Ich habe die letzten Tage etwas an unserem Backup optimiert. Wenn jemand mal Langeweile hat, kann ich reguläre Ausdrücke und ein paar geschachtelte Kommandos in der Linux Bash empfehlen 
http://blog.epsilontik.de/?page_id=68
Eigentlich bin ich mit der Cloud von Apple für meine MP3s ganz zufrieden. Wenn da nur nicht mein Adroid-Handy wäre, auf dem ich auch gerne ab und zu Musik hören möchte. Und aus irgendwelchen Gründen wird dieses Gerät von Apple nicht vernünftig unterstützt 
Nachdem der Amazon Cloud Player nun auch in Deutschland verfügbar ist, lag es also nahe, diesen einmal genau zu testen. Für den Anfang habe ich mich dabei mit der kostenfreien Variante begnügt, mit der sich 250 Songs verwalten lassen.
Um es kurz zu machen: Der Cloud Player lässt durchaus Potential erkennen, ist aber für den Moment noch nicht ausreichend ausgereift für mich. Die folgenden Punkt sind mir dabei ganz explizit aufgefallen:
Ich glaube, ich gebe Amazon noch einmal ein halbes Jahr Entwicklungszeit und schaue es mir dann noch einmal an……
Gestern bekam ich einen Brief von DHL, in dem ich informiert wurde, dass ich Details zu unserem Ablagevertrag (unser Paketbote kann damit die Pakete an einer vereinbarten Stelle ablegen) nun online regeln kann. Ein Benutzername und Passwort kam gleich mit.
Gesagt getan…. Als Erstes wollte ich dann auf der Website in guter Manier das Passwort ändern. Leider bekam ich dazu dann folgende Meldung:
Das Internet-Passwort darf aus mind. 8 und max. 13 Zeichen bestehen. Es müssen Groß- und Kleinbuchstaben sowie mind. eine Ziffer (die nicht als erstes stehen darf) enthalten sein. Des Weiteren dürfen nur die Sonderzeichen !§&/()=?*+-_ verwendet werden.
Wie bitte? Mein Passwort darf nicht länger als 13 Zeichen sein und darf am Anfang keine Ziffer haben? Ist das nicht meine Sache? Was ist denn das für ein schräges System? Und ein $ Zeichen in einem Passwort ist doch eigentlich auch nicht gerade selten. Viele Leute mögen es auch, ein E durch ein € zu ersetzen, um das Passwort etwas zu verbessern. Aber nicht mit der DHL.
Nun ja, mir ist das leider nicht zum ersten Mal passiert aber ich kann mich jedesmal wieder furchtbar darüber aufregen. Daher hier meine Bitten an Alle, die Systeme zur Authentisierung verwalten:
Darüber hinaus: Wenn Ihr schon solche Regeln aufstellt, dann sorgt bitte dafür, dass Eure Systeme sich auch selbst daran halten. Das Passwort, das die DHL mit per Brief mitgegeteilt hat, enthielt keinen Kleinbuchstaben
Und auch wenn ich jetzt etwas abschweife: Liebe Admins, bitte speichert die Passwörter Eurer Benutzer nicht im Klartext sondern als Hash (bitte gesalzen!). Es kamen in letzter Zeit immer mal wieder Meldungen auf, in denen berichtet wurde, dass bei Angriffen auf Systeme Klartextkennwörter erbeutet wurden. Für mich ist ein solches Verhalten ganz eindeutig grob fahrlässig und ich würde hoffen, dass die Rechtssprechung das bei Gelegenheit auch mal klarstellt und den Betreiber eines solchen Systems in die Pflicht nimmt.
http://blog.epsilontik.de/?page_id=5.
Die Tage bekam ich eine Email von einem Kollegen aus der Schweiz, der mich darauf aufmerksam machte, dass mein Twitter-Account wohl gehackt wurde. Ein kurzer Blick auf den Account, den ich eigentlich nur angelegt habe, um mich bei der Telekom zu beschweren (das ist eine andere Geschichte) bestätigte, dass über diesen Account seit Monaten Spam verbreitet wurde.
Offensichtlich ist mein Account dem Angriff auf Twitter Accounts im Mai zum Opfer gefallen (http://heise.de/-1571031). Aber entgegen den vollmundigen Ankündigungen hat mich leider niemand informiert 
Da ich wider besseres Wissen mein Twitter-Passwort auch in einer ganzen Reihe anderer Dienste verwendet hatte, habe ich diesen Vorfall zum Anlasse nehmen müssen, mal eine ganze Reihe von Passwörtern zu ändern. Nun ja, so hat auch ein solcher Vorfall noch etwas Gutes….
So früh hätte ich gar nicht damit gerechnet.
Liebe Sparkasse,
wie wäre es, wenn ich bestimmen würde, dass der Zinssatz für Darlehen – gleich welcher Art und in welcher Währung – in Zukunft nur noch maximal 5% betragen darf?!
Das ist unrealistisch? Die Zinssätze orientieren sich am Markt und am Ausfallrisiko? Der Mann hat keine Ahnung von Finanzwirtschaft? Und gerade in der heutigen Zeit ist die Bestimmung eines Zinssatzes hochkompliziert? Das stimmt….
Allerdings habe ich dafür ein wenig Ahnung von IT-Sicherheit. Und als Nutzer des Online-Bankings fühle ich mich ziemlich veräppelt wenn man mir mitteilt, dass die PIN, die den Zugang zu meinem Konto schützt, in Zukunft nur noch 5 Stellen lang sein darf.
5 Stellen? Das war vielleicht vor einigen Jahren oder Jahrzehnten eine vollkommen angemessene Länge für ein Passwort. Aber 2012?
Am Liebsten würde ich ja den webbasierten Zugang zu meinem Konto vollständig deaktivieren. Ich besitze einen Klasse 2 Kartenleser und eine HBCI Karte. Eine hervorragende Möglichkeit, den Zugang zu meinem Konto abzusichern. Stattdessen erhalte ich einen Brief, dass ich in Zukunft nun auch Mobile-TAN oder einen TAN-Generator nutzen muss. Deaktivieren lassen sich diese Zugänge nicht.
Statt mir die Möglichkeit zu lassen, mich auf einen sicheren Zugang zu beschränken, ist also mein Konto nun auch mit TANs aus einem Generator zu nutzen. Ja ja, ich will ja gar nicht sagen, dass der TAN-Generator ein unsicheres Verfahren ist. Aber warum bietet mein Konto eine Schnittstelle, die ich gar nicht nutzen will? Die Reduzierung der Angriffsfläche ist ein uralter Grundsatz in der IT-Sicherheit.
Liebe Sparkasse: Ich würde anbieten, mich aus der Zinspolitik herauszuhalten. Aber im Gegenzug würde ich mich freuen, wenn ihr die Hilfe eines kompetenten IT-Sicherheitsexperten in Anspruch nehmen würdet….
In diesem Sinne…….
to my little island in the web.
