Martins key.matiq-Blog
Martin Schöttler ist der führende Entwickler von key.matiq seit 2012. Er plaudert hier aus dem Nähkästchen, gibt Tipps in Sachen Kennwort-Sicherheit und kommentiert aktuelle Meldungen zum Thema.
Artikelverzeichnis
Stichwortfilter

Passwortsicherheit
Geschrieben: 03.06.2023
Letzte Überarbeitung: 28.06.2023
Stichwörter: Kennwörter, Sicherheit
Bei der digitalen Sicherheit ist meist die Passwortsicherheit das schwächste Glied der Kette. Auf was sollte man besonders achten? Wie kann man dauerhauft Sicherheit bewahren, den Aufwand dafür aber auch in Grenzen halten?

Fast richtig
Geschrieben: 29.05.2023
Letzte Überarbeitung: 03.06.2023
Stichwörter: Kennwörter, Sicherheit
Das BSI gibt einfache Empfehlungen zur Passwortsicherheit, vielleicht zu einfache. Martin rechnet nach und zeigt auf: Ungenaue Kenntnisse an dieser Stelle führen zu deutlich geringerer Sicherheit.

KI außer Kontrolle – Konsequenzen für key.matiq
Geschrieben: 03.04.2023
Letzte Überarbeitung: 17.04.2023
Stichwörter: Grundsätze, Sicherheit
Ein KI-Bot bedrohte einen Tester, weil dieser dem Bot Geheimnisse entlockt und diese veröffentlicht hatte. Das Future of Life Institute fordert in einem offenen Brief ein Moratorium für das Training leistungsfähiger KI. Martin schloss sich diesem Brief an und zeigt auf, inwieweit und unter welchen Bedingungen KI bei key.matiq überhaupt einsetzbar wäre.

Unsichere Zeiten
Geschrieben: 14.03.2023
Letzte Überarbeitung: 14.09.2023
Stichwörter: Angriffe
GoDaddy, ein großer Registrar und Webhoster wurde über mehrere Jahre hinweg gehackt. SSL-Zertifikate sind kompromittiert. Malware wurde installiert. 20 Millionen Kund*innen sind betroffen. Diese Nachricht ist ja nicht der einzige Tiefschlag derzeit. Was kann man tun, in diesen unsicheren Zeiten?

Sicherheitsbresche bei LastPass
Geschrieben: 10.01.2023
Letzte Überarbeitung: 15.01.2023
Stichwörter: Angriffe, Sicherheit
Der Einbruch bei LastPass wirft Fragen auf: Wäre es nicht sicherer nur Offline-Passwortmanager zu verwenden? Sollten URLs nicht ebenso verschlüsselt werden wie Passworte? Kann sich das LastPass-Desaster nicht jeden Tag auch bei einem anderen Produkt wiederholen?

Der Preis der Ahnungslosigkeit
Geschrieben: 03.01.2023
Stichwörter: Datenschutz
Biometrische Daten über Afghan*innen wurden unverschlüsselt auf Geräten belassen, die an die Taliban übergeben wurden oder auch frei verkäuflich im Netz angeboten werden. Was können wir aus dem Skandal lernen?

Prioritäten bei Klartext-Export und -Import
Geschrieben: 19.12.2022
Stichwörter: Nähkästchen, Sicherheit mit Bedienbarkeit
Man sollte meinen, dass der Klartext-Export und -Import von Daten auf gleiche Weise (also durch clientseitige Verschlüsselung) geschützt sein sollten. Doch näher betrachtet erscheinen unterschiedliche Prioritäten sinnvoll.

Risikominimierung
Geschrieben: 22.11.2022
Stichwörter: Sicherheit
Für key.matiq hat die Minimierung von Risiken eine zentrale Bedeutung. Martin meint, ein einfaches Prinzip für das Vorgehen zu kennen, musste jedoch feststellen, dass es diesbezüglich auch ganz andere Ansichten gibt, die wohl auf einer anderen Mathematik, als sie Martin kennt, basieren.
Es ist ein für viele wohl etwas anspruchsvoller Artikel, der vor höherer Mathematik nicht halt macht. Aber Martin versucht wegen der Wichtigkeit des Themas dennoch, die Prinzipien anschaulich und für jede*n nachprüfbar darzustellen.

