Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- 1) MacOS X unterstützt Verschlüsselung. Das macht bis 10.6 Dein
- Heimatverzeichnis, bei 10.7 und 10.8 gleich Deine ganze Festplatte
- zu einem Kryptocontainer. Die Funktion heisst FileVault, und Du
- findest sie in den Einstellungen unter Sicherheit.
- 2) Für das Handhaben von Kennwörtern gibt es eine gute Strategie:
- a) Vermeide Kennwörter wenn möglich und ersetze sie mittels
- asymmetrischer Kryptographie. Wie das geht, hängt vom Einzelfall
- ab. Häufig sind die Techniken X.509-Zertifikate, OpenPGP-Schlüssel
- und SSH-Keys. Hinter diesen komplizierten Bezeichnungen steckt
- eine einfache Idee: man generiert ein Schlüsselpaar. Die beiden
- Schlüssel gehören zusammen. Denn was man mit dem einen Schlüssel
- verschlüsselt, kriegt man auch mit demselben nicht mehr auf,
- sondern nur über sein Gegenstück. Den einen Schlüssel hält man
- geheim. Den anderen verteilt man oder veröffentlicht ihn gar. Man
- nennt den einen den geheimen Schlüssel, den anderen den
- öffentlichen. Immer wenn es diese Möglichkeit gibt, nimm kein
- Kennwort sondern ein Schlüsselpaar. Den geheimen Schlüssel
- speicherst Du immer im Kryptocontainer. MacOS X kann X.509 im
- Schlüsselbund speichern. Den findest Du unter Dienstprogramme.
- Ein Schlüssel in der asymmetrischen Kryptographie hat immer
- mindestens 2048bit, nicht weniger.
- b) Wo sich Kennwörter nicht vermeiden lassen, benutze lange
- Zufallskennwörter, die Du Dir nicht merken kannst. Es gibt
- Programme, mit denen man die erzeugen kann, z.B. mkpasswd. Lang
- sind Kennwörter mit mindestens 20 Zeichen. Ich generier mal eben
- eins, dann hast Du ein Beispiel: fSmzyPs7CTXGG6hyyGeo (niemals
- Kennwörter aus dem Internet verwenden, auch nicht aus Kennwort-
- Generatoren im Internet). Diese Kennwörter speicherst Du direkt
- da, wo sie gebraucht werden – z.B. im Webbrowser. Falls das nicht
- geht, speicherst Du sie in einer Datei oder Datenbank – aber die
- legst Du dann auf jeden Fall auch in den Kryptocontainer.
- c) Jede Webseite, jedes Programm bekommt ein anderes zufälliges
- solches Kennwort. Keines davon verwendest Du zwei Mal.
- d) Wo irgend möglich, stellst Du ein, dass nicht das Kennwort
- verwendet wird, sondern stattdessen ein gesalzener Hash des
- Kennworts. Du musst nicht wissen, was das ist, aber Du musst
- wissen, dass das wichtig ist. Wo's nicht geht, da eben nicht.
- e) Ein Kennwort ist besonders. Das ist das einzige, das Du benutzt
- und Dir merkst. Das ist nicht zufällig, und zwar kein Bisschen. Es
- braucht auch keine Sonderzeichen, das ist alles Quatsch. Das geht
- so: https://xkcd.com/936/ Das ist das Kennwort, was Du zum Öffnen
- des Kryptocontainers verwendest. Falls Du MacOS X und FileVault
- nimmst, so ist das Dein Anmeldekennwort. Dieses Kennwort musst
- Du Dir merken, Du kannst es aber auch – und dieses Kennwort wirst
- Du immer wieder mal ändern.
- f) PINs sind keine Kennwörter. Sie heissen PIN, weil man sie nur ein
- paar wenige Mal probieren darf, bevor der Laden dicht ist. Danach
- braucht man z.B. ein Kennwort oder eine PIN, um wieder zu öffnen –
- letzteres heisst manchmal PUK, und ist wieder eine PIN (nur eine
- längere). Eine PUK speicherst Du im Kryptocontainer. Eine PIN
- nicht. Die merkst Du Dir, oder Du änderst sie auf etwas, was Du
- Dir merken kannst.
- g) Ein weiteres Kennwort ist besonders. Es ist zufällig und lang wie
- die gewöhnlichen. Und dieses Kennwort druckst Du aus. Nein, kein
- Scherz. Das speicherst Du gar nicht, auch nicht (bei FileVault)
- bei Apple, sondern das druckst Du auf Papier und legst es in den
- Tresor oder bringst es zur Bank. Das ist das Masterkennwort, mit
- dem Du auf jeden Fall noch an Deine Daten kommst, wenn Du das
- aktuelle Anmeldekennwort (nicht vergessen: das änderst Du ja von
- Zeit zu Zeit) vergessen hast. Deshalb MUSS ES AUF PAPIER SEIN UND
- SONST NIRGENDS. Auch nicht in einem Kryptocontainer, und ohne
- schon gleich gar nicht.
- 3) Verwende niemals ein Mobiltelefon für die Speicherung eines
- Kryptocontainers. Mobiltelefone sind allesamt zwingend technisch
- völlig unsicher. Die entsprechenden Standards (GSM, 3G, etc.)
- schreiben das vor, damit die Geheimdienste nicht nur abhören können,
- sondern auch Dein Telefon jederzeit ferngesteuert in eine Wanze
- verwandeln. Sobald Dein Gerät also eine Mobiltelefoneinrichtung
- hat, ist es für Kryptocontainer gestorben. Denn das kann im Zweifel
- nicht nur der Geheimdienst – die Mobilfunkstandards sind auch alles
- andere als sicher gegen Missbrauch und Manipulation Dritter.
- 4) Dein Kryptocontainer befindet sich nur auf einem Gerät und im Backup
- dieses Gerätes. Dieses Backup der verschlüsselten Daten sicherst Du
- über physischen Zugriffsschutz. Auf das Gerät mit dem Kryptocontainer
- gibst Du besonders acht: Du führst es "am Mann", oder es ist
- unzugänglich aufbewahrt. Falls Dir das Gerät abhanden kommt, und sei
- es nur so, dass Du es wieder bekommst, ist es für Dich verloren. Du
- nimmst zukünftig ein anderes Gerät für den Kryptocontainer, niemals
- wieder öffnest Du den Container auf dem verlorenen Gerät. Du kannst
- ab da andere Dinge damit machen, aber den Kryptocontainer wirst Du
- darauf ungeöffnet löschen, und aus dem Backup auf ein anderes Gerät
- aufspielen und dann erst wieder öffnen.
- 5) Wenn Du Apple nicht vertraust, dass sie eine technisch sichere
- Implementierung eines Kryptocontainers hinkriegen, es gibt TrueCrypt.
- 6) Wenn Du Apple nicht vertraust, dass sie Dich nicht beschummeln, dann
- nutze ihre Produkte nicht. Es gibt keine Möglichkeit, sich gegen
- Manipulationen des Herstellers zu schützen. Aber die meisten
- Hersteller haben kein wirtschaftliches Interesse daran, ihre Kunden
- in der Hinsicht zu beschummeln – das mit den Mobiltelefonen spielen
- sie nur mit, weil sie müssen. Und bei einem Unternehmen frag immer,
- was das wirtschaftliche Interesse des Unternehmens darstellt. Nimm
- das als Grundlage für jede Einschätzung eines jeden Unternehmens. Die
- Trefferquote wird so enorm hoch.
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement