Wir empfehlen dir vorher die Seite zu Passwörtern durchzulesen. Dort erklären wir auch, wie lang deine Passphrase sein sollte und warum wir die Passphrase zufällig generieren. Es ist in jedem Fall nicht ausreichend, wenn du dir selbst 'zufällig' Wörter ausdenkst bzw. aus der Liste aussuchst. Außerdem empfehlen wir dir einen Passwortmanager zu benutzen damit du dir nur wenige wirklich sichere Passwörter merken musst.
Die Empfehlung sechs Wörter zu nehmen stammt aus dem offiziellen EFF Guide für Diceware
Die offizielle englischsprachige KeePassXC Dokumentation bietet einen sehr guten und umfangreichen "Getting Started" Artikel. Es empfiehlt sich diesen einmal durchzulesen um einen Überblick über die verfügbaren Funktionen zu bekommen!
Das funktioniert mit mit allen gängigen Handy Kameras, die QR-Codes lesen können.
Hier taucht sehr wahrscheinlich mehr auf, als das reine Secret
,sonder eine URL, die eigentlich für mobile Apps gedacht ist, z.B.: otpauth://totp/example.org:username?secret=PABRSLZNHFLAIENT&issuer=Example
Das Secret
versteckt sich hier zwischen dem secret=
und dem nächsten Sonderzeichen, hier &issuer...
.
Unser Secret
lautet somit: PABRSLZNHFLAIENT
.
Obwohl die Datenbank immer verschlüsselt ist, auch in der Cloud, gibt es Szenarien die dabei mitbedacht werden müssen. Lies dich hier schnell ins Beispiel Szenario einer potentiellen Bedrohung ein!
Das Anlegen des Teams ginge zwar auch unter Kontakte
, allerdings gehört euch dann das Team und das wollen wir wie weiter unten beschrieben, vermeiden. Falls die Collectives-App nicht verfügbar ist, legt unter Kontakte
ein Team an, denkt aber an die Probleme damit
Sollte nun der Ersteller-Account einer Ressource plötzlich gelöscht werden, werden auch alle Dateien gelöscht, die diesem Account gehört haben!
Deshalb ist es sehr ratsam, möglichst alle geteilten Ressourcen mit dem Gruppen-Account zu erstellen und sie von dort mit dem Team zu teilen.
Neue USB-Sticks werden oft mit FAT32 Formatierung ausgeliefert. Das ist in sofern ein Problem, als das auf FAT32 u.ä. keine Dateien größer 4GB abgespeichert werden können.
Da der Stick wahrscheinlich größer als 4GB ist, muss für Option 1 auch eine Datei (dh. der Ordner; siehe weiter unten) größer als 4GB darauf erstellt werden, was in diesem Falle fehlschlagen wird.
Das merkst du spätestens am Ende, wenn sich der Prozess (wie in dem Screenshot unten) bei 4GB aufhängt: $32GB \cdot 13% \approx 4GB$
Die Liste zeigt jetzt alle verfügbaren Speichermedien an, die mit dem Rechner verbunden sind, also auch andere Festplatten, USB-Sticks, SD-Karten usw.
Alle Dateien auf dem Gerät, dass hier ausgewählt wird, werden unwiederbringlich gelöscht, also stelle sicher, dass du das richtige Gerät auswählst!
Hier sollte nur beachtet werden, dass wenn später eine z.B. 100 MB große Datei in den Ordner gelegt werden soll, hier etwas mehr Platz gewählt werden sollte, z.B. 110 MB. Das liegt daran, dass die Verschlüsselung auch selber etwas Platz weg nimmt.
Sollte sich also auf einem 4GB großen Stick schon vorher 1 GB Daten befinden, wird der neue Container mit dieser Option 3GB groß und die vorhandenen Daten bleiben bestehen.
Das ist der Grund, warum wir ganz am Anfang die 1. Option gewählt haben, da bei der zweiten Option alle Daten gelöscht werden, sollte z.B. die falsche Festplatte ausgewählt werden.
Quick Format nur bei nagelneuen Speichermedien!
Nur auf verschlüsselte Datenträger backupen!
Wenn du dazu etwas beizutragen hast, schau gerne bei dem Issue vorbei und mach mit!
Zu den verschiedenen Arten von verdeckten Ermittler*innen suchen wir nach weiteren Informationen sowie nach Statistiken zu deren Einsätzen. Falls du hierzu etwas beitragen kannst, schau doch gerne mal in die verlinkten Issues rein.
eine einfache USB-Buchse mit der klassischen 5V Spannungsversorgung wird von keinem Handy als "Gerät" erkannt, dem irgendwelche Rechte gegeben werden sollten!
Besonders bei USB Ladebuchsen sei vor manipulierten Spannungsversorgungen gewarnt!
Anders als bei manipulierten Steckdosen, an denen ja noch euer eigenes Ladegerät steckt, kann hier eine manipulierte Spannungsversorgung das Gerät sehr direkt ernsthaft beschädigen.
Bei den Ermittlungen zu den G20 Protesten wurde Videomaterial mittels Gesichtserkennung ausgewertet. Hier könnten Details dazu eingefügt werden.
Um sogenanntem "eaves dropping" – also dem belauscht werden – entgegen zu wirken, akzeptieren die MFZ der neuen Standards nur Kommunikation, die mit ihrem jeweiligen Standard verschlüsselt wurden. Damit das Telefon also nicht merkt, das es eigentlich mit einer falschen MFZ verbunden ist, muss der IMSI-Catcher also auch eine real-funktionierende Verbindung zum Mobilfunknetz aufbauen. Dafür muss er die Verbindung zur MFZ wieder verschlüsseln.
