datacube

Ein Schkreckl zwischendurch

Geschrieben von Ian am Samstag, 6. Januar 2024

SPArEPART: Auto-Off-Funktion bei Epson-Projektoren nachrüsten

Geschrieben von Ian am Freitag, 17. November 2023

tl;dr: siehe Titel; Technik hier

Lizenzhinweis: Alle Inhalte des SPArEPART-Projekts (Arduino-Quellcode und Fritzing-Sketch für die PCBs) stehen unter der GNU General Public License Version 3.

Anfang dieses Monats hat unsere Schule endlich neue Projektoren (vulgo: Beamer) bekommen. Es war auch höchste Zeit, da die alten Geräte, die die neuen nun ersetzen, bis dato 10 Jahre auf dem Buckel hatten. Während einige dieser Geräte noch annehmbare Bilder produzierten, waren die meisten inzwischen so lichtschwach, dass man die Bildinhalte nur noch unter besten Bedingungen (Raum abgedunkelt, kontrastreiches Motiv) ausmachen konnte. In vielen Räumen war multimedialer Unterricht somit nicht mehr möglich.

Neben dem Alter der Geräte war einer der Hauptgründe für die schlechte Bildqualität der alten Projektoren die falsche Bedienung: Da eine der Bildquellen des Projektors eine Dokumentenkamera ist, die permanent ein Bild liefert, schalten sich diese Geräte nicht aufgrund von Inaktivität ab—denn von einer Quelle ist ja immer ein Bild da. Dies bedeutet, dass ein Projektor, der angeschaltet und dann vergessen wurde, so lange weiter läuft, bis man ihn bemerkt und ausschaltet. Dieses Schuljahr dauern die Osterferien 3 Wochen; das sind also über 500 Stunden, die ein solcher Projektor sinnloserweise über die Ferien läuft, wenn er vergessen wird; die Lebensdauer des Leuchtmittels bewegt sich in der Größenordnung von 3.000 Stunden insgesamt. Tatsächlich ist es nicht (nur) die Lampe, die Schaden nimmt—diese wäre ja austauschbar. Der komplette Projektor nimmt solchen Schaden dadurch, dass auch ein Austausch der Lampen nichts mehr hilft.

Um dieses Problem—das auch bei Fernsehern, insbesondere OLED-Modellen, auftritt—zu lindern, verfügen die meisten dieser Geräte über eine automatische Abschaltfunktion ("Auto Off"), die den Nutzer nach einiger Zeit (normalerweise 1-4 Stunden) auffordert, eine Taste an der Fernbedienung zu drücken und ansonsten das Gerät ausschaltet. An unseren alten Projektoren war eine solche Funktion vorhanden ("Abschalt-Timer"), aber leider nicht aktiviert.

Unsere neuen Geräte vom Typ Epson EB-695Wi besitzen eine solche Funktion nicht.

Damit sollte die Sache eigentlich beendet sein: Solche Geräte sind zur Verwendung grundsätzlich ungeeignet, vor allem aber dort, wo die Anzahl der Benutzer sehr groß wird (also in Schulen) und gerne "Streiche" gespielt werden (also in Schulen). Ob ein Gerät für die Verwendung im Schulbetrieb geeignet ist, steht als Kriterium bei der Beschaffung leider weit hinten (gefolgt nur von: wird das Gerät nach der Anschaffung überhaupt genutzt und wie gerne).

Folglich haben wir nun einen Satz von über 70 Projektoren, die alle Gefahr laufen, nach den nächsten Ferien den Geist aufzugeben—eigentlich sollen sie mindestens 8 Jahre halten. Wie es aber—nicht nur im Schulsystem—häufig so läuft, muss man um die Mängel des Gerätes irgendwie herumarbeiten. Solche "Workarounds" fallen mal mehr, mal weniger elegant aus. Ich halte diesen für mittelelegant.

Serial Port Arduino Epson Projector Attitude Readjustment Tool (SPArEPART)

Die Projektoren besitzen zwar keine "Auto Off"-Funktion, dafür aber eine funktionsfähige und recht gut dokumentierte serielle Schnittstelle (RS-232). Über diese kann der Projektor teilweise gesteuert werden—es ist so auch möglich, den Projektor ein- und auszuschalten. Der Plan ist klar: Wir bauen ein Gerät, das dem Beamer alle drei Stunden das Signal zum Ausschalten sendet. Offensichtlich wird ein Arduino benötigt. Da keine absolute Zeit ("jeden Tag um 18 Uhr"), sondern nur eine relative Zeit ("alle 3 Stunden") verwendet wird, wird kein RTC-Modul benötigt. Serielle Verbindungen gehören für Arduinos zum Tagesgeschäft, aber leider verwendet RS-232 anscheinend 12-Volt-Pegel; der Arduino sendet und empfängt mit 3,3 oder 5 Volt. Es wird also ein Konverter wie der MAX3232 benötigt. Auf vielen Wandler-Modulen, auf denen der MAX3232 verbaut ist, ist auch direkt eine serielle Buchse (weiblich) aufgelötet. Schließlich soll der Projektor nicht ohne Vorwarnung ausgeschaltet werden: Über einen Piezo-Summer soll ein Ton ausgegeben werden, bevor der Projektor ausgeschaltet wird. Noch besser wäre es natürlich, den Projektor "stumm" zu schalten—es gibt eine Option, aus dem sogenannten "A/V Mute"-Modus den Projektor nach einer kurzen Zeit auszuschalten. Der "A/V Mute"-Modus hat aber den Vorteil, dass er durch Tastendruck sofort deaktiviert werden kann, während nach dem Ausschalten eine kurze Zeit gewartet werden muss, bis der Projektor wieder angeschaltet werden kann. In Version 2 soll noch ein Klatschsensor eingebaut werden: Kurz vor dem Ausschalten spielt das Gerät die Tonfolge Shave and a Haircut; antwortet der Benutzer durch zweifaches Klatschen ("Two Bits!"), wird der Timer zurückgesetzt.

