Ärger mit der upc cablecom

Tuesday, 19. January 2016 at 15:59 Uhr

Wer seine Rechnungen per Lastschriftverfahren (LSV) oder E-Banking, also papierlos bezahlt, tut einerseits etwas für die Umwelt und spart sich zudem eine Menge administrativen Aufwand jeden Monat. Dafür bieten sich vor allem Rechnungen an, welche wiederkehrend den selben Betrag aufweisen, wie Beispielsweise: Mieten oder Internetabos.

Seit Jahren bezahle ich für einen 125’000 Mbit/s Internet-Anschluss bei der upc cablecom 69 Franken. Soweit so gut.
Heute sah ich im E-Banking unter upc cablecom eine Rechnung mit dem Betrag von 73 Franken, welcher mich stutzig machte. Im Kundenkonto war auch ersichtlich warum: Meine Bandbreite wurde von 125’000 Mbit/s (Internet 125) auf 250’000 Mbit/s (Internet 250) für zusätzlich 4 Franken pro Monat verdoppelt worden.

Eine telefonische Rückfrage mit dem upc cablecom Kundendienst ergab dann, dass das “Internet 125” Abo nicht mehr länger vertrieben wird, dafür werden alle Kunden automatisch auf das “Internet 250” Abo angehoben, für nur 4 Franken extra. Dies wurde in der November Rechnung kommuniziert. Da ich meine Rechnung von upc cablecom nicht mehr in Papierform erhalte, sondern per E-Banking bezahle, habe ich keinen Grund das Rechnungs-PDF jeden Monat zu öffnen, wenn der Betrag stimmt.

Die freundliche Dame beim Kundendienst (der Kundendienst war wirklich ausgesprochen freundlich) erklärte mir darauf, dass ich selbstverständlich ein downgrade auf das Produkt 100’000 Mbit/s (Internet 100) für monatlich 65 Franken durchführen könne. Die Mindestlaufzeit beginnt dann aber wieder bei 12 Monaten, da dies ein neuer Vertrag sei. Dieses Angebot verneinte ich, da mir die Flexibilität einer Kündigung zu wichtig ist. Darauf machte sie mir das Angebot, dass ich jederzeit sie direkt anrufen kann, sollte ich während der Laufzeit kündigen wollen. Sie hätte die Kompetenz mich früher aus dem Vertrag zu entlassen, sollte ich dies wünschen. Da ich diese Zusicherung nicht schriftlich bekomme und diese Information nur im CRM der upc cablecom eingetragen wird, werde ich vermutlich von diesem Angebot absehen und nach 16 Jahren bei der upc cablecom kündigen.

Durch die Umstellung auf papierlose Rechnungen spart die upc cablecom eine Menge Geld pro Jahr ein. Das Ganze wird begründet, man wolle der Umwelt etwas gutes tun, was ich jetzt einfach mal so stehen lasse. Möchte der Kunde aber seine Rechnung weiterhin in Papierform erhalten, so kostet ihn das 3 Franken pro Zustellung.

Ich erwarte von einer Firma wie der upc cablecom, dass wichtige Dinge wie z.B. Vertragsänderungen per Briefpost oder mindestens in einem separates E-Mail bekanntgegeben werden. Diese Information hätte die upc cablecom anstelle der zahlreichen Werbung – die ich nach wie vor per Briefpost erhalte – versenden können.

Post to Twitter Post to Facebook Send Gmail

Neues Energiemessgerät – Jetzt sind die Werte korrekt!

Friday, 26. June 2015 at 23:33 Uhr

Heute habe ich mir ein neues Energiemessgerät zugelegt, den PM231E von Brennenstuhl. Dieses Gerät hat in Tests präzise Messwerte erzielt, auch im Niedervolt Bereich.

Und siehe da: Mit diesem Gerät werden mir die korrekten Stand-By Werte bei meinem QNAP TS-451 Netzteil angezeigt!

Es bestand daher nie ein Problem mit dem Netzteil selbst, sondern nur mit den beiden, etwa 10 jährigen Energiemessgeräte, die offensichtlich Probleme haben, niedrige Verbrauchswerte korrekt zu interpretieren.

An der Enttäuschung über den digitec Kundendienst ändert diese Tatsache zwar nichts, aber es erspart mir auch weiteren Ärger 🙂

Bild: PM231E von Brennenstuhl
PM231E

Post to Twitter Post to Facebook Send Gmail

Ärger mit digitec

Thursday, 25. June 2015 at 13:49 Uhr

Stellt euch vor: Ihr besitzt ein Auto, bei dem der rechte Vorderreifen einen Defekt hat und eure Garage teilt euch mit, dass man den Reifen nur mit dem Auto zusammen austauschen könne.

So geschehen bei meinem NAS QNAP TS-451 und der Firma digitec.

Die lange Geschichte:
Am 18.06.2015 kaufte ich bei der Firma digitec das QNAP TS-451 NAS mit vier 2.5′ 1 TB Festplatten.
Das NAS habe ich mit RAID 6 aufgesetzt und alles wurde von mir so konfiguriert wie ich es haben wollte. Die Stromversorgung vom TS-451 erfolgt über ein externes 12V Tischnetzteil, welches nach dem Efficiency Level V Standard designt wurde. Dieser Standard schreibt unter anderem vor, dass ein Netzgerät im Leerlauf nur einen bestimmten Stand-By Verbrauch aufweisen darf.

