Passphrasen galten vor Jahren als interessante Alternative zu komplexen Kennwörtern, aber zum richtigen Durchbruch sind sie nicht gekommen. Es liegt wohl an dem enormen Tippaufwand, meint Martin. Doch dieser ließe sich mit ein paar Kniffen in den Griff kriegen. Denn da gibt es eine Wortliste der Electronic Frontier Foundation mit einer wichtigen Eigenschaft deren Potential bisher kaum gesehen wurde ... Könnten damit Passphrasen doch noch zum Renner werden?

>> Zum Artikel >>

Das Risiko, das von Plaudertaschen in der digitalen Welt ausgeht, wird oft unterschätzt, weil die schweren Schadensfälle zwar zunächst selten, irgendwann aber mit voller Wucht eintreten. Martin zeigt auf, wie man das Ausmaß der Bedrohung abschätzen und reduzieren kann.

>> Zum Artikel >>

Der Blog-Artikel "Die haben wohl alle Lack gesoffen" hat mich animiert, bezüglich der digitalen Bankkontoblicke tiefer zu bohren. Sind diese nun generell sicher oder eher nicht? Wenn sicher: Wieso verbieten die Banken die Weitergabe des Onlinebanking-Passworts, wenn sie ein Verfahren unterstützen, das genau diese Weitergabe erfordert? Wenn unsicher: Wie müsste das Verfahren denn sauber gestaltet werden?

>> Zum Artikel >>

Computerbild schrieb reißerisch "Wein-Experiment entlarvt Datenschutzerklärungen als sinnlos". Die Geschichte stimmt, aber stimmt auch die Schlussfolgerung?

>> Zum Artikel >>

Der Bundesverband der Verbraucherzentralen hat eine interessante Studie in Auftrag gegeben, deren Ergebnis sehr ernst genommen werden muss: Bankkund*innen fällt es schwer, E-Mails von Internetbetrüger*innen von echten Bank-E-Mails zu unterscheiden. Dies sollten auch alle berücksichtigen, denen die Vorsorge gegen Phishing & Co wichtig ist. Martin umreißt die Grundrisse einer Lösung.

>> Zum Artikel >>

Die Deutsche Bahn verlangt im DB Navigator und unter bahn.de eine dubiose Bonitätsprüfung vor der Zahlung im Lastschriftverfahren. Die Anmeldedaten zum Online-Banking, inklusive Passwort, werden abgefragt. Der Blogger Felix von Leitner hat zum Boykott aufgerufen und schrieb: "Die haben ja wohl alle Lack gesoffen!" Martin meint: Leitner hat recht! Das Verfahren untergräbt alle Bemühungen für die allgemeine Passwortsicherheit. Die Bahn mag durch das Verfahren Betrugsfälle stark eingedämmt haben, aber das wäre mit anderen Mitteln auch möglich gewesen.

>> Zum Artikel >>

Der Super-GAU eines Passwortmanagers wäre: Der Verrat. Doch dagegen lässt sich Vorsorge treffen, auch seitens der Nutzer*innen. Martin zeigt, wie das geht.

>> Zum Artikel >>

Martin hinterfragt seine eigenen harten Empfehlungen um starke merkbare Kennwörter zu entwickeln. Denn nicht jede*m taugen diese. Welche Alternativen gibt es oder könnte es geben?

>> Zum Artikel >>

Der Verein Bitkom veröffentlicht jährlich wertvolle Umfrageergebnisse über die Passwortsicherheit. Doch eine Frage der Erhebung (oder der Bericht darüber) scheint unsauber zu sein, ja geradezu manipulativ. Der Passwortsicherheit erweist Bitkom damit einen Bärendienst.

>> Zum Artikel >>

Man sollte niemand über die Schulter schauen, wenn er*sie das Passwort erstellt oder eingibt. Damit dann aber nicht Kennwörter wie "123456789" oder "Passw0rd." herauskommen, können Regeln helfen. Es gibt aber widersprüchliche Regeln. Manche sind direkt kontraproduktiv. Ein bisschen Mathematik hilft hier, die Spreu vom Weizen zu trennen. Keine Angst, alles wird allgemeinverständlich erklärt.

>> Zum Artikel >>

Gut gemeint ist nicht immer gut gemacht. Bei der digitalen Sicherheit ist es nicht anders. Immer wieder wird man mit Sicherheitsmaßnahmen konfrontiert, die sich bei näherer Betrachtung als kontraproduktiv oder zumindest als deutlich verbessungsfähig erweisen oder die man nur sehr vorsichtig anwenden sollte. Oder es werden zweifelhafte Ansichten geäußert, die eine*n fatal in die Irre führen können. Wann trügt einen das Gefühl der Sicherheit, wann sorgt man sich eher unnötig?