Teileliste:

Arduino-kompatibles Board, möglichst klein (z.B. Arduino Nano)
RS232-Modul mit MAX3232
Passiver Piezo-Summer
optional (V2): Klatschsensor-Modul
SPArEPART-PCB (siehe hier) oder Lochrasterplatine
100nF-Keramikkondensator, just because

Bilder:

Code:

#include <SoftwareSerial.h>
#include "pitches.h"

const byte rxPin = 3;
const byte txPin = 2;
// there is almost a 50-50 chance the RX and TX pins are reversed
// you may have to try both configurations
const byte tonePin = 12;
unsigned long lastReset;
const int noLegato = 100;

SoftwareSerial ProjSer(rxPin, txPin);

void setup() {
  ProjSer.begin(9600);
  lastReset = millis();
  pinMode(tonePin, OUTPUT);
}

void loop() {
  if (lastReset + 1000UL * 60 * 60 * 3 < millis()) {
    play_shave_and_a_haircut(tonePin, 70);
    delay(30 * 1000);
    ProjSer.println("MUTE ON");
    delay(100);
    ProjSer.println("MUTE ON");
    delay(100);
    ProjSer.println("MUTE ON");
    lastReset = millis();
  }
  delay(1000);
}

void play_shave_and_a_haircut(const byte tonePin, const int toneLength) {
  tone(tonePin, NOTE_G5, toneLength * 2);
  delay(toneLength * 2);
  noTone(tonePin);
  delay(noLegato);
  tone(tonePin, NOTE_D5, toneLength);
  delay(toneLength);
  noTone(tonePin);
  delay(noLegato);
  tone(tonePin, NOTE_D5, toneLength);
  delay(toneLength);
  noTone(tonePin);
  delay(noLegato);
  tone(tonePin, NOTE_E5, toneLength * 2);
  delay(toneLength * 2);
  noTone(tonePin);
  delay(noLegato);
  tone(tonePin, NOTE_D5, toneLength * 2);
  delay(toneLength * 2);
  noTone(tonePin);
  delay(noLegato);
}

Skizze (Fritzing):

Bilder von den PCBs:

fertig zusammengebauter SPArEPART mit PCB — fertig zusammengebaut

Den Fritzing-Sketch, mit dem die PCBs erstellt wurden, gibt es hier: SPArEPART_pcb.fzz

Vielen Dank an AISLER, die die PCBs sehr schnell hergestellt haben!

Und das funktioniert?

Erstaunlicherweise ja, und es passt auch gerade so in die Anschlussöffnung am Projektor! Jetzt gilt es nur noch, 70 davon herzustellen und an allen Projektoren der Schule zu installieren. Hm, vielleicht hat ja der Informatik-Kurs Zeit...

How to extract the TOTP secret from your Steam Authenticator, late 2023 Edition

Geschrieben von Ian am Sonntag, 5. November 2023

It appears to be no longer possible to log in using an old version (2.x) of the Steam app, so this method no longer works.

However, not all hope is lost: There is another method that works with the current vanilla Steam app from the Play Store and has the added benefit that it does not require you to remove your old Steam Guard anymore. It does, however, involve the terminal and running Frida on both your computer and your phone. You still need root access—yes, there are ways to do it without root, but again, iffy.

Here, again, is how to do it, step by step (original instructions from here):

Have the Steam app configured as a Steam Guard.
Connect your phone to your computer via USB and make sure you have USB debugging enabled. You can test this by connecting your phone to your computer and running adb devices. If this is your first time doing this, your phone will likely ask you to authorize your computer for debugging. adb devices should print something like 0d5e3a4d6b3e3e2f device.
Install the frida Python module on your computer (possibly using pip install frida).
Download the frida-server binary (you will have to click on "Show all ... assets") for your phone's architecture (this depends on your phone; you'll most likely need either arm or arm64), unpack it and push the server binary onto your device:
```
adb push frida-server /data/local/tmp/
adb shell
```
Within the adb shell, then make the binary executable and run it as root:
```
adb-shell$ su
adb-shell# cd /data/local/tmp/
adb-shell# chmod 755 frida-server
adb-shell# frida-server
```

On your computer, run this script (by MuelNova):

import json
import frida
import sys

package = "com.valvesoftware.android.steam.community"
cmd = """
'use strict;'

if (Java.available) {
  Java.perform(function() {

    //Cipher stuff
    const Cipher = Java.use('javax.crypto.Cipher');

    Cipher.doFinal.overload('[B').implementation = function (input) {
        var result = this.doFinal.overload('[B').call(this, input);
        send(result);
    }

  }
)}
"""


def parse_hook(cmd_):
    print('[*] Parsing hook...')
    script = session.create_script(cmd_)
    script.on('message', on_message)
    script.load()


def on_message(message, _):
    try:
        if message:
            if message['type'] == 'send':
                result = "".join(chr(i) for i in message['payload'])
                print(json.dumps(json.loads(result), indent=2, ensure_ascii=False))
    except Exception as e:
        print(e)


if __name__ == '__main__':
    try:
        print('[*] Spawning ' + package)
        pid = frida.get_usb_device().spawn(package)
        session = frida.get_usb_device().attach(pid)
        parse_hook(cmd)
        frida.get_usb_device().resume(pid)
        print('')
        sys.stdin.read()

    except KeyboardInterrupt:
        sys.exit(0)
    except Exception as e:
        print(e)

This should cause the Steam app on your phone to start, debugger (frida) attached.

At this point, your Steam credentials should be printed on the adb shell:

{
  "accounts": {
    "YOUR_STEAM_ID" {
      "shared_secret": "BASE_64_ENCODED_SHARED_SECRET",
      "identity_secret": "***IRRELEVANT***",
      "secret_1": "***IRRELEVANT***",
      "serial_number": "***IRRELEVANT***",
      "revocation_code": "RYOUR_REVOCATION_CODE",
      "account_name": "YOUR_ACCOUNT_NAME",
      "token_gid": "***IRRELEVANT***",
      "steamguard_scheme": 2,
      "steamid": "YOUR_STEAM_ID"
    }
  }
}

However, your authenticator app probably wants a base32 encoded secret, so you will need to run it through:

echo [BASE_64_ENCODED_SHARED_SECRET] | base64 -d | base32

In your TOTP generator, add an account with the following parameters:

Issuer: Steam
Account name: [YOUR_ACCOUNT_NAME]
Secret key: [BASE32_ENCODED_SHARED_SECRET_FROM_STEP_6]

Verify that both your TOTP generator and the Steam app are producing the same five-digit alphanumeric codes.
That's it! You can now remove the frida-server binary from your phone:
```
adb-shell# rm /data/local/tmp/frida-server
```

Acknowledgements:
Thanks to MuelNova for the original instructions and null-dev for clarifying the base64/base32 conversion.

Steam: Old Big Picture mode and Steam Controller firmware update (after August 2023)

Geschrieben von Ian am Montag, 11. September 2023

TL;DR below: How to force Steam back to an older version to restore the old "Big Picture" mode and update your Steam Controller's firmware to BLE, all thanks to one horny but knowledgeable Croatian furry.

A few weeks ago, Valve removed their old "Big Picture" mode from Steam. The old "Big Picture" mode had already been discontinued in favor of the new gamepadui "Big Picture" mode (i.e. what the Steam Deck comes with), but could hitherto still be forced by launching Steam with -oldbigpicture. While I actually like the new gamepadui more than the old "Big Picture" mode—besides the insane performance issues on my NVIDIA GPU, but there's ways around that—it is missing a few core features of the old "Big Picture" mode, most importantly: the old Controller Settings menu which allows you to update the firmware of your Steam Controller.

