Transkript des Datenkanals - Herzlich Willkommen zum Datenkanal Nummer 30 - Ne 31, aber Zahlen sind ja Schall und Rauch. Und von daher bleiben wir lieber beim Thema der heutigen Sendung oder auch erstmal an dieser Stelle: Hallo von mir vom Jörg. (syntax: Mit - am Anfang deute ich an, dass der Sprecher wechselt) Als Thema der heutigen Sendung hatten wir uns etwas technisches wiedermal überlegt. Also nachdem die letzten drei Sendungen … nicht ganz so technischer Natur waren, wollten wir mal wieder in die Technischen Gefilde absteigen und uns einem Thema widmen, das vielleicht hier und da dem einen schon begegnet ist, so im praktischen Leben - und was quasi hochaktuell ist, schon jeden Tag wieder aufs Neue, sozusagen. Das Thema heißt Passwörter. Wir wollten uns ein bisschen um die Speicherung von Passwörtern kümmern. Das heißt, wir wollten erstmal ein bisschen erzählen, was kann man da so machen, welche Ansätze gibt es, Passwörter zu speichern? Und mal sehen, was sind so die Vor- und Nachteile der jeweiligen Methoden. Und vielleicht auch was sind so die neusten Entwicklungen auf dem jeweiligen Gebiet. Was ist so state of the art und kann man überhaupt Passwörter sicher kriegen oder ist das von vorneherein ein nutzloses Unterfangen. Also vielleicht an der Stelle kann man ja nochmal verweisen an den schon relativ alten Datenkanal von dem ich die Nummer gar nicht mehr aus dem Kopf weiß. Wir hatten uns mal vor ner ganz langen Zeit mit dem Christian Karlo über den NPA unterhalten, den man ja auch da verwenden könnte, werden also auch in den Shownotes nochmal darauf verlinken, bzw. es gibt ja auch andere Ansätze, ich sag mal Ubiqui zum Beispiel oder irgendwelche Chipkarten, die man hier benutzen kann, es gibt ja verschiedene Sachen, die man hier benutzen kann. Aber natürlich sehr oft benutzt wird der - ach der Datenkanal Nummer 14, der Jörg weist mich gerade netterweise darauf hin - sehr oft benutzt wird ja die Kombination aus Benutzername und Passwort. Und das gibt man halt in irgendeine Webseite ein, die meisten unserer Hörer werden das kennen, entweder eine Webseite oder selbst beim Log-In bei Windows, Linux oder Mac - ich weiß gar nicht, macht man das bei Mac eigentlich auch, Jörg? - Ja - Ich wusste nicht, ob Mac schon soweit ist, dass die sich das schon irgendwie ausgedacht haben, mit Benutzername und Passwort. - Jain, also ausgedacht haben sie es sich glaube ich nicht, sondern es wurden sie zwangsweise dazu getrieben, weil ja untendrunter ein BSD lief. - Grad bei Linuxen gibt es natürlich das auch schon seit ewigen Zeiten. Ich kann mich noch erinnern, dass das irgendwie Windows 98 das war für mich so ein klasse Erlebnis. Da sollte ich jemandem helfen an seinem Rechner, der irgendwelche Probleme hatte, der Rechner fuhr halt hoch, ich weiß nicht mehr wie es war, ob die Person halt ihr Passwort vergessen hatte oder was auch immer, und bei Windows 98 war es so, ein kräftiger Schlag auf die Escape-Taste führte dazu, dass man eingeloggt war, und bei ihr fiel halt die Kinnlade runter, als ich halt Escape drückte und dann in ihrem System war, weil sie war der Meinung, sie hat halt ein sicheres Passwort und jetzt kann nichts mehr passieren. - Ja, wobei da im Prinzip dessen, was da suggeriert wurde, war das verkehrte. Es war nicht die Absicherung des Systems, sondern es war eigentlich der Zugriff auf die Netzwerkresourcen. Und von daher