Identitätsdiebstahl
Geschrieben: 11.08.2022
Stichwörter: Angriffe
Martin hat eine gefälschte E-Mail von einem Freund erhalten, der sich angeblich in einer Notlage befindet und um Geld bittet. Dahinter steckte ein Identitätsdiebstahl ...

Die leidigen Cookies
Geschrieben: 16.06.2022
Stichwörter: Datenschutz
Web-Nutzer*innen, die auf ihre Sicherheit bedacht sind, lassen in der Regel nur technisch notwendige Cookies zu. Doch bei key.matiq würde man sich mit dieser Regel leicht ins Bein schießen. Der Artikel zeigt auf, warum das so ist.

Zero-Knowledge+ (4): Schutzniveaus
Geschrieben: 13.05.2022
Stichwörter: Sicherheit, Sicherheit mit Bedienbarkeit
Bei einem "Cautiously Knowing Service" ist es wichtig, dass die Nutzer*in weiß (bzw. bei Bedarf leicht ermitteln kann), welchen Schutz ihre Daten genießen. Dazu müssen aber die verschiedenen Schutzniveaus klar definiert werden.

Ausnahmslos
Geschrieben: 10.01.2022
Letzte Überarbeitung: 26.04.2022
Stichwörter: Grundsätze, Recht u. Rechtsprechung
Bei Ermittlungen zu einem Todesfall wurde unzulässigerweise auf Daten der Luca-App zugegriffen. Wie kann man solche Regelverletzungen beim Datenschutz verhindern, insbesondere in kritischen Bereichen, insbesondere bei key.matiq?

Neuigkeiten – aber unaufdringlich?
Geschrieben: 16.12.2021
Letzte Überarbeitung: 24.05.2022
Stichwörter: Bedienbarkeit, Information
Newsletters können bald recht lästig werden. Andererseits möchte man gern informiert sein. Doch was der oder dem Einen wichtig erscheint, ist für jemand anders kalter Kaffee. Wie geht key.matiq mit der Informationsflut um? Unaufdringliche Information: Geht das überhaupt?

Ein Gast an meinem Computer
Geschrieben: 06.12.2021
Stichwörter: Sicherheit mit Bedienbarkeit
Eine Freund*in bittet um Hilfe. Sie findet das Handy nicht mehr und will es orten. Doch dazu bräuchte Sie den Zugang zu einem Computer, auch um aus ihrer key.matiq-Box die Zugangsdaten für den Ortungsdienst zu holen.
Natürlich wollen Sie helfen. Doch ist es nicht ganz unproblematisch: Sie wollen natürlich Ihrer Freund*in dabei nicht ständig über die Schulter schauen. Aber laufen dann nicht ihre eigenen Sicherheitsvorkehrungen ins Leere?

Pegasus – Staatstrojaner gegen Oppositionelle
Geschrieben: 10.08.2021
Letzte Überarbeitung: 14.02.2022
Stichwörter: Angriffe
Die Firma NSO aus Israel vertreibt einen Trojaner angeblich zur Überwachung von Kriminellen und Terrorist*innen, doch tatsächlich wird er gesichtet bei Dissident*innen, Gegner*innen autoritärer Regime, aber auch Oppositionellen in Demokratien und Journalist*innen, wie Investigativ-Journalist*innen herausfanden. Für die Betroffenen bedeutet dies eine extreme Gefährdung.

Gendern
Geschrieben: 14.07.2021
Letzte Überarbeitung: 14.09.2023
Stichwörter: Grundsätze
Aus Respekt vor unseren Kund*innen bemühen wir uns um eine gendergerechte Schreibweise. Diese Intention soll erkennbar sein, aber nicht die Inhalte überlagern. Das ist leider gar nicht so einfach. Martin stellt den gefundenen Kompromiss vor.

