Feedback und Tipps zur PIM-LV vom 2020-04-15

Hier endlich das versprochene Feedback mit den Links zu den Kommentaren von der vergangenen Mittwochs-Session und einige andere Sachen.

Ich vergaß, bei meinen Kommentaren zu erwähnen, dass das Versenden von symmetrisch verschlüsselten Dateien in einer und das Passwort in der nächsten Email keinerlei besonderen Sicherheitsgewinn verspricht. Wenn jemand Emails abfängt, dann ist es gleich viel Aufwand, das für ein Email zu machen wie für alle.

Insofern bleibt zum halbwegs sicheren Dateiversand nur die Verwendung eines Services, der Dateien mittels Einmal-URLs dritten Personen zur Verfügung stellt oder das Verwenden von zwei unterschiedlichen Medien wie beispielsweise Email und dann das Passwort per Telefon.

Für die technisch versierten unter euch empfehle ich mal das Ausprobieren von magic wormhole. Das ist in seiner Grundform vorerst leider nur ein Kommandozeilentool. Dafür ist es wirklich einfach zu verwenden:

 wormhole send Datei.docx	  

... ergibt dann einen Einmal-Code wie "7-crossover-clockwork".

Dieses "7-crossover-clockwork" ist das Einzige, dass ihr euren Kommunikationspartner übermitteln müsst. Der macht also dann ein:

 wormhole receive	  

und gibt dann 7-crossover-clockwork ein. Damit startet der direkte und verschlüsselte Dateiaustausch für genau ein Mal.

Der Nachteil ist, dass beide Kommunikationspartner online sein müssen. Vorteil: man merkt sofort, wenn die Datei von jemanden anders geklaut wurde, man braucht keine Serverinfrastruktur, das funktioniert von jedem mit dem Internet verbundenen Gerät auf jedes andere, und so weiter.

Hier ist eine Batch-Datei, womit man magic wormhole (als lokaler Admin) per Chocolatey installieren kann. Bitte nur anwenden, wer's auch versteht, was das macht.

Eine grafische Oberfläche dazu habe ich erst kürzlich entdeckt und konnte es noch nicht testen. Kann noch nichts zur Benutzerfreundlichkeit von der Installation und Betrieb sagen.

Klar ist: beide Kommunikationspartner müssen magic wormhole installiert haben.

PiN-Safe habe ich mir mal per Webseite angesehen. Sie sind wenigstens so ehrlich und schreiben alles in ihre FAQs hinein.

Der Einfachheit halber kommt mein Kommentar als Listenform, wie ich es bei meiner Recherche selber mitnotiert habe:

• Laut FAQs hängt die Anzahl der möglichen Passwörter von deren Länge ab. Das bedeutet, dass man weniger als 50 Passwörter speichern kann, sofern man sichere, lange PW verwendet.
• Laut FAQs kann ich nur mit einem einzigen Handy eine NFC-Karte benutzen. Ich hätte stattdessen logischerweise die Passwörter gut verschlüsselt am Handy gespeichert und auf der NFC-Karte nur das extralange Entschlüsselungspasswort. Der PIN schaltet das Entschlüsselungspasswort von der KFC-Karte für die App frei. Das würde eine unbegrenzte Anzahl von Passwörter erlauben ohne einen Verlust beim Sicherheitslevel.
  • Würde auch Backup einfacher machen, denn für ein Backup, müssen die Passwörter sowieso in irgendeiner Form aufs Handy kopiert werden.
  • In Kombination mit den Punkten oben erscheint es mir, dass sich die Macher bewusst gegen diese Methode entschieden haben, um nehr Karten verkaufen zu können. Denn: mehrere Karten auf einem Handy kann man verwenden, um die Anzahl der Passwörter zu erhöhen.
  • Falls das stimmen sollte: gegen "wir machen die technische Lösung absichtlich schlechter, damit wir mehr Geld machen können" habe ich persönlich etwas einzuwenden.
• Wenn man Handy verliert oder das Handy wechseln möchte, verliert man alle Passwörter, sofern man keine Backup-Karte mit aktueller Kopie hat.
• Allgemein: Vorsicht, bei Aussagen wie "Wir verwenden den AES256 Algorithmus. Der ist anerkannt und deshalb ist unser Produkt sicher."
  • Mein Hauptkritikpunkt: Der Algorithmus ist nur ein wesentlicher aber kleiner Bestandteil von der Gesamtlösung. Und selbst der Algorithmus selber kann fehlerhaft umgesetzt sein.
  • Die Aussage oben ist infolgedessen vergleichbar mit: "Der Balken über der Haustür vom Nachbarn, den ich für mein Haus nachgebaut habe, ist von Experten als stabil bezeichnet worden und deshalb ist mein gesamtes Haus gegen jeden Schaden immun." Ja, solche Behauptungen sind leider allgegenwärtig.
  • Weiters: Bei Closed Source kann man jederzeit behaupten, was das Marketing möchte. Es muss nicht unbedingt stimmen. Es kann niemand Unabhängiger prüfen. Das sieht man regelmäßig in der IT-Presse, wenn Details beispielsweise zu Facebook, Whatsapp, Apple usw. ans Tageslicht kommen. Das widerspricht technisch sehr oft der Eigenbehauptung.
    • Aktuelles Beispiel: Whatsapp als auch Zoom behaupten, End-to-End-Encryption zu verwenden. Das sind einfach dreiste Lügen. Die IT-Experten durchschauen das aber der Durchschnittskonsument ist beeindruckt und damit machen sie mit Leichtgläubigkeit und Unwissenheit leider gutes Geld.
  • Verkäufern, die mit einem Ding Geld machen, darf man nie glauben schenken. Immer zumindest deren echte Konkurrenz oder unabhängige Experten fragen. ;-)