Bild 1: Tischnetzteil zum TS-451
PowerSupply

Mehr aus Neugier habe ich das Netzteil an ein Strommessgerät angeschlossen und staunte nicht schlecht, als ich den Verbrauch im Leerlauf sah: 11 Watt!

Bild 2: Verbrauch 11 Watt
power_drain

Wohlgemerkt: Gemäss Spezifikation dürfte das Netzteil maximal 0.3 – 0.5 Watt im Leerlauf verbrauchen. Da handelsübliche Strommessgeräte eine gewisse Messungenauigkeit besitzen, hätte ich jetzt mit 1 – 2 Watt gerechnet.

Das Ganze habe ich dann noch mit einem zweiten Strommessgerät zur Kontrolle überprüft, mit dem gleichen Ergebnis:

Bild 3: Messtest 2
Verbrauchsmessung_2

Für mich war der Fall klar: Das Netzteil, bzw die Stand-By Steuerung in diesem Netzteil musste defekt sein. Ich telefonierte also mit der Firma digitec un bat um Ersatz. Die Antwort war: Das Netzteil könne nicht einzeln ausgetauscht werden, nur zusammen mit dem TS-451. Diese Aussage überraschte mich dann doch sehr, zumal das externe Netzteil ein Universalnetzteil ist und überhaupt keine zwingende Kopplung mit dem TS-451 besteht. Zudem wollte ich nicht alle Festplatten ausbauen, im neuem Gerät wieder einbauen und das NAS neu konfigurieren.

Ich platzierte mein Anliegen dem digitec Kundendienst dann nochmals schriftlich und erhielt folgende Antwort:

Sehr geehrter Herr Schurter

Vielen Dank für Ihre Mail.
Wie bereits erwähnt, kann das Netzteil nicht separat besorgt werden.

Sie haben die Wahl zwischen den folgenden zwei Punkten:
1. Sie senden das Gerät ein und erhalten auf der Stelle ein komplett neues System zugestellt. Hier müssten Sie leider das Produkt nochmals von Beginn an konfigurieren.

2. Sie behalten das Gerät mit dem fehlerhaften Netzteil und gehen das Risiko eines Ausfalls ein. Dies kann dazu führen, dass die komplette Station nicht mehr verwendet werden kann.

Folglich müsste eine Reparatur eingeleitet werden, was bei solchen Produkten, welche im täglichen Gebrauch sind, mit sehr unangenehmen Wartezeiten verbunden ist. Im schlimmsten Fall müsste das Produkt ebenfalls nochmals komplett neu aufgesetzt werden nach der Reparatur.

Sofern Sie die Option der Rücksendung als angenehmer empfinden, kann ich Ihnen sehr gerne eine Rücksendeetikette zukommen lassen, damit Ihnen keine Kosten für das Porto entstehen.
Bitte teilen Sie mir mit, wie Sie verbleiben wollen, damit ich die entsprechenden Schritte einleiten kann.
Bei Fragen stehen wir Ihnen gerne zur Verfügung.

Warum ich wegen eines Netzteils das komplette NAS austauschen soll kann ich nicht nachvollziehen. Ich mag mich auch nicht daran erinnern, dass ich jemals bei einer defekten Komponente, wie einem Netzteil, gleich den kompletten Artikel zurückgeben musste.

Nun, in der Zwischenzeit habe ich mir ein externes Universal Netzteil von Mean Well bestellt und werde Bestellungen, bei denen ein Artikel aus mehreren Teilen besteht (z.B. NAS, Mainboards, Notebooks usw.) künftig bei einem anderen Händler beziehen.

Post to Twitter Post to Facebook Send Gmail

IronKey D250 USB Memory Stick

Thursday, 14. August 2014 at 22:21 Uhr

Heute bekam ich endlich den IronKey D250 USB Memory Stick, den ich mir bei ganec-shop.de in Deutschland bestellt hatte.

Der IronKey D250 besitzt eine AES 256-Bit Hardware Verschlüsselung, einen Selbstzerstörungsmechanismus(!), ist sehr robust und zudem Wasserdicht.

Merkmale

    – AES 256-Bit Hardware Verschlüsselung
    – Manipulationsversuche am USB Stick werden erkannt
    – solides Metallgehäuse; elektronisch abgeschirmt
    – virtuelle Tastatur zuschaltbar (nur Windows), verhindert das Auslesen der Tastatureingabe über einen Keylogger
    – Selbstzerstörungsmodus / Resetmodus
    – USB 2.0 Schnittstelle
    – Keine zusätzliche Software oder Treiber notwendig
    – Kompatibel mit Windows, Mac und Linux
    – Zertifiziert nach FIPS 140-2 Level 3 (NATO Zulassung)
    – Wasserdicht gemäss MIL-STD-810F
    – Grösse: 75 mm x 19 mm x 9 mm (LxBxH)
    – Gewicht: 25 Gramm

IMN_IK_Device_Black_Front_v6

Diesen Stick brauche ich für den täglichen Gebrauch meiner Passwortdateien, die ich immer bei mir trage. Bis anhin habe ich die Passwörter auf einem normalen USB-Stick transportiert, zwar mit KeePass verschlüsselt aber ein ungutes Gefühl hatte ich deswegen stets, denn wäre mir der USB-Stick abhanden gekommen, die Passwortdatei hätte man von dem USB-Stick kopieren und den Versuch starten können, diese mittels Brute-Force zu knacken. Dieses Szenario ist zugegeben eher unwahrscheinlich und möglicherweise haben die über 20 Jahren IT Erfahrung etwas mit meiner Paranoia zu tun.

