Neue Komponenten für das Tradfri-System

Schon vor einiger Zeit hat Ikea den sogenannten "Shortcut"-Knopf und die Fernbedienung "Styrbar" eingeführt. Nach langem Zögern habe ich mir beide mal gekauft.

Shortcut-Button

Der Knopf dient zur Szenenanwahl. DIese Szenen müssen vorher in der Tradfri-App eingestellt werden, und der Knopf aktiviert sie nur. Drücke ich ihn noch einmal passiert - gar nichts. Zum Wählen einer anderen Szene oder die Änderungen zu machen braucht man einen zweiten Button.

Fazit: wer nicht viel mit Szenen arbeitet kann auf dieses Ding verzichten. Ich habe es nur gekauft weil ich plane es via deConz auszulesen. 

 

Styrbar Fernbedienung

Die Fernbedienung "Styrbar" ist etwas besser, denn sie hat die gleichen die Funktionen wie die runde Ikea-Fernbedienung. Allerdings fehlt der zentrale Knopf, bzw. dieser ist nicht als separater Knopf ausgeführt ist.

Durch die Metallplatte hat sie ein ganz angenehmes, hochwertigeres Gefühl und ich finde sie etwas schöner als die alte Fernbedienung.

Der Preis ist mit 10€ gleich, man kann sich also aussuchen was einem besser gefällt: die runde Fernbedienung aus Plastik oder "Styrbar".

"Styrbar" verwendet keine Knopfzellen sondern zwei nicht beiliegende AAA-Zellen. Diese kann man als Akku kaufen wodurch dieses Modul etwas umweltfreundlicher ist als die alte Fernbedienung.

Ich hatte ja einige Versuche gemacht einen besseren Wecker zu bauen, aber das Projekt ist erst einmal auf Eis gelegt, denn ich habe etwas gefunden was meinen Anforderungen genügt.

Was ist eigentlich aus dem Raspberry-Wecker geworden?

Eigentlich wollte ich aus einem Raspberry mit Touchscreen, einem Ikea-Bilderrahmen und etwas Draht und Spucke einen smarten Wecker bauen. Das scheiterte an diversen Problemen, so konnte ich den Schirm nicht ordentlich dimmen und beim Versuch die Taster zu verkabeln rauchte mir ein Raspberry ab - ich weiß immer noch nicht warum.

Doch dann stolperte ich über ein Angebot einer SmartClock von Lenovo die vielversprechend klang. Im Hintergrund werkelt Android, so dass ich hoffte Schwächen durch Apps oder Skripte ausgleichen zu können. Mit 40€ war sie auch billiger als ein neuer Raspberry so dass ich mir eine bestellte.

Das Ding ist nicht perfekt, aber in Zusammenarbeit mit Home Assistant kann ich es so weit umstellen dass es meinen Anforderungen genügt.

Zum Beispiel kann die SmartClock nicht mit einem Radiokanal wecken, ich kann die Uhr aber als Media Player in Home Assistant einbinden und dann über ein Skript einen Radiostream abspielen und die Lautstärke steuern.

Auch die Musikauswahl über den Touchscreen ist etwas umständlich. Ich hätte gerne eine Taste gehabt die meinen Lieblingssender aufruft, aber das geht leider nicht. Statt dessen muss man auf einen der Online-Musikanbieter wie Spotify, TuneIn oder Youtube Music zurückgreifen. Die Auswahl erfolgt am einfachsten üder den Google Assistant - wer das nicht mag muss sich anders behelfen.

Zwar ist die Uhr nicht akkugepuffert - beim Ausstecken ist sofort alles weg - aber sobald sie wieder Strom hat besorgt sie sich alle Informationen aus dem Internet und läuft weiter wie vorher. Sofern also der Strom nicht gerade exakt zur Weckzeit ausfällt sollte das kein Problem darstellen.

Theoretisch kann man auch eigene ROMs auf die Uhr laden, eine Anleitung ist unter xda-developers. Ich habe das aber noch nicht gemacht da ich die Einschränkungen mit Home Assistant umgehen konnte.

 

---

 

Skript des Weckvorgangs 

Das Skript zum Wecken ist ziemlich umfangreich. Anfangs habe ich einfach einen Radio-Stream geschaltet, aber da ich mich kurz vor den Nachrichten wecken lassen wollte kam dort praktisch immer nur lästige Reklame.