Zero-Knowledge+ (3):
Abwehr von Erkundungs-Angriffen
Geschrieben: 03.02.2021
Letzte Überarbeitung: 22.04.2021
Stichwörter: Angriffe, Sicherheit, Sicherheit mit Bedienbarkeit
Nullwissen des Servers verlangt einen Preis: Der Server muss dem Client im Voraus für die Anmeldung einen Salt-Wert mitteilen. Der Client ist aber zu diesem Zeitpunkt noch eine potentielle Angreifer*in und sie kann evt. aus Salt-Werten ermitteln, ob eine Box existiert oder nicht. Martin bespricht dieses Problem und denkt Lösungsmöglichkeiten an.

Zero-Knowledge+ (2):
Schlüsselstreckung
Geschrieben: 03.02.2021
Letzte Überarbeitung: 22.04.2021
Stichwörter: Sicherheit
Das Nullwissen eines Servers ist eine gute Sache. Aber es sollte nicht dazu führen, dass andere Verteidigungsmaßnahmen gegen Internetkriminelle, wie z. B. die Schlüsselstreckung geschwächt werden. In dem Artikel werden die damit verbundenen Probleme analysiert und Lösungen entwickelt.

Datenschutz: Opferschutz oder Täter*innenschutz
Geschrieben: 16.12.2020
Letzte Überarbeitung: 09.11.2022
Stichwörter: Verbrechensbekämpfung vs. Datenschutz
Meist sehen wir Datenschutz als Schutz von Opfern von Online-Kriminellen, Polizist*innen, die Terrorist*innen und Kinderpornograph*innen aufzuspüren suchen, sehen den Datenschutz aber auch als Hindernis und bezeichnen dies als "Täter*innenschutz". Wir können und wollen uns dieser Diskussion nicht verschließen.

Zero-Knowledge+ (1):
Der "Cautiously Knowing Service"
Geschrieben: 14.12.2020
Letzte Überarbeitung: 24.05.2022
Stichwörter: Sicherheit, Sicherheit mit Bedienbarkeit
Die Idee des Zero-Knowledge-Servers ist im Prinzip gut, hat aber sowohl begriffliche als auch praktische Schwächen. Martin versucht eine Weiterentwicklung des Konzepts.

Das Kind doch nicht mit dem Bade ausgeschüttet
Geschrieben: 02.09.2020
Letzte Überarbeitung: 22.04.2021
Stichwörter: Sicherheit
Der Update von Firefox®* 79 auf Android™* kommt ohne Masterpasswort. Nicht nur wegen des rassismusverdächtigen Wortteils "Master". Wer key.matiq verwendet, weiß sich zwar zu helfen. Doch können die Kennwörter überhaupt noch unter Android sicher gespeichert werden?

Das Gedächtnis der Finger
Geschrieben: 07.04.2019
Letzte Überarbeitung: 22.04.2021
Stichwörter: Kennwörter
Das Großhirn hat das Passwort vergessen, aber die Finger wissen es noch. Ist Ihnen das auch schon einmal passiert? Umgekehrt: Sie tippen immer wieder das Kennwort falsch. Das Wissen über diese Effekte kann man nutzen, um zu sicheren Kennworten zu kommen, ohne sich selbst auszusperren.

Penetrationstests
Geschrieben: 25.02.2020
Letzte Überarbeitung: 24.05.2022
Stichwörter: Nähkästchen, Sicherheit, Überprüfungen und Tests
Man kann immer etwas lernen, wenn jemand anders auf das eigene Produkt schaut. Martin berichtet über die Durchdringungstests, mit denen die Firma Securai key.matiq geprüft hat.

Komponenten
Geschrieben: 20.12.2019
Letzte Überarbeitung: 22.04.2021
Stichwörter: Sicherheit mit Bedienbarkeit
Monatlich das Kennwort auf dem Firmen-PC ändern. Eine Forderung der Arbeitgeber*in, die oft lästig wird und dann durch angehängte Monatnummern realisiert, aber auch konterkariert wird. key.matiq erlaubt, es besser zu machen.

