Vorlage:User committed identity

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
Zugesicherte Identität: {{{1}}} ist eine SHA-512-Zusicherung der tatsächlichen Identität dieses Benutzers.

Dokumentation[Bearbeiten]

Diese Vorlage ermöglicht es später nachzuweisen, dass du die gleiche Person bist, die zum Zeitpunkt der Einbindung Zugriff auf den Account hatte. Das wird erreicht, indem du einen Schlüssel in Deine Userpage einfügst, mit dem du später, selbst wenn der Account kompromittiert wurde, nachweisen kannst, dass du wirklich die Person warst.

Wozu[Bearbeiten]

Der Zweck dieser Vorlage ist eine Hilfe für den hoffentlich seltenen Fall, dass der eigene Account kompromittiert wurde. Falls du Deine reale Identität bekanntgegeben hast, ist es möglich, diese zu nutzen, um mit dir in Kontakt zu treten, falls nicht oder falls du nur Teile der Identität bekanntgegeben hast, ist es schwierig, die Identität überhaupt zu überprüfen.

Dieser Ansatz ist kein Ersatz für starke Passwörter oder eine in den Account eingetragene E-Mail-Adresse. Maßnahmen zur Sicherung des Kontos sollten unabhängig davon eingehalten werden. Zusätzlich kann es auch sinnvoll sein, einen PGP public key anzugeben. Aber selbst wenn trotz dieser Maßnahmen der Account kompromittiert wurde, z. B. durch ein Trojanisches Pferd oder einen Brute-Force-Angriff auf das Passwort, kann diese Maßnahme als letzte Hilfe nutzen.

Wie[Bearbeiten]

Die Idee basiert auf der Nutzung einer kryptographischen Hashfunktion, du wählst einen geheimen Satz, den nur du kennst, fütterst ihn an eine Einwegfunktion und veröffentlichst das Ergebnis. Da das Ergebnis für Niemanden auf den geheimen Satz zurückführbar ist, kannst du mit dem Satz nachweisen, dass du mit annähernder Sicherheit die Person bist, da das Ergebnis der Hashfunktion einfach überprüft werden kann. Ein Angreifer, der Deinen Account kompromittiert hat, wird wahrscheinlich nicht auch deinen geheimen Satz kennen.

Syntax[Bearbeiten]

{{User committed identity|hash string|hash function used|background=CSS color|border=CSS color|article=grammatical article for the hash function}}

Kursiver Text wird mit den passenden Daten ersetzt oder der entsprechende Parameter kann entfernt werden. Parameter werden als „parameter=value“ angegeben und durch einen senkrechten Strich | getrennt.

  • Bitte ersetze „hash string“ durch Deinen Hashwert. Der implizite Name dieses Parameters ist "1" (siehe numeric parameters).
  • Der Parameter „hash function used“ wird, wenn er nicht angegeben wird mit SHA-512 belegt. (Diese Hashfunktion wird empfohlen.)
  • Der Parameter „background“ wird, wenn er nicht angegeben wird mit #E0E8FF belegt (light blue, see Webfarbe#Hex triplet)
  • Der Parameter „border“ wird, wenn er nicht angegeben wird mit #E0E8FF belegt.
  • der Parameter „article“ wird für die Formulierung auf Deutsch nicht benötigt.

Wenn Dein Hashwert „aaaa“ mit SHA-1 ergibt und Du einen hellorangen Kasten mit schwarzem Rand haben willst, ergibt sich folgender Code:

{{User committed identity|aaaa|SHA-1|background=#FC9|border=#000}}

mit folgendem Ergebnis:

Zugesicherte Identität: aaaa ist eine SHA-1-Zusicherung der tatsächlichen Identität dieses Benutzers.

