Seit heute kann jeder mit einer alten FlashFXP 3 Lizenz die neue Beta der Version 4 testen. FlashFXP ist nun schon seit mehr als 4 Jahren mein präferierter FTPClient, weshalb ich mich umso mehr freue, dass es nach 2 Jähriger Entwicklung endlich eine neue Version gibt.

Am Design wurde zum Glück kaum etwas verändert, denn das gut strukturierte Layout war immer einer des Pluspunkte von FlashFXP. Bei Dateiübertragungen wird nun auch endlich der Fortschritt der Übertragung in der Windows 7 Taskbar angezeigt, so dass man die Anwendung minimieren kann und trotzdem weiß wie weit der Up- bzw. Download fortgeschritten ist.

Bei FlashFXP gibt es übrigens noch Lifetime-Lizenzen. Wer also einmal die 29,95$ investiert, erhällt für sein Leben lang kostenlose Updates. Wirtschaftlich betrachtet eigentlich das schlimmste was man machen kann, aber für die Userseite auf jedenfall sehr angenehm.

Seit dem Release von Stylizer 5 und der dort integrierten Produktaktivierung frage ich mich mal wieder über den Nutzen von solchen Methoden.

Auf der einen Seite steht der Hersteller, der nicht möchte, dass sein Produkt von Leuten verwendet wird, welche nicht über eine entsprechende Lizenz verfügen.
Auf der anderen Seite steht der Kunde der die Software erworben hat und diese zu jeder Zeit und im vollen Umfang nutzen möchte.
Dann gibt es noch eine kleine Gruppe von Leuten, die zu keiner Zeit dazu bereit sind für die Software Geld auszugeben und jede Möglichkeit nutzen die Software auch ohne gültige Lizenz zu betreiben.

Das Ziel des Herstellers ist es nun die letzte Gruppe so klein- und die mittlere Gruppe, die Kunden, so groß wie Möglich zu halten. Bei vielen Herstellern sieht man jedoch bei dem Versuch das gerade erklärte durchzuführen einen Effekt, der sich in die vollkommen andere Richtung entwickelt: Wo der zahlende Kunde noch die Seriennummer eingibt und auf die Gnade des Aktivierungsservers hofft, hat der Raubkopierer schon die Exe ausgetauscht und arbeitet ohne Einschränkungen mit dem entsprechendem Programm.

Als ultimative Sicherungsmethode greifen die Hersteller gerne auf eine Aktivierung über das Internet zurück. Dabei werden i.d.R. die einzelnen Kunden anhand einer Seriennummer identifiziert und diese mitsamt einer oder mehrerer Prüfsummen der Computerhardware (z.B.: MAC-Adresse, Festplatten-ID) auf den Servern des Herstellers gespeichert. Dies soll das mehrfache verwenden der gleichen Seriennummer auf unterschiedlichen Rechnern unterbinden. Im Endeffekt trifft das Onkel Otto der sein Acrobat mit seinem Neffen teilen möchte, jedoch nicht die oben genannte Gruppe von Benutzern die sowieso nicht für die Software zahlen möchten, denn das Aushebeln solch einer Sperre ist nicht mehr oder weniger Aufwändig als das umgehen einer Offlinelösung.

Neben der Notwendigkeit einer Interverbindung birgt solch eine Onlineaktivierung auch noch ganz andere Gefahren, speziell für den Entwickler/Vertrieb. Wer z.B. garantiert dem Käufer, dass es das Unternehmen in 5 Jahren noch gibt und er sein Produkt ordnungsgemäß aktiveren und benutzen kann? Was wenn der Aktivierungsserver nicht erreichbar- und so das Produkt nicht benutzbar ist? Im “besten” Falle verliert man einen Kunden, im schlechtesten Falle ist dem Kunden dabei ein Schaden entstanden und er macht bei dem Vertrieb seine berechtigten Regressansprüche gelten. Wie zu sehen ist, werden mit solch einer Methode dem zahlenden Kunden immer mehr Hürden aufgebürdet bevor er das Produkt benutzen kann wo hingegen der Raubkopierer durchs einfaches Patchen der Anwendung kaum einen Aufwand hat.

Wie würde ich es denn lösen?
Meine Lösung bestünde aus einer Lizenzdatei, in welcher einige persönliche Daten des Lizenzinhabers im Klartext sowie eine RSA Signatur enthalten sind. Diese wird einmalig beim Kauf erstellt und dem Kunden ausgehändigt. Auf Grund der persönlichen Informationen in der Lizenzdatei steigt die Hemmschwelle diese Datei an fremde Leute zu verteilen. Die RSA Signatur schützt vor Manipulation an der Datei, denn ohne den privaten Schlüssel lässt sich keine Signatur erstellen die einer Überprüfung mit dem korrespondierendem öffentlichen Schlüssel in der Anwendung stand hält. Sicherlich lässt sich diese Sicherung auch Aushebeln, aber mit dem gleichen Aufwand der für das Umbiegen der Überprüfung mit dem Onlinedienst notwendig wäre. Nur funktioniert meine Lösung immer und ohne Internet.

Je mehr man im Internet unterwegs ist desto öfter wird man mit der Thematik von Passwörtern konfrontiert. Oft entscheidet man sich dann dafür, für jedes Portal das gleiche Passwort zu verwenden, welches sich auch noch leicht merken lässt. Wie fatal das ist, merkt man in der Regel erst, wenn es zu spät ist und das Passwort entweder durch z.B. ein Datenleck oder eine Unachtsamkeit bekannt geworden ist.

Daher empfiehlt es sich für jede Website bei welcher man sich anmelden muss ein anderes Passwort zu verwenden welches nach Möglichkeit zufällig generiert worden ist. Da einem dabei schnell die Übersicht flöten geht gibt es Passwortmanager wo man sich nur das Masterpasswort merken muss um Zugriff auf alle Passwörter zu erlangen.

Ein solcher Passwortmanager ist das kostenlose, ab der Version 2.0 auf dem .NET Framework 2.0 basierende, Programm KeePass.

Zum einloggen in die Passwortdatenbank bietet KeePass das schon erwähnte Masterpasswort, eine Schlüsseldatei und die Bindung an einen Windows Benutzeraccount an. Die drei Möglichkeit können nach belieben kombiniert werden. Die Passwörter selber lassen sich in Gruppen zur besseren Übersicht anordnen. KeePass kann zudem durch Plugins erweitert werden. Hier ist jedoch Vorsicht geboten, denn die Plugins haben auch Zugriff auf die Passwörter. Daher nur welche Installieren von Autoren den ihr Vertraut bzw. welche durch den Autor von KeePass überprüft wurden.
Die Datenbank selbst wird mit einem AES (128-Bit Blockgröße mit einer Schlüsselstärke von 256 Bit) Algorithmus verschlüsselt. Dieser ist derzeit der Standard unter den symmetrischen Verschlüsselungsalgorithmen und gilt als sehr sicher. Wer also ein starkes Masterpasswort verwendet, kann davon ausgehen das die Passwörter nicht ohne sehr hohen Aufwand wiederhergestellt werden können. Brut Force-Angriffe sind zwar immer möglich, aber bei ausreichender Passwortlänge und Komplexität dauert ein möglicher Angriff schnell Jahre und dies übersteigt in der Regel den Nutzen welchen man aus einem solchen Aufwand ziehen könnte.