Mit K9 Mail auf dem Android Gerät Mails verschlüsseln

K9 Mail ist eine Mailapp mit PGP Verschlüsselung auf Android Geräten. In dieser Anleitung wird erklärt, wie ihr die App einrichten müsst, damit ihr dort auch eure Mails veerschlüsseln könnt. Am besten natürlich mit dem gleichen Schlüssel, mit dem ihr auch eure Mail am PC verschlüsselt. „Mit K9 Mail auf dem Android Gerät Mails verschlüsseln“ weiterlesen

Anleitung zur Mailverschlüsselung mit Enigmail und Thunderbird

Thunderbird ist ein Programm von Mozilla. Das ist die gleiche Organisation, die auch für die Entwicklung von Firefox zuständig ist. Thunderbird ist ein Programm zum senden, empfangen und archivieren von E-Mails. Ihr könnt es hier herunterladen. Um eure Mails verschlüsseln zu können benötigt ihr noch das Programm Enigmail, es ist ein Addon von Thunderbird.  „Anleitung zur Mailverschlüsselung mit Enigmail und Thunderbird“ weiterlesen

TAILS – Verschlüsselung für Paranoide und Faule

The Amnesic Incognito Live System, kurz TAILS, ist ein Betriebssystem, das sich komplett von einer DVD oder einem USB-Stick aus starten lässt. Man muss nichts installieren, alles Nötige befindet sich auf dem Stick. Man muss nicht befürchten, irgendetwas auf der Festplatte durcheinander zu bringen, weil TAILS nur auf die DVD oder den Stick zugreift, von dem es gestartet wurde. Deswegen muss man sich auch nicht darum kümmern, ob auf der Festplatte ein Schadprogramm installiert ist. Die Festplatte spielt einfach keine Rolle. „TAILS – Verschlüsselung für Paranoide und Faule“ weiterlesen

Workshop Anonymisierung: Tor und VPN

Das Tor Netzwerk

Das Tor Netzwerk verschleiert die Verbindungsdaten über verschiedene Server. Es bietet aktuell die beste Form der Anonymisierung dar, was wir seit der NSA-Affäre wissen. Der Nachteil ist die geringe Geschwindigkeit. Es ist ebenfalls ein Werkzeug für Menschen in Staaten mit hoher Überwachung, wo Inhalte gefiltert werden uvm. Zusätzlich lässt sich darüber auf hidden services (versteckte Dienste) zugreifen. Das können versteckte Websites sein, die nur über das TOR-Netzwerk zu erreichen sind oder auch Mailserver.

Video zur Erklärung

Aktivieren Sie JavaScript um das Video zu sehen.
Video-Link: https://www.youtube.com/watch?v=eoU4BcuFqvk

Software Bundle zum Download

https://www.torproject.org/projects/torbrowser.html

VPN

Durch ein Virtual Private Network (Virtuelles Privates Netzwerk) kann man seine Adresse (IP) ein Stück weit verschleiern. Der Rechner baut eine verschlüsselte Verbindung mit einem Server im Internet auf. Für Websites sieht es dann so aus, als würde man die Verbindung über den VPN Server herstellen. Die VPN- Verschlüsselung findet findet nur bis zum VPN-Server statt. Zugänge sind oftmals beschränkt käuflich zu erwerben.

http://www.zeit.de/digital/datenschutz/2013-01/serie-mein-digitaler-schutzschild-vpn-ipredator

FritzBox VPN

In der Software der Fritzbox lässt sich ein eigener VPN-Server einrichten. Dadurch kann man jederzeit ein sichere Verbindung zu seinem Router zu Hause aufbauen und darüber im Internet surfen. Dies dient weniger der Anonymisierung, als der Absicherung von kritischen Funktionen wie Online-Banking, wenn man von einem unsicheren Netzwerk wie einem Hotel-WLAN aus arbeiten muss.

http://avm.de/nc/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/49_VPN-Verbindung-zur-FRITZ-Box-unter-Windows-einrichten-FRITZ-Fernzugang/

Passwortspeicher

Passwörter

Ein Passwort zu erstellen, ist eine häufige Anforderung im Alltag. Dabei handelt es sich um: Von der Sicherheit der verwendeten Passwörter hängen mittlerweile mehr Dinge unseres persönlichen Lebens ab, als man denkt. Diese Seite ist als Übersicht für Einsteiger gedacht, deswegen lässt sie bewusst an einigen Stellen Details weg oder stellt sie stark vereinfacht dar.

