Kommentare zu: Mit der DSGVO gegen Passworttotalitarismus

Von: Ar

Ar — Sat, 22 Feb 2020 18:41:59 +0000

Als Antwort auf tux0r.

Wenn Du ein „berechtigtes Interesse“ hast, kannst Du ziemlich viel Unsinn treiben und Dein Vorgehen kann EU-DSGVO konform bleiben.
-> https://www.datenschutzbeauftragter-info.de/was-ist-eigentlich-dieses-berechtigte-interesse/
Zusätzlich gibt es bei bei (Rechts-)Konflikten die Abwägung: https://portal.dnb.de/opac.htm?method=simpleSearch&cqlMode=true&query=nid%3D4141183‑3
-> Ich bin kein Jurist, vermute aber dass die Legislative die Abwägung nicht für jeden Einzelfall vornehmen wird, sondern nach Prüfung durch verschiedene Instanzen, eine ?Rechtsvorschrift/-norm? entsteht.

Ich finde EU-DSGVO/GDPR auch toll – aber es ist leider nicht geeignet jeden Unsinn anzuwehren.

Von: Matthias

Matthias — Fri, 21 Feb 2020 12:28:21 +0000

Als Antwort auf tux0r.

Die DSGVO regelt in dem Fall, wie die Login-Daten gespeichert werden. Sie regelt nicht ob die Polizei Loginvorgänge „abhört“, hätte also mit dem ganzen Thema gar nichts mehr zu tun, wenn du Behörden das so machen, wie ich befürchte.

Von: tux0r

tux0r — Thu, 20 Feb 2020 13:15:28 +0000

Als Antwort auf Matthias.

wären damit vermutlich immer noch DSGVO-konform

Inwiefern ist das „Abgreifen“ und Ausliefern von Logindaten DSGVO-konform durchführbar?

Von: Matthias

Matthias — Thu, 20 Feb 2020 12:38:44 +0000

Ich lese die Aufforderung ja anders:

Selbst wenn das Nutzerpasswort nach allen Regeln der Kunst gespeichert wird (PBKDF2, bcrypt oder Argon2). An genau einem Punkt wird es immer im Klartext übermittelt, und zwar beim Login (wenn auch über eine verschlüsselte Leitung).

Bei von Behörden geflaggten usern könnten die Anbieter also beim nächsten Login das PW für die Behörden „abgreifen“ und wären damit vermutlich immer noch DSGVO-konform. In modernen System kann man die Userpasswörter eh flaggen, um sie z.B. für ein erneutes Hashen zu markieren, weil man den Hashing-Algorithmus geändert hat oder die Anzahl der Iterationen erhöht hat. Da liessen sich dann sicher auch leicht „Behörden-Flags“ setzen. Anbieter hätten Behörden gegenüber also wenig Ausreden.

Von: tux0r

tux0r — Wed, 19 Feb 2020 20:18:10 +0000

Als Antwort auf s3sebastian.

Zum letzten Teil deiner Antwort klar d‘accord. Der Rest ist Spekulation – und ich bin mir auch nicht sicher, ob ein „Ausleiten“ nicht der DSGVO widerspräche. Hat da schon mal jemand Genaueres gelesen?

Von: s3sebastian

s3sebastian — Wed, 19 Feb 2020 19:43:48 +0000

Ich befürchte, dass das Gesetz durchaus auch dazu genutzt werden könnte die Anbieter zu zwingen, etwa eine Funktion zu implementieren, die das Klartextpasswort beim nächsten Login der zu überwachenden Person ausleitet, bevor der Hash abgeglichen wird.
Ähnlich wie bei dem E‑Mail-Anbieter, der auch nicht Ende-zu-Ende-verschlüsselte Mails seiner Kunden direkt nach dem Empfang für sie verschlüsselte, der wurde auch gezwungen entsprechend vor der Verschlüsselung die Mails auszuleiten:
https://www.heise.de/newsticker/meldung/Gerichtsurteil-Sicherer-E-Mail-Dienst-Tutanota-muss-Kundendaten-preisgeben-4584435.html
Dagegen könnte man zwar auch schon irgendwas mit JavaScript basteln, damit die Passwörter schon beim Nutzer das erste mal gehasht werden, aber das hilft letztendlich auch nicht, weil der Anbieter ja den Code ausliefert und der dann zwangsweise umgeschrieben werden könnte.
Bliebe nur Public-Key-Authentication.

Wenn man einen Passwortmanager nutzt oder es sonst irgendwie hinbekommt überall individuelle Passwörter zu verwenden ist die Kenntnis des Passworts für Behörden sowieso weitgehend nutzlos, denn das was sie damit abrufen können würden sie eh über den Anbieter abfragen können.
Die Ausweitung des NetzDG ist dennoch völlig inakzeptabel, ich bleibe dabei: Das Netzwerkdurchsetzungsgesetz gehört restlos wieder abgeschafft.