I like the Steam Controller. I like it a lot.
I think it is the best controller ever made. (The Xbox One controllers are great too. PlayStation controllers are hot garbage. Don't @ me.)

So of course, I bought six of them.

Okay Ian, so you like the Steam Controller, but come on, surely you can't like it enough to have six of them. Whatever are you going to do with six goddamn controllers?

Well. I was going to stop at four, but..

Myself only having two hands, you see, I can only use one controller at a time. Sometimes I can manage to forceconvince my wife to play with me, so that's two. Sometimes I'll have a friend over, that's three; another friend I have lent a fourth controller semi-permanently. That really ought to be enough for everybody—most games that allow local co-op do not allow more than four players simultaneously.

Ay, there's the rub: Since this one friend only comes over sometimes and very rarely brings his controller with him, it does not get updated often; in fact, at the time that Valve chose to remove their Controller Settings menu, it still hadn't gotten the firmware update that enables Bluetooth Low Energy (BLE). As such, it is now incompatible with the device I want to use it now, an NVIDIA Shield Pro—but since Valve have removed the menu, updating the firmware is no longer possible. (There is an alternative method involving batch files which is an awful time, requires Windows, may leave your Steam Controller soft-bricked when it goes wrong, and woe betide you if you try to run it in a VM.)

Dauntlessly, I set forth to update this fourth controller. I end up soft-bricking it, but thinking I ruined it, I seek to replace it. I end up buying not one, but two new/used controllers from the same seller—again with outdated firmware and without BLE. Sigh. After I soft-brick one of them, I finally become irritated enough to boot Windows to Go from a USB drive and run the firmware update successfully. I also run it on the second controller.

And then I run it on the soft-bricked controller. Again, successfully. It now works again.

Sort of, since this blog entry is not titled "Ian gets stupid and buys too many controllers." You see, now BLE works (for some reason), but the original dongle mode (you can pair up to four Steam Controllers to a single USB dongle) no longer works. Which, you know, I don't really care about, since I'm happy with BLE. Unfortunately, another friend has agreed to buy one of my surplus controllers and he needs to use dongle mode. Well, shit.

But owoho, what's this? Steam user Wikarian99PL has posted a guide on how to forcibly downgrade your Steam version! Well, actually, Linux Wizard and Furry of Legend lightwo posted a guide on how to continue using Steam with Windows 7 after Valve stops supporting it on December 31st, 2023. Crucially, it contains a method of using an older version of Steam—normally, Steam is one of these applications that always force you to use the newest version. If you play your cards right, you can use this older version to restore full functionality to your Steam Controller.

Here's how to do it:

Quit Steam.

Force Steam to "update" to an older version of the software using:

steam -forcesteamupdate -forcepackagedownload -overridepackageurl http://web.archive.org/web/20230531115543if_/media.steampowered.com/client -exitsteam

In the directory that contains local.vdf (~/.steam/steam/ here), create a file named steam.cfg with the following content:
```
BootStrapperInhibitAll=Enable
BootStrapperForceSelfUpdate=False
```
This will prevent Steam from auto-updating on startup.
This "old" version of Steam is still new enough to default to the new gamepadui. However, it is old enough to still recognize -oldbigpicture, so start Steam using steam -oldbigpicture. Once you start Steam, switch to "Big Picture" mode.
Go to Settings > Controller Settings. Voilà!

From there, restoring full functionality is kind of straightforward: using a micro-USB cable, hit the Recover Steam Controller Firmware button to restore dongle connectivity. You can then update the firmware again (still in Controller Settings) to regain BLE connectivity.

Easy, right?

I don't know why Valve hates the Steam Controller—they built an excellent gaming handheld based on it, and now they seem to have but completely dropped it. Luckily, furries are here to save the day. Thanks, lightwo!

New name, new PGP key

Geschrieben von Ian am Freitag, 1. September 2023

My last name has changed and so my PGP key has too.
Listed below is my new public key, signed with my old key. I hope that proves something.

You can also download and import the key here.

You Need But Say the Magic Word - how to get Accor Hotels to stop spamming you

Geschrieben von Ian am Samstag, 22. Juli 2023

I once booked a hotel in London (I think?) and gave Accor my email address so they could send me the information. Without asking me, they added me to their list of accounts to spam with marketing bullshit ("exciting offers" and "don't let your points go to waste").

Cue this exchange:

I send them this:
I have never consented to receiving any mail not directly related to a booking I have made. I demand you delete my account and my email address from your records immediately.

They reply with:
Dear Mr. [REDACTED],

Thank you for reaching ALL Accor Live Limitless customer Data Privacy Team.

We have well taken note of your request regarding deleting your account.

In accordance with the applicable regulations and for the sake of confidentiality and protection of your personal data, we must authenticate you in order to be able to respond to your query. Please reply to this email and provide us with your personal data as it is displayed today on your account. This aims to protect you from malicious request from unauthorized third parties:

1.1. First name:
1.2. Last name:
2. Email address:
3. Postal address AND/OR telephone number AND/OR one of the last three stays credited:

Upon reception of your account’s information, our team will carry out the necessary investigation and get back to you as soon as possible.

We remain at your disposal for further inquiries.

Kind Regards,

Data Privacy Team
ALL Accor Live Limitless
www.accor.com

PROFIT: Accor deletes my data (or so they claim, at least).

What is step 3, you ask? You wouldn't believe me if I told you:

To whomever it may concern:

I, the owner and sole recipient of this email address, forbid you and your entire company from writing to this email address in the future. If you continue to do so, I will take legal action.

[REDACTED]

To which they reply:

Dear Mr. [REDACTED],

We have reviewed your request to cancel your membership in our loyalty program.

We confirm that your membership has been canceled and that your account and personal data have been deleted from our database.

We remain at your disposal should you have any additional requests.

Kind regards,

Data Privacy Team
ALL Accor Live Limitless
www.accor.com

Fuck Accor and fuck advertisers everywhere. I only wanted a roof over my head when I went to London; we're not friends. Get back, motherfucker, you don't know me like that.

Bonus LOL: Here's something they tacked on to their reply:

This e-mail, any attachments and the information contained therein ("this message") are confidential and intended solely for the use of the addressee(s). If you have received this message in error please send it back to the sender and delete it. Unauthorized publication, use, dissemination or disclosure of this message, either in whole or in part is strictly prohibited.

Get bent.

Krypto-Defätismus

Geschrieben von Ian am Samstag, 15. Juli 2023

tl;dr: Sicher verschlüsselte, vertrauliche Kommunikation ist möglich, aber nicht mit dieser Einstellung.