Verwanzt
Geschrieben: 02.12.2019
Letzte Überarbeitung: 22.04.2021
Stichwörter: Angriffe
Nach einem Bericht des NDR wurde die Botschaft Ecuadors in London durch das von ihr selbst beauftragte Sicherheitsunternehmen ausspioniert. Ein Skandal, wurden doch dabei auch Gespräche Assanges mit Journalist*innen und Anwält*innen mitgeschnitten und sogar die Damentoilette verwanzt. Was können wir daraus lernen?

Der Dreh mit dem Zahlenschloss
Geschrieben: 23.06.2019
Letzte Überarbeitung: 18.08.2021
Stichwörter: Kennwörter
Ein Kettenschloss für ein Fahrrad mit einstellbarer Zahlenkombination. Was sollte man beachten, damit das Fahrrad nicht doch bald fort ist? Was lehrt uns dieses anschauliche Beispiel für den Umgang mit Internet-Kennwörtern?

Suchen und Finden
Geschrieben: 31.05.2019
Letzte Überarbeitung: 22.04.2021
Stichwörter: Bedienbarkeit
Während man bei der Internet-Recherche auf schnelle und schlaue Suchmaschinen vertrauen kann, sollte man bei der Verwaltung von Geheimnissen eher auf klassische Suchfunktionen setzen. Martin erklärt, warum.

Aussperren! –
Aber nur die Bösewichte!
Geschrieben: 18.03.2019
Letzte Überarbeitung: 22.04.2021
Stichwörter: Sicherheit mit Bedienbarkeit
Die Zwei-Faktor-Authentisierung erlaubt, "Lockouts" einzuführen, das heißt nach einer Anzahl fehlerhafter Anmeldungen eine vermutete Hacker*in auszusperren, ohne Box-Besitzer*innen im Normalfall zu stören. Brute-Force-Angriffe haben damit keine Chance mehr.

2-Faktor-Authentisierung –
Das Wie ist entscheidend!
Geschrieben: 17.12.2018
Letzte Überarbeitung: 20.08.2022
Stichwörter: Sicherheit, Sicherheit mit Bedienbarkeit
2-Faktor-Authentisierung ist ein starkes Mittel, um Online-Zugänge zu schützen. Doch Details entscheiden darüber, ob es sicher und handhabbar genug ist und nicht womöglich an der Kostenfrage scheitert.

Phishing-Apps greifen Passwortmanager an
Geschrieben: 16.10.2018
Letzte Überarbeitung: 22.04.2021
Stichwörter: Angriffe
Heise.de meldete, dass eine Reihe von Passwortmanagern anfällig für Phishing-Angriffe bösartiger Android-Apps sind. key.matiq ist davon nicht betroffen und das hat seinen Grund ...

Persönliche Daten schützen
Geschrieben: 05.10.2018
Letzte Überarbeitung: 10.01.2023
Stichwörter: Sicherheit
Wie schützt key.matiq personenbezogene Daten auf dem Server, die nicht als "Geheimnisse" deklariert sind, also z. B. Überweisungsdaten, E-Mail-Adressen etc.?

Googles Warnung vor HTTP-Sites –
Die Kirche im Dorf lassen!
Geschrieben: 01.08.2018
Letzte Überarbeitung: 08.12.2022
Stichwörter: Sicherheit mit Bedienbarkeit
Google bezeichnet HTTP-Seiten pauschal als "Nicht sicher". Martin erklärt, warum er das für falsch hält.

Zero Knowledge (Clientseitige Verschlüsselung)
Geschrieben: 02.07.2018
Letzte Überarbeitung: 21.09.2021
Stichwörter: Sicherheit
Martin diskutiert Begriff und Technologie des Zero-Knowledge-Servers und wie key.matiq sich dazu verhält.

Micropayment
Geschrieben: 07.05.2018
Letzte Überarbeitung: 22.04.2021
Stichwörter: Finanzierung
key.matiq kostet die Kund*in etwas, aber nicht viel. In dem Artikel wird dargestellt, wie die sich daraus ergebende Micropayment-Problematik gelöst wird.

