K9 Mail ist eine Mailapp mit PGP Verschlüsselung auf Android Geräten. In dieser Anleitung wird erklärt, wie ihr die App einrichten müsst, damit ihr dort auch eure Mails veerschlüsseln könnt. Am besten natürlich mit dem gleichen Schlüssel, mit dem ihr auch eure Mail am PC verschlüsselt. „Mit K9 Mail auf dem Android Gerät Mails verschlüsseln“ weiterlesen
Kategorie: Tools zur Selbstverteidigung
Anleitung zur Mailverschlüsselung mit Enigmail und Thunderbird
Thunderbird ist ein Programm von Mozilla. Das ist die gleiche Organisation, die auch für die Entwicklung von Firefox zuständig ist. Thunderbird ist ein Programm zum senden, empfangen und archivieren von E-Mails. Ihr könnt es hier herunterladen. Um eure Mails verschlüsseln zu können benötigt ihr noch das Programm Enigmail, es ist ein Addon von Thunderbird. „Anleitung zur Mailverschlüsselung mit Enigmail und Thunderbird“ weiterlesen
TAILS – Verschlüsselung für Paranoide und Faule
The Amnesic Incognito Live System, kurz TAILS, ist ein Betriebssystem, das sich komplett von einer DVD oder einem USB-Stick aus starten lässt. Man muss nichts installieren, alles Nötige befindet sich auf dem Stick. Man muss nicht befürchten, irgendetwas auf der Festplatte durcheinander zu bringen, weil TAILS nur auf die DVD oder den Stick zugreift, von dem es gestartet wurde. Deswegen muss man sich auch nicht darum kümmern, ob auf der Festplatte ein Schadprogramm installiert ist. Die Festplatte spielt einfach keine Rolle. „TAILS – Verschlüsselung für Paranoide und Faule“ weiterlesen
Workshop Anonymisierung: Tor und VPN
Das Tor Netzwerk
Das Tor Netzwerk verschleiert die Verbindungsdaten über verschiedene Server. Es bietet aktuell die beste Form der Anonymisierung dar, was wir seit der NSA-Affäre wissen. Der Nachteil ist die geringe Geschwindigkeit. Es ist ebenfalls ein Werkzeug für Menschen in Staaten mit hoher Überwachung, wo Inhalte gefiltert werden uvm. Zusätzlich lässt sich darüber auf hidden services (versteckte Dienste) zugreifen. Das können versteckte Websites sein, die nur über das TOR-Netzwerk zu erreichen sind oder auch Mailserver.
Video zur Erklärung
Video-Link: https://www.youtube.com/watch?v=eoU4BcuFqvk
Software Bundle zum Download
https://www.torproject.org/projects/torbrowser.html
VPN
Durch ein Virtual Private Network (Virtuelles Privates Netzwerk) kann man seine Adresse (IP) ein Stück weit verschleiern. Der Rechner baut eine verschlüsselte Verbindung mit einem Server im Internet auf. Für Websites sieht es dann so aus, als würde man die Verbindung über den VPN Server herstellen. Die VPN- Verschlüsselung findet findet nur bis zum VPN-Server statt. Zugänge sind oftmals beschränkt käuflich zu erwerben.
http://www.zeit.de/digital/datenschutz/2013-01/serie-mein-digitaler-schutzschild-vpn-ipredator
FritzBox VPN
In der Software der Fritzbox lässt sich ein eigener VPN-Server einrichten. Dadurch kann man jederzeit ein sichere Verbindung zu seinem Router zu Hause aufbauen und darüber im Internet surfen. Dies dient weniger der Anonymisierung, als der Absicherung von kritischen Funktionen wie Online-Banking, wenn man von einem unsicheren Netzwerk wie einem Hotel-WLAN aus arbeiten muss.
Veracrypt – Eine Videoanleitung zur Verschlüsselung eurer Daten
Eine kurze Recherche bei Youtube hat diese hilfreiche und ausführliche Anleitung hervorgebracht. „Veracrypt – Eine Videoanleitung zur Verschlüsselung eurer Daten“ weiterlesen
Passwortspeicher
Passwörter
Ein Passwort zu erstellen, ist eine häufige Anforderung im Alltag. Dabei handelt es sich um: Von der Sicherheit der verwendeten Passwörter hängen mittlerweile mehr Dinge unseres persönlichen Lebens ab, als man denkt. Diese Seite ist als Übersicht für Einsteiger gedacht, deswegen lässt sie bewusst an einigen Stellen Details weg oder stellt sie stark vereinfacht dar.
