19:51

Vorgestern, am 12.02. fand unter der Schirmherrschaft der EU-Kommissarin Viviane Reding der Safer Internet Day statt. Die Ziele lesen sich auch schon ausreichend schwammig um alles oder nichts zu sagen:

  • die Sensibilität für das Thema „Sicheres lnternet“ zu fördern und damit die Menschen dazu zu bewegen, der Sicherheit im Internet mehr Aufmerksamkeit zu widmen

In der Praxis handelt es sich beim Safe Internet Day nur noch im eine Rahmenveranstaltung in der sich diverse Lobbygruppen tummeln und unwidersprochen ihre (meist falschen) Ansichten verbreiten dürfen. Zum Thema Urheberrecht hat beispielsweise die GVU einen Flyer beigesteuert, der falsche (und natürlich im Interesse der Content-Industrie liegende) Angaben z.B. zur Privatkopie macht.

Klicksafe gibt sich zwar Mühe und ab und an findet man sogar nicht durch Lobbyarbeit beeinflusste Informationen, z.B. zum Webbrowser. Da kommt der IE sogar schlechter weg als er es verdient hat. Aber letztendlich wird dann doch wieder auf Werbung von Microsoft verlinkt.

Den Vogel abgeschossen hat aber das ZDF, das zum Thema Sicherheit im Internet und Datenschutz ein Interview ausgerechnet mit StudiVZ geführt hat, dem Unternehmen, das für seine hohen Datenschutzstandards bekannt ist. So bastelt das ZDF an der Legende, denn eigentlich hat StudiVZ nichts neues erfunden sondern lediglich zufällig zum richtigen Zeitpunkt Facebook kopiert.

Nachtrag:

Ich hätte dieses Youtube-Video vom ZDF-StudiVZ-Interview ja gerne direkt eingebunden aber vermutlich ist dem ZDF der Beitrag inzwischen so peinlich, dass sie das direkte Einbinden nicht mehr erlauben.

Die sichere Supernova-Karte

Category: Produkte — Christian @ 19:12

Ich freue mich ja immer, wenn ich unaufgefordert Werbung zu Snake Oil Security Produkten bekomme. Das gibt immer wieder einen schönen Blog-Eintrag.

Heute habe ich Spam eine gaaanz tolle Produktinformation der Firma Supernova Savernova bekommen, die eine gaaanz tolle Gridkarte für gaaanz tolle Passwörter anbieten. Gridkarten sind einfach Papp- oder Plastikkarten die je nach Ausstattung entweder Ziffern (für PINs) oder alphanumerische Zeichen für Passwörter in einer Tabelle anordnen und der Nutzer merkt sich dann entweder den Anfang (G3) und die Lese-Richtung (nach rechts) um sein Passwort wiederzufinden oder er wird nach mehreren Feldern (F5, A2, E4) zur Authentisierung gefragt. Das funktioniert dann wie Schiffe versenken. Im Grunde nix, das man sich nicht mit ein paar Zeilen Perl und/oder einem Radius-Server selbst basteln könnte.

Bei Savernova sieht die kostenfreie Ausdruckkarte (PDF) dann so aus:

Das ist zwar nicht ganz wie „Passwort aufschreiben“ (außer, die 11 Felder rechts sind so gedacht, dass man da die Passwörter notiert) aber schon fast. Wenn jemand die Karte in die Hand bekommt, lassen sich nur endlich viele verschiedene Passwörter daraus erzeugen. Die kann man ruckzuck durchprobieren. Und wenn man die Karte verliert, dann hat man das Passwort leider nicht mehr (oder man hat glücklicherweise das Passwort mittels Textmarker auf der Backupkarte markiert).

Andererseits ist das Marketing nicht blöd. Zum einen klingt der Claim „Savernova – Swiss IT Security“ nach der Qualität eines Schweizer Armeetaschenmessers. Zum anderen die Verlinkung: „Unternehmen können die Webkarten mit eigenem Logo personalisieren und auf ihrer Homepage unlimitiert und kostenfrei zur Verfügung stellen.“ So schafft man sich zumindest Bekanntheit.

Ich habe leider nicht herausgefunden, wie viel Savernova kosten soll. Bei PC-Welt gibt es jedenfalls Codestar für 20 Euro. Da kann man sich auch lustige bunte Passwort-Karten ausdrucken, einen Farbdrucker vorausgesetzt. Ok, da ist die berüchtigte Middleware nicht dabei, mit der sich die Passwortkarten an die Unternehmens-IT anbinden lassen. Aber will das wirklich irgendwer (PDF)?

Naja, für einige Leute mag die Passwortkarte ja ganz praktisch sein und erfreulicherweise wird bei jedem Aufruf eine andere Karte generiert (auch wenn ich nicht weiß, was die ID und der SecureCode darauf bedeuten soll). Allerdings darf man sich den Webserver auch nicht so genau ansehen. Manuell eingegebene URLs mag der nämlich nicht:

Also doch besser mit Perl selbst was gebastelt. Das funktioniert dann auch mit Linux. Oder weiter Schiffe versenken gespielt.