Den IronKey D250 gibt es in drei Ausführungen: Basic, Personal und Enterprise:
Quelle: ironkey.com
ironkey_comparsion_sheet

Ich habe mich bei dem IronKey D250 für die “Basic” Variante mit 2 GB Speicher für 85 Euro (CHF 105.-) entschieden. Diese Speichergrösse reicht mir für die Passwortdateien aus und auch der langsamere MLC-Flashspeicher genügt meinen Anforderungen. Mit Porto und Zoll wurde mir schlussendlich 120 Franken in Rechnung gestellt. Die Bestellung lief problemlos, der IronKey wurde noch am selben Tag per DHL versendet. Die Lieferung dauerte aber ganze 8 Tage, das Paket lag gemäss DHL Tracking 4 Tage beim Zoll herum.
Als ich das Paket in Empfang nahm und es öffnete, bot sich mir dieses Bild:

ironkey_d250_package

Das Bild wurde nicht arrangiert, die Verpackung war wirklich aufgerissen und der IronKey klapperte in der Box umher!
Ein kurze Rückfrage bei der schweizerischen Postverzollung ergab, dass die Verpackung durch den deutschen Zoll geöffnet wurde. Mein Fall sei leider kein Einzelfall, man höre immer wieder von Kunden, die sich über beschädigte Ware beschweren. Offensichtlich werden Pakete mit Speichereinheiten genauer unter die Lupe genommen. Welcher Troll hier aber konkret seine Klauen im Spiel hatte, lässt sich vermutlich nicht mehr eruieren.

Bei der ersten Benutzung des IronKey Sticks wird ein Setup durchgeführt, welches direkt vom Stick ausgeführt wird, denn der IronKey benötigt keine Treiber oder zusätzliche Software Installation auf dem Rechner.

Sprachauswahl
1

Wahl des Passwortes
Es versteht sich von selbst, dass hier ein komplexes Passwort gewählt werden soll.
2

Selbstzerstörung oder Reset
Hier sollte man sich gaaaaanz sicher sein, ob man den Selbstzerstörungsmechanismus aktivieren möchte. Selbstzerstörung bedeutet, dass der IronKey sich nach 10 erfolglosen Passwort Eingaben selbst zerstört – unwiderruflich. Der IronKey kann danach bestenfalls noch als Schmuckstück verwendet werden 🙂
Die Reset Funktion hingegen löscht nach 10 erfolglosen Passwort Eingaben alle Daten auf dem Stick. Der Stick kann aber danach weiter verwendet werden. Diese Option lässt sich übrigens nachträglich auch wieder ändern.
3

Initialisierung
Nun wird der IronKey für den ersten Einsatz vorbereitet. Dieser Vorgang dauerte nur ein paar Sekunden.
4

Nach der Initialisierung wird das Kontrollfeld aufgerufen. Das Handbuch liegt als PDF in englischer Sprache bei. Über die Backup Funktion lässt sich der Inhalt des IronKeys sichern. Die Backup Dateien werden aber nicht verschlüsselt abgelegt, so wie der Begriff “Sicheres Backup” suggeriert.
5

Tools
Unter Tools lässt sich der IronKey neu formatieren und bei Bedarf die mitgelieferten Anwendungen wieder herstellen. Letzteres ist auch der Grund dafür, warum nur 1.4 GB statt 2 GB Speicher auf dem Stick benutzbar sind.
6

Kennwort
Hier lässt sich das Kennwort ändern und den Selbstzerstörung / Reset-Modus wechseln. Durch den dunklen Hintergrund lässt sich nur schwer erkennen, ob die Checkbox angewählt wurde. In diesem Fall ist der Reset Modus aktiviert.
7

Voreinstellung
Hier lässt sich einen Text, wie z.B. die eigene Adresse hinterlegen, die dann in der Entsperren-Maske angezeigt wird. Sollte der IronKey mal verloren gehen, kann der Finder den Besitzer so ausfindig machen.
8

Geräte-Info
Model, Software-/Firmware-Version und Seriennummer.
10
Die installierte Software- und Firmware-Version ist fast zwei Jahre alt. Auf der IronKey Support Webseite habe ich mir das Update 3.4.3.0 vom 13. März 2014 besorgt.

