Bundesregierung will sichere Speicherung von Passwörtern kriminalisieren

Zitat Heise Online — Bundesregierung will Auskunft über IP-Adressen neu regeln:

[…] wird betont, dass die Auskunftspflicht auch für Daten wie PIN-Codes und Passwörter gilt, mit denen der Zugriff auf Endgeräte oder damit verknüpfte Speichereinrichtungen geschützt wird. Dies könnte sich etwa auf Mailboxen oder in der Cloud vorgehaltene Informationen beziehen.

Aha, halböffentliche technische Verbindungsdaten wie IP-Adressen kann man also im gleichen Atemzug wie persönliche und für ihre Funktion unbedingt geheim zu haltende Zugangsdaten zu Internetdiensten nennen…

Eine ganz hervorragende Idee von totalen Blindfischen

Die Idee ist so hervorragend, weil sie wie ein Leuchtturm aus dem Ozean der sonstigen intelligenzverachtenden Idiotie und technischen Blindheit herausragt.

Einmal ganz davon abgesehen, dass man mit dem gleichen Geist und der gleichen Vorstellung allmächtiger Staatsapparate auch ein Gesetz machen könnte, das jeden Menschen dazu zwingt, einen Zweitschlüssel für seine Wohnung bei der nächsten Polizeidienststelle abzugeben: Eine Auskunftspflicht für Passwörter beinhaltet, dass jede sichere Speicherung von Passwörtern für illegal erklärt wird.

Passwörter werden — zumindest bei seriösen Anbietern — niemals im Klartext gespeichert, sondern in Form eines Hashes¹, damit einem möglichen Angreifer nach einem erfolgreichen Angriff nicht die Passwörter zur Verfügung stehen. Das angewendete Verfahren ist nicht umkehrbar. Es ist nicht möglich, aus dem gespeicherten Hash das Passwort zu rekonstruieren. Genau das ist auch der Sinn der Sache, denn sonst wäre diese Verschlüsselung als Schutz vor einem Angriff nutzlos.

Wenn eine Auskunftspflicht für gespeicherter Passwörter besteht, wird diese Form der Speicherung, die guten und bewährten Standards des Datenschutzes entspricht, illegal. Das hat unter anderem zur Folge, dass Internetanbieter in der Bundesrepublik Deutschland ihren Datenschutz mutwillig verschlechtern müssten, um einem solchen Nonsens-Gesetz Folge zu leisten und alle ihre Nutzer zum Setzen eines neuen, dann unsicher gespeicherten Passwortes auffordern müssten. Dies gälte auch für große Freemail-Provider wie… sagen wir mal… GMX und Web.de. Und es gälte auch für Versandhäuser und vergleichbare Geschäftsmodelle, wenn diese eine „App“ anbieten und damit eben eine „mit einem Endgerät verknüpfte Speichereinrichtung“.

Das Ziel dieser Idee, die Einrichtung einer…

Telecom-Anbieter müssen die erwünschten Daten „unverzüglich und vollständig übermitteln“. Über derlei Maßnahmen haben sie gegenüber ihren Kunden sowie Dritten Stillschweigen zu wahren.

…unkontrollierbaren Überwachungsschnittstelle für eine Vielzahl von Internetaktivitäten aller Menschen in der Bundesrepublik Deutschland, ist ja deutlich genug; und dass in den Innenministerien der BRD viele Menschen sitzen, die 1984 nicht für einen mahnenden dystopischen Roman von George Orwell, sondern für ein Handbuch zur Gesellschaftsgestaltung halten, ist für einen regelmäßigen „Genießer“ des politischen Tagesgeschehens auch nichts Neues — aber dass sie dort in diesen ganzen Jahren voller antifreiheitlicher Ideen noch nicht einen Menschen gefunden zu haben scheinen, der auch nur eine Spur technischen Verständnisses hat und solche „Ideen“ auf technische Umsetzbarkeit untersucht, ist schon ein wenig dumm.

Ach ja, ins Aquarium der Blindfische ist gerade ein ganz besonders dickes Exemplar gefallen: Eine ganze Bundesregierung.

[via]

¹Natürlich wird nicht einfach nur ein Hash verwendet, sondern es werden zusätzliche Daten in den Hash aufgenommen (ein so genannter Salt) und die Hashfunktion wird in der Regel mehrfach angewendet. Alle Einzelheiten zu diesem gar nicht so einfachen Thema verrät die Websuchmaschine der Wahl. Ein erster, halbwegs allgemeinverständicher Einstieg ist das Lemma „Salt“ bei Wikipedia.