Besonders beim Passwörter eintippen gilt besondere Vorsicht!
Da viele verschiedene Firmen solche Mobilfunkmodems produzieren ist es notwendig, sich untereinander abzusprechen. Sonst würden bei den täglich abertausend produzierten Modems schnell Nummern multiple Male vergeben werden.
Darum kümmert sich die GSMA (Global System for Mobile Communications Association). Der Name spricht hier für sich selbst.
Will ein Hersteller also ein neues Modell auf den Markt bringen, gehen sie zur GSMA und bitten um einen "Nummernraum", die 8 ersten Stellen. Nun dürfen sie alle produzierten Chips dieses Modells mit diesem Nummernraum benennen, also IMEIs vergeben.
Die Seriennummern dienen zur Unterscheidung einzelner Geräte des selben Modells.
Die Fehlerkorrektur ist ein bisschen schwarze Magie und kann hier wirklich vernachlässigt werden.
EIRs (Equipment Identity Register) sind im Grunde Datenbanken mit IMEIs. Meistens werden dort IMEIs gestohlener Handys in "blacklists" verwaltet (siehe weiter unten). Der Standard sieht aber auch "whitelists" vor. Das würde bedeuten, dass alle produzierten IMEIs erfasst werden und nur diese erfassten auch am Netzwerk teilhaben dürfen. Das wäre dann ein bedeutendes Sicherheitsrisiko, wenn ein Handy mit zurückverfolgbaren Zahlungsmethoden gekauft wird.
Beispiele für Modemhersteller: Qualcomm, Huawei, ZTE, Sierra Wireless, Netgear, Alcatel, TP-Link
Oft ist es aber ziemlich einfach eine Verbindung zwischen diesen beiden IMEIs herzustellen:
Oft werden die Seriennummern einfach hochgezählt (außer die error correction)
Wenn dauerhaft zwei IMEIs immer am selben Ort sind lässt sich das korrelieren
Die Hersteller und Händler kennen die Korrelation der beiden IMEIs
Sollte hier ein EIR im Spiel sein, sind diese beiden IMEIs im EIR auch miteinander verknüpft. Ist also eine der beiden IMEIs bekannt, ist aus dem EIR auch die Zweite ersichtlich.
Würde nun einfach eine Verbindung aufgebaut werden, könnte jede*r in der Nähe mit geeigneter Hardware (bspw. Software Defined Radios ab 20€) sehen, welche Handys gerade mit welchen Sim-Karten im Netz eingeloggt und wie viel sie kommunizieren. Damit das nicht geschieht, geht das Prozedere noch um einen Schritt weiter: Die MFZ gibt dem Handy eine TMSI (Temporary Mobile Subscriber Identifier). Das Handy nutzt von nun an, aber auch nur in dieser Session, diese TMSI zur Identifikation. Loggt sich das Handy irgendwann aus dieser MFZ wieder aus und später wieder ein, beginnt das gesamte Prozedere von vorn und eine neue TMSI wird vergeben.
Falls du dich jetzt noch fragst, wofür das Handy sich nach der ersten Authentifizierung überhaupt noch weiter identifizieren muss: Versendete Pakete benötigen natürlich immer Empfänger (und Absender). Damit dein Handy also während einer Verbindung mit bspw. einer Webseite wieder gefunden werden kann, um dir die Inhalte zu präsentieren, muss "das Netz" natürlich wissen, welches Gerät du denn überhaupt bist.
Der Passwortmanager ist das essenzielle Tool, um den nötigen Sicherheitsvorkehrungen bezüglich sicherer Passwörter gerecht zu werden. Hier kannst du dir anschauen, was gute Passwörter sind und wie wir damit umgehen sollten: Gegenmaßname Passwörter
Bevor du deine alte Schlüsseldatei löschst, stelle sicher: 1. dass die neue Datenbank mit der neuen Schlüsseldatei funktioniert 2. Du das neue Passwort nicht direkt vergisst!
Lies mehr dazu in den Empfehlungen zu Passwortmanagern.
Wie du ein starkes Passwort mithilfe von Diceware einfach erstellen kannst erklären wir dir übrigens hier.
Wir gehen von einem MD5 gehashten Passwort aus und davon, dass die Angreifer die Hardware zur Verfügung haben die für das Training von ChatGPT verwendet wurde: 10000 NVIDIA A100 GPUs.
Kaufpreis: ca. 9000€ pro Stück für die günstigere Variante mit 40GB Speicher. Insgesamt also 90 Mio. Euro. Auch zur Miete ist diese Masse an Hardware auf Dauer nicht günstiger. Weitere details zum Szenario gibt es bei hive-systems welche die Berechnungen durchgeführt haben.
In der Informationstheorie muss zur Bewertung der Sicherheit immer angenommen werden, dass der Angreifer weiß nach welchem Verfahren wir das Passwort gebildet haben. Daher verwendet der Angreifer hier eine Wordlist-Attack. Ansonsten bleibt alles gleich.
Die Passphrase muss zufällig generiert worden sein. Beispielsweise mit Würfeln und Wortliste (Diceware), oder der jeweiligen Funktion des Passwortmanagers.
Daher bietet Authentifizierung mit Biometrie keinen guten Schutz gegen Sicherheitsbehörden.
Das folgende Szenario gilt aus technischer Perspektive nur bedingt für gängige Arten von Speichern, bspw. für klassische HDD-Festplatten! Bei Flashspeichern wie bspw. SD-Karten, USB Sticks oder SSD's gibt es noch zusätzliche Dinge zu beachten. Mehr dazu unter "Besonderheiten" weiter unten.
Wir brauchen Backups!
Es geht also auch darum, Mut zu Datenhygiene zu bekommen, indem gute Backups gemacht werden.