Herzblut

Sicherheit muss man spüren. Sagte mein lieber Admin, wenn ich mal wieder über Wechsel-Zwang und erforderliche Komplexität von Passwörtern fluchte. In meiner eigenen Infrastruktur habe ich es mir meist bequemer gemacht.

Heartbleed war anscheinend simpel und wirkungsvoll – und nicht so lustig für die Sicherheit im Netz. Eine ganze Reihe von Diensten sind betroffen, Mashable hat eine schöne List für einen einsamen Vormittag. Und Nachmittag. Vielleicht auch Abend.

Dropbox, Facebook, Google – alles Dienste, die ich nutze und die mehr oder weniger sagen: Unwahrscheinlich, dass Du betroffen bist lieber Nutzer, aber wer sicher sein will, der sollte jetzt das Passwort wechseln.

Nun gab es bei mir eine recht einfache Password-Policy. Im wesentlichen drei Passwörter, je sensibler der Dienst, desto komplexer das Password – nur im äußersten mit individuellen Änderungen. Wechsel? Ja, nein, vielleicht – eher selten.

Damit sollte dann heute früh Schluss sein. Nicht nur Password-Wechsel, sondern auch 2-Faktor-Authentifizierung stand auf dem Programm. Spaß macht das nicht.

Google regelt das so: Man bekommt alle 30 Tage eine Aufforderung zur Eingabe eines Code, dieser kommt per SMS aufs Handy. Als Backup gibt eine kleine Liste von One-Time-Passwörtern für den Geldbeutel. Klingt erstmal nicht schlecht. Bis man dann feststellt, dass das natürlich nicht für die ganzen Endgeräte und Apps so einfach geht.

Jedes Gerät, jede App, jeder Dienst auf dem MacBook muss einmalig authentifiziert werden. Erst meckert Apple Mail, dass es keine Mails mehr abrufen kann. Dann meckert der SMTP Dienst. Und so fort. Das sieht dann im Laufe der Arbeit so aus:

Man fängt also an, diese Berechtigungen für Geräte und Apps alle einzeln zu hinterlegen. Das nervt. Sehr. Aber: Sicherheit soll man spüren. Sagt der Admin. Und die Arbeit kann man ja danach wieder erledigen.