Zugesicherte Identität: {{{1}}} ist eine SHA-2-Zusicherung der tatsächlichen Identität dieses Benutzers.
Vorlage zum Identitätsnachweis eines Benutzers

Vorlagenparameter

hash-string1
Identifikationsschlüsselnummer, Digitale Signatur
Beispiel
2842c7b2a437dacd3a514e5cda4e2bc4c7a13f1f
SHA-Funktion2
hash function used – Angabe zum verwendeten sicheren Hash-Algorithmus
Standard
SHA-2
Beispiel
SHA-512
Hintergrundfarbebackground
Wert für die Hintergrundfarbe
Standard
#E0E8FF
Beispiel
#ABCDEF
Rahmenfarbeborder
Wert für die Rahmenfarbe
Standard
#E0E8FF
Beispiel
#DDDDDD

Vorlage zum Identitätsnachweis eines Benutzers

Vorlagenparameter

Diese Vorlage bevorzugt Inline-Formatierung von Parametern.

ParameterBeschreibungTypStatus
hash-string1

Identifikationsschlüsselnummer, Digitale Signatur

Beispiel
2842c7b2a437dacd3a514e5cda4e2bc4c7a13f1f
Einzeiliger Texterforderlich
SHA-Funktion2

hash function used – Angabe zum verwendeten sicheren Hash-Algorithmus

Standard
SHA-2
Beispiel
SHA-512
Einzeiliger Textvorgeschlagen
Hintergrundfarbebackground

Wert für die Hintergrundfarbe

Standard
#E0E8FF
Beispiel
#ABCDEF
Einzeiliger Textoptional
Rahmenfarbeborder

Wert für die Rahmenfarbe

Standard
#E0E8FF
Beispiel
#DDDDDD
Einzeiliger Textoptional

Beschreibung

Bearbeiten

Der Zweck dieser Vorlage ist eine Hilfe für den Fall, dass dein Account kompromittiert wird. Falls du deine reale Identität bekanntgegeben hast, ist es möglich, diese zu nutzen, um mit dir in Kontakt zu treten. Falls nicht oder falls du nur Teile der Identität bekanntgegeben hast, ist es schwierig, die Identität überhaupt zu überprüfen, und dann kann diese Vorlage helfen, falls du sie vor der Kompromittierung angewandt hast.

Wenn Du diese Vorlage in deine Benutzerseite einfügst, kannst du später nachweisen, dass du dieselbe Person bist, die zur Zeit der Einfügung Zugriff auf den Account hatte. Das wird erreicht, indem du einen Schlüssel (Hashwert) angibst, zu dessen Berechnung eine nur dir bekannte Information nötig ist.

Dieser Ansatz ist kein Ersatz für starke Passwörter oder eine in den Account eingetragene E-Mail-Adresse. Maßnahmen zur Sicherung des Kontos sollten unabhängig davon eingehalten werden. Zusätzlich kann es auch sinnvoll sein, einen PGP public key anzugeben. Aber wenn trotz dieser Maßnahmen der Account kompromittiert wurde, z. B. durch ein Trojanisches Pferd oder einen Brute-Force-Angriff auf das Passwort, kann diese Maßnahme als letzte Hilfe nützen.

Die Idee basiert auf der Nutzung einer kryptographischen Hashfunktion. Du wählst einen geheimen Satz, den nur du kennst, fütterst ihn an die Hashfunktion und veröffentlichst das Ergebnis (Hashwert). Da aus dem Ergebnis niemand den geheimen Satz rekonstruieren kann, kannst du mit dem Satz nachweisen, dass du mit großer Sicherheit die Person bist, die den Hashwert auf deiner Benutzerseite veröffentlicht hat. Wenn du den Satz angibst, kann einfach überprüft werden, ob er diesen Hashwert ergibt. Ein Angreifer, der Deinen Account kompromittiert hat, wird wahrscheinlich nicht auch deinen geheimen Satz kennen.