Entsperr-Maske
Diese Maske erscheint immer wenn der IronKey an einen USB angeschlossen wird. Praktisch ist die Möglichkeit, die Daten nur im Lesen Modus zu öffnen.
9

Virtuelle Tastatur
Die virtuelle Tastatur funktionierte bei mir nicht, denn es fehlte das Icon in der Entsperr-Maske und auch die Tastenkombination CTRL + ALT + V hatte keinen Effekt. Als ich die Sprache auf Englisch umgestellte, erschien das Icon im Passwortfeld und die virtuelle Tastatur liess sich aufrufen. Warum hier die Oberfläche nicht konsequent angepasst wurde kann ich nicht nachvollziehen.
11

12

Die virtuelle Tastatur kann verwendet werden, um das Abgreifen von Passwörtern über eine normalen Tastatur durch einen Keylogger, zu verhindern.

If you are unlocking your device on an unfamiliar computer and are concerned about keylogging and screenlogging spyware, use the IronKey Virtual Keyboard. It helps protects your device password by letting you click out letters and numbers. The underlying techniques in the Virtual Keyboard will bypass many trojans, keyloggers, and screenloggers.

Sowohl die virtuelle Tastatur auch die Datenverschlüsselung des Sticks verhindern natürlich kein Abgreifen der Daten auf dem IronKey durch Schadsoftware, wenn dieser mal im Betriebssystem eingebunden wurde.

Nun baumelt der IronKey an meinem Schlüsselanhänger, bereit für die Einsätze die noch kommen mögen. Der Gefahrenlevel auf meiner Paranoia-Skala hat sich jedenfalls wieder in den grünen Bereich eingependelt.

ironkey_big

Post to Twitter Post to Facebook Send Gmail

Subdomain Weiterleitung mit mod_rewrite

Monday, 26. May 2014 at 17:17 Uhr

Gestern wurde ich von Maik per E-Mail angefragt, wie ich denn die Umleitung von
http://www.danielschurter.net/mainsite/gastebuch/
nach
http://blog.danielschurter.net/gastebuch/
umgesetzt habe, denn er möchte für seine Homepage auch so etwas ähnliches realisieren.

Das Ganze ist recht einfach umzusetzen und benötigt nur ein paar Zeilen Code.
Solche “Kunststücke” sind nötig, wenn die Webseite nach Jahren umstrukturiert wird, aber die Links in den Suchmaschinen weiterhin funktionieren sollen, d.h nicht ins leere laufen dürfen.

In den folgenden Beispiel wird der Aufruf:
http://www.domain.tld/subfolder/index.html

umgeleitet nach:
http://blog.domain.tld/index.html
und das Verzeichnis /subfolder wird aus der URL entfernt.

1) Zuerst muss abgeklärt werden, ob der Provider die Ausführung von mod_rewrite in eigenen .htaccess auf dem Apache Webserver zulässt. Dies sollte heute eigentlich bei jedem Provider Standard sein.

2) Nun erstellt man eine Subdomain über sein Konfigurationstool (z.B. Plesk, Confixx). Die Subdomain wäre in diesem Fall blog, welche dann vor dem Domainname erscheint: blog.domain.tld

3) Nun wird überprüft, ob in dem Root Verzeichnis des Webservers ein Verzeichnis blog erstellt wurde (oder wo auch immer das Konfigurationstool es standardmässig erstellt)

4) Im Root Verzeichnis des Webservers wird eine leere .htaccess Datei erstellt und den folgenden Code hinein kopiert. (domain.tld musst natürlich an die eigene Domain angepasst werden)

RewriteEngine on
RewriteCond %{HTTP_HOST} ^domain\.tld$ [OR]
RewriteCond %{HTTP_HOST} ^www\.domain\.tld$
RewriteRule ^(.*)$ "http\:\/\/blog\.domain\.tld\/$1" [R=301,L]

Zuerst wird mittels RewriteEngine on die Apache mod_rewrite Funktion aktiviert.

Danach wird die URL (%{HTTP_HOST}) gegen domain.tld überprüft. Dabei ist es egal, ob ein www. davor steht oder nicht, dies mach der Zusatz [OR] aus. Das Ganze ist eine Condition, also eine Bedingung, bevor die Regel (RewriteRule) zum Zuge kommt.

Ist die Bedingung erfüllt, so wird die URL nach http://blog.domain.tld umgebogen. Die Variable $1 macht nichts anderes, als alles was hinter der Domain noch kommt, brav mit zugegeben, also z.B. index.html. Mit [R=301] wird der Umleitungstyp beschrieben, in diesem Fall “Permanent” und mit dem Flag [L] wird die Ausführung beendet und keine weiteren Bedingungen mehr geprüft. Dies ist in unserem Fall eigentlich nicht nötig, da ja keine weitere Conditions mehr folgen.

5) Nun wird in das Verzeichnis blog gewechselt, dort wird wieder eine neue .htaccess Datei erstellt und der folgende Code hinein kopiert:

RewriteRule ^subfolder/(.*)$ /$1 [R=301,L]

Diese Regel sucht in der URL nach subfolder/ und ersetzt diesen durch / und belässt mittels der Variable $1 alles was danach kommt in der URL. Auch hier wird mit [R=301,L] den Umleitungstyp auf “Permanent” gesetzt und das Regelwerk am Ende gestoppt.

