Vorlage:User committed identity

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Zugesicherte Identität: {{{1}}} ist eine SHA-2-Zusicherung der tatsächlichen Identität dieses Benutzers.

Dokumentation

Vorlage zum Identitätsnachweis eines Benutzers

Vorlagenparameter

ParameterBeschreibungTypStatus
hash-string1
Identifikationsschlüsselnummer, Digitale Signatur
Beispiel
2842c7b2a437dacd3a514e5cda4e2bc4c7a13f1f
Zeileerforderlich
SHA-Funktiom2
hash function used – Angabe zum verwendeten sicheren Hash-Algorithmus
Standard
SHA-2
Beispiel
SHA-512
Zeilevorgeschlagen
Hintergrundfarbebackground
Wert für die Hintergrundfarbe
Standard
#E0E8FF
Beispiel
#ABCDEF
Zeileoptional
Rahmenfarbeborder
Wert für die Rahmenfarbe
Standard
#E0E8FF
Beispiel
#DDDDDD
Zeileoptional

Format: inline

Vorlage zum Identitätsnachweis eines Benutzers

Vorlagenparameter

Diese Vorlage bevorzugt Inline-Formatierung von Parametern.

ParameterBeschreibungTypStatus
hash-string1

Identifikationsschlüsselnummer, Digitale Signatur

Beispiel
2842c7b2a437dacd3a514e5cda4e2bc4c7a13f1f
Zeileerforderlich
SHA-Funktiom2

hash function used – Angabe zum verwendeten sicheren Hash-Algorithmus

Standard
SHA-2
Beispiel
SHA-512
Zeilevorgeschlagen
Hintergrundfarbebackground

Wert für die Hintergrundfarbe

Standard
#E0E8FF
Beispiel
#ABCDEF
Zeileoptional
Rahmenfarbeborder

Wert für die Rahmenfarbe

Standard
#E0E8FF
Beispiel
#DDDDDD
Zeileoptional

Beschreibung[Quelltext bearbeiten]

Diese Vorlage ermöglicht es später nachzuweisen, dass du dieselbe Person bist, die zur Zeit der Einbindung Zugriff auf den Account hatte. Das wird erreicht, indem du einen Schlüssel in Deine Userpage einfügst, mit dem du später, selbst wenn der Account kompromittiert wurde, nachweisen kannst, dass du wirklich die Person warst.

Der Zweck dieser Vorlage ist eine Hilfe für den hoffentlich seltenen Fall, dass der eigene Account kompromittiert wurde. Falls du deine reale Identität bekanntgegeben hast, ist es möglich, diese zu nutzen, um mit dir in Kontakt zu treten, falls nicht oder falls du nur Teile der Identität bekanntgegeben hast, ist es schwierig, die Identität überhaupt zu überprüfen.

Dieser Ansatz ist kein Ersatz für starke Passwörter oder eine in den Account eingetragene E-Mail-Adresse. Maßnahmen zur Sicherung des Kontos sollten unabhängig davon eingehalten werden. Zusätzlich kann es auch sinnvoll sein, einen PGP public key anzugeben. Aber selbst wenn trotz dieser Maßnahmen der Account kompromittiert wurde, z. B. durch ein Trojanisches Pferd oder einen Brute-Force-Angriff auf das Passwort, kann diese Maßnahme als letzte Hilfe nutzen.

Wie[Quelltext bearbeiten]

Die Idee basiert auf der Nutzung einer kryptographischen Hashfunktion, du wählst einen geheimen Satz, den nur du kennst, fütterst ihn an eine Einwegfunktion und veröffentlichst das Ergebnis. Da das Ergebnis für niemanden auf den geheimen Satz zurückführbar ist, kannst du mit dem Satz nachweisen, dass du mit annähernder Sicherheit die Person bist, da das Ergebnis der Hashfunktion einfach überprüft werden kann. Ein Angreifer, der Deinen Account kompromittiert hat, wird wahrscheinlich nicht auch deinen geheimen Satz kennen.

Auswahl eines guten Satzes[Quelltext bearbeiten]