SafeInCloud: die Werbung verheisst mal Gutes - vor allem die Option, dass die Passwörter angeblich nicht auf anderen Geräten landen. Wie üblich bei Closed Source Software: niemand hat die Chance, das zu prüfen. Insofern von mir keine Aussage zur Sicherheit möglich.

Ich verwende am Computer: https://keepassxc.org/

Meinem Handy kann ich leider nicht so vertrauen wie meinen großen Computer. Google hat mit Android leider zu viele Möglichkeiten, Dinge zu machen, die ich nicht unterbinden kann. Bei Apple (iOS) ist das noch viel schlimmer. Insofern betrachte ich mein Handy als potentiell verseucht.

Wenn ich das nicht täte, würde ich mir ein syncthing-Share zwischen meinen Computern einrichten, wo die KeePassXC-Datei liegt. Diese verschlüsselte Datei würde ich damit auf mein Handy holen und dann würde ich Keepass2Android Password Safe testen, das eine freie Android-Software ist, die KeePassXC-Datenbanken mobil zugänglich macht.

Alles kostenfrei, offen und damit für unabhängige Experten überprüfbar.

Als "Platzhirsch" auf Android, wenn es um Emailempfang und Versenden geht, habe ich K-9 erwähnt.

Ich habe mir da nichts Besonderes notiert bis auf meine Empfehlung, von Cloud-basierten Passwortmanagern dringend Abstand zu halten.

Ich habe mir da nichts Besonderes notiert.

Ich erwähnte den äußerst simplen Hipster-PDA, den ich auch immer mit dabei habe.

Aus meinen eigenen Notizen zu Papier-basierten Methoden:

• https://web.archive.org/web/20180828095336/https://huytd.github.io/the-best-todo-list-method.html

• https://zapier.com/blog/digital-and-paper-note-taking-systems/
  • Bullet Journal
    • very cool paper-based method I'd probably use
    • you don't have to buy his book or pre-printed pages! It's a DIY method.
    • meanwhile, there are Android/iOS apps but this does introduce some drawbacks IMHO
    • more explanations of Bullet Journal:
  • https://www.hongkiat.com/blog/to-do-lists-by-hand/
  • Strikethru
    • simpler compared to Bullet Journal
    • offers a reference system I don't need/get
  • Autofocus System - Get Everything Done
    • even more simpler concept
  • I can not recommend pens that digitize your pen&paper-stuff for various reasons (price, limitations, accuracy, usability, …)
    • examples: Livescribe

Sofern es einfach aber nicht unbedingt auf Papier sein muss:

• http://todotxt.org/
  • Sehr einfache Methode
  • Kann man mit so ziemlich jedem einfachen Texteditor (Notpad?) umsetzen.

Hier sind ein paar Projekte erwähnt, mit denen man selber (oder eben die IT-Adminstration) kollaborative Services auf eigenen Computern im Netzwerk aufsetzen kann:

