Der Bioinformatiker

As this post concerns Austria, it will be in German.

Ich habe kürzlich beim Login in das Netbanking der Sparkasse gesehen, dass nun nun ein verpflichtender Passwortwechsel eingeführt eingeführt wurde. Beim darauffolgenden Wechsel bin ich noch dazu über einen Bug gestolpert und habe deshalb den Helpdesk per Email kontaktiert. Hier mal die Antwort, warum nun verpflichtende Wechsel eingeführt wurden:

Bei der Diskussion um Mindestanforderungen an Passwörter müssen mehrere Angriffsvektoren unterschieden werden. Wenn brute force Attacken möglich sind (bzw. optimierte Varianten) so ist die Passwortlänge und die Qualität des Passworts ausschlaggebend. In diesem Fall ist die Pflicht zur Passwortänderung als eher untergeordnet zu sehen. Dieser Angriffsvektor ist im netbanking aber gegenstandslos, da systembedingt (Sperre nach vier Fehlversuchen) kein brute force möglich ist und auch sonst kein Zugriff auf z.B. gehashte Passwörter besteht, welche durch derartige Angriffe dann rückgerechnet werden könnten.

Ein valider und leider auch realer Angriffsvektor ist aber das Ausspähen von Passwörten durch Phishing bzw. Trojaner am Endgerät. Dieser Angriff lässt sich nicht durch besonders lange oder gut gewählte Passworte beeindrucken  – es werden 14 Stellen genauso “abgegriffen” wir der Klassiker “123456″.

D.h. es gibt einen realen Angriffsweg mit einer nicht zu vernachlässigenden Eintrittswahrscheinlichkeit – wie die Erfahrung zeigt. Nachdem es nun im netbanking schützenswerte Daten gibt (zB ihre ihre “>Kontaktdaten, Kontonummern, Kontostände, Umsätze des letzten Jahres, ihre Kreditkartennummer, ihre Versicherungen, Kredite usw.) muss der Zugang dazu adäquat abgesichert werden. D.h. Bedrohungen erfordern Gegenmassnahmen. Um nun zu vermeiden, dass einmal abgegriffene Verfüger/Passwort Passwort “>Pärchen jahrelang gültig sind (wie es die Anzahl von “Passwort ändern” Abläufen indiziert), ist ein Mindestmass an Änderungspflicht erforderlich. Es ist zwar richtig, dass in der Regel irgendeine Ziffer raufgezählt wird (Monat, Woche, sonstwas), nachdem man aber nur vier Versuche hat das Passwort zu erraten, ist dieser Punkt weniger relevant.

Wir möchten auch auf das “branchenübliche Referenzwerk” des BSI hinweisen und da besonders auf Maßnahme 2.11.

Es ist natürlich klar, dass das Beschriebene nicht 1:1 umgesetzt werden muss. Es ist – wie zu Beginn beschrieben  – ein praktikabler Kompromiss zu finden.
Auch die zu beachtenden Regeln müssen angemessen interpretiert um umgesetzt werden. Die Regel 10 (”Das Passwort muss regelmäßig gewechselt werden, z. B. alle 90 Tage.”) ist im Unterschied zu einigen SOLL-Bestimmungen eine MUSS-Bestimmung. Auch das impliziert, dass diese Massnahme wohl als branchenüblich (bzw. dem Stand der Sicherheitstechnik entsprechend) angesehen wird.

Das ist mal verständlich. Was ich noch nicht ganz verstehe, ist die Beschränkung auf eine Maximallänge des Passworts. Ich hofnetbanking #fe dass ich da noch eine Erklärung dafür bekomme.

Macht mit, bessere chancen gibt es so schnell nicht mehr!

http://www.mountaingrafix.at/2008/07/02/wir-verschenken-einen-ipod-touch-32gb/

Recently I succumbed to my gadget-addiction and got a iPod touch. I could restrain myself from buying an iPhone thanks to the ridiculous tariffs here.

Anyway, life was great and I was happy. I even bought the 20$ addon pack with the improved applications and the multipage home screen.

Then I read lots about the jailbreaking and that it was so easy to get good third party apps on my device, so I gave it a try.