Tipps und Tricks

  • nie für zwei Dienste/Logins das gleiche Passwort verwenden
  • keine Wörter verwenden, die in Wörterbüchern auftauchen (also auch keine Namen von Verwandten oder Haustieren)
  • mindestens 8 Zeichen:
    • Buchstaben in Groß- und Kleinschreibung,
    • Zahlen und
    • Sonderzeichen gemischt
  • keine auf der Tastatur „geschickt“ liegenden „zufälligen“ Zeichenfolgen (auf Tastaturen mit deutschem Layout bspw.: qwertz, hu8ji9ko0 usw.)
  • beim Eingeben von Passwörtern Sitznachbarn freundlich auffordern, wegzusehen
  • an öffentlichen Plätzen Überwachungskameras nicht vergessen
  • Passwortgeneratoren verwenden
    • die „Zufälligkeit“ des verwendeten Generators entscheidet über die Sicherheit
    • im Zweifelsfall mehrere Passwörter generieren und kombinieren oder mit eigenen Einfällen ergänzen
  • häufig (öffentlich) eingegebene Passwörter sollten regelmäßig geändert werden

Häufiges Ändern

Es wird oft empfohlen, Mitarbeiter zu zwingen, ihre Passwörter regelmäßig zu ändern. Eine mögliche Folge solch einer Praxis sind aber Passwörter wie „geheim2012“, „geheim2013“ usw.

Wer sollte mein Passwort wissen wollen?

Auch wenn Kriminelle oder Neugierige es nicht immer auf einen selbst abgesehen haben, können E-Mail-Konten oder Accounts bei Sozialen Netzwerken für ihre Zwecke interessant sein. Denkbar ist ein über einen fremden Account verschleierter Angriff auf einen Dritten.

  • Identitätsdiebstahl
  • Verschleierung von Finanztransaktionen oder verschiedenen Angriffen auf Dritte

So geht es Passwörtern ans Leder

Brute Force („mit roher Gewalt“)

Als sogenannte „Brute Force-Attacke“ bezeichnet man es, wenn schlicht alle in Frage kommenden Passwörter ausprobiert werden. In „Hackerfilmen“ sind dann oft persönliche Kenntnisse über das Opfer gefragt, also beispielsweise der Kosename der Tochter.

In Wirklichkeit – und wenn keine speziellen Kenntnisse zur Verfügung stehen – wird eben ausprobiert, was nahe liegt. Wörterbücher mit mehreren hunderttausend Einträgen sind mit schnellen Desktop-Rechnern innerhalb von Sekunden durchprobiert. In den vergangenen Jahren wurden immer wieder Passwörter bei beliebten Onlinediensten gestohlen, Listen der beliebtesten Passwörter finden sich zuhauf in der Berichterstattung der Medien.

Beispielrechnungen zur Dauer von Brute Force-Angriffen

Wie schnell die Berechnung von 6-Stelligen Passwörtern mit einem schnellen Heim-PC vonstatten geht, hat das Magazin Chip in der Ausgabe 12/2010 beispielhaft überschlagen:

6-stellig Kombinationen geknackt in
Ziffern 1000000 9,7 Sekunden
Kleinbuchstaben 308915776 50 Minuten
Klein- und Großbuchstaben 19770609664 53 Stunden
Alle ASCII-Zeichen 6053450000000 2 Jahren

Im Vergleich dazu bieten Passwörter mit 7 Stellen schon einen wesentlich größeren Schutz:

7-stellig Kombinationen geknackt in
Ziffern 10000000 97 Sekunden
Kleinbuchstaben 8031810176 22 Stunden
Klein- und Großbuchstaben 1028070000000 116 Tagen
Alle ASCII-Zeichen 817215000000000 252 Jahren

Je nach den finanziellen Möglichkeiten des Angreifers lässt sich also jedes Passwortirgendwann knacken. Ob der Aufwand lohnt, liegt in seinem Ermessen.