• https://nextcloud.com/
  • Bringt euch gesharte:
    • Dateien wie Dokumente oder Fotos
    • Adressverwaltung
    • Terminkalender
    • Audio- und Videokonferenzen
    • Dokumentbearbeitung à la Word (Textverarbeitung/DTP), Excel (Tabellenverarbeitung), PowerPoint (Präsentationen), Notizen und so weiter.
  • Sehr euch die Beispielkunden an - da sind durchaus große Namen dabei: skaliert von den 38€ teuren Raspberry Pi-Computern bis hin zu Serverfarmen.
• https://freedomboxfoundation.org/
  • Ähnlich zu NextCloud: Fokus auf möglichst einfach zu bedienende eigene "Server" auf billiger Hardware. Ich habe sowas selber daheim (Pioneer FreedomBox Home Server Kit), habe allerdings bislang nur Kalender-Sharing mit meiner Frau damit eingerichtet. Das funktioniert.
• https://cryptpad.fr/
  • Der URL ist üblicherweise das Zugangspasswort → einfach URL versenden und ihr könnt gemeinsam an Dokumenten arbeiten
    • Dokumentbearbeitung à la Word (Textverarbeitung/DTP), Excel (Tabellenverarbeitung), PowerPoint (Präsentationen), Notizen, Abstimmungen, Whiteboard, Kanban-Boards und so weiter.
  • Ihr könnt das dort gleich ausprobieren oder selber installieren, da gratis und freie Software.
  • Andere öffentliche Instanz zum Herumspielen: https://cryptpad.piratenpartei.de/
• https://etherpad.org/
  • wie CryptPad nur weniger Fokus auf Sicherheit, dafür wesentlich einfacher
  • kann nur Text aber das sehr gut inklusive "Zeitmaschine"
  • Selber installieren, da wieder gratis und frei oder mal ausprobieren u.a. auf http://pads.ccc.de/
  • Der URL ist üblicherweise das Zugangspasswort → einfach URL versenden und ihr könnt gemeinsam an Dokumenten arbeiten

Man muss nicht immer alles selber evaluieren, wenn es unabhängige Experten gibt, die das für einen erledigen.

Beispiele dazu:

Electronic Frontier Foundation machen gute Arbeit, um unsere digitalen Rechte zu schützen. Deswegen habe ich schon öfters gespendet. Die stehen hinter dem panopticlick (Beurteilung von Browser-Tracking), Surveillance Self-Defense | Tips, Tools and How-tos for Safer Online Communications, HTTPS Everywhere (wichtige Browser-Erweiterung), privacybadger (wichtiges Privacy-Add-On für Browser; in LV erwähnt) und so weiter.

Leute, die auf Sicherheit und Privatsphäre achten müssen und sich gegen unsere Regierungen, Verfolgung und Nachrichtendienste verteidigen müssen (Journalisten, Dissidenten, Anwälte, Mitarbeiter von Firmen, die Firmenspionage nicht ignorieren, ...), finden auf Seiten wie diese hilfreiche Anleitungen.

Weiter geht's mit deren Tipps für "Innovation" und Sicherheit.

Vielleicht habt ihr schon mal von Noyb oder Max Schrems gehört. Ich finde das so großartig, was die machen, dass ich zahlendes Mitglied bin. Deren Blogbeiträge sind auch eine gute Quelle.

Digitalcourage finde ich auch sehr gut. Diese Seite gibt jede Menge guter Tipps für Software und Services, die nicht böse sind. Ihr werdet so Einiges wiederfinden, das auch ich empfohlen habe.

Zu deren digitaler Selbstverteidigung habe ich auch mal als Pendant einen Vortrag gehalten: https://karl-voit.at/2017/05/07/Digitale-Selbstverteidigung/ Ich habe mich bemüht, hier ein paar anschauliche Beispiele zusammenzutragen, die den technisch nicht so versierten Menschen dazu zu bewegen, etwas mehr Bewusstsein für Privatsphäre und Sicherheit aufzubauen.

Generell verweise ich hier auf alle meine Blogbeitrage zu Privatsphäre und Sicherheit.

• Es gibt Leute, die veröffentlichen, was sie schlussendlich an Werkzeugen nutzen
  • von mir: What App am I Using for What and How?
  • People Describing Their Hardware/Software Setup
  • What Do People Use to Get Stuff Done?

Vorsicht: solange keine Beschreibung der Anforderungen und der Werkzeugfindung dabeistehen, sind diese Informationen nur ein kleiner Teil der "Geschichte".

Ich habe noch erwähnt, dass ich einen YubiKey verwende und auch einen FIDO2-kompatiblen Token in Form von freier Hardware habe: SoloKey.

Weil mein Handy zu wenig NFC-Stromversorgung bietet, verwende ich allerdings als zweiten Faktor zur Authentifizierung die TOTP-Methode mittels FreeOTP. Das ist sehr bequem, einfach und hinreichend sicher. Bei mir im Einsatz für Twitter, GitHub, Rocket.Chat, gitlab, Mastodon, reddit, Protonmail.