>> Zum Artikel >>

Bei der digitalen Sicherheit ist meist die Passwortsicherheit das schwächste Glied der Kette. Wie kann man sowohl Einfallstore für Hacker*innen als auch Risiken für die Selbstaussperrung vermeiden? Wie kann man dauerhauft Sicherheit bewahren, den Aufwand dafür aber auch in Grenzen halten?

>> Zum Artikel >>

Das BSI gibt einfache Empfehlungen zur Passwortsicherheit, vielleicht zu einfache. Martin rechnet nach und zeigt auf: Ungenaue Kenntnisse an dieser Stelle führen zu deutlich geringerer Sicherheit.

>> Zum Artikel >>

Ein KI-Bot bedrohte einen Tester, weil dieser dem Bot Geheimnisse entlockt und diese veröffentlicht hatte. Das Future of Life Institute fordert in einem offenen Brief ein Moratorium für das Training leistungsfähiger KI. Martin schloss sich diesem Brief an und zeigt auf, inwieweit und unter welchen Bedingungen KI bei key.matiq überhaupt einsetzbar wäre.

>> Zum Artikel >>

GoDaddy, ein großer Registrar und Webhoster wurde über mehrere Jahre hinweg gehackt. SSL-Zertifikate sind kompromittiert. Malware wurde installiert. 20 Millionen Kund*innen sind betroffen. Diese Nachricht ist ja nicht der einzige Tiefschlag derzeit. Was kann man tun, in diesen unsicheren Zeiten?

>> Zum Artikel >>

Der Einbruch bei LastPass wirft Fragen auf: Wäre es nicht sicherer nur Offline-Passwortmanager zu verwenden? Sollten URLs nicht ebenso verschlüsselt werden wie Passworte? Kann sich das LastPass-Desaster nicht jeden Tag auch bei einem anderen Produkt wiederholen?

>> Zum Artikel >>

Biometrische Daten über Afghan*innen wurden unverschlüsselt auf Geräten belassen, die an die Taliban übergeben wurden oder auch frei verkäuflich im Netz angeboten werden. Was können wir aus dem Skandal lernen?

>> Zum Artikel >>

Man sollte meinen, dass der Klartext-Export und -Import von Daten auf gleiche Weise (also durch clientseitige Verschlüsselung) geschützt sein sollten. Doch näher betrachtet erscheinen unterschiedliche Prioritäten sinnvoll.

>> Zum Artikel >>

Für key.matiq hat die Minimierung von Risiken eine zentrale Bedeutung. Martin meint, ein einfaches Prinzip für das Vorgehen zu kennen, musste jedoch feststellen, dass es diesbezüglich auch ganz andere Ansichten gibt, die wohl auf einer anderen Mathematik, als sie Martin kennt, basieren.

Es ist ein für viele wohl etwas anspruchsvoller Artikel, der vor höherer Mathematik nicht halt macht. Aber Martin versucht wegen der Wichtigkeit des Themas dennoch, die Prinzipien anschaulich und für jede*n nachprüfbar darzustellen.

>> Zum Artikel >>

Martin hat eine gefälschte E-Mail von einem Freund erhalten, der sich angeblich in einer Notlage befindet und um Geld bittet. Dahinter steckte ein Identitätsdiebstahl ...

>> Zum Artikel >>

Web-Nutzer*innen, die auf ihre Sicherheit bedacht sind, lassen in der Regel nur technisch notwendige Cookies zu. Doch bei key.matiq würde man sich mit dieser Regel leicht ins Bein schießen. Der Artikel zeigt auf, warum das so ist.

>> Zum Artikel >>

Bei einem "Cautiously Knowing Service" ist es wichtig, dass die Nutzer*in weiß (bzw. bei Bedarf leicht ermitteln kann), welchen Schutz ihre Daten genießen. Dazu müssen aber die verschiedenen Schutzniveaus klar definiert werden.

>> Zum Artikel >>

Bei Ermittlungen zu einem Todesfall wurde unzulässigerweise auf Daten der Luca-App zugegriffen. Wie kann man solche Regelverletzungen beim Datenschutz verhindern, insbesondere in kritischen Bereichen, insbesondere bei key.matiq?

>> Zum Artikel >>

Newsletters können bald recht lästig werden. Andererseits möchte man gern informiert sein. Doch was der oder dem Einen wichtig erscheint, ist für jemand anders kalter Kaffee. Wie geht key.matiq mit der Informationsflut um? Unaufdringliche Information: Geht das überhaupt?

>> Zum Artikel >>

Eine Freund*in bittet um Hilfe. Sie findet das Handy nicht mehr und will es orten. Doch dazu bräuchte Sie den Zugang zu einem Computer, auch um aus ihrer key.matiq-Box die Zugangsdaten für den Ortungsdienst zu holen.