Spätestens seit den Enthüllungen von Edward Snowden wissen wir, was einige schon seit längerer Zeit vermuteten und/oder behaupteten: Die Geheimdienste dieser Welt, allen voran die amerikanische NSA und das britische GCHQ, spionieren die gesamte Welt aus, sammeln Informationen über unbescholtene Bürger aller Herren Länder und verhalten sich, wie es sich für Geheimdienste geziemt, wie übergriffige Arschlöcher. Seit diesen Enthüllungen hat sich zum Glück einiges getan—Ende-zu-Ende-Verschlüsselung hat Einzug in Messenger wie Signal, Threema und schließlich sogar WhatsApp gehalten und Zugriffe auf das World Wide Web (WWW) finden inzwischen praktisch vollständig über HTTPS statt (Danke, Let's Encrypt!)

Gleichzeitig hielt in den Köpfen der Leute allerdings eine äußerst schädliche Überzeugung Einzug, die ich hier als Krypto-Defätismus bezeichnen möchte. Diese lässt sich wie folgt zusammenfassen:

Warum soll ich meine Daten und Nachrichten verschlüsseln?—Die NSA kann das eh alles knacken!

Diese Überzeugung ist deswegen so schädlich, weil sie dafür sorgt, dass der Anteil von vertraulicher Kommunikation sehr klein bleibt: Ich für mich selbst kann sicher verschlüsseln, aber jemand, mit dem ich kommunizieren möchte, muss die Prozedur mitmachen. Da freut es die Geheimdienste der Welt natürlich, wenn ob der vermeintlichen Sinnlosigkeit dieser auf sichere Kryptographie verzichtet und im Klartext kommuniziert wird.

Und nun die Fakten:

Sichere, vertrauliche Kommunikation ist möglich, und zwar...
... weil es sichere Verschlüsselung gibt, die die Geheimdienste nicht knacken können, und zwar...
... weil für Geheimdienste, Regierungen, Freimaurer, Echsenmenschen, AfD-Wähler und Katholiken dieselben verdammten Naturgesetze gelten wie für uns alle.

Ich bin mir nicht vollständig sicher, aber ich glaube, der Krypto-Defätismus hat dieselbe Ursache wie viele andere gesellschaftliche Probleme: Die Leute sind schlecht in Mathe und stolz darauf.

Sie verstehen nicht, dass die Mathematik, mit allen ihren Regeln und Gesetzen, hinter allem steht, was das 20. und 21. Jahrhundert ausmacht und alles ermöglicht, was für uns nur deswegen nicht wie gottgleiche Magie wirkt, weil wir damit aufgewachsen sind.

Und sie verstehen nicht, dass Mathematik ein großer Gleichmacher ist: Ihre Regeln gelten für Billionäre und Weltorganisationen ebenso wie für Turnvereine und Privatpersonen, oder mit anderen Worten:

Was die Kryptographie geheim gehalten hat, soll der Mensch nicht ergründen.

Selbstverständlich gibt es Angriffe auf Kryptosysteme. Selbstverständlich gibt es Bedienungsfehler, die die Vertraulichkeit verschlüsselter Daten untergraben. Selbstverständlich gibt es Bestrebungen der Geheimdienste, Kryptographie zu schwächen.

Moment mal, wie bitte? Bitte lassen Sie sich diesen Gedanken noch einmal durch den Kopf gehen: Wenn die NSA (oder das GCHQ, oder das BKA/der BND) eine Wundermaschine im Keller stehen hat, die alle Verschlüsselung knacken kann, warum würden sie dann zu solchen Maßnahmen greifen? Weil die Geheimdienste der Welt sehr genau wissen, dass es für sie unmöglich ist—und in vielen Fällen für immer unmöglich bleiben wird—gute Verschlüsselung zu knacken.

Deswegen gibt es immer und immer wieder Bestrebungen, Firmen zur Aufweichung ihrer Kryptographie zu zwingen, Ende-zu-Ende-Verschlüsselung zu verbieten oder zu unterwandern oder, möglicherweise, das Narrativ zu verbreiten, Verschlüsselung wäre sinnlos und könnte immer gebrochen werden. In Wirklichkeit sind weitverbreitete Kryptosysteme, sofern sie nicht durch wissenschaftliche Untersuchungen gebrochen werden und korrekt angewendet werden, auf absehbare Zeit unerreichbar für Außenstehende—asymmetrische Kryptographie ist theoretisch durch Quantencomputer bedroht, praktisch erscheinen solche Angriffe für die nächsten Jahrzehnte unmöglich; symmetrische Kryptographie wie Rijndael ist unempfindlich gegen Quantencomputer.

Es gibt allerdings eine viel größere Bedrohung: Der um sich greifende Krypto-Defätismus und die damit einhergehende Apathie gegenüber Privat- und Intimsphäre, eine selbsterfüllende Prophezeiung: Ich muss mich nicht schützen, Facebook/die NSA/die Weltverschwörung hat meine Daten ja eh.

Steht auf, reibt euch die Augen und fangt an, eure Daten und Kommunikation zu verschlüsseln.

How to Use Your Yubikey as a Steam Guard TOTP Generator, 2023 Edition

Geschrieben von Ian am Sonntag, 14. Mai 2023

Update Nov 5, 2023: This no longer works—see here for updated instructions.

Note: Unlike most other articles on this blog, this article contains instructions on how to solve a common-ish problem and therefore is written in English.

You will need:

a Yubikey (not a Yubico "Security Key", but other brands may work as well; rule of thumb: if you can use your device as a 2FA for, say, Amazon, it should work)
a rooted Android phone; there seem to be recipes for Androids without root, but I haven't tested them and they seem complicated
an older version of the Steam app for Android (version 2.x, I got mine from here; don't worry, you can return to the current version when you're done)

Here's how to do it, step by step:

Remove your current Steam Guard from your Steam account; if you're not currently using the 3.x Steam app, you can probably skip this step.
Caution: This is not the same as Step 2!
Uninstall the current Steam app and install a 2.x version from your most trusted source.
Set up your 2.x app as a Steam Guard authenticator.
Use either adb or your favorite file manager app (with root privileges) to copy /data/data/com.valvesoftware.android.steam.community/files/Steamguard-[YOUR_STEAM_ID] ([YOUR_STEAM_ID] will be replaced by a long number) to your computer.