Wenn jemand eine gute Alternative für Webmailer wie Gmail oder GMX sucht, empfehle ich seit einigen Jahren Protonmail. Die sind in der Schweiz, sind sehr bemüht um Sicherheit und bislang noch nie substantiell negativ aufgefallen. Das Basispaket ist kostenlos, erweiterte Dienste kann man kaufen. Edward Snowden benutzt es ebenso. Emails von einem Protonmail-User zum anderen sind Ende-zu-Ende verschlüsselt. Nicht mal Protonmail kann darauf zugreifen.

Ich selber habe meinen eigenen Emailserver aber falls ich den nicht hätte, wäre ich auch bei Protonmail.

Falls jemand einen Tipp für eine Notizen-App sucht, die einfacher ist als mein Org mode, so würde ich mal Joplin empfehlen. Hab's selber nicht probiert. Feedbacks klingen aber gut und sie haben auch mobile Clients.

Ich selber habe vor Org mode Zim am Desktop verwendet.

Ich finde Wikis extrem nützlich für Wissensmanagement innerhalb einer Firma. Ich habe bereits mehrfach Wikis in Firmen eingeführt: von der Anforderungsanalyse bis zur Softwareauswahl. Doch dann beginnt der Spaß erst so richtig. Jemand (oder eine kleine Gruppe) müssen sich von Anfang an um das Kuratieren der Inhalte kümmern. Vorgabe der groben Struktur, Verhaltensweise, Drüberschauen bei Änderungen, und so weiter. Damit möchte ich unterstreichen, dass das alleinige Hinstellen eines Werkzeuges noch laaaaaange keine Garantie ist, dass das auch funktioniert. In gewisser Weise muss auch der Chef dahinterstehen und (Firmen sind keine Demokratien!) Vorgaben festlegen.

Seiten wie https://en.wikipedia.org/wiki/Comparison_of_wiki_software oder https://www.wikimatrix.org/ helfen ein wenig bei der Recherche.

Notizen aus dem letzten Prozess, wo ich dabei war nur als Beispiel:

• Recommendations for the method:
  • Instead of uploading documents, create and use "K:\" without sub-folder, place files here and use only links in Wiki.
    • Much less management effort.
    • May cause broken links though.
  • Each page (or section?) begins with a person who is responsible for that page/section.
    • Find cool name for those roles
    • These people are responsible for up-to-date content and clean structure.
  • We need some kind of notification mechanism that notifies people who have "subscribed" to that page. (RSS/Atom/Email/internal/…)
    • Wiki.js lacks RSS/notifications :-(
• Recommendations for the tool:
  • Templating feature
    • new meeting notes, new customer page, …
  • Notifications on page modifications
  • Page history
    • who did when what
  • Decent search with search hit context
  • Easy to use lightweight markup language
    • import/export/pro-users
    • no lock-in
  • ActiveDirectory integration
    • no separate user-management

Das kann man auch gewichten:

• weighting
  • 1 D/C
  • 2 nice-to-have
  • 5 must-have
• feature satisfaction
  • 0 not available
  • 1 basic
  • 3 advanced
  • 5 perfect fit

Fit index:

Tool 1: 2*1+5*0+5*3+5*5+5*3+1*3 = 60

Tool 2: 2*3+5*1+5*3+5*3+5*5+1*5 = 71

Ich selber habe (alte) Erfahrung mit TWiki/Foswiki (an sich war es in den 0er-Jahren OK), Confluence (da fehlt mir eine Markup-Sprache zum Bearbeiten und nicht nur einmalig hinzufügen; teuer; komplex), DokuWiki (etwas komplex), ikiwiki (ziemlich cool aber nur für Techniker), MediaWiki (das steckt hinter der Wikipedia!) und SharePoint (ist meiner Meinung nach kein wirklich gutes Wiki).

Am besten, man macht mal ein initiales Brainstorming zu den Anforderungen in der Firma. Dann lernt man etwas dazu, damit man die Spaltenbeschriftungen bei Seiten wie dieser versteht und einordnen kann. Dann überlegt man sich ausführlich die Anforderungen mit dem neu gewonnen Wissen ob der Möglichkeiten und macht sich an die Toolauswahl. Eventuell 2-3 Kandidaten testweise aufsetzen und mit einem vordefinierten, representativen Inhalt befüllen.

Sobald man sich für ein Tool entschieden hat, beginnt erst die Arbeit, wie oben erwähnt.

In meiner Blog-Pipeline wartet schon ein halbfertiger Artikel, der ähnlich zu hier, den Prozess der Findung eines Wikis betrachtet. Es lohnt sich also, meinem RSS-Feed zu folgen. ;-)