First, I tried the Ziphone unlock, because “It’s so easy a caveman could do it!”. Well, a stone age cave man certainly would know what to do with the iBrick I had after trying this program. I, however, restored itto non-jailbroken pristine condition after approximately 10 minutes of cursing and freaking out.

An unfortunate combination of reinstalling my computer from scratch without using time machine and resetting the iTouch also led to the situation where I thought I had lost the 20$ app pack for good. Fortunately, Apple support was kind enough to allow me to download it again…

Anyway, after this desaster I tried the other simple jailbreak: PwnageTool. This works by running the jailbreak not on the device itself, but by modifying the firmware:

1. Get the original firmware (direct links via TUAW)
2. Prepare the device to accept the modified firmware (single click “iPwner” in the PwnageTool)
3. Let the PwnageTool modify the firmware (you can even set some custom options for the iPhone) and get a coffee, this may take some time
4. Load the modified firmware onto the device (option click restore to get the selection dialog)
5. Done. Enjoy the glory of Installer.app and try to create something like this: iPhone ad song

Well, it’s been a long time since I wrote something here. So I’ll fix up anything that’s broken, and write a recap of what has happened in my life since the last posts.

And then, hopefully, I’ll blog more often. Somehow I feel I got something to say again. But maybe that’s because of twitter.

The page “AddOneWord” tried something new: what would happen if people could write a story together, one word at the time…

The idea sounded good, so it made it to the frontpage of digg.com fast. Then, the number of participants rose above the critical mass, and the following ensued:

John rose quietly to avoid being heard leaving. Shit, fuck this .Where is my fucking Jetpack! Meanwhile, Heather was going to suck my hairy balls . She protested when the nasty taste reached her mouth and she looked amazed at the huge throbbing monster in my pants . Wow! She screamed as she bounced on my trampoline . After a while she died again and again and again and kevinrose died too. It was only Christmas but cheese was hep fucking crashed my cock . ROFL said the dog. jesus crippled me internally where my love nest was throbbing painfully emitting passionate cows of anal doom and gloom from beyond the grave of santa claws with a spoon SPARTAAAAAAAAAA. TheyAreCensoringOurEdits!! ADMINsuckBALLS HoldDownF5forTENminutes ihascheezburger MyNipplesExplodeWithDelight Then John took drugs to see reality but God said to RoguesDoItFromBehind that drugs are bad mmmmkay. . IMexplodingINmyPANTS dot comma Pedobear stays in vegas and marries marries elvis newton whoever that is . Anyway, my penis is swollen and raw. Help!

The internet is really a strange place…

I just came across two nice Firefox addons: Better Gmail and Better GCal. These make working with the Google webapps more efficient. The other addons I use are: Adblock plus, del.icio.us Bookmarks, Fasterfox, HTML Validator, IE Tab (on Windows) and the Skype extension.

 It has been some time since I last posted about IP telephony. Many things have changed, Skype is widely used (even normal devices support the protocol now in hardware, making nice things like mobile-phone-like gadgets that can use public hotspots possible).

I ranted a lot about VoipBuster and similar offers, but it seems my fears were unfounded. Voipbuster now offers free landline calls to Austria and Switzerland, and cheap (1cent/min) to Germany not to mention free landline calls to exotic countries (Guam, Estonia, Iceland, USA (+mobile!)) and SMS text messaging.

Gizmo Project is another provider, and they now offer free (5min/day or 10 if you register) calls via a normal browser (plugin required).

edit: I forgot to mention Jajah. I had heard a report about this company some time ago. They also offer free or cheap calls, but you only have to enter the numbers into the webform, and they call you and the recipient and connect you. The special thing about this company is that it was founded by two Austrians!

I just found one of the greatest videos on youtube: It features seriously great editing, I really like it!

Terminator vs. Robocop

This one here is a great stop-motion movie. I can not imagine how much time went into creating it…

I just read my computer magazine (c’t) and they have a nice article about ac’tivAid which is published by this magazine and offers some really nice solutions to speed up windows xp via keyboard shortcuts. It also offers multiple clipboards and nice stuff like that. Recommended for the power user!

Tomorrow is Towel Day! To anyone who cares, carry your towel around with you!

Elke and I will be in Strasbourg and of course we will carry our towels with us!