zeiDverschwÄndung…

…war es nicht. Und nein, trotz des Titels gehts auch diesmal wieder nicht  um „Die beste Band der Welt“.

„zeiDverschwÄndung…“ weiterlesen

alles unter Verschluss

Seit noch nicht all zu langer Zeit habe ich nach meinen externen Platten und der seit längerem bekannten Verschlüsselung des Homeverzeichnisses schon bei der Installation von ubuntu, inzwischen auch die noch übriggeblieben Datenpartition im Rechner verschlüsselt (LUKS sei dank, siehe auch alter Artikel)

Mit dieser Methode klappte das automatische einbinden der verschlüsselten Partition beim Login.

Nun war es nötig mein Benutzerpasswort zu ändern (fragt lieber nicht wieso) Und prompt wurde die Partition nicht mehr eingebunden. Tja, Sachen um die man sich nur selten kümmert, weil sie immer funktionieren, kennt man eben auch nicht so gut.

Zu allem Überfluss löschte der missglückte Versuch des automatischen Einbindens auch noch jedesmal den Mountpoint. (warum weiss ich aber bis heute nicht)

Dabei war die Lösung so einfach und als ich es gelesen habe, auch so nachvollziehbar:

„Damit diese Partition automatisch mit pam-mount beim Anmelden eingebunden werden kann, müssen das jeweilige Nutzer-Passwort und ein Passwort der Partition identisch sein“

Zum Glück bietet LUKS bis zu 8 Passwort-Slots für einen verschlüsselten Datenträger an. Sehr praktisch, wenn mehrere Benutzer auf das Medium zugreifen müssen und trotzdem sich nicht das Passwort teilen sollen.

Und siehe da, nachdem ich das neue Userpasswort auch dem Datenträger hinzugefügt hat, klappte auch die automatische Entschlüsselung und das Einbinden nach Login.

Alles wird gut 😉

 

kryptische Grüße DxU

Google sicherer

Es ist schon ein paar Wochen her, ich wurde im Freundeskreis wegen diverser Computerprobleme (Layer 8) gerufen.

Einer der Probleme war …ach das ist ja schön mit dem Android mailen und chatten…. aber du machst das ja auch am PC, will ich auch…. Und damit gings dann los. PC an, Browser auf, ab zu Tante Google, oben rechts gibts den Button Anmelden, E-Mail-Adresse und Passwort eingeben. Passwort? Ach ja…. Eingegebener Nutzername oder Passwort ist falsch. Nochmal versucht, immer noch falsch.Na dann klick doch mal auf das Fragezeichen hinter dem Hinweis, sicher hilft Tante Google weiter (hoffe ich, hatte ich noch nicht, ich hab meine Passwörter im Kopf oder sonstwo gesichert), aha Handy-Nummer, Erinnerungsfrage, diverse Fragen zur bisherigen Nutzung…… nichts hilft wirklich weiter.

Das Problem dabei war vor allem dem Hilfesuchenden zu vermitteln, dass diese Schritte ja auch von jedem Fremden/Angreifer so durchgeführt werden könnten. Der Anbieter (in dem Fall Google) muss also schon sicher sein, dass die Person, die hier vorgibt das Passwort nur „vergessen“ zu haben, auch wirklich die berechtigte Person ist. (kann ja jeder sagen)

Google hat hier schon so einiges zu bieten und hilft mit Fragen recht weit und durchdacht. Aber wenn man beim Einrichten eines Accounts sorglos ist, keine gültige Mailadresse und/oder Mobilnummer angibt oder diese Daten veraltet sind, hilft es halt nix, wenn das Kind in den Brunnen gefallen ist.

