monkkee hat ein Sicherheitsupdate bekommen
Alles, was du in dein Online-Tagebuch auf monkkee schreibst, wird auf deinem Rechner verschlüsselt und erst danach an den monkkee-Server gesendet. So stellen wir sicher, dass niemand außer dir deine Einträge lesen kann. Diesen Sicherheitsmechanismus haben wir nun verbessert und an den aktuellen Stand der Technik angepasst. Hier erfährst du, was wir geändert haben und warum das die Sicherheit deiner Daten erhöht.
Wir rechnen mit dem Worst Case
Die Verschlüsselung soll deine Daten schützen, wenn andere Sicherheitsmechanismen versagt haben, wenn sich also zum Beispiel Hacker Zugang zum monkkee-Server verschafft haben. Das bedeutet natürlich nicht, dass wir nicht alles dafür tun, dass es nicht zu einer solchen Situation kommt. Die Verschlüsselung ist aber eine Art zweites Sicherheitsnetz - ähnlich wie Krankenhäuser Notstromaggregate anschaffen und so für Stromausfälle vorsorgen, ohne dass deswegen die Sicherheit der regulären Stromversorgung vernachlässigt würde. Das Sicherheitsupdate von monkkee ist also wie ein neues, leistungsstarkes Notstromaggregat. Seine Bedeutung zeigt sich dann, wenn der "Strom ausfällt" - sich also jemand unbefugt Zugang zu deinen verschlüsselten Daten verschafft hat.
Wenn das passiert ist, kann der Angreifer die verschlüsselten Daten nicht lesen. Aber er kann versuchen, sie zu entschlüsseln. Dazu benötigt er jedoch dein Passwort. Er könnte nun folgende Strategie anwenden: Er versucht zunächst, deine Daten mit dem Passwort "aaaaaaaa" zu entschlüsseln. Das wird vermutlich nicht funktionieren, außer dein Passwort ist zufällig "aaaaaaaa". Also probiert er "aaaaaaab". Wenn das fehlschlägt, "aaaaaaac". Und so weiter. Er könnte ein Computerprogramm einsetzen, um das Ausprobieren von Passwörtern zu automatisieren, und so viele Passwörter in kurzer Zeit ausprobieren.
Wie wir dich dagegen schützen
Die Gefahr, dass der Angreifer mit seiner Strategie erfolgreich ist, lässt sich auf zwei Wegen reduzieren: Erstens solltest du ein langes und komplexes Passwort wählen. Wir unterstützen dich dabei, indem wir dir bei der Registrierung anzeigen, ob du ein starkes Passwort gewählt hast. Zweitens sollte das Ausprobieren eines Passworts viel Rechenleistung in Anspruch nehmen, damit der Angreifer weniger Versuche pro Stunde machen kann. Dauert ein Entschlüsselungsversuch beispielsweise eine Millisekunde, kann der Angreifer in einer Stunde 3,6 Millionen Passwörter ausprobieren. Dauert ein Entschlüsselungsversuch eine Sekunde, kann er nur 3600 Passwörter pro Stunde ausprobieren.
Dabei gibt es nur ein Problem: Es wäre sehr unpraktisch, wenn die Entschlüsselung jedes Eintrags eine Sekunde dauern würde. Denn dann müsstest du ja selbst auch so lange warten. Wenn du dich bei monkkee einloggst und dir deine letzten 30 Einträge anzeigen lassen möchtest, würde die Entschlüsselung eine halbe Minute dauern!
Zum Glück gibt es eine einfache Lösung dafür. Deine Daten werden nämlich nicht direkt mit deinem Passwort verschlüsselt. Stattdessen wird zuerst aus deinem Passwort ein sogenannter Schlüssel abgeleitet. Mit diesem Schlüssel werden nun alle deine Daten ver- und entschlüsselt. Wichtig dabei ist: Das Ableiten des Schlüssels aus dem Passwort dauert lange; das Ver- und Entschlüsseln der Daten mit dem Schlüssel geht schnell. Es muss also nur ein einziges Mal der zeitaufwendige Prozess der Schlüsselableitung durchlaufen werden, nämlich nach dem Einloggen. Von da an können deine Einträge blitzschnell mit dem Schlüssel ver- und entschlüsselt werden. Der Angreifer aber muss jedes Mal, wenn er ein neues Passwort ausprobiert, auch einen neuen Schlüssel ableiten. Das Beste aus beiden Welten: Der Angreifer wird behindert, aber für dich funktioniert monkkee flüssig und ohne Wartezeiten.
Was wir verbessert haben
Computer werden im Laufe der Zeit immer schneller. Wenn die Schlüsselableitung vor ein paar Jahren noch eine Sekunde gedauert hat, lässt sie sich nun vielleicht schon in Millisekunden durchführen. In den letzten Jahren hat vor allem der Einsatz von GPUs (Grafikkarten) für komplexe Berechnungen einen enormen Sprung in der Rechenleistung gebracht. Es ist darum wichtig, am Zahn der Zeit zu bleiben. Immer mal wieder muss der Prozess der Schlüsselableitung so aktualisiert werden, dass er auch auf neusten Computern noch lange genug dauert, um einen effektiven Schutz zu bieten. Das ist ein wichtiger Teil des aktuellen Sicherheitsupdates: Wir haben die Schlüsselableitung verlangsamt.
Was du tun musst
Das Sicherheitsupdate musst du einmalig ausführen. Nach dem Login erscheint einmalig ein Dialog mit einem Button.
Stelle sicher, dass du ein leistungsfähiges Gerät und eine stabile Internetverbindung hast. Klicke den Button und warte, bis alle deine Daten einmal ent- und wieder verschlüsselt wurden. Anschließend sind die Daten deines Accounts auf dem neuesten technischen Stand.
Wir bleiben dran
Datensicherheit ist kein Zustand, der einmal erreicht wird und dann für immer bestehen bleibt. Deine Daten sind bei monkkee sicher, weil wir uns ständig weiterbilden und neue Entwicklungen im Blick behalten. Deshalb wird es höchstwahrscheinlich in der Zukunft weitere Sicherheitsupdates geben. Mit monkkee sind deine Gedanken gut geschützt - und du kannst dich ganz aufs Schreiben konzentrieren. Viel Spaß dabei!