Viel Spass 🙂

Quellen:
http://httpd.apache.org/docs/2.2/mod/mod_rewrite.html
http://httpd.apache.org/docs/2.2/rewrite/flags.html

Post to Twitter Post to Facebook Send Gmail

Link des Tages – melonJS

Monday, 17. February 2014 at 17:58 Uhr

melonJS – A lightweight HTML5 game engine

melonJS is the result of our enthusiasm and past experiments with Javascript, and came from the feeling that no simple, free and standalone library was available to develop games.

How to create a game? Check the Toturial!

melonJS games and demos.

Download current release!

Post to Twitter Post to Facebook Send Gmail

Bild des Tages – Google Dashboard: Services down

Friday, 24. January 2014 at 22:31 Uhr

So etwas sieht man bei Google auch nicht alle Tage.
google_down_20140124

Post to Twitter Post to Facebook Send Gmail

Wort des Tages – Clusterfuck

Thursday, 11. July 2013 at 12:58 Uhr

Quelle: Golem.de
Aus aktuellem Anlass

Es gibt im Englischen einen Begriff, der sich nur schwer ins Deutsche übersetzen lässt: Clusterfuck. Gemeint ist eine Situation, die aufgrund des Unvermögens der Beteiligten und unglücklicher Umstände eskaliert. Ein nun publik gewordener Vorfall in der Economic Development Administration (EDA), einer Abteilung des US-Handelsministeriums, dürfte als Paradebeispiel in die Geschichte der Clusterfucks eingehen.

Obwohl im Laufe der vielen Untersuchungen herauskam, dass nur zwei Rechner im Netzwerk der EDA von dem Virus betroffen waren, entschied sich die Behördenleitung, sicherheitshalber Computer, Drucker, Kameras, Computermäuse sowie Tastaturen zu zerstören. Und Fernseher. Gesamtwert der verschrotteten Geräte: 170.000 US-Dollar. Gesamtkosten für den Einsatz der verschiedenen Sicherheitsspezialisten und die zwischenzeitlich eingesetzten Ersatzgeräte: 2.747.000 Dollar.
[…]
Und so ordnete das Management die prophylaktische Zerstörung der Hardware an. Warum man auch Computermäuse, Tastaturen und sogar Fernseher verschrotten ließ, geht aus dem Bericht nicht hervor. Wohl aber die Tatsache, dass der Wahnsinn erst beendet wurde, als der Behörde das Geld ausging.

Post to Twitter Post to Facebook Send Gmail

KeePass mit OTP über YubiKey betreiben

Friday, 29. June 2012 at 0:32 Uhr

“Was haben LinkedIn, eHarmony und Last.fm gemeinsam?”

So oder ähnlich könnte ein Witz über die drei Webplattformen beginnen, würde die Pointe nicht ein leeres Schlücken bei dem Zuhörer auslösen.

Um was geht es überhaupt? Den drei genannten Unternehmen wurden im grossen Umfang Passwörter Kunden entwendet, eine Tragödie für jedes Unternehmen und deren PR Abteilung. Was ich bei eHarmony und LinkedIn noch mit einem müden Lächeln quittierte, hat mich bei Last.fm schlagartig aufgeweckt – “Da habe ich ich doch auch einen Account!”. Warum ich aber keine E-Mail mit der Aufforderung zum Passwortwechsel von Last.fm erhielt, kann ich nicht verstehen. Wenn ich solche Dinge erst über die Medien erfahren muss, dann müssen nachher wieder die Jungs von der PR-Abteilung den Schaden begrenzen.

Das Passwörter in der Regel als Hash vorliegen ist normal, dies war bei den “verloren” gegangenen Passwörtern auch der Fall. Leider verwenden immer noch viele Firmen die inzwischen nicht mehr sichere MD5 Hashfunktion und was der Tragik noch eines daraufsetzt: Die Hashes sind häufig nicht mal “gesalzen” (Salt), also ohne zusätzliches Einfügen von einer unbekannten Anzahl Zeichen, was der Angriff über ein Wörterbuch oder einer Rainbow-Table zu einem Kinderspiel macht. Wer jetzt glaubt, Kennwörter werden immer als Hashes – mit oder ohne Salt – bei den Unternehmen gespeichert, muss ich enttäuschen. Ein wirklich trauriges Beispiel ist die Firma MobiWee!, welche die Passwörter im Klartext(!) in der Datenbank speichert. Dies lässt sich leicht auf der Homepage über den Link “Forgot your Password?” überprüfen, über diesen MobiWee! einem das ursprüngliche Passwort per E-Mail zusendet – Gruselig! In solchen Fällen hilft auch die Wahl eines noch so starken Passwortes nicht viel und wie wir alle wissen, sollten nur starke Passwörter eingesetzt werden und zwar für jeden Dienst ein anderes. Ach ja, merken sollte man sich die unterschiedlichen Passwörter auch noch können, denn aufschreiben ist hässlich.
Wer benutzt immer die gleichen 3-5 Passwörter im Internet? Es dürften die Mehrheit der Personen sein, kein Wunder bei der Fülle der Dienste, bei denen man heutzutage angemeldet ist.