Auswahl eines guten Satzes

Bearbeiten
  1. Dein Satz sollte genug Informationen über deine Identität enthalten, so dass er eindeutig mit deiner Person in Zusammenhang gebracht werden kann. Zum Beispiel sollte der Satz eine Telefonnummer oder E-Mail-Adresse enthalten, unter der du erreichbar bist.
  2. Wähle keinen Satz, der später vollständig überholt sein kann. Zum Beispiel sollte der Satz nicht nur deine Telefonnummer enthalten, weil diese sich ändern könnte.
  3. Dein geheimer Satz sollte ausreichend Entropie enthalten, das heißt, Informationen, die ein Angreifer nicht kennen kann und die er nur durch Probieren ermitteln könnte. Gehe dabei am besten davon aus, dass er deinen Namen und sonstige Daten, die du in den Satz geschrieben hast, herausgefunden hat. Ein Standardsatz wie „Mein Name ist Hans Wurst und meine Adresse hwurst@example.com“ könnte erraten werden. Es empfiehlt sich daher, noch ein paar Zufallsdaten anzuhängen, z. B.: „Mein Name ist Hans Wurst und meine Adresse hwurst@example.com, und hier noch etwas Entropie: dehVG5sd cc0gbkla Ksnfl1Py 3me3A4sk“.
  4. Falls du deinen Satz später ändern willst, kannst du das problemlos machen, du solltest aber alle alten Sätze behalten. Wenn du Deine Identität über diese Sätze bestätigen willst, ist es am besten, alle aufzulisten, um zu beweisen, dass du die gleiche Person seit der Erstellung des ersten Satzes bist.
  5. Bitte achte darauf, den genauen Text deines Satzes zu behalten, denn du musst ihn ggfs. fehlerfrei angeben können. Der kleinste Unterschied führt zu einem völlig anderen Hashwert.
  6. Halte den Satz sorgfältig geheim. Wenn der Angreifer ihn errät oder herausfindet, ist der Ansatz genauso kompromittiert wie ein normales Passwort.

Berechnung des Hashwertes

Bearbeiten

Wähle eine Kryptographische Hashfunktion und berechne damit den Hashwert für deinen Satz. Moderne und sichere Hashfunktionen sind z. B. SHA-512/256 und SHA3-256. Längere Hashwerte als 256 Bit sind möglich, bringen aber aus praktischer Sicht keine noch höhere Sicherheit. Auf unixoiden Rechnern gibt es die Programme sha224sum, sha256sum, sha384sum und sha512sum in den GNU Core Utilities. GnuPG kann ebenfalls einige SHA-Hashes berechnen.

Aus Sicherheitsgründen solltest du keinen Webdienst nutzen, um den Hash zu berechnen, denn das würde es erfordern, deinen Satz ins Netz hochzuladen. Kann lokal kein Hashprogramm installiert werden, bietet sich JavaScript an, das lokal ausgeführt wird, z. B. jsSHA oder HashCalc 2.01.

Kopiervorlage und Beispiel

Bearbeiten

{{User committed identity |1=hash string |2=hash function used |background=Farbwert|border=Farbwert}}

  • Bitte ersetze „hash string“ durch Deinen Hashwert. Der implizite Name dieses Parameters ist 1.
  • Im Parameter 2 bitte die verwendete Hashfunktion angeben. Wenn er leer bleibt, ist er mit SHA-2 vorbelegt, welche eine sichere und empfehlenswerte Hashfunktion ist; aus der Länge des angegebenen Hashwerts ergibt sich in diesem Fall die Variante (SHA-224, SHA-256, SHA-384 oder SHA-512).
  • Die Parameter background und border sind auf den Farbwert #E0E8FF voreingestellt.

Wenn Du z. B. SHA-1 nutzt und sich der Hashwert „aaaa“ ergibt und Du einen hellorangen Kasten mit schwarzem Rand haben möchtest, benutze folgenden Code:
{{User committed identity|aaaa|SHA-1|background=#FFCC99|border=#008800}}
Das ergibt

Zugesicherte Identität: aaaa ist eine SHA-1-Zusicherung der tatsächlichen Identität dieses Benutzers.

Und ohne Farbwerte und mit SHA-512/256:
{{User committed identity|960ce639baa0fc37630e1d8fa73845ffd97357258b7b920669aed6e6c46efc78|SHA-512/256}}

Zugesicherte Identität: 960ce639baa0fc37630e1d8fa73845ffd97357258b7b920669aed6e6c46efc78 ist eine SHA-512/256-Zusicherung der tatsächlichen Identität dieses Benutzers.

Wenn der Account tatsächlich kompromittiert wurde

Bearbeiten

Wenn dein Account tatsächlich kompromittiert wurde, kannst du deine zugesicherte Identität gegenüber einer oder mehreren vertrauenswürdigen Personen nutzen, indem du den genauen Satz bekannt gibst, den du zum Berechnen des Hashes genutzt hast. Die Empfänger können dann die Hashfunktion für den Satz berechnen, das Ergebnis vergleichen und damit überprüfen, dass du die korrekte Person bist.

Wenn du deine Identität nachgewiesen hast und einen neuen oder den alten Account wieder nutzen kannst, musst du erneut einen Hash mit einem neuen geheimen Satz erstellen, da das alte Geheimnis bekannt geworden ist.