Also habe ich dieses Skript geschrieben dass zufällig aus einer Liste ruhiger Lieder eines auswählt und mit ansteigender Lautstärke abspielt:

wecken_musik_zufall:
 alias: \'Wecken: Zufallsmusik\'
 sequence:
 - service: media_player.volume_set
 data:
 entity_id: media_player.schlafzimmer
 volume_level: \'0.10\'
 - service: media_player.play_media
 entity_id: media_player.schlafzimmer
 data_template:
 media_content_id: >
 {{ [\'http://192.168.178.250:8123/local/wecken/Blade%20Runner%20-%20End%20Title%20Reprise.mp3\',
 \'http://192.168.178.250:8123/local/wecken/Anne%20Clark%20-%20Flight%20Through%20Sunlit%20Clouds.mp3\',
 \'http://192.168.178.250:8123/local/wecken/Anne%20Clark%20-%20Poems%20Without%20Words%20II%20-%20Journey%20By%20Night.mp3\',
 \'http://192.168.178.250:8123/local/wecken/Alanis%20Morissette%20-%20This%20Grudge.mp3\',
 \'http://192.168.178.250:8123/local/wecken/Alexandra%20Burke%20-%20Hallelujah.mp3\',
 \'http://192.168.178.250:8123/local/wecken/Beyonce%20-%20Halo.mp3\',
:
 \'http://192.168.178.250:8123/local/wecken/Jennifer%20Lopez%20-%20Sola.mp3\',
 \'http://192.168.178.250:8123/local/wecken/Jennifer%20Lopez%20-%20Adios.mp3\',
 \'http://192.168.178.250:8123/local/wecken/Yann%20Tiersen%20-%20Comptine%20DUn%20Autre%20t%20LAprs-Midi.mp3\' ] | random }}
 media_content_type: \'music\' 
 - delay: \'00:00:20\'
 - service: media_player.volume_set
 entity_id: media_player.schlafzimmer
 data:
 volume_level: \'0.2\'
 - delay: \'00:00:10\'
 - service: media_player.volume_set
 entity_id: media_player.schlafzimmer
 data:
 volume_level: \'0.3\'
 - delay: \'00:00:10\'
 - service: media_player.volume_set
 entity_id: media_player.schlafzimmer
 data:
 volume_level: \'0.4\'
 - delay: \'00:00:10\'
 - service: media_player.volume_set
 entity_id: media_player.schlafzimmer
 data:
 volume_level: \'0.5\'

 Aufgerufen wird dies durch ein weiteres Skript das über eine Automation zur Weckzeit angestossen wird:

weckvorgang:
 alias: \'Weckvorgang\'
 sequence:
 - service: homeassistant.turn_on
 entity_id: input_boolean.weckvorgang_laeuft
 - service: homeassistant.turn_on
 entity_id: script.wecken_musik_zufall
 - delay: \'00:02:00\'
 - service: media_player.play_media
 entity_id: media_player.schlafzimmer
 data: 
 media_content_id: https://swr-swr3-live.cast.addradio.de/swr/swr3/live/mp3/128/stream.mp3
 media_content_type: music
 - service: homeassistant.turn_on
 data:
 entity_id: group.schlafzimmer_deckenlampe
 rgb_color:
 - 200
 - 150
 - 40
 brightness_pct: 20
## 07:00
 - service: switch.turn_on
 entity_id: switch.badradio
 - service: script.turn_on
 entity_id: script.webradio_wz_swr3
## Badbeleuchtung
 - delay: \'00:03:00\'
 - service: light.turn_on
 data:
 entity_id: light.bad_1
 brightness_pct: 50
 - service: light.turn_on
 data:
 entity_id: light.bad_2
 brightness_pct: 50
 - delay: \'00:02:00\'
## 07:05
 - service: homeassistant.turn_on
 data:
 entity_id: light.nachttisch
 brightness_pct: 75

Kürzlich hatte ich ein Telefonat das mich davon überzeugte etwas zum Thema "Umgang mit Passwörtern" zu schreiben.

Passwort-Sicherheit

Ich war am Telefon mit meiner Mutter, denn wir wollten den Familien-Chat weg von WhatsApp auf Signal verlegen. Leider ging das bei ihr nicht so besonders gut, und sie erklärte mir:

"Ich habe den Link [zu Signal] geklickt, aber der[ihr Mobiltelefon] wollte dann eine ID, und die hatte ich nicht, dann habe ich etwas herumgeklickt und er wollte mein Google-Passwort, aber danach ging es immer noch nicht!"

Auf diese Art kommen Hacker an Passwörter. Man klickt hier und da und sieht irgendwann einen vertraut aussehenden Bildschirm der das Passwort verlangt.

 

Glücklicherweise war es bei meiner Mutter kein Problem, denn a) war es die echte Google-Seite gewesen und b) wusste sie auch dieses Passwort nicht mehr. Sie hat aber vermutlich genug Fehlversuche eingegeben um einem Hacker eine ganz gute Idee zu geben wie ihr Passwort aussieht.

