Der Bioinformatiker

As this post concerns Austria, it will be in German.

Ich habe kürzlich beim Login in das Netbanking der Sparkasse gesehen, dass nun nun ein verpflichtender Passwortwechsel eingeführt eingeführt wurde. Beim darauffolgenden Wechsel bin ich noch dazu über einen Bug gestolpert und habe deshalb den Helpdesk per Email kontaktiert. Hier mal die Antwort, warum nun verpflichtende Wechsel eingeführt wurden:

Bei der Diskussion um Mindestanforderungen an Passwörter müssen mehrere Angriffsvektoren unterschieden werden. Wenn brute force Attacken möglich sind (bzw. optimierte Varianten) so ist die Passwortlänge und die Qualität des Passworts ausschlaggebend. In diesem Fall ist die Pflicht zur Passwortänderung als eher untergeordnet zu sehen. Dieser Angriffsvektor ist im netbanking aber gegenstandslos, da systembedingt (Sperre nach vier Fehlversuchen) kein brute force möglich ist und auch sonst kein Zugriff auf z.B. gehashte Passwörter besteht, welche durch derartige Angriffe dann rückgerechnet werden könnten.

Ein valider und leider auch realer Angriffsvektor ist aber das Ausspähen von Passwörten durch Phishing bzw. Trojaner am Endgerät. Dieser Angriff lässt sich nicht durch besonders lange oder gut gewählte Passworte beeindrucken  – es werden 14 Stellen genauso “abgegriffen” wir der Klassiker “123456″.

D.h. es gibt einen realen Angriffsweg mit einer nicht zu vernachlässigenden Eintrittswahrscheinlichkeit – wie die Erfahrung zeigt. Nachdem es nun im netbanking schützenswerte Daten gibt (zB ihre ihre “>Kontaktdaten, Kontonummern, Kontostände, Umsätze des letzten Jahres, ihre Kreditkartennummer, ihre Versicherungen, Kredite usw.) muss der Zugang dazu adäquat abgesichert werden. D.h. Bedrohungen erfordern Gegenmassnahmen. Um nun zu vermeiden, dass einmal abgegriffene Verfüger/Passwort Passwort “>Pärchen jahrelang gültig sind (wie es die Anzahl von “Passwort ändern” Abläufen indiziert), ist ein Mindestmass an Änderungspflicht erforderlich. Es ist zwar richtig, dass in der Regel irgendeine Ziffer raufgezählt wird (Monat, Woche, sonstwas), nachdem man aber nur vier Versuche hat das Passwort zu erraten, ist dieser Punkt weniger relevant.

Wir möchten auch auf das “branchenübliche Referenzwerk” des BSI hinweisen und da besonders auf Maßnahme 2.11.

Es ist natürlich klar, dass das Beschriebene nicht 1:1 umgesetzt werden muss. Es ist – wie zu Beginn beschrieben  – ein praktikabler Kompromiss zu finden.
Auch die zu beachtenden Regeln müssen angemessen interpretiert um umgesetzt werden. Die Regel 10 (”Das Passwort muss regelmäßig gewechselt werden, z. B. alle 90 Tage.”) ist im Unterschied zu einigen SOLL-Bestimmungen eine MUSS-Bestimmung. Auch das impliziert, dass diese Massnahme wohl als branchenüblich (bzw. dem Stand der Sicherheitstechnik entsprechend) angesehen wird.

Das ist mal verständlich. Was ich noch nicht ganz verstehe, ist die Beschränkung auf eine Maximallänge des Passworts. Ich hofnetbanking #fe dass ich da noch eine Erklärung dafür bekomme.

Motivated by the year of astronomy (and also by my interest in augmented reality), I took a look at some of the first applications haveiong a kind of augmented reality on the iPhone: astronomy apps. I found these four which support the use of the compass and accelerometer to show the user on the display what (s)he is pointing the iPhone at. Read the rest of this entry »

I’m just posting a short link-list of aweseome greasemonkey scripts that will massively enhance your geocaching experience.

OpenStreetMaps for Geocaching Maps: This allows to display OSM instead of the Google Maps. OSM often has more details, like footpaths. Can come in very handy when deciding from which direction the cache should be approached.

Geocaching Bag-o-Tricks: Many improvements to the geocaching.com site in general. Mostly small, useful tweaks.

GC Tour: Awesome tool to create a list of caches for a tour and print out a configurable, paper-saving and concise  listings. Simply a must-have!

GC Vote: Much improved version, now eliminated the most criticized errors. See what others think about the “Quality” of caches and rate those you found yourself.

Log Emoticons and BB Codes: One-Click-Adding of the special emoticons (and colour codes) for the GC.com log

Arthur is now 7 Weeks old!

... and he smiles!

Current Data:

4.8 kg – 57.5cm

37cm head circumference

I just tried out a new iPhone application called Pocket Universe: Virtual Sky Astronomy.

This is the first real augmented reality application on the iPhone 3GS. It uses the compass and tilt sensors to automatically turn the view of the night sky and shows the corresponding information.

It seems minimally buggy, especially when the tilt reaches certain angles, but it is an awesome proof-of-concept and shows what is possible with this hardware. After you see this, it’s easy to imagine other augmented reality applications, which also use the camera for additional input.

Soon, people will have this second layer of information at their fingertips. Now if only someone would bring out something like this for the iPhone….

I got my iPhone 3GS yesterday, and so I thought I should post my first impressions of the device and the updated software.

First and foremost, if you are used to the older 3G hardware, the speed and responsiveness will blow you away. There is no more lag, not even when playing some of the more graphics intensive games, the keyboard got rid of those annoying hangs and the new oleophobic touch screen stays much cleaner.

The second thing that blew me away was the user interface for the camera. Touch to focus works amazing.

The compass seems to work even better than the digital compass on my Garmin Oregon handheld GPS. The GPS reciever itself is as good or bad as in the previous model.
The iPhone OS itself is a solid improvement and optimization. Copy and paste seems to work great. I did not have many opportunities to test it, but it was handy for copying a strong password from 1password to Safari.

All in all a great device. I can only recommend it to everyone who does not absolutely need a physical keyboard (besides, the touch keyboard allows different layouts for muli-language users like myself).

I’ll post more in-depth comments later on. Most of this article was written on my iPhone via the Wordpress App, which does not seem to work correctly with the current Wordpress version – does anyone know about that or is that an error on my part?

Hey there.

The cause for the missing updates

We recently got our wonderfuly baby boy Arthur, which caused me to abandon the blog for a while (even though I promised otherwise not so many postings ago). So now I’ve updated the blog software and will use this blog to post updates on our son, as well as what is happening in my life.

our son

Macht mit, bessere chancen gibt es so schnell nicht mehr!

http://www.mountaingrafix.at/2008/07/02/wir-verschenken-einen-ipod-touch-32gb/

This is just a short test posting from my iPod touch…
Oh yeah, btw. I’m married now. Pixx will follow soon, from the wedding and from the honeymoon too.

Telc at night

Originally uploaded by Hannes Müller.

My fianceé and me spent the last weekend in the Czech Republic, near the wonderful town of Telč. I also took some photos and put the into my flickr stream.

Best thing there: the beer is unbelievably cheap and good! Around 20 Kč for 0,5l, that’s less than 1 Euro!