This is a JSON file that will look something like this:

{
    "steamid":"[YOUR_STEAM_ID]",
    "shared_secret":"[BASE32_ENCODED_SECRET]",
    "serial_number":"[SOME_NUMBER]",
    "revocation_code":"R[YOUR_REVOCATION_CODE]",
    "uri":"otpauth:\/\/totp\/Steam:[YOUR_ACCOUNT_NAME]?secret=[YOUR_SHARED_SECRET]&issuer=Steam",
    "server_time":"[TIMESTAMP]",
    "account_name":"[YOUR_ACCOUNT_NAME]",
    "token_gid":"[8_BYTE_GID]",
    "identity_secret":"[BASE32_ENCODED_SECRET]",
    "secret_1":"[BASE32_ENCODED_SECRET]",
    "status":1,
    "phone_number_hint":"[LAST_4_DIGITS_OF_YOUR_PHONE_NUMBER]",
    "steamguard_scheme":"2"
}

The relevant line is highlighted in bold; in your favorite Yubikey TOTP app, add a new account and enter the parameters in italics:

Issuer: Steam
Account name: [YOUR_ACCOUNT_NAME]
Secret key: [YOUR_SHARED_SECRET]

Make sure your Steam app generates the same TOTPs as your Yubikey. If it doesn't, something has gone wrong and you'll likely need to start over from step 4 or 5.
You're done! You can now update your old Steam app (2.x was last released in 2020!!) to the newest version. However, you may want to keep the Steamguard-[YOUR_STEAM_ID] file around to add accounts to more Yubikeys.

What can you do with it?

You can use it to log in, even if your phone is lost, damaged, stolen, etc.
You cannot use it to authorize trades.

Why should I do this?
I didn't say you should, I said you could. Personally, I trust my Yubikey more than my phone and I also expect it to live longer.

Doesn't this impact the security of my Steam account?
See above; I don't believe my Yubikey is more easily compromised and/or lost than my phone. If you disagree, don't do it.

Closing thought:
Thank you Valve for using standard TOTPs for Steam login. Now could you please make it easier to export/access the shared secret?

Acknowledgements:
Thanks to geripgeri for the original instructions on how to add a Steam account to your Yubikey.

Acceptable in the 20s

Geschrieben von Ian am Sonntag, 7. Mai 2023

Ist im April 2020 (im Lockdown) entstanden und war damals lustig.

WhatsApp ist ein Hurensohn

Geschrieben von Ian am Samstag, 15. April 2023

Ich hatte heute das große Vergnügen, meiner Partnerin den Umstieg vom alten auf ein neues Handy zu begleiten. Das Ganze ging soweit ganz gut—dann kam WhatsApp.

Auf dem neuen Handy läuft Android 11, genauer /e/OS. /e/OS ist eine Android-Distribution ohne Google Play Services. Man wird nicht aufgefordert, ein Google-Konto zu erstellen oder zu verwenden. Daten werden (jedenfalls größtenteils) nicht an Google oder andere Datenkraken geschickt.

WhatsApp möchte Backups gerne aus Google Drive wiederherstellen. Ja, danke für nichts.

Aber halt, es gibt ein lokales Backup! Man kann Backup-Dateien (msgstore-JJJJ-MM-TT.1.db.crypt12) vom alten Handy sichern, auf das neue Handy übertragen und dort wiederherstellen!
Äh, ja, so theoretisch. Normalerweise funktioniert das so:

Dateiauswahl-Dialog öffnet sich

Benutzer sucht die Datenbankdatei im internen Speicher oder der SD-Karte

Benutzer wählt Datei aus

Programm stellt Daten wieder her

WhatsApp, die dumme Sau, macht aber Folgendes:

Handy muss neu verifiziert werden

Oh, du verifizierst schon zum dritten Mal, weil die letzten Versuche nicht geklappt haben? SMS kriegst du nicht mehr, lass mich dich anrufen...

Was, sogar schon das vierte Mal? Bitte warte 15 Minuten...

Okay, also von Google Drive wiederherstellen...

Was meinst du mit "das geht nicht"??? Okay, dann mach ich dir einen leeren Chatverlauf, haha!

Was, sogar schon das fünfte Mal? 7 Stunden! etc.

Am Ende habe ich es dann doch hinbekommen. Wie? Nun, das ist ein sehr simpler Prozess, der jedem einleuchtet. So geht's:

Zunächst muss man die Datenbank-Datei (msgstore-JJJJ-MM-TT.1.db.crypt12) vom alten Handy sichern
Anschließend muss man sie in msgstore.db.crypt12 umbenennen und exakt dort platzieren, wo WhatsApp sie vermutet. Das ist nicht etwa immer der gleiche Ordner—auf dem alten Handy war das Verzeichnis WhatsApp/Databases/, auf dem neuen Handy dagegen Android/media/com.whatsapp/WhatsApp/Databases/.
Äh, nun ja, diesen Pfad gibt es zweimal: Einmal auf dem internen Speicher, einmal auf der SD-Karte. Welchen WhatsApp benutzt? Wer kann das sagen... ¯\_(ツ)_/¯
Dann muss man noch während der Suche nach Backups den Flugmodus aktivieren. Wegen der Sicherheit, wissenschon.
Auch wichtig ist, dass man WhatsApp den Zugriff auf die Kontakte untersagt, auch wenn dies eigentlich gewünscht ist. Wegen, äh, *papierraschel* Legacy Timing Overflow Error.
Aber im richtigen Moment muss man den Flugmodus dann wieder deaktivieren (und in den Schiffmodus schalten, vermutlich).
Das Blutopfer an Kali nicht vergessen!

... dann besteht eine entfernte Chance, dass WhatsApp das Backup wiederherstellt.

Keine Gnade für die, die es freiwillig verwenden, und auch kein Mitleid für solche, die es mitmachen, "weil es ja sonst auch jeder benutzt".

Aber für die Liebe bringt man so manche Opfer...

Update: Edunite

Geschrieben von Ian am Montag, 27. März 2023

Ascaion stellt zum Ende des Schuljahres 2022/23 den Betrieb von Edunite (siehe auch) ein, das zuletzt (glücklicherweise) nur noch als Kommunikationsplattform genutzt wurde.

Leider ist das Kommunikationstool im Schulportal Hessen (auch bekannt als LANiS) vollkommen ungeeignet zur Kommunikation und so beginnt nun die Suche nach einem ~~sinnvollen~~ ~~benutzerfreundlichen~~ ~~brauchbaren~~ Ersatz.

Mal sehen.

YouTube muss sterben

Geschrieben von Ian am Sonntag, 16. Januar 2022

YouTube (kein Link notwendig) bedarf keiner Vorstellung. Es bedarf möglichst schneller und vollständiger Vernichtung.

Ein Besuch auf youtube.com mit frisch zurückgesetztem Browser ruft bei mir inzwischen ähnliche Gefühle hervor wie ein Blick auf die Schlagzeile der BILD oder in eine Notaufnahme an Silvester. YouTube ist das Privatfernsehen, vor dem uns unsere Eltern immer gewarnt haben. Es begann als Petrischale für alle Internetnutzer, die ihren Mitmenschen etwas mitzuteilen hatten, aber in Petrischalen gedeihen die schleimigsten, giftigsten, die anspruchslosesten Lebensformen, und aus dieser Petrischale ist inzwischen eine gewaltige Biofabrik geworden, die niedrigsten Niederungen unseres Bedürfnisses nach Zerstreuung massenweise produziert.