Das Telefonat hat mich dann inspiriert diesen Artikel zu schreiben. Statt Passworten gilt das genauso für PINs, Kreditkartennummern und alles Andere was geheim bleiben soll.

Passwort nur eingeben wenn man an der richtigen Stelle ist

Das Bild oben scheint die Seite der Kreissparkasse zu zeigen. Tatsächlich ist es aber ein Fake - erkennbar an dem "Nicht sicher" und der leicht veränderten Adresse "kek-gp.de" statt "ksk-gp.de". Wer dort seine Kontonummer und PIN angibt läuft Gefahr diese an Verbrecher weiter zu geben.

Und selbst wenn die Überweisungen noch mit einer unabhängigen PIN gesichert sind kann man aus der Kontohistorie vermutlich genug Informationen ziehen um bei anderen Unternehmen Zugang zu erlangen. "Hallo Amazon, hier ist XYZ, ich habe einen Account bei Ihnen aber mein Kennwort vergessen und auch die Mail geht nicht mehr. Ich kann Ihnen aber sagen dass ich am ... eine Zahlung in Höhe von ... an ... geleistet habe, können sie mich bitte freischalten?". Mit etwas Geschick kann man sich da bestimmt durchquatschen.

Also vor einer Eingabe immer die Adresse prüfen, und ob idealerweise HTTPS: aktiv ist, also statt des "Nicht sicher" ein Schloß oder etwas Ähnliches erscheint.

Erscheint in der Adresszeile etwas Merkwürdiges empfiehlt es sich den Browser zu schließen, neu zu öffnen und die Adresse manuell erneut einzugeben. Es ist durchaus denkbar dass man auf eine andere Seite umgeleitet wird, aber es sollte irgendein Zusammenhang bestehen. "login.ksk-gp.de" ist sicherlich in Ordnung, "login.gp.ksk.banken.de" ist zum Beispiel schon etwas verdächtig, denn wem gehört die Domain "banken.de"? Es ist zwar durchaus denkbar dass es einen Dienstleister gibt der EDV-Dienstleistungen für Banken anbietet und von der KSK beauftragt worden ist, aber hier wäre ich schon einmal vorsichtig.

Verschiedene Passwörter verwenden

Man sollte auch auf jeder Seite unterschiedliche Passwörter verwenden, und zwar so dass man kein Muster erkennen kann. Wenn ein Hacker ein Passwort stiehlt und es als "MeinGeheimesPasswort_Facebook" erkennt ist naheliegend auch "MeinGeheimesPasswort_KSK" oder ""MeinGeheimesPasswort_Bank" auszuprobieren.

Lieber längere als komplizierte Passwörter

Jedes Passwort kann geknackt werden indem man einfach alle möglichen Möglichkeiten durchprobiert. Je länger das Passwort ist desto länger dauert das also auch. Unübliche Zeichen wie Umlaute, §,%, & und so weiter helfen da auch, erhöhen die Komplexität aber nicht so sehr wie ein langes Passwort. Sie machen es aber schwerer sich das Passwort zu merken. 

Besser ist es ein paar zufällige Worte zu verwenden: "Blau Regen Telefon Facebook" oder "correct horse battery staple".

Ich hatte ein relativ kompliziertes, aber kurzes Passwort auf diesem Server und fand ihn eines Tages gehackt vor. Seitdem habe ich ein sehr langes Passwort und obwohl alle paar Sekunden jemand versucht sich einzuloggen haben sie es noch nicht geschafft.

Leider sind inzwischen die meisten Anforderungen so dämlich dass das nicht geht. "Ihr Passwort muss mindestens drei Stellen lang sein, Groß- und Kleinbuchstaben, Ziffern, Sonderzeichen und ein Ölgemälde von Picasso enthalten".

Eine Lösung hierfür sind Passwort-Manager, ich verwende zum Beispiel KeePass. Für viele meiner Accounts kenne ich die Passwörter gar nicht, es läuft alles über dieses Programm.

Hilft l337sp34k?

Als "Leetspeak" bezeichnet man das Ersetzen von Buchstaben durch Ziffern, entweder anhand der Ähnlichkeit (eine 7 sieht etwas wie ein T aus) oder weil sie auf der gleichen Taste liegen (€ statt E oder @ statt Q).

Als alleinige Sicherheitsmaßnahme ist das uneignet da viele Angriffsprogramme diese "Regeln" auch kennen und testen, aber um den Bestimmungen der Passwortkomplexität zu genügen setze ich sie immer mal wieder ein. "B|4u R3g3n T3l3f0n F4c3b00k" als Variante des obigen Begriffs der vermutlich vielen Seiten gefallen dürfte.

