Monthly Archives: Mai 2012

Neuer Personalausweis vs. Fefe

Hier kommt gerade eine Anfrage einer Journalistin zum Perso rein.” (blog.fefe.de)

Kein Mensch interessiert sich für die Sicherheitsrisiken.

Unsinn! Natürlich interessiert sich Otto Normal für die Sicherheit des nPA. Er weiß vielleicht vom Nachbarn zu berichten, dass dieser via Online-Banking um ein paar Tausend Euro ärmer wurde und so wirklich traut er den Computern und der Obrigkeit ja eh nicht: “DNS-CHANGER – Software-Warnung sorgt für User-Paranoia” (wissen.dradio.de)

Im Gegenteil, gerade WEIL die Leute annehmen, dass die das mit der Sicherheit schon hinkriegen könnten, will das keiner haben.

Wieder Unsinn! Es gibt keine 100%tige Sicherheit und wer etwas in der Hirnschale hat, der weiß dies auch. Die Bedenken liegen eher darin begründet, dass Otto Normal weiß, dass der nPA nicht vollkommen sicher sein kann und er bei einem Missbrauch Probleme haben wird, dies auch nachzuweisen.

Der Personalausweisinhaber soll durch technische und organisatorische Maßnahmen gewährleisten, dass der elektronische Identitätsnachweis gemäß § 18 nur in einer Umgebung eingesetzt wird, die nach dem jeweiligen Stand der Technik als sicher anzusehen ist. Dabei soll er insbesondere solche technischen Systeme und Bestandteile einsetzen, die vom Bundesamt für Sicherheit in der Informationstechnik als für diesen Einsatzzweck sicher bewertet werden.

Quelle: “PAuswG: § 27 Pflichten des Ausweisinhabers” (gesetze-im-internet.de)

Was eine sichere Umgebung für den nPA ist bestimmt das BSI bzw. BMI: “Ihr Beitrag zur Sicherheit” (personalausweisportal.de)


Auch Fefes Schlussfolgerung, dass die Sicherheitsbedenken die Verbreitung des nPA verhindert, ist meiner Meinung nach Unsinn. In der Masse setzt sich der nPA nicht durch, weil es schlicht und ergreifend keine Anwendung gibt, für die sich der Wechsel zum neuen Personalausweis lohnen würde.

Bin ich ein Superhacker?

Da bekommt jemand die Hausaufgabe einen Schutz zu implementieren, der Brute-Force-Angriffe auf das Login verhindern soll:
passwort brute-force mit cookies

Dies sieht auf den ersten Blick gar nicht schlecht aus. Nach drei Fehlversuchen wird automatisch ein neues Passwort vergeben und aktiviert, womit der Brute-Force-Angriff abgeblasen ist — wegen isnich. Zum Glück wird das Login nur mit einer E-Mail-Adresse akzeptiert, denn, wären Benutzernamen wie angela54, dumme-nuss oder angela_m möglich, dann könnte ein Störenfried sehr viele neue Passworte versenden lassen, zwar keine Sicherheitslücke, aber für Benutzer wie Betreiber nervig.


Aber was ist dies?
passwort brute-force ohne cookies

Naja, ich bin ja ein Superhacker und habe gemeine und geheime Tricks auf Lager. Wenn ich die Cookies deaktiviere, wird nicht gezählt wie oft das Login fehl schlug, aber ich werde trotzdem darüber informiert ob das benutze Passwort korrekt war.


Will der mich verarschen?

Will der mich verarschen?!

DER WILL MICH VERARSCHEN!


Wenn ich so etwas als Fix vorgesetzt bekomme, dann würde am liebsten zu dem DAMP fahren und ihm ein CX-21 (Immerhin noch 300 Bit/s.) als Dauerinternetzugangohnerückkehrinsnormaleleben installieren!

Nur weil DAMPs in der IT-Welt pfuschen dürfen, macht mich dies noch lange nicht zu einem Superhacker.


(DAMP — Dümmster anzunehmender Möch­te­gernprogrammierer)