Nicht genug damit, dass YouTube schlechte Inhalte begünstigt; die lächerlich willkürlichen Bewertungsrichtlinien, auf deren Grundlage YouTube entscheidet, ob und welche Werbeeinnahmen den Besitzern der Videos zukommen, sorgen dafür, dass sich gute Inhalte stets schwertun, überhaupt erreichbar zu bleiben. Des Weiteren zwingt diese Unsicherheit die YouTuber dazu, sich zunehmend selbst zu zensieren, sodass Videos, in denen die Wörter "sex", "gun", "rape" etc. nicht mehr ausgesprochen werden dürfen, immer weiter zunehmen. YouTube nimmt somit die verklemmte Prüderie der US-Amerikaner und verteilt sie, ob seiner Marktmacht, über die gesamte Welt.

YouTube ist nicht zu retten. Brennt alles nieder und fangt von vorne an.

Rant: Edunite

Geschrieben von Ian am Freitag, 14. Mai 2021

Edunite ist ein schreckliches System.

Die meisten meiner Kollegen, die damit arbeiten müssen, teilen diese Einschätzung. Als "Schuladministrator", der auf unserer Edunite-Plattform noch zusätzliche Befugnisse und Aufgaben hat, muss ich ihnen aber unterstellen, dass sie viele der Kritikpunkte von Edunite noch gar nicht kennen. Tatsächlich fällt mir spontan nur ein einziger Vorteil ein: Nachrichten, die man auf Edunite bekommt, leitet Edunite an eine angegebene E-Mail-Adresse (so vorhanden) weiter. Dies ist einer der Punkte, die Edunite dem "Schulportal" voraus hat—und auch der Grund, warum das "Schulportal" als Kommunikationsmittel völlig ungeeignet ist, genauso wie die "dienstlichen E-Mail-Adressen" (@schule.hessen.de), die alle Lehrer in Hessen ab dem nächsten Schuljahr verwenden müssen. Aber hier soll es um Edunite gehen, und daher:

Login If You Can

Anders als praktisch alle anderen Web-Dienste, bei denen die Authentifikation auf Benutzernamen und Passwörter basiert, kann man sein Passwort bei Edunite nicht selbst zurücksetzen:

Die Behauptung, es läge am Datenschutz, ist natürlich Unsinn; tatsächlich wurde mir gegenüber bei einem Telefonat mit Ascaion behauptet, diese Funktion sei in Entwicklung und man rechne "bis Ende des Jahres" mit einer Umsetzung.
Der in der Meldung erwähnte "Edunite-Administrator [der] Schule" bin ich. Auf der Schulwebsite befindet sich ein Formular, mit dem man ein neues Passwort anfordern kann. Ein nicht unerheblicher Teil unserer Schüler- und Elternschaft kennt den Unterschied zwischen Edunite-Login und E-Mailadresse nicht und scheitert daran, in das Formular eine funktionierende E-Mailadresse einzugeben, an die das neue Passwort geschickt werden soll. Dies ist nicht vollständig die Schuld der Anwender: Edunite-Logins sind aufgebaut wie E-Mail-Adressen, sind aber keine. Schlimmer noch: Die "Domain", die für unsere Schule Bestandteil der Edunite-Logins ist, existiert, hat aber überhaupt nichts mit unserer Schule zu tun. Ich denke, das liegt daran, dass sich alle Schulen, die Edunite verwenden, dieselbe Login-Seite verwenden. Übrigens hindert mich als "Schuladministrator" nichts daran, Zugänge anzulegen, die so aussehen, als ob sie zu einer anderen Schule gehören, denn die "Domain" ist Bestandteil des Logins und damit frei wählbar.
Dies alles halte ich bereits für gefährlich genug—und peinlich für eine "professionelle" Lösung. Aber es wird schlimmer.

DoS mich, ich bin der Frühling

Eins der wichtigsten Designziele einer Plattform für "effizientes Bildungsmanagement" sollte der Schutz von Schülerdaten sein—diese haben es sich nicht ausgesucht, der Plattform beizutreten und wurden von der Schule angemeldet. Dazu kommt, dass die Art der Daten, die auf Edunite verwaltet wird—nämlich Schülerleistungen und -zensuren—streng vertraulich sind. Daher wird der Zugang für Unbefugte streng unterbunden: Bereits nach wenigen fehlgeschlagenen Login-Versuchen wird das entsprechende Konto gesperrt und muss von einem Administrator wieder freigeschaltet werden. Mit anderen Worten: Jeder Dritte, auch jeder völlig unbeteiligte Dritte ohne Bezug zur Schule, kann jedes Edunite-Konto der Schule sperren, und zwar auch die Lehrerkonten. Auch die Konten, mit denen für alle anderen der Zugang wiederhergestellt werden soll. Um ein Konto zu sperren, benötigt man lediglich den "Login" des Kontos, der bei den meisten Schulen aus dem Namen der Schüler/-innen abgeleitet werden kann und bei den Lehrern aus dem Lehrerkürzel. Diese Art von Denial-of-Service-Angriffen (DoS) ist problemlos automatisierbar und von einem kompletten Laien ohne finanziellen oder großen Zeitaufwand durchführbar. Man kann von Glück reden, dass Schüler der Unter- und Mittelstufe im Allgemeinen nicht mit Computern umgehen können.

Ich würde Sie doch nicht anlügen...

Zurück zu den Passwörtern, die ich als Schuladministrator zurücksetzen muss—selbst, wir erinnern uns, können das die Schüler aus Datenschutzgründen nicht: Ich bekomme also E-Mails, in denen der Name des betroffenen Schülers steht, der Name eines Elternteils, die Klasse und im besten Fall auch noch die E-Mail-Adresse, an die das neue Passwort soll. Nichts davon kann jemals verifiziert werden. Es ist jedem Dritten, mindestens aber jedem Klassenkameraden, trivialerweise möglich, für ein Konto das Passwort zurücksetzen und es sich an eine beliebige E-Mail-Adresse schicken zu lassen. So etwas habe ich sonst noch nirgendwo gesehen. Wohlgemerkt: Hierbei handelt es sich um eine Lösung aus der "freien Wirtschaft", wo alles viel besser und schneller geht.

"Dann machen Sie halt nicht so"

Der uralte Witz geht so:

Kommt ein Mann zum Arzt und sagt: "Herr Doktor, mein Arm tut immer total weh, wenn ich so mache." Sagt der Arzt: "Dann machen Sie doch nicht so!"