Sicherheitsfragen

Ein großes Risiko sind die sogenannten Sicherheitsfragen. Wer die Antwort auf zwei Fragen kennt ist automatisch der Besitzer des geschützten Gutes, zum Beispiel des Paypal-Accounts. Und leider sind diese Fragen oft vorgegeben.

"Was ist der Geburtsname Ihrer Mutter?", "Was ist Ihre Lieblingsfarbe?", "Was ist Ihre Aufgabe?", "Was ist die Fluggeschwindigkeit einer unbeladenen Schwalbe?"

Die Antworten auf diese Fragen kann man erraten oder im schlimmsten Fall sogar durch Googlen herausfinden. 

Hin und wieder stößt man auch auf merkwürdige Probleme. So wollte eine Seite als Sicherheitsfrage den Geburtsnamen meiner Mutter. Als ich einen zufälligen Text eingab lehnte die Seite das ab da sie mindestens sechs Zeichen erwartet. Der Name hat aber nur fünf Zeichen, was nun?

Man muss also in der Regel sowieso irgendwelche Kompromisse eingehen, warum dann nicht gleich einen vernünftigen Wert verwenden?

Darum sollte man dort auf keinen Fall ehrliche Antworten eingeben. Meine Lieblingsfarbe? "Hattenhofen". Name meiner ersten Katze? "Mistvieh, elendes!". Oder eine beliebige Buchstaben-Zahlenkombination. Ich würde gerne das Gesicht des Mitarbeiters von Paypal sehen wenn er meinen angeblichen Geburtsort sieht: "EtzLPJa5Xt#;ZlXgg,Cy!|w"PIzP*T/7" (nicht mein echtes Passwort :P).

 

Aber wie soll man sich das alles merken?

Wie gesagt, ich speichere alle Daten in einem Programm namens KeePass. Dieses habe ich auf meinem Telefon, einem USB-Stick und verschiedenen Sicherungsmedien. Die Daten sind durch ein Kennwort geschützt das man tunlichst nicht vergessen sollte, denn die Datenbank ist verschlüsselt und kann nicht so einfach gelesen werden.

Alternativen dazu wären:

Merken

Sich alle Passwörter zu merken wäre natürlich ideal, aber das ist recht schwierig. Ich hatte eine Zeitlang versucht ein gemeinsames Passwort für alles zu verwenden und den Namen des Dienstes anzufügen wie bei "MeinGeheimesPasswort_KSK" oben, aber das scheiterte recht schnell an den verschiedenen Bedingungen die die verschiedenen Seiten an das Passwort stellten.

Ein weiteres Problem ist ein fehlendes Notfallverfahren. Was passiert wenn man vom Bus angefahren wird und der Ehegatte dringen Zugang auf das Online-Banking benötigt?

Aufschreiben

Ich halte altmodisches "Aufschreiben" immer noch für die beste Variante. Ich habe bei meinen wichtigen Unterlagen einen Umschlag mit den wichtigsten Passwörtern. Die Liste gehört natürlich nicht an das schwarze Brett sondern in ein kleines Buch oder Ähnliches nahe des Computers.

Natürlich kann ein Einbrecher diese Liste entwenden, aber dann muss er schon physisch in der Wohnung sein. Und dann hat man noch ganz andere Probleme jenseits von geklauten Internetzugängen.

Nicht machen sollte man das natürlich in der Firma, denn dort haben zu viele Personen Zugriff.

Passwortmanager

Nachteile der schriftlichen Listen sind natürlich dass sie nur an einer Stelle sein können oder, wenn man sie immer mal wieder abschreibt, nicht mehr aktuell sein können. Sind die Passwörter zu Hause hat man im Urlaub schlechte Karten seine Mails lesen zu können. Kippt der Kaffee um und macht die Liste unleserlich - viel Glück dabei sich an X Stellen wieder anzumelden.

Darum verwende ich einen Passwortmanager, und zwar bewußt einen der nicht mit der Cloud arbeitet. So kann ich die verschlüsselte Datei an verschiedene Stellen legen und habe sie so immer zur Verfügung sowie als Datensicherung sollte etwas kaputt gehen.

Natürlich kann sie gestohlen werden, aber ich hoffe mal dass die Diebe nicht über potente Entschlüsselungssysteme verfügen.

Regelmäßig ändern?

Der Windows-Server verlangt in der Standard-Einstellung dass man sein Passwort regelmäßig ändert. Ich würde darauf eher verzichten. Lieber ein richtig gutes, sicheres Passwort das man sich merken kann als "Passw0rt67" nach der 67ten Änderung.

Weitere Links:

https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/Umgang/umgang_node.html 

https://www.datenschutz-praxis.de/fachnews/umgang-mit-passwoertern-aufsichtsbehoerde-gibt-tipps/