Tipps und Tricks
-
nie für zwei Dienste/Logins das gleiche Passwort verwenden
-
keine Wörter verwenden, die in Wörterbüchern auftauchen (also auch keine Namen von Verwandten oder Haustieren)
-
mindestens 8 Zeichen:
-
Buchstaben in Groß- und Kleinschreibung,
-
Zahlen und
-
Sonderzeichen gemischt
-
- keine auf der Tastatur „geschickt“ liegenden „zufälligen“ Zeichenfolgen (auf Tastaturen mit deutschem Layout bspw.:
qwertz
,hu8ji9ko0
usw.) - beim Eingeben von Passwörtern Sitznachbarn freundlich auffordern, wegzusehen
- an öffentlichen Plätzen Überwachungskameras nicht vergessen
- Passwortgeneratoren verwenden
- die „Zufälligkeit“ des verwendeten Generators entscheidet über die Sicherheit
- im Zweifelsfall mehrere Passwörter generieren und kombinieren oder mit eigenen Einfällen ergänzen
- häufig (öffentlich) eingegebene Passwörter sollten regelmäßig geändert werden
Häufiges Ändern
Es wird oft empfohlen, Mitarbeiter zu zwingen, ihre Passwörter regelmäßig zu ändern. Eine mögliche Folge solch einer Praxis sind aber Passwörter wie „geheim2012“, „geheim2013“ usw.
Wer sollte mein Passwort wissen wollen?
Auch wenn Kriminelle oder Neugierige es nicht immer auf einen selbst abgesehen haben, können E-Mail-Konten oder Accounts bei Sozialen Netzwerken für ihre Zwecke interessant sein. Denkbar ist ein über einen fremden Account verschleierter Angriff auf einen Dritten.
- Identitätsdiebstahl
- Verschleierung von Finanztransaktionen oder verschiedenen Angriffen auf Dritte
So geht es Passwörtern ans Leder
Brute Force („mit roher Gewalt“)
Als sogenannte „Brute Force-Attacke“ bezeichnet man es, wenn schlicht alle in Frage kommenden Passwörter ausprobiert werden. In „Hackerfilmen“ sind dann oft persönliche Kenntnisse über das Opfer gefragt, also beispielsweise der Kosename der Tochter.
In Wirklichkeit – und wenn keine speziellen Kenntnisse zur Verfügung stehen – wird eben ausprobiert, was nahe liegt. Wörterbücher mit mehreren hunderttausend Einträgen sind mit schnellen Desktop-Rechnern innerhalb von Sekunden durchprobiert. In den vergangenen Jahren wurden immer wieder Passwörter bei beliebten Onlinediensten gestohlen, Listen der beliebtesten Passwörter finden sich zuhauf in der Berichterstattung der Medien.
Beispielrechnungen zur Dauer von Brute Force-Angriffen
Wie schnell die Berechnung von 6-Stelligen Passwörtern mit einem schnellen Heim-PC vonstatten geht, hat das Magazin Chip in der Ausgabe 12/2010 beispielhaft überschlagen:
6-stellig | Kombinationen | geknackt in |
---|---|---|
Ziffern | 1000000 | 9,7 Sekunden |
Kleinbuchstaben | 308915776 | 50 Minuten |
Klein- und Großbuchstaben | 19770609664 | 53 Stunden |
Alle ASCII-Zeichen | 6053450000000 | 2 Jahren |
Im Vergleich dazu bieten Passwörter mit 7 Stellen schon einen wesentlich größeren Schutz:
7-stellig | Kombinationen | geknackt in |
---|---|---|
Ziffern | 10000000 | 97 Sekunden |
Kleinbuchstaben | 8031810176 | 22 Stunden |
Klein- und Großbuchstaben | 1028070000000 | 116 Tagen |
Alle ASCII-Zeichen | 817215000000000 | 252 Jahren |
Je nach den finanziellen Möglichkeiten des Angreifers lässt sich also jedes Passwortirgendwann knacken. Ob der Aufwand lohnt, liegt in seinem Ermessen.