Rückholbarkeit
Geschrieben: 02.11.2017
Letzte Überarbeitung: 22.04.2021
Stichwörter: Bedienbarkeit
Es geht darum, dass eine Benutzer*in Aktionen rückgängig machen kann, gelöschte Informationen wiederbekommt, einen vorherigen Zustand wiederherstellen kann. Diesem Aspekt wurde in key.matiq in besonderer Weise Rechnung getragen, denn er ist hier auch besonders wichtig.

Einfach
Geschrieben: 13.10.2017
Letzte Überarbeitung: 14.07.2021
Stichwörter: Grundsätze
Ein Problem, eine Lösung. Möglichst einfach. Aber praktikabel. Wie kommt man dahin? Martin zeigt seine Methode am Beispiel von Mäusen und Geheimnissen.

Todo cambia
Geschrieben: 02.09.2017
Letzte Überarbeitung: 03.06.2023
Stichwörter: Kennwörter, Sicherheit
Die öffentliche Entschuldigung von Bill Burr für die von ihm eineinhalb Jahrzehnte zuvor iniitierte Entwicklung fürchterlicher Kennwortrichtlinien, nimmt Martin zum Anlass einige Hintergründe zu beleuchten. IT-Manager sollten mehr Eigenkompetenz zu diesem Thema entwickeln, anstatt voreilig allgemeine Richtlinien für das Nonplusultra zu halten.

Digitales Erbe: Bravo BGH!
Geschrieben: 20.06.2017
Letzte Überarbeitung: 22.04.2021
Stichwörter: Recht u. Rechtsprechung
Der Artikel erschien 2017 unter der Überschrift "Digitales Erbe: Gerichte unsicher". Martin kritisierte damals die Entscheidung des Kammergerichts Berlin. Im Jahr 2018 hat das BGH das Kammergerichts-Urteil kassiert und Rechtssicherheit geschaffen.

Das gute Kennwort
Geschrieben: 14.04.2017
Letzte Überarbeitung: 22.04.2021
Stichwörter: Kennwörter
Wann sollte man für Kennwörter Generatoren einsetzen und wann nicht? Wie komplex müssen Kennwörter überhaupt sein? Wie komme ich zu sicheren und gleichzeitig merkbaren Kennwörtern? Der key.matiq-Entwickler gibt praktische Hinweise und erklärt die Hintergründe allgemeinverständlich.

Das Komplement-Konzept
Geschrieben: 2017
Letzte Überarbeitung: 26.04.2022
Stichwörter: Sicherheit
Hier zeigt der Entwickler von key.matiq auf, dass es zwischen blindem Vertrauen in und absolutem Misstrauen gegenüber Online-Passwortmanagern eine Mittelweg gibt, der gegenüber beiden Extremen erhebliche Sicherheitsvorteile bietet.

Vertrauen – der Fixpunkt der Sicherheit
Geschrieben: 2016
Letzte Überarbeitung: 22.04.2021
Stichwörter: Grundsätze
In dem Artikel wird das Verhältnis von Vertrauen und Sicherheit in der digitalen Welt beleuchtet und festgestellt, dass es ganz ohne Vertrauen auch keine Sicherheit geben kann. Aber der Author ist weit davon entfernt, blindes Vertrauen zu propagieren ...

Zu zahlen macht sich bezahlt
Geschrieben: 2015
Letzte Überarbeitung: 22.04.2021
Stichwörter: Finanzierung
Kostenlose Software aus dem Internet gibt es allenthalben. Oft, aber nicht immer, ist das eine gute Lösung. Der Autor erklärt, warum bei Online-Passwortmanagern Kostenlosigkeit gar keine gute Idee ist, und es sich sehr lohnt, etwas dafür zu zahlen.

Passwortmanager sind gut und nicht schlecht
Geschrieben: 2015
Letzte Überarbeitung: 22.04.2021
Stichwörter: Sicherheit
Martin bricht eine Lanze für Passwortmanager. Er war schon von dem Konzept überzeugt, bevor er selbst einen solchen Manager entwickelte. (Allerdings erschienen ihm die damals vorhandenen Passwortmanager als unzureichend.)