Gegenmaßnahme: 3 Versuche

Nach wenigen (meist 3) Versuchen mit dem falschen Passwort wird der Account gesperrt. So wird versucht, Brute Force-Angriffe unmöglich zu machen.

Das selbe Prinzip findet sich auch bei EC- und Handy-SIM-Karten.

Hash-Kollisionen

Bei seriösen Betreibern werden die Passwörter der Nutzer nicht im Klartext gespeichert. Stattdessen wird mit Hilfe sogenannter „Hash“-Funktionen ein eindeutiger Wert berechnet. Versucht sich ein Benutzer mit seinem Passwort einzuloggen, wird dieses „gehasht“ und mit dem gespeicherten Hash verglichen. Stimmen beide überein, erhält er Zugang.

Von den Hash-Werten lässt sich nicht auf das Ursprungswort schließen. Mit entsprechender Zeit und Rechenkraft können aber mittels Brute Force viele Kombinationen durchprobiert werden, bis eine den gleichen Hash-Wert ergibt.

Wird eine Tabelle der gehashten Passwörter von einem Betreiber gestohlen, können Angreifer nun in aller Ruhe probieren, für die Hashes die entsprechenden Passwörter herauszufinden. Die gefundenen Passwörter werden dann gespeichert und häufig im Internet veröffentlicht, sodass künftige Angriffe die schon gefundenen Passwörter auslassen können.

Unter diesen Adressen gibt es weiterführende Informationen zum Thema:

Passwortmanager

Nutzt einen Passwortmanager und legt für jeden Login ein neues Passwort an. Es gibt zwei Passwortmanager, die empfohlen wurden:

(Danke an Sebastian Raible für diesen Text)

Mailverschlüsselung mit Thunderbird

Zu Beginn muss https://www.gpg4win.de/ für Windows installiert werden. Dieses Programm dient dazu den Schlüssel zu erstellen. Mit Thunderbird kannst du auf einem Computer deine Mails empfangen und senden, ähnlich wie Outlook. Warum benutzen wir dann nicht direkt Outlook? – „Mailverschlüsselung mit Thunderbird“ weiterlesen

Mail nicht mit Thunderbird, sondern mit dem Webmailer verschlüsseln

Mit Hilfe einer kleinen Erweiterung für alle gängigen Browser kann man auch mit web.de, gmx.de und Co seine Mail mit einem gpg Schlüssel verschlüsselt verschicken. Das Plugin heißt Mailvelope.

Wir haben auch noch ein Video gefunden, dass euch Schritt für Schritt erklärt, wie man Mailvelope im Browser einrichten kann:

Aktivieren Sie JavaScript um das Video zu sehen.
Video-Link: https://www.youtube.com/watch?v=GHYqQmY6aUM

Die Geschichte der Verschlüsselung

Verschlüsselungsverfahren sind grundlegend für Überlegungen zur Sicherheit in der Kommunikation über das Netz. Umfassend historisch erklärt wird das Thema in dem Buch „Geheime Botschaften. Die Kunst der Verschlüsselung“ (link zu amazon).

Empfehlenswert ist auch der Film „Enigma – das Geheimnis„.

Weitere Informationen auch in der Wikipedia.

Wie kann ich das Datenprotokoll bei Google abschalten? (Und nicht nur dort)

Google protokolliert standartmäßig alle Suchanfragen und dazu Bewegungsdaten, die mein Handy per GPS sendet. Das ist zwar ziemlich interessant, fühlt sich aber recht heikel an. Wer das Datenprotokoll löschen möchte und die Protokollierung demnächst verhinden will, kann sich auf der Entsprechenden Google Hilfeseite schlau machen: https://support.google.com/accounts/answer/54068?hl=de

Der WDR hat Anfang 2014 einmal nachgeforscht, was neben Google auch Facebook, Amazon, Twitter usw an Nutzerverhalten mitprotokollieren. Die Webseite zur Sendung findet sich hier: http://www1.wdr.de/fernsehen/ratgeber/servicezeit/sendungen/datenspeicherung112.html