Kreditkartenzahlungsverifikations-URLs wirken wie Betrug
Wenn ich online mit Kreditkarte bezahle werde ich häufig auf irgendwelche Webseiten von Zahlungsdienstleistern weitergeleitet. Deren URLs sind alles andere als nachvollziehbar seriös.
Einträge über Sicherheit
Spam-Direktnachrichten auf Twitter
Seit Musk den Großteil der Belegschaft bei Twitter gefeuert hat, sind wenig überraschend jetzt deutlich weniger Personen für die Moderation da. Und das sehe ich ganz deutlich in meinen Direktnachrichten. Es ist schon krass, was ich da für einen Schrott bekomme:
Password Guideline Nonsense
My company has solid security policies which seem to be oriented at best practices. And I am very glad that they don't enforce nonsense policies that would actually weaken the passwords that users choose. That of course isn't the case with every company. There is one particularly arcane case. They have these rules for passwords:
Secure Portals instead of Secure E-Mail
E-mail itself is a completely insecure message service. Mails are routed through all participating servers on the world, everyone can send them. And whatever washes up in your inbox could come from anyone. It is not that bad any more, the connection from sender to sender's provider and recipient and recipient's provider is usually transport layer encrypted. The connection between the providers is becoming encrypted as well, but there is no guarantee. Essentially the providers can still read the messages, which is unacceptable for confidential messages.
Identitätsverifikation mit Personalausweis-Scan
Es gibt immer wieder Situationen, bei denen man seine Identität im Internet nachweisen muss. Dafür braucht man also irgendwie ein Ausweisdokument, was auch digital funktioniert. In Deutschland haben wir dafür den elektronischen Personalausweis (ePA), der irgendwelche Zertifikate enthält. Mit einem geeigneten Lesegerät kann man damit seine ganze Identität oder nur sein Alter gegenüber einem Dienst verifizieren.
Signatures Seem Useless
There are two types of signatures, the one written with a pen on paper and the cryptographic one. I want to argue that the former kind has many issues.
Domain Names are Backwards
I try to sell some stuff that is sitting in the on eBay small ads. People will contact you via email or phone and ask for prices and pickup dates. Therefore it did not really surprise me to get a text message like this one here:
Bad Password Practices
Every now and then I create an account on a new website. Since numerous websites get breached, I choose a unique password for each website. All those are stored in a password manager. If you want to have a feeling for the number of breaches, look at Have I Been Pwned. Those are only breaches which became public, there are probably many unreported cases for each public one.
The lack of hardware security
The computers that we use seem to be build with inherently insecure hardware. Occasionally I consider my laptop somewhat secure. It runs Linux, has all the latest security updates and am careful when installing software. Also I do not let other people use it without me watching very carefully. However, there are so many things that can get you "owned", that is become insecure and your system taken over.
Sicherheit des ASUS BIOS Upgrade
Vor einigen Monaten habe ich mir ein neues Mainboard von ASUS gekauft. Ich hatte mir das Mainboard ausgesucht, weil es mit einem normalen AMD Prozessor ECC RAM unterstützt. Die mitgelieferte Software unter Windows erlaubt eigentlich auch das aktualisieren. Allerdings hat das nicht so sonderlich gut funktioniert. Also habe ich das von deren Webseite herunterladen und über einen USB-Stick durchführen wollen. Das Mainboard hat hinten einen extra USB-Slot, mit dem man BIOS-Updates durchführen kann. Gerade hatte ich mir auch einen neuen USB-Stick gekauft, so dass ich das sogar ohne große Bad-USB Risiken genießen konnte.