Als ich meine Liste mit den Diensten, bei denen ich angemeldet bin hervor kramte, zählte ich 91 Eintragungen!
Nach dem Ereignis mit Last.fm wollte ich das Problem endlich mal bei den Wurzeln anpacken, zu lange habe ich mich davor gescheut für jeden einzelnen Dienst ein eigenes Passwort zu verwenden. Einerseits weil ich heute schon recht starke Passwörter verwende, andererseits weil ich die wenigen Passwörter sortiert nach Zugänge wie Foren, Newsletter, Webshops, E-Mail Accounts usw. benutze, was bei einer Kompromittierung eines Passwortes den Schaden eingrenzt. Der aber wichtigste Grund dafür, warum ich bis anhin keine “unique” Passwörter für jeden Dienst verwendete, war schlicht und einfach Faulheit!

Es gibt verschiedene Lösungen um Passwörter zu erstellen die relativ sicher sind und diese vor unbefugtem Zugriff zu schützen.

Passwortkarten

Bei Passwortkarten werden unterschiedliche Zahlen, Buchstaben und Sonderzeichen in einer Matrix dargestellt, die durch eine bestimmte Leserichtung – die nur dem Inhaber der Passwortkarte bekannt sein sollte – das Passwort ergibt. Solche Passwortkarten können z.B. hier erstellt und ausgedruckt werden.

Bild: Passwordkarte

Wie ein Passwort lautet bestimmt der Inhaber selber, merken muss er sich lediglich den Startwert, die Leserichtung und die Anzahl Felder welche das Passwort ergeben soll. So könnte ein Passwort aussehen, welches bei C1 anfängt und fünf Felder lang ist: M-geZi8iP0

Passwortkarten mögen auf den ersten Blick scheinbar die Lösung sein, um das Problem, sich viele Passwörter zu merken, organisieren zu können. Aber wer kann sich schon 30 oder 50 Startwerte, Leserichtungen und Anzahl Felder merken? Zudem: Wenn die Passwortkarte abhanden kommt, besteht das Risiko, dass mittels Brute-Force Methode, und Kombinatorik Passwörter herausgefunden werden können, da alle Informationen die ein Passwort ausmacht auf der Passwortkarte vorhanden sind. Eine Variante welche etwas mehr Sicherheit verspricht ist die Kombination der Passwortkarte mit einem Passwort, das sich nicht auf der Passwortkarte finden lässt und nur dem Inhaber bekannt ist. Dennoch kommt für mich diese Variante nicht in Frage.

LastPass – Passwort Manager

Bei LastPass kann der Benutzer seine Passwörter online abspeichern. Dabei braucht man nur noch ein Passwort um an seine Passwörter zu gelangen – das LastPass Passwort. LastPass ist für verschiedene Betriebssysteme wie Windows, Mac, Linux, aber auch für Android oder das iPhone, verfügbar. LastPass lässt sich daher auch unterwegs benutzen, was eine grosse Stärke dieser Lösung ist.

Bild: LastPass

Wie das Sprichwort so schön sagt: “Vertrauen ist gut, Kontrolle ist besser”, bei LastPass fehlt letzteres. Natürlich verspricht LastPass die Passwörter sicher, verschlüsselt und geschützt vor Fremdzugriff zu lagern. Überprüfen lässt sich dies nicht und da die Firma LastPass in den USA registriert ist, gilt amerikanisches Recht, auch für die Passwörter, die irgendwo in der Welt auf einem Server liegen können. Ob LastPass genug vertrauenswürdig ist um ihr die Verantwortung der eigenen Passwörter zu übertragen, muss jeder selbst entscheiden. Für mich kommt diese Lösung auf jeden Fall nicht in Frage.

KeePass – Passwort Manager

KeePass ist ein Open Source Passwort Manager für das Betriebssystem Windows, zudem gibt es Ports für Linux, Mac, Android, iPhone und BlackBerry.

Bild: KeePass

Da KeePass für den mobilen Gebrauch ausgelegt wurde, lässt sich dieses Programm auch ohne Installation betreiben, einfach die KeePass Daten auf den UBS Stick kopieren, fertig. KeePass gibt es als Version 1.x und 2.x. Während Version 1.x sich ohne das Microsoft .NET Framework begnügt, ist dies in der Version 2.x Pflicht, was aber heute auf jeden Windows Rechner installiert sein sollte. Die Version für Linux und Mac brauchen zudem noch Mono.

Was mir gleich sehr gefallen hat, war die Möglichkeit KeePass mittels One-Time-Password (OTP) betriben zu können. Das Plugin OptKeyProv bietet diese Möglichkeit.

Für mich kommt KeePass als Lösung in Frage. Es ist Open Source, lässt sich transportieren und bietet Unterstützung für OTP.

Die grosse Arbeit

An einem regnerischen Tag nahm ich die Aufgabe in Angriff, alle Benutzerdaten in KeePass zu übernehmen und gleichzeitig alle Passwörter zu ändern, ein Arbeit die gut sieben Stunden in Anspruch nahm. Man sollte sich die Zeit nehmen möglichst starke Passwörter auszuwählen. Da die einzelnen Passwörter nicht mehr einprägsam sein müssen, kann bei der Wahl der Passwortlänge und der Zahl der Zeichenklassen aus den Vollen geschöpft werden.