Natürlich wollen Sie helfen. Doch ist es nicht ganz unproblematisch: Sie wollen natürlich Ihrer Freund*in dabei nicht ständig über die Schulter schauen. Aber laufen dann nicht ihre eigenen Sicherheitsvorkehrungen ins Leere?

>> Zum Artikel >>

Die Firma NSO aus Israel vertreibt einen Trojaner angeblich zur Überwachung von Kriminellen und Terrorist*innen, doch tatsächlich wird er gesichtet bei Dissident*innen, Gegner*innen autoritärer Regime, aber auch Oppositionellen in Demokratien und Journalist*innen, wie Investigativ-Journalist*innen herausfanden. Für die Betroffenen bedeutet dies eine extreme Gefährdung.

>> Zum Artikel >>

Aus Respekt vor unseren Kund*innen bemühen wir uns um eine gendergerechte Schreibweise. Diese Intention soll erkennbar sein, aber nicht die Inhalte überlagern. Das ist leider gar nicht so einfach. Martin stellt die gefundene Lösung vor.

>> Zum Artikel >>

Nullwissen des Servers verlangt einen Preis: Der Server muss dem Client im Voraus für die Anmeldung einen Salt-Wert mitteilen. Der Client ist aber zu diesem Zeitpunkt noch eine potentielle Angreifer*in und sie kann evtl. aus Salt-Werten ermitteln, ob eine Box existiert oder nicht. Martin bespricht dieses Problem und denkt Lösungsmöglichkeiten an.

>> Zum Artikel >>

Das Nullwissen eines Servers ist eine gute Sache. Aber es sollte nicht dazu führen, dass andere Verteidigungsmaßnahmen gegen Internetkriminelle, wie z. B. die Schlüsselstreckung geschwächt werden. In dem Artikel werden die damit verbundenen Probleme analysiert und Lösungen entwickelt.

>> Zum Artikel >>

Meist sehen wir Datenschutz als Schutz von Opfern von Online-Kriminellen, Polizist*innen, die Terrorist*innen und Kinderpornograph*innen aufzuspüren suchen, sehen den Datenschutz aber auch als Hindernis und bezeichnen dies als "Täter*innenschutz". Wir können und wollen uns dieser Diskussion nicht verschließen.

>> Zum Artikel >>

Die Idee des Zero-Knowledge-Servers ist im Prinzip gut, hat aber sowohl begriffliche als auch praktische Schwächen. Martin versucht eine Weiterentwicklung des Konzepts.

>> Zum Artikel >>

Der Update von Firefox®* 79 auf Android™* kommt ohne Masterpasswort. Nicht nur wegen des rassismusverdächtigen Wortteils "Master". Wer key.matiq verwendet, weiß sich zwar zu helfen. Doch können die Kennwörter überhaupt noch unter Android sicher gespeichert werden?

>> Zum Artikel >>

Das Großhirn hat das Passwort vergessen, aber die Finger wissen es noch. Ist Ihnen das auch schon einmal passiert? Umgekehrt: Sie tippen immer wieder das Kennwort falsch. Das Wissen über diese Effekte kann man nutzen, um zu sicheren Kennworten zu kommen, ohne sich selbst auszusperren.

>> Zum Artikel >>

Man kann immer etwas lernen, wenn jemand anders auf das eigene Produkt schaut. Martin berichtet über die Durchdringungstests, mit denen die Firma Securai key.matiq geprüft hat.

>> Zum Artikel >>

Monatlich das Kennwort auf dem Firmen-PC ändern. Eine Forderung der Arbeitgeber*in, die oft lästig wird und dann durch angehängte Monatnummern realisiert, aber auch konterkariert wird. key.matiq erlaubt, es besser zu machen.

>> Zum Artikel >>

Nach einem Bericht des NDR wurde die Botschaft Ecuadors in London durch das von ihr selbst beauftragte Sicherheitsunternehmen ausspioniert. Ein Skandal, wurden doch dabei auch Gespräche Assanges mit Journalist*innen und Anwält*innen mitgeschnitten und sogar die Damentoilette verwanzt. Was können wir daraus lernen?

>> Zum Artikel >>

Ein Kettenschloss für ein Fahrrad mit einstellbarer Zahlenkombination. Was sollte man beachten, damit das Fahrrad nicht doch bald fort ist? Was lehrt uns dieses anschauliche Beispiel für den Umgang mit Internet-Kennwörtern?

>> Zum Artikel >>

Während man bei der Internet-Recherche auf schnelle und schlaue Suchmaschinen vertrauen kann, sollte man bei der Verwaltung von Geheimnissen eher auf klassische Suchfunktionen setzen. Martin erklärt, warum.