  1. Dein geheimer Satz sollte nicht einfach zu erraten sein. Falls du deine Identität in der Wikipedia nicht bekannt gibst, sollte eine Beschreibung deiner Identität ein guter Satz sein. Falls du deine Identität bekannt gegeben hast, sollte der Satz mehr Informationen enthalten, die nicht einfach zu erraten sind. Ist der Satz einfach zu erraten, stellt er keinen überzeugenden Beweis für deine Identität dar. Zum Beispiel ist der Satz „Hans“ nicht überzeugend, während „Mein Name ist Hans Wurst und meine Adresse ist hwurst@example.com“ überzeugend genug sein dürfte.
  2. Dein Satz sollte genug Informationen über deine Identität enthalten, sodass er, einmal bekanntgegeben, eindeutig mit deiner Person in Zusammenhang gebracht werden kann. Zum Beispiel sollte der Satz eine Telefonnummer oder E-Mail-Adresse enthalten, unter der du erreichbar bist.
  3. Versuche keinen Satz zu wählen, der später vollständig überholt sein kann. Zum Beispiel sollte der Satz nicht nur deine Telefonnummer enthalten, weil diese sich später ändern könnte.
  4. Falls du deinen Satz ändern willst, kannst du das problemlos machen, du solltest aber alle alten Sätze behalten. Wenn du Deine Identität über diese Sätze bestätigen willst, ist es am besten, alle aufzulisten, um zu beweisen, dass man die gleiche Person seit der Erstellung des ersten Satzes ist.
  5. Dein Satz sollte nicht zu kurz sein, bitte mindestens 15 Zeichen. Ein energischer Angreifer könnte per Brute Force alle Kombinationen durchprobieren. Wenn Dein Satz 15 Zeichen lang ist, gibt es etwa 1027 mögliche Sätze (wenn man Buchstaben, Ziffern und Leerzeichen zulässt).

Berechnung des Hashwertes[Quelltext bearbeiten]

Bitte achte darauf, den genauen Text zu behalten, für den du den Hashwert berechnest, da du diesen später brauchst. Der Text sollte für dich einfach zu merken sein und für jeden Angreifer schwer zu erraten. Wenn der Angreifer den Text errät, ist der Ansatz genau so kompromittiert wie ein normales Passwort. Der Benutzername ist als öffentlich zugängliche Information eine genauso schlechte Wahl wie das Passwort, da dieses, im Fall der Kompromittierung, ja vom Angreifer ausgespäht wurde.

Auf unixoiden Rechnern gibt es die Programme sha1sum, sha224sum, sha256sum, sha384sum und sha512sum in den GNU Core Utilities. GnuPG kann ebenfalls einige SHA-Hashes berechnen. Wir empfehlen, SHA-512 zu benutzen. Die Vorlage fügt SHA-512 ein, wenn die Funktion nicht als Parameter angegeben wird. Aus Sicherheitsgründen sollte kein Webdienst genutzt werden, um den Hash zu berechnen. Kann lokal kein Programm installiert werden, bietet sich JavaScript an, das lokal ausgeführt wird, z. B. jsSHA oder HashCalc 2.01.

Kopiervorlage und Beispiel[Quelltext bearbeiten]

{{User committed identity |1=hash string |2=hash function used |background=Farbwert|border=Farbwert}}

  • Bitte ersetze „hash string“ durch Deinen Hashwert. Der implizite Name dieses Parameters ist 1.
  • Im Parameter 2 bitte die verwendete „Hashfunction“ angeben, wenn er leer bleibt ist er mit SHA-2 vorbelegt. (Diese Hashfunktion wird empfohlen.)
  • Die Parameter background und border sind auf den Farbwert #E0E8FF voreingestellt.

Wenn Dein Hashwert „aaaa“ mit SHA-1 ergibt und Du einen hellorangen Kasten mit schwarzem Rand haben möchtest, benutze folgenden Code:
{{User committed identity|aaaa|SHA-1|background=#FFCC99|border=#000000}}

Zugesicherte Identität: aaaa ist eine SHA-1-Zusicherung der tatsächlichen Identität dieses Benutzers.

ohne Farbwerte {{User committed identity|aaaa|SHA-1}}

Zugesicherte Identität: aaaa ist eine SHA-1-Zusicherung der tatsächlichen Identität dieses Benutzers.

Wenn der Account tatsächlich kompromittiert wurde[Quelltext bearbeiten]

Wenn dein Account tatsächlich kompromittiert wurde, kannst du deine zugesicherte Identität gegenüber einer oder mehreren vertrauenswürdigen Personen nutzen, indem du den genauen Satz bekannt gibst, den du zum Berechnen des Hashes genutzt hast. Die Empfänger können dann die Hashfunktion für den Satz berechnen, das Ergebnis vergleichen und damit überprüfen, dass du die korrekte Person bist.

Wenn du deine Identität nachgewiesen hast und einen neuen oder den alten Account wieder nutzen kannst, musst du erneut einen Hash mit einem neuen geheimen Satz erstellen, da das alte Geheimnis bekannt geworden ist.

Werkzeuge[Quelltext bearbeiten]

Bei technischen Fragen zu dieser Vorlage kannst du dich an die Vorlagenwerkstatt wenden. Inhaltliche Fragen und Vorschläge gehören zunächst auf die Diskussionsseite. Sie können ggf. auch an eine passende Redaktion, Portal usw. gerichtet werden.