Erwarten Versicherungen etwa Vertrauen in ihre IT?

Ein kurzer Rant zur IT Security bei Versicherungen muss jetzt sein. Ich bekomme eine Mail, dass eine Nachricht in der Postbox liegt. Darin wird schon darauf hingewiesen, dass man die Zugangsdaten online neu beantragen kann. Verständlich, weil man meldet sich ja nicht täglich dort an. Ok, Zugangsdaten vergessen. Ich gebe meinen Namen, eine Zahl vom Perso, die übliche Sicherheitsabfrage über Familienmitglieder und Vertragsdaten an. Danach darf in der Korrespondenz von 2009 nach einer PIN suchen und danach ein neues Passwort vergeben. Nebenbei erfahre ich meinen kryptischen Login-Namen. Soweit so gut, die müssen sich wohl extrem absichern. Denke ich. Und plötzlich … Continue reading Erwarten Versicherungen etwa Vertrauen in ihre IT?

Warum nicht X.509?

Nur weil SpON die DE-Mail gerade wieder hochspielt, mal die Frage warum man das nicht auf dem einfachen Weg lösen kann? Mit S/MIME uns X.509 existieren bereits elegante Lösungen der sicheren Mail und so ziemlich jeder aktuelle Client kann damit umgehen. Leider kosten die Zertifikate immer noch mehr, als der Durchschnittsbürger dafür ausgeben würde. Bei Elster bekommt man eins “umsonst”, allerdings nicht für Emails. Im SigG sind Anforderungen an Anbieter definiert, man könnte ja mal ausrechnen, auf welche Grenzkosten man bei flächendeckendem Einsatz noch kommt. Vielleicht ist der Weg über internationale Standards auf lange Sicht gar nicht so verkehrt. An … Continue reading Warum nicht X.509?

Verbindungsdaten und Verschlüssselung

Nachdem das umstrittene Gesetz zur Vorratsdatenspeicherung jetzt den Budestag passiert hat, rufen einschlägige Blogs und Foren zur Verschlüsselung auf. Leider bringt diese Aktion gar nichts, denn es sollen lediglich die Verbindungsdaten gespeichert werden. Auch bei verschlüsselten Mails sind Absender, Empfänger, Datum und Größe sichtbar und werden genauso protokolliert. Da bei der Verschlüsselung gleichzeitig auch signiert wird, schützt man so zwar den Inhalt der Kommunikation, bei den relevanten Verbindungsdaten ist man dafür wesentlich freizügiger. Schließlich schreibt jetzt nicht mehr Alf_23 @ hotmail.cn an Xx_Hot_Babe_xX @ yahoo.nu, sondern hinter den Adressen liegen auf den Keyservern öffentlich einsehbar die Realnamen der beiden Personen, … Continue reading Verbindungsdaten und Verschlüssselung

15

Es hat jetzt fast 1½ Jahre gedauert, seit heute kann ich 15 Punkte als Thawte Notary vergeben.Das ist immer noch nicht viel, zusammen mit einem Notary, der 35 Punkte vergeben kann, reicht das jetzt aber für ein persönliches Zertifikat. In God we trust — all others must submit an X.509 certificate.Charles Forsythe Continue reading 15

Profile, Passwörter und Datenzäune

Viele Onlinedienste verlangen inzwischen Paswörter mit einer bestimmten Länge oder zeigen die Stärke bei der Eingabe graphisch an. Für eigene Projekte gibt es schon einfache Anleitungen, wie man dies auch umsetzen kann.
Wichtigste Grundregel bleibt aber immer noch, dass man ein Passwort nicht an Dritte gibt. Am Arbeitsplatz wird dagegen verstoßen, weil man den Kollegen Zugang zu lokal gespeicherten Daten verschaffen möchte, in Foren erspart man dem Kumpel die Anmeldung für eine einzige Frage und in Browsergames ist es innerhalb der Allianzen ein strategischer Vorteil.

Wenn man seine Logindaten irgendwo im Internet eintragen soll, ist der in der Regel Phishing, oder ein innovatives Startup hatte eine neue Idee…

Continue reading “Profile, Passwörter und Datenzäune”

please leave all your firearms in the car

Schade, dass es davon kein Bild gibt: Dave Cross berichtet in der aktuellen Folge von PhotoshopTV von seinem Besuch bei Dell. Beeindruckend war das Schild am Eingang zum Visitor’s Center Please leave all your firearms in your car before entering the building. “the texian way of life.” Die Geschichte findet sich im Podcast ab der 22.Minute. Continue reading please leave all your firearms in the car

auf Punktejagd

seit heute gestern bin ich Thawte Notary und kann 10 Punkte vergeben. Thawte vergibt kostenlos S/MIME X.509 Zertifikate, die Identität der Nutzer wird dabei über ein Web of Trust sichergestellt. Für eine qualifizierte elektronische Signatur nach deutschem Signaturgesetz reicht das nicht ganz, aber immerhin ist das Root-Zertifikat von Thawte bei allen gängigen Betriebssystemen, Browsern und E-Mail-Programmen vorinstalliert. Somit wird das Zertifikat bei ziemlich jedem Empfänger als gültig angezeigt. Continue reading auf Punktejagd