>> Zum Artikel >>

Die Zwei-Faktor-Authentisierung erlaubt, "Lockouts" einzuführen, das heißt nach einer Anzahl fehlerhafter Anmeldungen eine vermutete Hacker*in auszusperren, ohne Box-Besitzer*innen im Normalfall zu stören. Brute-Force-Angriffe haben damit keine Chance mehr.

>> Zum Artikel >>

2-Faktor-Authentisierung ist ein starkes Mittel, um Online-Zugänge zu schützen. Doch Details entscheiden darüber, ob es sicher und handhabbar genug ist und nicht womöglich an der Kostenfrage scheitert.

>> Zum Artikel >>

Heise.de meldete, dass eine Reihe von Passwortmanagern anfällig für Phishing-Angriffe bösartiger Android-Apps sind. key.matiq ist davon nicht betroffen und das hat seinen Grund ...

>> Zum Artikel >>

Wie schützt key.matiq personenbezogene Daten auf dem Server, die nicht als "Geheimnisse" deklariert sind, also z. B. Überweisungsdaten, E-Mail-Adressen etc.?

>> Zum Artikel >>

Google bezeichnet HTTP-Seiten pauschal als "Nicht sicher". Martin erklärt, warum er das für falsch hält.

>> Zum Artikel >>

Martin diskutiert Begriff und Technologie des Zero-Knowledge-Servers und wie key.matiq sich dazu verhält.

>> Zum Artikel >>

key.matiq kostet die Kund*in etwas, aber nicht viel. In dem Artikel wird dargestellt, wie die sich daraus ergebende Micropayment-Problematik gelöst wird.

>> Zum Artikel >>

Es geht darum, dass eine Benutzer*in Aktionen rückgängig machen kann, gelöschte Informationen wiederbekommt, einen vorherigen Zustand wiederherstellen kann. Diesem Aspekt wurde in key.matiq in besonderer Weise Rechnung getragen, denn er ist hier auch besonders wichtig.

>> Zum Artikel >>

Ein Problem, eine Lösung. Möglichst einfach. Aber praktikabel. Wie kommt man dahin? Martin zeigt seine Methode am Beispiel von Mäusen und Geheimnissen.

>> Zum Artikel >>

Die öffentliche Entschuldigung von Bill Burr für die von ihm eineinhalb Jahrzehnte zuvor initiierte Entwicklung fürchterlicher Kennwortrichtlinien, nimmt Martin zum Anlass einige Hintergründe zu beleuchten. IT-Manager sollten mehr Eigenkompetenz zu diesem Thema entwickeln, anstatt voreilig allgemeine Richtlinien für das Nonplusultra zu halten.

>> Zum Artikel >>

Der Artikel erschien 2017 unter der Überschrift "Digitales Erbe: Gerichte unsicher". Martin kritisierte damals die Entscheidung des Kammergerichts Berlin. Im Jahr 2018 hat das BGH das Kammergerichts-Urteil kassiert und Rechtssicherheit geschaffen.

>> Zum Artikel >>

Wann sollte man für Kennwörter Generatoren einsetzen und wann nicht? Wie stark müssen Kennwörter überhaupt sein? Wie komme ich zu sicheren und gleichzeitig merkbaren Kennwörtern? Der key.matiq-Entwickler gibt praktische Hinweise und erklärt die Hintergründe allgemeinverständlich.

>> Zum Artikel >>

Hier zeigt der Entwickler von key.matiq auf, dass es zwischen blindem Vertrauen in und absolutem Misstrauen gegenüber Online-Passwortmanagern eine Mittelweg gibt, der gegenüber beiden Extremen erhebliche Sicherheitsvorteile bietet.

>> Zum Artikel >>

In dem Artikel wird das Verhältnis von Vertrauen und Sicherheit in der digitalen Welt beleuchtet und festgestellt, dass es ganz ohne Vertrauen auch keine Sicherheit geben kann. Aber der Author ist weit davon entfernt, blindes Vertrauen zu propagieren ...

>> Zum Artikel >>

Kostenlose Software aus dem Internet gibt es allenthalben. Oft, aber nicht immer, ist das eine gute Lösung. Der Autor erklärt, warum bei Online-Passwortmanagern Kostenlosigkeit gar keine gute Idee ist, und es sich sehr lohnt, etwas dafür zu zahlen.

>> Zum Artikel >>

Martin bricht eine Lanze für Passwortmanager. Er war schon von dem Konzept überzeugt, bevor er selbst einen solchen Manager entwickelte. (Allerdings erschienen ihm die damals vorhandenen Passwortmanager als unzureichend.)

>> Zum Artikel >>