Auch ein noch funktionsfähiges eingeloggtes Android hilft hier nicht weiter. Schliesslich könnte ein verlorenes/gestohlenes Handy ja sonst als Ausgangsbasis für eine „feindliche Übernahme“ des Accounts missbraucht werden. Ok, das war hier nicht der Fall, das Smartphone befindet sich weiterhin im rechtmäßigen Besitz der Person. (In dem Zusammenhang frage ich mich aber auch, was ist zu tun, bei Diebstahl des Mobilgerätes mit einem funktionierenden Google Account, dessen Passwort der Accountinhaber nicht mehr hat *hierfür gerne mal Kommentarfunktion nutzen)

Ende vom Lied war, der alte Account (und noch ein Google-Account mit dem gleichen Problem) liegen jetzt weiter auf dem Androiden, bis der mal das zeitliche segnet und es wurde ein neuer Account erstellt, am PC „…für den ich mir jetzt aber ganz ehrlich ganz sicher das Kennwort notiert habe...“ na dann, die Hoffnung stirbt zuletzt?

Das ganze brachte mich aber mal dazu, meinen eigenen Account zu prüfen, was wäre wenn… Ok alles gut eine valide alternative Mailadresse und eine gültige Handynummer sind hinterlegt. Und falls beides mal irgendwann nicht mehr funktioniert, gibt es für beide noch eine alternative Nummer/Adresse.

Kann eigentlich nix mehr schief gehn oder??? Hm und wenn der Account gehackt wird und auch diese Infos gelöscht, verändert werden?

Vor einigen Tagen wurde ich dann von einem Kollegen auf ein Sicherheitsfeature für meinen Google-Account hingewiesen und gestern habe ich mir das mal selber angeschaut. Es geht um die Zwei-Wege-Authentifizierung.

Jeder der Onlinebanking nutzt kennt die diversen PIN/TAN Verfahren. Es reicht nicht sich einzuloggen, sondern man muss einen einmaligen Code aus einer Liste oder einen temporär generierten Code eingeben, zumindest um eine Aktion, wie Überweisung, anlegen/ändern/löschen eines Dauerauftrages usw. auszulösen.

Dieses Prinzip hat Google aufgegriffen und bietet oben erwähnte Methode optional an, in den Einstellungen zum Google Konto (bitte nicht mit den gmail Einstellungen verwechseln) unter Sicherheit gibt es die Option Bestätigung in zwei Schritten.

Ist diese Option eingeschaltet, wirst du beimLogin ausser nach deinen üblichen Zugangdaten noch nach einem Code gefragt, den du per SMS oder Sprachnachricht am Handy/Telefon bekommst oder aber per App auf deinem Smartphone. Letzteres funktioniert auch wenn das Handy mal kein Netz hat (vergleichbar, mit den kleinen TAN Generatoren die manche Banken ihren Kunden anbieten). Für das Internetcafe im Urlaub oder im Falle eines defekten/nicht verfügbaren Handys gibts dann auch noch eine Liste mit Codes zum ausdrucken. Einfach in die Brieftasche und du bist im Fall der Fälle gewappnet.

Zusätzlich kannst du vertrauenswürdige Rechner (z.B. deinen PC zuhause) als vertrauenswürdig einstufen, an diesem wirst du dann nicht ständig nach diesem Code gefragt.

Welchen Rechner der Anwender als vertrauenswürdig einstuft, muss jeder selber entscheiden, den Rechner im Internetcafe wohl sicher nicht, auch nicht den Firmenrechner und vielleicht auch nicht das Netbook das sich häufig in öffentlichen WLANs verbindet.

Alles in Allem gefällt mir diese Idee und bringt für uns Anwender wieder ein Stück mehr Sicherheit

Zwei-Wege-Grüße DxU

update zum Thema: Heise Artikel vom 26.02.2013 Googles Zwei-Faktor-Authentifizierung ausgetrickst

Betriebssystem nur Geschmackssache?

Beim lesen eines Vergleichstests des Computermagazins *Chip* mußte ich mal wieder feststellen, auch Linux ist nicht der Weißheit letzter Schluß. Nicht alles was Linux heißt ist auch gleich die bessere Alternative, nicht alles aus Redmond ist schlecht und auch Apple User stehen nicht über allem.
Aber am Besten lest erstmal selber obigen Link.