Der Witz im modernen Bildungsmanagement geht so: Man möchte das Passwort von Max Mustermann zurücksetzen und sucht daher nach "Max". Es stellt sich aber heraus, dass die Schule mehr als 50 "Max"s hat und sie deswegen nicht auf einer Seite angezeigt werden können. Edunite bietet daraufhin an, auf die zweite Ergebnisseite zu wechseln, auf der alle Max ab Nachname "Koc" sind:

Edunite-Suchergebnisse: 25 pro Seite, 3 Seiten werden angezeigt

... aber wenn man darauf klickt, macht Edunite dann so:

Fehlermeldung: Hier geht's nicht weiter.

Dieser Fehler ist nicht nur reproduzierbar: Er ist auch nicht nicht-reproduzierbar, das heißt, er tritt jedes Mal auf. Es gibt, und das ist jetzt kein Witz, Schüler, deren Passwörter ich nicht ändern kann, weil ich ihren Eintrag bei Edunite nicht aufrufen kann. Ich kann auch nicht mit ihrem genauen Namen suchen, denn Edunite ist sehr speziell und hört bei Vor- und Nachnamen beim jeweils ersten Leerzeichen auf zu suchen. Als Beispiel: Ein Schüler, der mit Nachnamen "La Traviata" heißt, kann niemals gefunden werden, wenn es mehr als 50 Schüler gibt, die "La" in Vor- oder Nachnamen haben und die alphabetisch vor ihm kommen.
Oh, und Edunite ist so konfiguriert, dass bei solchen Fehlern immer automatisch eine Nachricht an zwei "Systemadministratoren" (von Ascaion) geschickt wird. Sie wissen Bescheid.

E-Mail als letzte Rettung - oder als Fluch

Wie bereits erwähnt halte ich ein Feature von Edunite für unheimlich wichtig: Edunite besitzt ein Nachrichtensystem, das leidlich bedienbar ist (die Klasse 9x kann nicht gefunden werden, wenn sie als Klasse "09x" eingetragen ist; Kurt Schmitt kann nicht gefunden werden, wenn er bei Edunite als "Kurt Egon Schmitt" eingetragen ist). Zum Glück reicht Edunite, so man in seinem Benutzerkonto seine E-Mail-Adresse hinterlegt, aber alle Nachrichten, die man bekommt, an diese E-Mail-Adresse durch. Mehr noch: Man kann auf diese E-Mails sogar antworten und sie werden dann als Edunite-Nachrichten ins System eingepflegt. Das funktioniert größtenteils gut! Nun ja, wenn man per E-Mail Dateien anhängt, trennt Edunite diese klammheimlich ab; andererseits lassen sich manche Dateianhänge auf Edunite gar nicht öffnen, während sie bei den E-Mails korrekt angehängt und abrufbar sind. Dies alles sollte meiner Meinung nach bei einem professionell entwickelten, produktiv eingesetzten System nicht mehr passieren, aber sei's drum—im Vergleich zu den übrigen Punkten, die ich bisher aufgelistet habe, erscheint mir diese Art von Problem als geradezu liebenswürdige Marotte.
Weniger lustig die Art der E-Mail-Gestaltung. Ich weiß nicht, ob bei Ascaion eine grundsätzliche Abneigung gegen das Medium E-Mail herrscht oder ob sie es nicht besser wissen—beides erscheint mir möglich—aber der Absender aller E-Mails von Edunite lautet: "edunite". Nicht etwa "Anna Müller via edunite" oder etwas Ähnliches, das Aufschluss über Absender und Inhalt der Mail verrät. Wozu den Überblick bewahren? Das Genie beherrscht das Chaos.
Apropos Chaos: Edunite erlaubt den Versand von Nachrichten an (automatisch generierte?) Verteilerlisten à la "alle Deutschlehrer" oder "Alle Lehrer der 5y". Wer zählt als Lehrer der 5y? Praktisch jeder, der mal einen Fuß in den Klassenraum gehalten hat: Jahrgangsübergreifende AGs, Wahlunterricht, Religions-, Musik-, Kunstunterricht in Kursen? Willkommen im Verteiler. Grob geschätzt 80% der Nachrichten, die mich über Edunite erreichen, haben weder Bezug noch Handlungsbedarf, was mich angeht—eine enorme Verschwendung meiner Zeit und Ressourcen. Andersherum übersehe ich wichtige Nachrichten, die über Edunite kommen, weil sie in einer gigantischen Menge an Rauschen untergehen.

Menüs: Die Nutzer-Grenzerfahrung

Ich mache es hier kurz und arbeite mit Bildern.
Die Kids nennen so etwas, glaube ich, "POV" (point of view): Stellen Sie sich vor, ein Kollege hat seinen Deutschkurs abgegeben und er soll nun einem anderen Kollegen zugeordnet werden. Wo müssen Sie klicken?

Gut, das war jetzt vielleicht etwas schwierig. Wie wäre es hier:

Nehmen Sie sich Zeit.

Zugegeben: Dieses Problem haben nur die "Schuladministratoren" und die wurden ja speziell instruiert. Nehmen wir stattdessen ein Problem, vor dem jeder Lehrer des Öfteren steht: Er benötigt eine aktuelle Liste der Schüler in seiner Klasse. Das ist viel einfacher:

Oh, hoppla. Das ist nur für die eigene Klasse, für die man die Klassenleitung hat. Zur Klassenliste der 5z, die im Klassenverband NaWi-Unterricht hat, geht es unter "Kurslisten":

Worauf hätten Sie geklickt - "Kursübersicht"? Da muss ich Sie enttäuschen: Unter "Kursübersicht" können Sie nur "eine Liste aller Kurse Ihrer Schule im gewählten Schuljahr generieren." Logisch. Steht ja auch dran. Wie oft hört man das im Lehrerzimmer: "Ich möchte gerne eine Liste aller Kurse—nur der Kurse, nicht der Schüler—im gewählten Schuljahr generieren." Viel häufiger hört man: "Wie ich Edunite hasse, dieses ************ S*******system! Ich glaube, den Passierschein A38 könnte ich schneller und entspannter kriegen. Vorher kommt aber noch Godot."

Update: Plot Twist!

Benutzen Sie einen Passwort-Manager. (Teil 1)

Geschrieben von Ian am Sonntag, 29. März 2020

Eins vorweg: Wenn Sie momentan keinen Passwortmanager benutzen—und zwar im weitesten Sinn; "ich schreibe meine Passwörter in einen Notizblock" zähle ich dazu, wenn auch nicht ideal—machen Sie etwas falsch.

Welche Bedingungen muss ein gutes Passwort erfüllen?

Es darf nicht zu erraten sein. Das bedeutet, dass Sie nicht den Namen Ihres Haustieres, Ihres Lieblingsvereins etc. verwenden dürfen.

Es muss einzigartig sein. Gehen Sie davon aus, dass der Anbieter, dem Sie Ihr Passwort anvertrauen, dieses nicht geheim halten kann. Wenn es in fremde Hände gerät—und gehen Sie davon aus, dass das irgendwann passieren wird—sorgen Sie dafür, dass ein Angreifer damit nichts anfangen kann. Verwenden Sie für jeden Dienst ein unterschiedliches Passwort.

