IT Security: Seltsame Sitten
Im Tierreich gibt es als Unterwerfungs- oder Friedensgeste das Hinhalten des verletzlichen Nackens zum Biß. Winnetou und Old Shatterhand haben sich mittels Messer die Blutsbrüderschaft versichert (Karl May wußte wohl nichts von AIDS). Unsere Sitte des Anstoßens beim Trinken rührt daher, daß man sich als Geste gegenseitigen Vertrauens darauf, dem anderen das Getränk nicht vergiftet zu haben, gegenseitig etwas vom Glas der anderen in das eigene schüttete. Von Schulen berichtet man, daß die Vertrauens- und Cliquenrituale immer absurder werden.
Die New York Times berichtet nun (gefunden über Bruce Schneier) daß es dort drüben inzwischen zu einer Vertrauensgeste unter Jugendlichen geworden ist, sich gegenseitig ihre Passworte mitzuteilen.
Das macht IT Security durchaus schwieriger. Man kann niemanden sichern, der nicht gesichert werden will.
Bin mal gespannt, wann es die ersten Skandale gibt, daß irgendwer von seinem/ihrem Ex massiv durch Identitätsklau geschädigt oder von seinen Accounts ausgesperrt wird. Oder das Bankkonto leergeräumt. 400 Flüge gebucht. Kokain oder ne Panzerfaust bestellt. Bombenbauanleitungen. Oder Straftaten über Facebook. Die Top-100 der aktuellen Kinohitliste als Raubkopie unter fremdem Namen ins Netz stellen. Gerade in Amiland, wo sie ja alles automatisiert überwachen, kann sowas zu katastrophalen Folgen führen. Da wurden doch schon Leute vom Uni-Campus weg verhaftet, weil sie angeblich Raubkopien verbreitet haben sollen.
Andererseits: Schlüsselabwurf war eine Abwehrmethode, die ich schon vor über 15 Jahren beschrieben habe. Wenn einen die nachweisbare Handlung mit einem Schlüssel (wie etwa eine Signatur) kompromittiert, muß man eben dafür sorgen, daß der Schlüssel nicht mehr an die Person gebunden ist. Ihn also veröffentlichen. Das könnte auch juristisch interessant werden, wenn sich jemand damit verteidigt, daß die ganze Schulklasse die Passworte kennt.
9 Kommentare (RSS-Feed)
Das erscheint zunächst einmal nicht so klug.
Aber: Die Leute wissen schon mal wie mächtig und wertvoll Passwörter sind nur deswegen teilen sie diese schließlich. D.h. die kennen schon Missbrauchs- und Angriffsszenarien.
Die sind also schon 2 Erkenntnisschritte weiter als die Leute die aus absoluter Unkenntnis ihre PWs weitergeben oder sich nie Gedanken darüber gemacht haben.
Alles was du auflistest, kann im Prinzip jedem unbedarftem User passieren, der ein einfaches Passwort verwendet (und dann noch bei allen Diensten das gleiche). Ausserdem ist das doch auch ein ganz guter Schutz: Wenn genau eine Person dein PW kennt, kann die Dir nicht mutwillig damit schaden ohne sich selbst verdächtig zu machen.
Wahrscheinlich fällt den angesprochenen Pärchen auch schneller Accountmißbrauch auf.
Bei Trennungen weiß dann auch jeder das er sein PW ändern muss, heimliches Stalking bei plötzlichem Beziehungsende ist Gang und Gäbe, viele denken nicht daran, bzw. ahnen gar nicht das der Ex-Partner das PW kennt oder kannte.
Das ist alles schon vorgekommen und passiert wahrscheinlich täglich – ohne das die Leute ihr Passwort offiziell geteilt haben.
Ich glaube hier wiederholt sich nur ein übliches soziales Muster.
Mittlerweile ist für die Jüngeren Facebook, Email und Twitter ein zentraler Punkt der sozialen Integration. Wenn jemand das Passwort für deren Facebook Account hat, ist das wie eine Hand, die die Eier oder den Hals umschließt, was ebenso positiv oder negativ sein kann 😉
Was haben wir denn als offline Äquivalente? Wohnungsschlüssel, Konten, die PIN für die EC Karte, in Deutschland auch mal das Auto…
Dass diese Dinge zwischen eng in Verbindung stehenden Menschen vertrauensvoll geteilt werden ist normal. Längerfristige Pärchen mit geteilten Wohnungen haben nicht selten einen Schlüssel für die Wohnung des Anderen, Ehepaare haben gemeinsame Konten und auch das mit den EC Karten PINs hab ich schon erlebt.