Auswahl eines guten Satzes[Bearbeiten]

  1. Dein geheimer Satz sollte nicht einfach zu erraten sein. Falls du deine Identität in der Wikipedia nicht bekannt gibst, sollte eine Beschreibung deiner Identität ein guter Satz sein. Falls du deine Identität bekannt gegeben hast, sollte der Satz mehr Informationen enthalten, die nicht einfach zu erraten sind. Ist der Satz einfach zu erraten, stellt er keinen überzeugenden Beweis für deine Identität dar. Zum Beispiel ist der Satz „Hans“ nicht überzeugend, während „Mein Name ist Hans Wurst und meine Adresse ist hwurst@example.com“ überzeugend genug sein dürfte.
  2. Dein Satz sollte genug Informationen über deine Identität enthalten, sodass er, einmal bekanntgegeben, eindeutig mit deiner Person in Zusammenhang gebracht werden kann. Zum Beispiel sollte der Satz eine Telefonnummer oder E-Mail-Adresse enthalten, unter der du erreichbar bist.
  3. Versuche keinen Satz zu wählen, der später vollständig überholt sein kann. Zum Beispiel sollte der Satz nicht nur deine Telefonnummer enthalten, weil diese sich später ändern könnte.
  4. Falls du deinen Satz ändern willst, kannst du das problemlos machen, du solltest aber alle alten Sätze behalten. Wenn du Deine Identität über diese Sätze bestätigen willst, ist es am besten, alle aufzulisten, um zu beweisen, dass man die gleiche Person seit der Erstellung des ersten Satzes ist.
  5. Dein Satz sollte nicht zu kurz sein, bitte mindestens 15 Zeichen. Ein energischer Angreifer könnte per Brute Force alle Kombinationen durchprobieren. Wenn Dein Satz 15 Zeichen lang ist, gibt es etwa 1027 mögliche Sätze (wenn man Buchstaben, Ziffern und Leerzeichen zulässt).

Berechnung des Hashwertes[Bearbeiten]

Bitte achte darauf, den genauen Text zu behalten, für den du den Hashwert berechnest, da du diesen später brauchst. Der Text sollte für dich einfach zu merken sein und für jeden Angreifer schwer zu erraten. Wenn der Angreifer den Text errät, ist der Ansatz genau so kompromittiert wie ein normales Passwort. Der Benutzername ist als öffentlich zugängliche Information eine genauso schlechte Wahl wie das Passwort, da dieses, im Fall der Kompromittierung, ja vom Angreifer ausgespäht wurde.

Auf unixoiden Rechnern gibt es die Programme sha1sum, sha224sum, sha256sum, sha384sum und sha512sum in den GNU core utilities. GnuPG kann ebenfalls einige SHA-Hashes berechnen. Wir empfehlen, SHA-512 zu benutzen. Die Vorlage fügt SHA-512 ein, wenn die Funktion nicht als Parameter angegeben wird. Aus Sicherheitsgründen sollte kein Webdienst genutzt werden, um den Hash zu berechnen. Kann lokal kein Programm installiert werden, bietet sich JavaScript an, das lokal ausgeführt wird, z. B. jsSHA oder HashCalc 2.01.

Wenn der Account tatsächlich kompromittiert wurde[Bearbeiten]

Wenn dein Account tatsächlich kompromittiert wurde, kannst du deine zugesicherte Identität gegenüber einer oder mehreren vertrauenswürdigen Personen nutzen, indem du den genauen Satz bekannt gibst, den du zum Berechnen des Hashes genutzt hast. Die Empfänger können dann die Hashfunktion für den Satz berechnen, das Ergebnis vergleichen und damit überprüfen, dass du die korrekte Person bist.

Wenn du deine Identität nachgewiesen hast und einen neuen oder den alten Account wieder nutzen kannst, musst du erneut einen Hash mit einem neuen geheimen Satz erstellen, da das alte Geheimnis bekannt geworden ist.


Bei technischen Fragen zu dieser Vorlage kannst du dich an die Vorlagenwerkstatt wenden. Inhaltliche Fragen und Vorschläge gehören zunächst auf die Diskussionsseite.