Häufig wird Folgendes ebenfalls gefordert; dies wäre wünschenswert, aber nicht unbedingt notwendig:

"Wechseln Sie Ihr Passwort regelmäßig" - dies wurde vor allem in der Vergangenheit oft vorgeschlagen, wird inzwischen aber nicht mehr empfohlen. Werden Benutzer zum regelmäßigen Passwortwechsel gezwungen, so führt dies dazu, dass sie schwächere Passwörter verwenden oder Passwörter wiederverwenden. Sie müssen Ihr Passwort nur dann ändern, wenn Sie Grund zu der Vermutung haben, dass es in falsche Hände geraten ist.

"Ihr Passwort muss mindestens 64 Zeichen lang sein, Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen, chinesische Schriftzeichen und Emojis enthalten" - dies soll sogenannten Brute-Force-Angriffen vorbeugen und ist notwendig, wenn das Passwort im Rahmen von Verschlüsselung verwendet wird; geht es aber um Authentifizierung, z.B. beim Login auf einer Website, ist dies nicht notwendig. Es liegt in der Verantwortung des Anbieters sicherzustellen, dass Brute-Force-Angriffe nicht möglich sind (z.B. indem nur eine begrenzte Anzahl von Loginversuchen innerhalb einer bestimmten Zeitspanne erlaubt wird). Ein langes und komplexes Passwort wird dabei zwar nicht schaden, aber auch nicht helfen, wenn der Anbieter seine Sache anständig macht.

Überlegen Sie, auf wie vielen Websites, bei wie vielen Diensten Sie ein Konto besitzen, für das Sie sich anmelden müssen (E-Mail, Netflix, Facebook, Kommentarspalte Ihrer Lieblingszeitung...). Kommen Sie auf mehr als 20? Überlegen Sie sich, ob Sie sich 20 verschiedene gute Passwörter merken können. Dann überlegen Sie sich, ob Sie das möchten. Wenn Sie beide Fragen mit "ja" beantworten, beglückwünsche ich Sie und wünsche Ihnen, und das ist ernst gemeint, viel Erfolg. Das ist möglich, so wie es möglich ist, sich die ersten 1.000 Stellen der Zahl Pi zu merken. Die meisten Menschen werden das aber anders sehen.

Was ist ein Passwort-Manager?

Im einfachsten Fall ist ein Passwort-Manager eine Datenbank: Sie können Einträge speichern und sie später wiederfinden. "Analog" dazu kann man auch einen Notizblock verwenden: Links steht der Name des Dienstes, rechts das Passwort. Im etwas besseren Fall legt der Passwort-Manager die Passwörter verschlüsselt ab; Sie werden dann beim ersten Benutzen (z.B. nach dem Hochfahren, beim Öffnen der Datenbank...) nach einem Master-Passwort gefragt.

Das Master-Passwort wird zur Verschlüsselung verwendet und muss daher stark sein. Fällt Ihre Passwort-Datenbank in die falschen Hände, ist das Master-Passwort das Einzige, das Ihre Passwörter beschützt.

Im besten Fall unterstüzt Sie Ihr Passwort-Manager nicht nur beim Speichern und Verwalten, sondern auch beim Anwenden und Eingeben von Passwörtern und sogar bei deren Erstellung. Der Passwort-Manager kann z.B. dafür sorgen, dass beim Besuch von Websites das gespeicherte Passwort automatisch eingegeben wird und überwachen, wenn Sie auf einer Website das Passwort ändern—und es dann auch im Passwort-Manager aktualisieren.

Was ist ein starkes Passwort?

Starke Passwörter sind wichtig, sobald Verschlüsselung ins Spiel kommt. Ohne Verschlüsselung sind Passwörter nur so lange wirksam, wie das System läuft, das sie abfragt. Es ist egal, wie lange Ihr Passwort für Ihren Computer ist; wenn ein Angreifer Ihre Festplatte ausbaut und an seinen Computer anschließt, kann er alle Ihre Daten auslesen. Er kann auch die darauf gespeicherten Daten verändern, was Ihr Passwort einschließt, und er kann sich ein eigenes Benutzerkonto anlegen. Erst wenn Sie Ihre Festplatte verschlüsseln, sind die Daten für ihn unerreichbar, solange er das Passwort nicht kennt. Gehen Sie aber davon aus, dass er ein Passwort nach dem anderen ausprobieren und ihn niemand daran hindern kann. Ist Ihr Passwort aber stark genug, wird dieses Ausprobieren so lange dauern, dass er den Erfolgsfall nicht mehr erleben wird.

Aber was ist denn nun ein starkes Passwort? Um diese Frage zu beantworten, muss man wissen, wie Angreifer vorgehen, wenn Sie ein völlig unbekanntes Passwort herausfinden wollen. Dabei sind zwei Szenarien hervorzuheben:

Brute-Force-Angriffe: Der Angreifer weist seinen Computer an, alle möglichen Passwörter durchzuprobieren ("A", "B", "C", ... "AA", "AB", ... "ZZZZZZZZY", "ZZZZZZZZZ"). Das sind sehr viele Passwörter, aber Computer werden auch immer schneller. Wenn man weiß, wie lange das Ausprobieren eines Passworts dauert, kann man abschätzen, wie lange das Ausprobieren eines zufällig gewählten Passworts einer bestimmten Länge dauern würde. Ein Passwort ist stark gegen Brute-Force-Angriffe, wenn es lang und komplex ist und viel "Entropie" besitzt.

Wörterbuch-Angriffe (dictionary attacks): Der Angreifer hat ein vorbereitetes "Wörterbuch", also eine Textdatei, die eine gigantische Zahl möglicher Passwörter enthält. Der Angreifer probiert alle Passwörter durch, die sich in seinem Wörterbuch befinden—ein Erfolg ist damit nicht garantiert, es geht aber gegenüber dem Brute-Force-Angriff sehr viel schneller. Natürlich lassen sich Brute-Force- und Wörterbuch-Angriff auch kombinieren, z.B. indem systematisch Wörterbucheinträge kombiniert oder angepasst werden (z.B. enthält das Wörterbuch 007bond, also werden 007bond1, 007bond2, 007bonda, 007bondb etc. ausprobiert). Ein Passwort ist stark gegen Wörterbuch-Angriffe, wenn es nicht im Wörterbuch steht und auch nicht trivial aus einem Wörterbucheintrag herzuleiten ist. Aus diesem Grund sind alle Beispielpasswörter, die Sie auf Websites, in Büchern etc. finden, verbrannt: Es besteht die Gefahr, dass sie in einem Wörterbuch stehen.

... wird fortgesetzt

Hallo Welt!

Geschrieben von Ian am Sonntag, 29. März 2020