eigentlich Passwörter sind auch schon von DOS-Zeiten her bekannt, wer mit Novell gearbeitet hat. Also alles, sobald es in irgendeiner Weise für ein Multi-Benutzer-System ging, war klar, musste natürlich der Benutzer identifiziert werden und authorisiert werden. Und das in dem Sinne ist Passwörter ist natürlich ein Mittel der Authorisierung, oder der Authentifizierung - jaja, das sind immer diese zwei … - Das können wir ja vielleicht im Lauf der Sendung nochmal klären, was es da so gibt. Authentifikation, Authorisation, Auhentisierung. Identifizierung. - Und all diese lustigen Wörter. An dieser Stelle gibt’s halt mehrere Möglichkeiten der Prüfung der Zugriffsberechtigung, um dann dem Benutzer gemäß seiner Zugriffsmöglichkeiten - oder per Rollen dann den Zugriff zu gewähren, beziehungsweise ihm halt ganz und gar den Zugriff zu verwehren. Passwörter sind halt das eine, klar im simpelsten Fall wäre nur ein simpler Benutzername schon ein primitives Zugangsbeschränkung, mag hier und da vielleicht schon ausreichend sein, aber das kann dann so weit gehen bis zu Biometrie und sonstigen anderen Prüfverfahren noch. - Vor langer Zeit habe ich diese RSA secure IDs gesehen, also letztlich ist es so eine Art Schlüssel. Es gibt natürlich verschiedene Ausprägungen, aber eine Form sieht aus von der äußerlichen Form ist es wie so eine Art Schlüssel. Und ist halt so ein kleines Display drauf und da werden halt immer irgendwelche Zahlen ausgewürfelt. Ich habe es glaube ich schon 1990, 2000 rum das erste Mal gesehen, oder vielleicht kurz danach, da war das aber halt noch mit Karte und da war halt auch so ein Teil drauf. Der rechnet dann immer eine Zufallszahl, und die muss man dann als zusätzliches Sicherheitsmerkmal mit ins System eingeben. Ja RSA hat traurige Berühmtheit - hat natürlich vielfältige Berühmtheit erlangt, aber die Firma RSA Inc. hat letztes Jahr ja relativ traurige Berühmtheit erlangt, weil im Zuge dieser NSA-Affäre bekannt geworden ist, dass sie wohl ungefähr 10 Millionen Doller erhalten hat von der NSA, um im Gegenzug halt unsichere Algorithmen mit einzubauen. Also das wird vermutlich der Firma nicht ganz geholfen haben. Jetzt bin ich nur grad durcheinander, weil jetzt kommt noch jemand drittes hier dazu. Ich wär vielleicht an dieser Stelle jetzt mal kurz meine Rede hier unterbrechen und euch etwas Musik spendieren, und nach der Musik komm ich dann mit unserem Überraschungsgast zurück. OK, was haben wir denn heut alles an Musik mitgebracht. Also ich hab einen kleinen Ordner wieder bei Jamendo mir runtergeladen. Bisschen Folk-Musik, also da wird das halt klassifiziert. Die erste Gruppe heißt heut Handmade mit dem Titel Grandfathers Clock. Ich wünsch euch erstmal viel Spaß beim Anhören und nach der Pause gibt’s mehr. Anmerkung 1: besondern nützlich sind solche Infos wie "bugmenot" ! — das hier ist erstmal ein Transkript. Links sollten die einfach in in die Shownotes packen. Anmerkung 2: bei Nutzung eines piratenpad erhhält man auch noch gleich eine Bewertung des Textes in Form eines "Flesch-Index" siehe https://piratenpad.de/p/ranga-kapitel-93 — ich habe den Link des Datenkanals genutzt. Welches Pad verwendet wird ist mir eigentlich egal - am Ende brauche ich nur was, bei dem andere mitreinschreiben können. Würden genug Leute Emacs nutzen, wäre Emacs Rudel-Mode für mich das Mittel der Wahl dafür: http://rudel.sourceforge.net/