Das Risiko für Missbrauch ist ebenfalls gefühlt ähnlich und ähnlich gut reversibel. Den Wohnungsschlüssel kann man zurück verlangen, was dank dem düster dreinschauenden, rauchenden Fuzzi beim Schlüsseldienst nicht zwingend hilft. Vorher kann man natürlich Juckpulver in die Unterhosen streuen, eine IP Kamera mit WLAN verstecken, die Festplatte kurz klonen, Heroin verstecken…
Ich glaube als Securityhansel siehst du das instinktiv aus einer professionell gefärbten Perspektive. Dass hier der Identitätsdiebstahl droht ist lediglich die spezifische mögliche Konsequenz, bei der es auch nur darauf ankommt, dass sie eben bedrohlich ist. Und natürlich wird da bald was kommen. Dass die betrogene Ehefrau alle seine Kleider zerschneidet, in seiner Abwesenheit sein Zeug verramscht, die Akten shreddert oder vor der Scheidung schnell das Konto leerräumt ist halt nur schon ein alter Hut.
Der Schlüsselabwurf ist dabei der wirklich interessante Aspekt. Irgend eine Knoppix CD mit TOR Client oder sowas nehmen, fix auf Pastebin veröffentlichen und später behaupten der Hacker hätte das gemacht. Natürlich erst nachdem er selbst mit dem Account fertig war, falls man irgend eine Zeitdifferenz erklären muss.
Is eigentlich nen ganz aktuelles Thema. Was wäre denn, wenn jemand ein sehr leicht zu erratendes Passwort zum Beispiel für den Adminaccount seiner Website benutzt und plötzlich tauchen dort Kinderpornos auf?
Sowas wie Benutzername = Nachname und Passwort = Vorname. Da kommt ja jeder drauf. Kann so jemand dann überhaupt noch schuldig sein? Oder muss man ihm schon wegen seiner Passwortwahl eine Teilschuld geben?
Wird sich sicherlich bald wieder erledigen mit diesem bescheuerten Mödchen, etwa wenn dem ersten Alphamännchen/ Captain der Footballmannschaft 42 Familienpizzen mit Kuddeln- und Nierenbelag geliefert werden, angefordert vom eigenen Facebook-Konto, bezahlt mit der eigenen Kreditkarte.
A bisserl Verlust hat ‘s immer.
Naja, den Untergang des Abendlandes sehe ich deswegen auch nicht auf uns zukommen, eigentlich sehe ich nur das was wir früher schon gemacht haben im digitalen Zeitalter angekommen: Meine Freunde wussten damals auch, wo der “Nothaustürschlüssel” in unserem Garten vergraben war, genauso wie ich wusste wo ihrer war.
Und auch heute habe ich den Wohnungsschlüssel und den Reserveautoschlüssel bei meinen zwei besten Freunden untergebracht – und umgedreht. Und ja, die kennen auch mein 08-15 Passwort und die Variationen davon, das ich zwar nicht gerade für Seiten in denen es um irgendwas mit Geld geht einsetze – aber auch nicht wegen ihnen, sondern weil ich da natürlich ein sicheres Passwort einsetze das man sich auch nicht eben so merken könnte.
Es ist also schon was anders ob ich mein Passwort in meinem Fußballverein verteile, oder ob ich es ausgewählten Freunden anvertraue. Ersteres ist einfach unfassbar dämlich, und letzteres dient ja auch der Sicherheit – wenn auch nicht der Security, so aber zumindest der Safety dass das Passwort nicht verloren geht wenn mir z.B. etwas zustößt. Meinen Haustürschlüssel kann man auch noch aus einem brennenden Auto retten, den Zugriff auf meine eigenen Dateien – wo mittlerweile auch nicht gerade unwesentliche Informationen die vielleicht auch nicht mehr in schriftlicher Form abgeheftet werden liegen – kriegt man dann aber nicht mehr.
Hier gibts den interessanten Kommentar dazu, dass es eine ganze Generation für normal hält, Passwörter rauszurücken. Schliesslich haben die Eltern das denen beigebracht, damit diese mitbekommen, was die Kinder “so online machen”:
http://boingboing.net/2012/01/24/parents-snooping-teaches-kid.html
Gibt natürlich einen enormen Gruppendruck auf Kinder, wie beim Rauchen. Wer nicht mitmachen will, gehört nicht zur Gruppe.
Karl May wusste übrigens nichts von AIDS, weil er 1912 starb, aber das HI-Virus 1930 in Zentralafrika das erste Mal entdeckt wurde.
Das mit dem Passwort-Weitergeben ist eben so eine Sache. Meine Passwörter kennt niemand, was aber auch bedeutet, dass für den Fall dass ich von Auto überfahren werde (als Fahrradfahrer nicht unwahrscheinlich), einige Leute ein Problem haben werden. Evtl. sollte ich mir mal eine Offline-Kopie (aka Zettel) anlegen – aber wo sicher, aber findbar, verstauen?
“Das könnte auch juristisch interessant werden, wenn sich jemand damit verteidigt, daß die ganze Schulklasse die Passworte kennt. ”
Möglicherweise hoffen Jugendliche im Falle einer Schadenersatzklage und einer Verurteilung die Strafzahlung durch 30 Schüler der Klasse zu teilen:) und damit beggint das soziale Denken unter der Jugend. Es wundert auch keinen, dass es auf so eine bescheuerte weise anfängt, im Land wo soziale Systeme bis jetzt so gut wie nicht existieren.