Nun ja der Vergleich ist sicher nicht allgemeingültig und außerdem natürlich nicht frei von Subjektivität, wie auch, ist doch auch er von Menschen geschrieben, die eben auch das eine oder andere System favorisieren. Zudem kann ich einem Computermagazin eben auch nicht absolute Neutralität zubilligen.

Doch auch wenn Windows, in vielerlei Hinsicht auf dem richtigen Weg ist und Apple immer noch für Innovation steht, ist meiner Meinung eben nicht nur die große Verbreitung von Windows und seinem Internet-Explorer für die häufigen Angriffe auf selbigen verantwortlich. Vielmehr wird eben Apple häufig im proffesionellen Bereich genutzt, wo die Anwender eben ein stabiles System bevorzugen und auf eine kleinere aber feinere Auswahl an Software zugreifen und MacOS halt schon auf ein Unix-artiges Betriebssystem wie *BSD aufbaut, was von Hause aus einfach schon mal stabil und sicher gebaut wurde.

Das größte Problem sitzt eben immer noch vor dem Rechner und kauft sich seinen Geiz-ist-geil-super-billig-all-in-one System vom Grabbeltisch-TV-jetzt-sofort-kaufen-und-die-ersten-300-Anrufer-bekommen-noch… oder zwischen Milch und Wurst beim Discounter… jetzt mit Qudcore (Als Gamer-Maschine *was hab ich gelacht) -PC ohne nachzudenken und (abgesehen vom Preis) zu vergleichen. Dann noch zu erwarten, über alternative Betriebssysteme nachzudenken und womöglich sich damit noch zu befassen, ist einfach mal zu viel verlangt.

Vergleiche ich dazu ein Linux-System so sind die Anwender hier eben eher selten sorglos und klicken auch nicht drauf los, ganz egal, welche Warnhinweise da erscheinen.
Klar, man muß sich mit dem System ein wenig befassen (notfalls auch jemanden kennen, der einem da hilft) und i.d.R. sind die meißten Linux-User sich dessen bewußt und bereits mit der Entscheidung für ein alternatives OS dazu auch bereit.

So ist eben eine Firewall in einem, im Vergleich angeführten Ubuntu-Desktop-System so erstmal, mangels offener Ports und laufender Dienste, überflüssig, heute allgegenwärtige Router schützen zusätzlich und wenn es denn doch nötig wird (wenn z.B. Dienste wie ssl, Webserver usw. nachinstalliert werden), so ist eben die Firewall bereits Bestandteil des Systemkerns und muß eben nur aktiviert und konfiguriert werden (Regeln) und auch dazu bieten diverse Distributionen entsprechende Frontends (z.B. ein entsprechendes Yast-Modul in SuSE-Linux oder allgemein das Frontend „Firestarter„). Und Linux als solches und dessen Anwendungen telefonieren auch nicht, wie von M$ bekannt und gewohnt, nach hause. (Ausnahmen bestätigen auch hier die Regel, diese weisen allerdings i.d.R. explizit darauf hin)
Auch ist es unter Linux-Desktop-Systemen mehr als unüblich ständig oder überhaupt als root, also mit administrativen Rechten zu arbeiten. Unter Windows war es ohne größere Verrenkungen eben oft kaum ohne diese Rechte möglich Anwendungen zu nutzen, ein typisches Beispiel sind hier Spiele, auch wenn das oft nicht die direkte Schuld von Windows war, sondern der laschen Programmierung durch Entwickler von Drittsoftware, so begünstigte doch das Konzept Microsoft’s bisher oft, die strikte Trennung von System-, Anwendungs- und Benutzerdaten zu vernachlässigen oder zu ignorieren. Gerade in Firmennetzwerken erlebe ich immer wieder, daß dort auf den Clients eben erstmal die Benutzerkonten zur Gruppe der Administratoren gehören und erst im nachhinein in ein Korsett von eingeschränkten Rechten gezwängt werden, sicherlich auch ein Weg aber eben nicht der Beste. Ehrlicherweise, muß ich hier gerade Vista zugestehen, zugelernt zu haben.

Linuxsichere Grüße DXU