|
|
|
|
|
|
|
|
Bei WA schon... natürlich nicht alle, aber jeder Mensch mit zwei Gehirnzellen hat sich irgedwann schon mal Gedanken über die Sicherheit von WhatsApp gemacht denke ich. Facebook hat wirklich Angst vor dem Backlash.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von indifferent am 21.09.2017 20:46]
|
|
|
|
|
|
|
|
|
|
besser, FB kann hier den Good-Gui raushängen lassen. Nachrichteninhalte sind für FB selbst eh irrelevant, die Meta-Daten machen die große Kohle.
|
|
|
|
|
|
|
|
|
|
|
Das ist mir durchaus klar, aber ist der aktuelle Zustand nicht das Beste, was man realistisch erwarten kann? 
|
|
|
|
|
|
|
|
|
|
|
SNAFU
Was man realistisch erwarten sollte wäre eigentlich ein Ende des ganzen Scheiss.
|
|
|
|
|
|
|
|
|
|
|
Das kannste sowas von knicken. 
Ein richtig guter Messenger für alle ist ungefähr so realistisch, wie deine Großeltern von GPG+Chatsecure zu überzeugen.
|
|
|
|
|
|
|
|
|
|
|
Ich rede nicht von einem Messenger, sondern davon sich das Internet zurückzuholen. Snowdens Enthüllungen als Strichliste nehmen und STÜCK FÜR STÜCK den ganzen Wildwuchs an Überwachungsscheisse zurückzuschneiden.
/
Als unter der Stasi Geborener kotzt mich diese Ignoranz einfach nur an.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von monischnucki am 21.09.2017 21:41]
|
|
|
|
|
|
|
|
|
|
Ich bin grade nicht ganz sicher, ob du dich über mich lustig machst.
|
|
|
|
|
|
|
|
|
|
|
Nein, absolut nicht.
Ich hab 3 Messenger auffem Handy, den ganzen Tag blinken tut Whatsapp.  Es kratzt halt keinen.
|
|
|
|
|
|
|
|
|
|
|
Joa, aber WA ist jetzt auch nicht soooo scheisse. Wenn alle über Facebook/Mail/SMS/pOT-PN schreiben würden, wären nicht nur die Metadaten kompromittiert sondern auch der Inhalt.
Dir steht es ja trotzdem noch frei, sichere Kanäle zu etablieren, und wenn das niemand tut liegts weniger an WA und mehr an den Leuten.
In letzter Zeit steigt aber (in meiner Erfahrung, in meinem Freundeskreis und im pOT) auf jeden Fall die Bereitschaft, auch mal die 20 Minuten zu investieren, die man für sowas braucht. Ein Fehler den ich immer gemacht habe war, den Leuten sowas wie GPG verkaufen zu wollen und es dann per Chat zu erklären. Kannste klemmen. Aber beispielsweise Silence (SMS mit Signal-Verschlüsselung) oder ChatSecure über TS zu vermitteln funktioniert super. Und wenn die Leute einmal dieses gewisse Gefühl von Vertraulichkeit geschmeckt haben, werden sie in der Regel auch selbst motiviert, sich den Kram beizubringen.
"Also... alle Bilder die wir verschicken, kann nur CSC sehen, und auch der Hoster des Chatservers nicht. Und wenn du "End Chat" klickst, werden die Schlüssel gelöscht und alles ist auch auf deinem Telefon weg. Bevor beide beendet haben, kann man dann auch keinen neuen Chat anfangen."
"Wie jetzt, das wird alles wirklich gelöscht? So dass echt keiner mehr dran kann?!"
|
|
|
|
|
|
|
|
|
|
|
|
Braucht man dafür ein passendes Gegenüber?
|
|
|
|
|
|
|
|
|
|
|
Wie meinst du das? Klar müssen beide den Messenger installiert haben.
Silence lässt sich benutzen wie ne normale SMS-App, aber man kann auch eine "Key Exchange Message" verschicken und wenn der Andere die App hat, kommt sein Key automatisch zurück. Ab da hat eine SMS zu der Person nur noch 64 Zeichen, ist dafür aber verschlüsselt + signiert.