Der Passwort Generator in KeePass hilft bei der Auswahl von starken Passwörtern. Als starkes Passwort gilt, wenn dieses mindestens 8 Zeichen lang ist und folgende Zeichenklassen beinhaltet: Gross- und Kleinbuchstaben, Sonderzeichen und Zahlen. Weitere Informationen zu starken Passwörtern, finden sich hier.

Wie gut ein Passwort ist, lässt sich z.B. bei rumkin.com überprüfen. Bei Password Meter ist es interessant zu sehen, ob die Menge der Zeichenklassen und deren Häufigkeit einem sicheren Passwort genügen. Schlussendlich sieht man hier, wie lange ein handelsüblicher PC voraussichtlich braucht das eingegebene Passwort zu erraten.

Hinweis: Die getesteten Passwörter sollten nachher nicht mehr weiterverwendet werden.

Bild: KeePass Passwort Generator

Die Datenbank von KeePass beinhaltet nun alle Passwörter in verschlüsselter Form und muss nun selbst gegen unerlaubten Zugriff abgesichert werden. Wer hier test123 als Master Passwort nimmt hat schon verloren und hätte sich die Mühe sparen können. Für das Master-Passwort von KeePass sollte man sich ein schwer zu erratenes Passwort aussuchen, ohne es aufschreiben zu müssen.

Eine Möglichkeit wäre die Bildung von Wortgruppen wie: AchWieSchoen, was nicht sehr sicher ist und durch eine Wörterbuch-Attacke relativ schnell geknackt werden kann.

Schwieriger wird es das Passwort zu erraten, wenn gewisse Buchstaben durch Zahlen und Sonderzeichen ersetzt werden, die auf das Ursprungszeichen schliessen lässt. So wird aus einem “S” eine “5” oder ein “O” wird zu einem “0”: 4chW135ch03n
Dieses Passwort ist eigentlich ziemlich stark, aber das Benutzen von Leetspeak ist eine Methode die weit verbreitet ist und auch viele Wörterbuch-Attacken können solche Passwörter erraten.

Dennoch sollte man sich nicht davon abschrecken lassen Wortgruppen mit Zahlen und Sonderzeichen zu benutzen und intelligent zu kombinieren. Fünf zusätzliche Zeichen machen dieses Passwort schon sehr sicher: [4chW13-*-$ch03n]

Ich habe mich entschieden KeePass in Verbindung mit einem One-Time-Password (OTP) zu benutzen. Neben einem starken Passwort, muss zusätzlich noch ein OTP eingegeben werden, sonst bekommt man keinen Zugriff auf die Datenbank. Um OTP benutzen zu können gibt es spezielle USB OTP-Keys die am Computer wie Tastaturen funktionieren. OTP-Keys besitzen einen oder mehrere Buttons um gespeicherte Daten mittels Knopfdruck auszulösen. Mittels Konfigurationssoftware lassen sich die OTP-Keys konfigurieren. Ich habe mich für den YubiKey der Firma Yubico entschieden und gleich zwei YubiKey’s für 50 Dollar bestellt.
Obwohl auf der Webseite eine Lieferfrist von 7 – 14 Tagen angegeben wurde, hatte ich die beiden YubiKey’s schon nach vier Tagen im Briefkasten! Top Service!

Bild: YubiKey

Um den YubiKey zu konfigurieren gibt es zwei Programme, das Configuration Utility (Link angepasst am 19.06.2015) und das Personalization Tool. Ich habe die Konfiguration mit dem Configuration Utility durchgeführt, welches ich nachfolgend beschreiben werde.

Wir stecken den YubiKey in einen freien USB Anschluss und starten das Configuration Utility Programm.
Beim ersten Start des YubiKeys kann es durchaus einen Moment dauern bis das Betriebssystem den Key erkannt hat.

Bild: Startbildschirm

 

Bild: OATH-HOTP

Hier OATH-HOTP auswählen.

 

Bild: OTP Länge und Startposition

Die OTP Länge sollte man hier auf 8 Stellen setzen was die Sicherheit zusätzlich erhöht. Wichtig ist der Moving factor seed, dieser definiert nämlich ab welcher OTP-Nummer zu zählen begonnen wird. Hier den Wert Fixed zero auswählen.

 

Bild: Secret Key

Hier wird der Schlüssel definiert mit dem die OTP’s generiert werden. Über den Button Single rand können neue Schlüssel “zufällig” erzeugt werden. Hat man den Button ein paar mal gedrückt muss man den 160bit Schlüssel irgendwo zwischenspeichern, denn diesen brauchen wir später noch für KeePass. Dieser Schlüssel ist sehr wichtig, denn ohne diesen lässt sich die KeePass Datenbank nicht mehr öffnen, sollte irgendwann mal der YubiKey verloren gehen. Am besten schreibt man den Schlüssel auf und verwahrt diesen an einem sicheren(!) Ort.

 

Bild: Output Format Flags

Da YubiKey wie eine Tastatur funktioniert, können verschiedene Tastaturbefehle, wie Tabulator oder Zeilenumbruch mit übergeben werden. Dies ist praktisch, da bei der Eingabe eines OTP’s über mehrere Felder hinweg auf die normale Tastatur verzichtet werden kann. Wir lassen die Einstellungen hier alle leer, denn wir definieren die Tastaturbefehle später in KeePass.

