spackblog

Ich sehe nach langer Beobachtung großes Potential im Microblogging als Ergänzung zu Blogs und Instant Messaging. Meiner Auffassung nach liegt es genau in der Mitte und das macht es gerade so spannend. Warum also twittere ich nicht schon lange vor mich hin? Machen doch jetzt alle und viele Informationen finden sich nur noch oder vorab bei Twitter. Ich hadere mit einer Anmeldung aus zwei Gründen:

Der wichtigere Grund ist, dass ich Twitter für eine proprietäre Einbahnstraße halte, solange es sich nicht einem offenen Protokoll wie OpenMicroBlogging öffnet. Ich habe keine Lust, mich bei mehreren Diensten anzumelden, die alle Kommunikationsinseln darstellen, nur weil die keine Lust haben, miteinander zu reden. Meine Forderung: Ich möchte als Twitter-Nutzer Nutzer anderer Dienste followen können (das heißt so viel wie abonnieren) und umgekehrt.

Der weniger wichtige Grund ist das unfassbare Phishing-Problem mit Twitter. Jeder Hinz und Kunz bietet an, irgendwas direkt auch in meinem Namen zu twittern (seit heute zum Beispiel auch Mister Wong bei neuen Bookmarks). Dazu muss man aber auch bei jedem Hinz und Kunz seine Twitter-Zugangsdaten hinterlegen. Hallo? Gehts noch? Ich gebe doch nicht an jeder Straßenecke meine Zugangsdaten zu einem wichtigen Kommunikationsmittel aus der Hand. Für dieses Problem gibt es längst eine Lösung, die Twitter aber bisher geflissentlich ignoriert hat: Mit OAuth kann man anderen Diensten bestimmte Funktionalitäten einmalig freischalten und fortan können die diese Funktionen in seinem Namen benutzen. Twitter hat immerhin angekündigt, OAuth zu implementieren. Aber die haben auch angekündigt irgendwann OpenMicroBlogging zu unterstützen und bisher ist da nichts passiert.

Also ich habe mich mal testhalber bei identi.ca angemeldet und poste da sporadisch ein paar Eingebungen. Erst mal nichts spannendes, denn ich weiß nicht, ob ich das dauerhaft benutze. Momentan fällt mir keine bessere Lösung ein und ich will den offenen Ansatz belohnen. Ich werde mich zudem trotz meiner Bedenken bei Twitter anmelden. Warum? Ganz einfach: Die Leute, deren Tweets ich folgen möchte (etwa udovetter, maltewelding oder gerritvanaaken), twittern nun mal und dank Twitters Weigerung, zu kooperieren, kann man von identi.ca aus keinen Tweets folgen. Das fratzt mich total an, aber meine Lösung heißt einfach: Twitter nur lesen, woanders schreiben.

Frage: Wollt ihr mehr über Twitter, identi.ca und OpenMicroblogging wissen oder langweile ich Euch zu Tode? Würdet ihr meine Microblogging-Inhalte lesen? Was müsste ich tun, damit ihr das lest? Bitte um Feedback, persönlich oder in den kommentaren. Aber ihr mögt ja alle nicht gerne kommentieren…

Bei jeder PayPal-Zahlung habe ich Angst. Der übliche Workflow lädt nämlich geradezu ein zum Phishing: Man klickt irgendwo auf einen irgendwie gearteten "Bezahlen"-Button und wird auf die Paypal-Bezahlseite weitergeleitet. Wer jetzt nicht peinlich genau auf die Domain und die Signatur achtet, dem könnte man derart leicht eine gefälschte PayPal-Bezahlseite unterjubeln, dass es nur so brummt: Einfach per Copy and Paste so eine Bezahlseite kopieren und die Werte des Eingabefeldes über ein eigenes Script umleiten, schon hat man die Zugangsdaten des PayPal-Nutzers. Wenn man danach die echte PayPal-Seite aufruft, wird der Bezahlvorgang sogar erfolgreich abgeschlossen und der Nutzer bemerkt den Account-Diebstahl nicht mal.

Dieses Phishing-Risiko besteht bei allen Diensten, die so arbeiten, nicht nur bei PayPal und das hat einen ganz simplen Grund: Die Dienste befürchten einen Komfortverlust beim Nutzer und wenn die Bezahlung nicht einfach und schnell ist, nutzen die Kunden andere Dienste. Ein echtes Dilemma, denn technisch gäbe es verschiedene Lösungsansätze, die aber eben alle mit Komforteinbußen verbunden wären.