Chatsecure kann jede gewünschte Verschlüsselung etablieren (TLS, OTR, TOR...) und auch asymmetrisch anonymisieren (= du bist anonym, dein Gesprächspartner nicht), aber dafür brauchen beide eine XMPP-App und für End2End-Verschlüsselung (OTR) müssen das auch beide Clients unterstützen. Das coole an CSC ist halt, dass man die Metadaten komplett unbrauchbar machen kann, selbst wenn man gegen den Betreiber eines (oder jedes) Jabber-Servers spielen würde.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von indifferent am 21.09.2017 22:56]
|
|
|
|
|
|
|
|
|
Ist chatsecure nicht zugunsten von conversations jetzt Ende of life?
Jedenfalls funktioniert OMEMO mit conversations mittlerweile ganz gut, wenn es denn ein mal läuft 
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von MartiniMoe am 21.09.2017 23:00]
|
|
|
|
|
|
|
|
|
Also für mich ist die "Ablösung" eher der Briar-Messenger. OMEMO ist zwar weniger ätzend als OTR, aber ChatSecure ist eigentlich immer noch der reale Standard in paranoiden Kreisen. Hat halt den perfekten Background.
Und ich glaube mittlerweile, dass auch Briar CSC nicht wirklich ersetzen wird. Erstes hat man von OTR halt noch die Bestätigung dass es vor paar Jahren keiner knacken konnte (Snowden-Releases), zweitens hat CSC mehr Features wo es drauf ankommt - v.a. beim Bilder/Medien verschicken.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von indifferent am 21.09.2017 23:05]
|
|
|
|
|
|
|
|
|
| | Zitat von monischnucki
Ich rede nicht von einem Messenger, sondern davon sich das Internet zurückzuholen. Snowdens Enthüllungen als Strichliste nehmen und STÜCK FÜR STÜCK den ganzen Wildwuchs an Überwachungsscheisse zurückzuschneiden.
/
Als unter der Stasi Geborener kotzt mich diese Ignoranz einfach nur an.
| |
Trotzdem haben selbst die großen Konzerne, kein Interesse daran die Überwachungsmethoden der Staaten zu unterstützen. Es sei denn, sie werden dazu gezwungen. Allerdings sieht man ja schon sehr stark, dass gerade die großen Regierungen wie die USA da mittlerweile ganz andere Wege gehen. Da direkt auf die Anbieter zu gehen ist halt nicht produktiv, wer wirklich seine Kommunikation verheimlichen will, benutzt eh kein Whatsapp.
In sofern sind Snowdens Enthüllungen da sowieso schon veraltet. Der geile Scheiß ist halt Verschlüsselungen zu knacken bzw. Sicherheitslücken zu finden und diese auszunutzen. Irgendwelche selbst eingebauten Backdoors bei den Konzernen, sind da viel zu auffällig.
|
|
|
|
|
|
|
|
|
|
|
Ähhh... Wat? 
Backdoors der Hersteller sind so die "unauffälligste" bzw. am schwierigsten zu entdeckende Verseuchung überhaupt. Das ganze AOSP Modell (Android) ist um dieses Kernproblem gebaut.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von indifferent
Ähhh... Wat?
Backdoors der Hersteller sind so die "unauffälligste" bzw. am schwierigsten zu entdeckende Verseuchung überhaupt. Das ganze AOSP Modell (Android) ist um dieses Kernproblem gebaut.
| |
Ich glaube Darkness meint dass es einfacher/besser ist irgendwelche Backdoors aufzuspüren statt die über Zahlungen/Mittelsmänner extra in die Software einbauen zu lassen.
|
|
|
|
|
|
|
|
|
|
|
Was mich ein bisschen wurmt, nebenbei, ist das nun alle bei Telegram hängen, weil das ja auch total sicher sei und so, und so praktisch, etcpp.