 

Bild: YubiKey schützen

Hier kann der YubiKey gegen das Überschreiben seiner Konfigurationen geschützt werden. Vorläufig lassen wir den YubiKey ungeschützt.

 

Bild: Konfiguration schreiben

YubiKey besitzt zwei Speicherbänke um Bspw. ein Passwort und ein OTP Schlüssel abzuspeichern. Wir nehmen die Konfiguration 1 und betätigen den Run Button.

Hinweis: Um die Konfiguration der beiden Speicherbänke abrufen zu können, drückt man den Gold-Button auf dem YubiKey unterschiedlich lange.

KeePass mit OTP aktivieren

Um OTP in KeePass verwenden zu können, muss erst OptKeyProv heruntergeladen und seinen Inhalt in das Hauptverzeichnis von KeePass entpackt werden.

Wir öffnen nun KeePass und geben das Master Passwort ein.

Bild: Master Key

Danach gehen wir zu File -> Change Master Key und geben unseres Master Passwort ein oder definieren ein neues. Unter Key file / provider wählen wir One-Time Passwords (OATH-HOTP) aus und bestätigen mit OK.

 

Bild: OTP

Die Passwortlänge setzen wir auf 8 Zeichen fest, so wie wir dies im Configuration Utility Tool definiert haben. Unter Secret key kommt der zwischengespeicherte 160bit Schlüssel rein, der Counter ist der Moving factor seed aus dem Configuration Utility Tool, diesen lassen wir auf 0. Bei Number of OTPs required to open the database definieren wir, wie viele OTP’s es braucht um KeePass zu öffnen. In diesem Beispiel müsste sechs mal auf den YubiKey gedrückt werden, damit sich KeePass öffnet.

Den Loock-ahead count muss ich an dieser Stelle kurz erklären. Da der YubiKey und KeePass den identischen Secret Key haben und sich daraus alle nachfolgenden OTP-Nummern mathematisch ergeben, müssen beide synchron laufen. Nun ist es aber möglich den YubiKey auch unabhängig von KeePass zu benutzen, was sich mit einem Texteditor und dreimal auf den YubiKey drücken auch rasch überprüfen lässt. In diesem Fall wäre der YubiKey jetzt schon um drei OTP-Nummern weiter als KeyPass. Der Loock-ahead count ermöglicht es KeyPass einen Versatz zu definieren, um diese “Diskrepanz” auszugleichen. Genauer gesagt: KeePass erkennt anhand der eingegebenen OTP-Nummern wie weit der YubiKey voraus ist und passt die neue Startposition an. An der Reihenfolge der einzugebenden OTP-Nummern ändert sich nichts, diese müssen in jedem Fall immer die korrekte Abfolge besitzen, lediglich die Startposition wird angepasst. Dieser Look-ahead count lässt sich nicht unendlich nach Vorne verschieben und sollte zudem mit einem sinnvollen Wert gesetzt werden, denn je höher der Wert ist, desto grösser ist der mögliche Angriffsvektor. Würde man in diesem Beispiel mit dem YubiKey 13 mal in das Leere ein OTP erzeugen, so könnte KeePass nur noch mit dem – hoffentlich zuvor notierten – Secret Key geöffnet werden.

Wir speichern das Ganze und beenden KeePass.

Nach einem Restart von KeePass lässt sich unter Key File das One-Time Password auswählen.

 

Bild: Login mit OTP

Nun geben wir unser Master Password ein und drücken auf OK.

 

Bild: OPT

Als erstes gehen wir gleich mal in die Options und aktivieren Auto-Accept und Auto-Tab. Damit brauchen wir bei der Eingabe der OTP-Nummer nicht die Tabulator- und Zeilenumbruchtaste zu betätigen.

Nun ist KeePass bereit für das erste OTP Login, viel Spass!

Post to Twitter Post to Facebook Send Gmail

Link des Tages – cheat-sheets.org

Wednesday, 2. May 2012 at 1:52 Uhr

Da braucht man kurz einen Linux Konsolen-Befehl oder ein Java Code Fragment und kennt die Schreibweise oder die verfügbaren Optionen nicht mehr auswendig. Handbücher, eingebaute Hilfen oder Google helfen einem in der Regel schnell und unkompliziert weiter.

Aber wäre es nicht schön all die wichtigsten Daten in kompakter Form verfügbar zu haben?

Unter cheat-sheets.org findet sich ein Sammelsurium der gängigsten Programmiersprachen, Systemen, Frameworks und Methoden als Schnellreferenz in HTML und PDF.

Von ActionScript bis Zen Coding deckt cheat-sheets.org so ziemlich alles im Bereich Kurzreferenz ab. Neben jQuery (die ich persönlich viel praktischer finde als die API Referenz auf der jQuery Webseite), VMware und AWK, gibt es sogar eine Kurzreferenz für World of Warcraft, oder eine Referenz zu MySQL im Posterformat.

Post to Twitter Post to Facebook Send Gmail