Gegenmaßnahme: 3 Versuche
Nach wenigen (meist 3) Versuchen mit dem falschen Passwort wird der Account gesperrt. So wird versucht, Brute Force-Angriffe unmöglich zu machen.
Das selbe Prinzip findet sich auch bei EC- und Handy-SIM-Karten.
Hash-Kollisionen
Bei seriösen Betreibern werden die Passwörter der Nutzer nicht im Klartext gespeichert. Stattdessen wird mit Hilfe sogenannter „Hash“-Funktionen ein eindeutiger Wert berechnet. Versucht sich ein Benutzer mit seinem Passwort einzuloggen, wird dieses „gehasht“ und mit dem gespeicherten Hash verglichen. Stimmen beide überein, erhält er Zugang.
Von den Hash-Werten lässt sich nicht auf das Ursprungswort schließen. Mit entsprechender Zeit und Rechenkraft können aber mittels Brute Force viele Kombinationen durchprobiert werden, bis eine den gleichen Hash-Wert ergibt.
Wird eine Tabelle der gehashten Passwörter von einem Betreiber gestohlen, können Angreifer nun in aller Ruhe probieren, für die Hashes die entsprechenden Passwörter herauszufinden. Die gefundenen Passwörter werden dann gespeichert und häufig im Internet veröffentlicht, sodass künftige Angriffe die schon gefundenen Passwörter auslassen können.
Unter diesen Adressen gibt es weiterführende Informationen zum Thema:
Passwortmanager
Nutzt einen Passwortmanager und legt für jeden Login ein neues Passwort an. Es gibt zwei Passwortmanager, die empfohlen wurden:
(Danke an Sebastian Raible für diesen Text)
Mailverschlüsselung mit Thunderbird
Zu Beginn muss https://www.gpg4win.de/ für Windows installiert werden. Dieses Programm dient dazu den Schlüssel zu erstellen. Mit Thunderbird kannst du auf einem Computer deine Mails empfangen und senden, ähnlich wie Outlook. Warum benutzen wir dann nicht direkt Outlook? – „Mailverschlüsselung mit Thunderbird“ weiterlesen
Mail nicht mit Thunderbird, sondern mit dem Webmailer verschlüsseln
Mit Hilfe einer kleinen Erweiterung für alle gängigen Browser kann man auch mit web.de, gmx.de und Co seine Mail mit einem gpg Schlüssel verschlüsselt verschicken. Das Plugin heißt Mailvelope.
Wir haben auch noch ein Video gefunden, dass euch Schritt für Schritt erklärt, wie man Mailvelope im Browser einrichten kann:
Video-Link: https://www.youtube.com/watch?v=GHYqQmY6aUM
Die Geschichte der Verschlüsselung
Verschlüsselungsverfahren sind grundlegend für Überlegungen zur Sicherheit in der Kommunikation über das Netz. Umfassend historisch erklärt wird das Thema in dem Buch „Geheime Botschaften. Die Kunst der Verschlüsselung“ (link zu amazon).
Empfehlenswert ist auch der Film „Enigma – das Geheimnis„.
Weitere Informationen auch in der Wikipedia.
Wie kann ich das Datenprotokoll bei Google abschalten? (Und nicht nur dort)
Google protokolliert standartmäßig alle Suchanfragen und dazu Bewegungsdaten, die mein Handy per GPS sendet. Das ist zwar ziemlich interessant, fühlt sich aber recht heikel an. Wer das Datenprotokoll löschen möchte und die Protokollierung demnächst verhinden will, kann sich auf der Entsprechenden Google Hilfeseite schlau machen: https://support.google.com/accounts/answer/54068?hl=de
Der WDR hat Anfang 2014 einmal nachgeforscht, was neben Google auch Facebook, Amazon, Twitter usw an Nutzerverhalten mitprotokollieren. Die Webseite zur Sendung findet sich hier: http://www1.wdr.de/fernsehen/ratgeber/servicezeit/sendungen/datenspeicherung112.html