Da noch jemanden wegzubekommen ist schwierig, weil man ja "gerade erst von whatsapp weg ist" und so – dabei ist mir mittlerweile WA fast schon sympathischer als der Telegram-self-rolled-crypto-inkonsequente-2/3opensource-Bullshit
|
|
|
|
|
|
|
|
|
|
|
Jo, das ist echt Mist. Vor allem verschlüsselt ja eh niemand bei Telegram  Ich hab auch noch Leute dazu gebracht von WA dahin zu wechseln und mittlerweile scheint WA fast besser zu sein :/ Wüsste auch gar nicht wovon man die Leute jetzt überzeugen sollte... XMPP ist zu kompliziert für meine Mutti und Riot überzeugt auch noch nicht so wirklich...
|
|
|
|
|
|
|
|
|
|
|
Telegram hab ich auch mal empfohlen als es rauskam, aber zu dem Zeitpunkt hatte WA noch keine Ende-Zu-Ende Verschlüsselung. Mittlerweile würde ich WA den Vorzug geben, Facebook ist wirklich gut darin, sich exklusiven Zugang zu persönlichen Daten zu geben.
Ich werde erst wieder missionieren, wenn Briar offiziell raus ist und was taugt. Glaube der Messenger wird daran scheitern, dass man ein PW benutzen muss um ihn zu starten... CSC kann das zwar auch, aber enforced es nicht. Die primäre Sicherung gegen physischen Zugriff ist da das Löschen der Session Keys, was problemlos ... hah, ne ... was andere Probleme bringt.
Außerdem hatte die Beta keine seamless Integration zum Verschicken von Bildern, wenn sich das nicht ändert kann man Briar eh vergessen.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von indifferent am 22.09.2017 1:31]
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Öhm... Sorry, aber kannst du die Frage vielleicht etwas klarer formulieren? Nicht bös gemeint, aber du sprichst da zwei Themen an, die a) wenig miteinander zu tun haben und b) nicht auf ja oder nein hinauslaufen, sondern auf eine einigermaßen anstrengende Abwägung. Passwörter ändern kann eine vergangene Kompromittierung beseitigen, aber je öfter man Passwörter ändert desto weniger Bock hat man, ein wirklich starkes PW auswendig zu lernen. Nur mal so als Beispiel.
|
|
|
|
|
|
|
|
|
|
|
Nur der erste Absatz. Der Rest war Randnotiz...
Geht darum, das meiner Meinung nach Sommer2017! genauso sicher als Passwort ist wie päF3#!8fTr3, wenn es beim Login nach 3 Fehlversuchen eine unumgängliche Sperre gibt.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Matatron*
Nur der erste Absatz. Der Rest war Randnotiz...
Geht darum, das meiner Meinung nach Sommer2017! genauso sicher als Passwort ist wie päF3#!8fTr3, wenn es beim Login nach 3 Fehlversuchen eine unumgängliche Sperre gibt.
| |
Das kann man so pauschal nicht sagen. Es gibt Fälle in denen trifft diese Annahme zu, es gibt aber ebenso auch Fälle in denen die Annahme nicht zutrifft.
Wenn der Account mit Sommer2017 der einzige ist bei dem dieses Passwort zum Einsatz kommt ist das schonmal gut. Wenn dann von Seiten des Anbieters noch eine vernünftige Maskierung des Passworts betrieben wird geht das (imo) klar.
Dann kann die Passwort-Datenbank ans Licht kommen, aber niemand kann was damit anfangen.
Wenn jedoch der Anbieter keine verünftige Maskierung betreibt kann mit der Passwort-Datenbank dein Passwort geknackt werden. Und da ist bei einem Angriff Sommer2017 sehr sehr sehr viel gefährdeter als ein sehr kryptisches Passwort.
Aber da gehört eben immer auch ein Versagen von Seiten des Anbieters dazu bei dem du das Passwort verwendest.
|
|
|
|
|
|
|
|
|
|
|
Das nur der hash eines Kennworts in der dB gespeichert wird ist natürlich Grundvoraussetzung und auch eigentlich nicht das Thema.
Gibt es hierzu nichts empirisches zu?
|
|
|
|
|
|
|
|
|
|
Aber auch mit Hash ist Sommer2017 einfacher aufzumachen als CorrectHorseBatteryStaple.
Raths rauchen!
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von FredBert am 23.09.2017 3:14]
|
|
|
|
|
|
|
|
|
| | Zitat von Matatron*
Gibt es hierzu nichts empirisches zu?
| |
Der einfachste Ansatz wäre doch erst mal:
- Beide Passwörter haben eine Länge von 11 Zeichen
- Beide Passwörter enthalten Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen
Geht man also mittels stupider Exhaustionsmethode vor und nimmt als Zeichenvorrat z.B. 72 wären also im schlechtesten Falle 11^72 = ca 269 Trillionen Versuche erforderlich.