PayPal selber führt gerade zwei Sicherheitsfunktionen ein, die aber in meinen Augen das grundsätzliche Problem nicht beheben, sondern lediglich die Symptome mindern:

Verfahren Nummer eins kostet einmalig 4,95€ und beschert einem ein kleines Gerätchen, das alle 30 Sekunden eine sechsstellige Zahl generiert, die nur PayPal (und eBay) kennt. Diese Zahl gibt man beim Login zusammen mit Benutzername und Kennwort ein und weist so recht sicher nach, dass man der Accountinhaber ist und nicht jemand, der die Accountdaten geklaut hat. Geklaute Accountdaten werden damit weitgehend wertlos, müssen also nicht mehr so stark geschützt werden, Phishing läuft weitgehend ins Leere. Man kann nur noch im Moment des Phishings den dann gültigen LogIn-Code ausspähen und den einen Transfer verändern. Diese Lücke lässt sich weitgehend abdichten, ob PayPal das auch macht, steht auf einem anderen Blatt. Andererseits ist das vorerst auch gar nicht nötig, denn dieses Feature muss erst vom Nutzer aktiviert und bezahlt werden, und man muss ständig so einen lästigen Schlüsselanhänger parat haben. Weit verbreiten wird sich das also nicht und genau da liegt der Trick: Für Angreifer ist es einfacher, sich auf Nutzer ohne dieses Feature zu konzentrieren und die Leute mit TAN-Token in Ruhe zu lassen.

Verfahren Nummer zwei ist etwas handlicher und funktioniert ein wenig wie PayBox damals (bzw. noch heute in Österreich): Das Handy wird in den Bezahlvorgang einbezogen: PayPal akzeptiert Zahlungen nur mit einem per SMS verschickten Authentifizierungscode. Wer das Handy und das Passwort hat, hat also die Macht. Die Kosten für die SMS berechnet PayPal dem Nutzer. Ein durchaus angenehmes Verfahren, für das das oben gesagte ebenfalls gilt: Zu aufwändig anzugreifen, solange es genug Nutzer ohne das Feature gibt.

Beide Verfahren lassen sich auch ohne das jeweilige Sicherheitsmedium benutzen, in dem Fall werden dem Nutzer zwei vorher festgelegte Sicherheitsfragen vorgelegt und die richtigen Antworten schalten den Transfer frei. Aber beide Verfahren gehen das zentrale Problem nicht an: Der Bezahldienst authentifiziert sich nicht wirklich dem Benutzer gegenüber. Klar gibt es da ein Sicherheitszertifikat, das man sich im Browser anschauen kann und das man überprüfen sollte. Aber ich kenne niemanden, der das macht und auch ich selbst mache das nicht immer. Die meisten Leute wissen nicht mal, wie man das überprüft geschweige denn ist ihnen klar, was es überhaupt mit SSL-Zertifikaten auf sich hat. Das kann keine allgemeingültige Lösung sein. Das Verschicken eines Authentifizierungscodes per SMS ist schon ein guter Ansatz, wenn jetzt noch das Passwort erst einen Schritt nach dem Code abgefragt würde, wäre auch das Passwort vor Fehleingaben geschützt, weil der PayPal sich gleichzeitig mit diesem Code beim Nutzer authetifiziert (bzw. durch die Tatsache, dass ihnen die Handynummer bekannt ist). Selbst da fallen mir noch Angriffsszenarien ein, aber die sind weit entfernt vom Massenphishing und daher nicht so gravierend. Ich werde jedenfalls auf das SMS-Verfahren umstellen, wenn die SMS zu vernünftigen Preisen versendet werden. Genau genommen, hätte ich es längst gemacht, wenn die nur eine Minute gültige Aktivierungs-SMS käme. Mit sowas steht und fällt das System, denn wenn der Aktivierungscode nicht kommt, kann man nicht bezahlen.

P.S. apropos PayBox. Dieses System war wirklich gut, simpel zu handhaben und immens praktisch und sicher. Man musste nichts weiter machen, als seine Handynummer anzugeben und den Anruf vom PayBox Computer abzuwarten. Dort wird einem der Betrag genannt, der Empfänger und um die Eingabe der PIN gebeten. Gibt man die ein, wird die Zahlung freigegeben. Nix mit mehrehren Passwörtern oder gar TANs hantieren. Das System ist damals aus mehreren Gründen in Deutschland gescheitert: Der wichtigste war, dass 10 DM pro Jahr, die der Nutzer bezahlen musste, nicht ganz wenig sind. Was sollte das? Wollte man unbedingt scheitern?

P.P.S. die payPal-Hotline nervt total, nicht nur wegen des lästigen und wortreichen Voice-Menüs für 14¢/min, sondern auch weil sie mich für doof halten (gehen wir zusammen noch mal die Rufnummer durch…) und mir dann nicht weiter helfen (Probieren Sie es noch mal in ein paar Stunden und melden Sie sich nochmal, wenn das immer noch nicht klappt.). Fast acht Minuten vertane Telefongebühren.