Mit einer Wörterbuchattacke und dem Schema "$wort.$jahreszahl.$sonderzeichen" kommt man aber eben wesentlich schneller auf ein Passwort wie 'Sommer2017!' ...
---
Ich finde aber diese "regelmäßig passwort ändern policy" auch scheisse. Sie verleitet die leute doch viel eher dazu sich die Kennwörter auf nem Postit an den Monitor zu pappen oder eben dieses beliebte spielt mit einer Zahl, die inkrementiert wird, zu betreiben.
Wenns wirklich sicher sein muss, dann halt lieber so eine Kombination aus Passwort und Pin (SecurID).
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Swot
| | Zitat von Matatron*
Gibt es hierzu nichts empirisches zu?
| |
Der einfachste Ansatz wäre doch erst mal:
- Beide Passwörter haben eine Länge von 11 Zeichen
- Beide Passwörter enthalten Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen
Geht man also mittels stupider Exhaustionsmethode vor und nimmt als Zeichenvorrat z.B. 72 wären also im schlechtesten Falle 11^72 = ca 269 Trillionen Versuche erforderlich.
Mit einer Wörterbuchattacke und dem Schema "$wort.$jahreszahl.$sonderzeichen" kommt man aber eben wesentlich schneller auf ein Passwort wie 'Sommer2017!' ...
| |
Dieses Rechenexempel macht halt aber nur Sinn, wenn keine automatische Sperre stattfindet.
|
|
|
|
|
|
|
|
|
|
|
Wie oft werden denn Passwörter überhaupt auf eine Art geknackt, dass diese theoretischen Überlegungen sinnvoll sind?
Man liest immer wieder viel darüber wann ein Passwort sicher ist, aber wo spielt das in der Realität eine Rolle?
Ein Beispiel wäre halt eine verschlüsselte Festplatte/Laptop, die mir gestohlen wird. Da hat der Angreifer belibig Zeit und Möglichkleiten.
Aber ansonsten werden immer die Betreiber einer Website gehackt und so Daten kompromitiert. Noch hier habe ich davon gelesen, dass durch Wörterbuch oder Brute-Force Online-Konten gehackt wurden. Solange mein Passwort nicht 1234 oder 0000 ist, sind das meiner Meinung nach theoretische Überlegungen.
Vielleicht ist Sommer2017 um viele Größenordnungen unsicherer, als rT§45REDTFGEW%H. Aber spielt halt praktisch keine Rolle, wenn ich nur drei Versuche habe das Passwort zu erraten.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von [eXz]CountZero
Aber ansonsten werden immer die Betreiber einer Website gehackt und so Daten kompromitiert. Noch hier habe ich davon gelesen, dass durch Wörterbuch oder Brute-Force Online-Konten gehackt wurden. Solange mein Passwort nicht 1234 oder 0000 ist, sind das meiner Meinung nach theoretische Überlegungen.
| |
Nope. Bei der Rechenpower die aktuelle CPUs und Grafikkarten haben sind solche Überlegungen nicht mal mehr für den Hausgebraucht theoretisch. Die Software zum Passwortknacken wird auch immer anwenderfreundlicher, ich wage zu behaupten dass das heutzutage jedes Skriptkiddie hin kriegt.
Das Szenario das du beschreibst ist ziemlich das wahrscheinlichste wie dein Passwort in fremde Hände gelangt und wenn du das selbe Passwort dann noch bei mehreren Diensten einsetzt, ist die Sicherheit von "Gesperrt nach 3 Versuchen" auch dahin. Ich finds gefährlich sich so in falscher Sicherheit zu wiegen. Ich bin in der Hinsicht auch ein wenig paranoid, aber auch nicht ohne Grund: DBs mit Passwort-Hashes leaken dauernd, und sobald's geleakt ist wirds früher oder später geknackt.
|
|
|
|
|
|
|
|
| Thema: Verschlüsselung und Anonymität III ( Privatsphäre jetzt ) |
