zeiDverschwÄndung…

…war es nicht. Und nein, trotz des Titels gehts auch diesmal wieder nicht  um „Die beste Band der Welt“.

„zeiDverschwÄndung…“ weiterlesen

alles unter Verschluss

Seit noch nicht all zu langer Zeit habe ich nach meinen externen Platten und der seit längerem bekannten Verschlüsselung des Homeverzeichnisses schon bei der Installation von ubuntu, inzwischen auch die noch übriggeblieben Datenpartition im Rechner verschlüsselt (LUKS sei dank, siehe auch alter Artikel)

Mit dieser Methode klappte das automatische einbinden der verschlüsselten Partition beim Login.

Nun war es nötig mein Benutzerpasswort zu ändern (fragt lieber nicht wieso) Und prompt wurde die Partition nicht mehr eingebunden. Tja, Sachen um die man sich nur selten kümmert, weil sie immer funktionieren, kennt man eben auch nicht so gut.

Zu allem Überfluss löschte der missglückte Versuch des automatischen Einbindens auch noch jedesmal den Mountpoint. (warum weiss ich aber bis heute nicht)

Dabei war die Lösung so einfach und als ich es gelesen habe, auch so nachvollziehbar:

„Damit diese Partition automatisch mit pam-mount beim Anmelden eingebunden werden kann, müssen das jeweilige Nutzer-Passwort und ein Passwort der Partition identisch sein“

Zum Glück bietet LUKS bis zu 8 Passwort-Slots für einen verschlüsselten Datenträger an. Sehr praktisch, wenn mehrere Benutzer auf das Medium zugreifen müssen und trotzdem sich nicht das Passwort teilen sollen.

Und siehe da, nachdem ich das neue Userpasswort auch dem Datenträger hinzugefügt hat, klappte auch die automatische Entschlüsselung und das Einbinden nach Login.

Alles wird gut 😉

 

kryptische Grüße DxU

Google sicherer

Es ist schon ein paar Wochen her, ich wurde im Freundeskreis wegen diverser Computerprobleme (Layer 8) gerufen.

Einer der Probleme war …ach das ist ja schön mit dem Android mailen und chatten…. aber du machst das ja auch am PC, will ich auch…. Und damit gings dann los. PC an, Browser auf, ab zu Tante Google, oben rechts gibts den Button Anmelden, E-Mail-Adresse und Passwort eingeben. Passwort? Ach ja…. Eingegebener Nutzername oder Passwort ist falsch. Nochmal versucht, immer noch falsch.Na dann klick doch mal auf das Fragezeichen hinter dem Hinweis, sicher hilft Tante Google weiter (hoffe ich, hatte ich noch nicht, ich hab meine Passwörter im Kopf oder sonstwo gesichert), aha Handy-Nummer, Erinnerungsfrage, diverse Fragen zur bisherigen Nutzung…… nichts hilft wirklich weiter.

Das Problem dabei war vor allem dem Hilfesuchenden zu vermitteln, dass diese Schritte ja auch von jedem Fremden/Angreifer so durchgeführt werden könnten. Der Anbieter (in dem Fall Google) muss also schon sicher sein, dass die Person, die hier vorgibt das Passwort nur „vergessen“ zu haben, auch wirklich die berechtigte Person ist. (kann ja jeder sagen)

Google hat hier schon so einiges zu bieten und hilft mit Fragen recht weit und durchdacht. Aber wenn man beim Einrichten eines Accounts sorglos ist, keine gültige Mailadresse und/oder Mobilnummer angibt oder diese Daten veraltet sind, hilft es halt nix, wenn das Kind in den Brunnen gefallen ist.

Auch ein noch funktionsfähiges eingeloggtes Android hilft hier nicht weiter. Schliesslich könnte ein verlorenes/gestohlenes Handy ja sonst als Ausgangsbasis für eine „feindliche Übernahme“ des Accounts missbraucht werden. Ok, das war hier nicht der Fall, das Smartphone befindet sich weiterhin im rechtmäßigen Besitz der Person. (In dem Zusammenhang frage ich mich aber auch, was ist zu tun, bei Diebstahl des Mobilgerätes mit einem funktionierenden Google Account, dessen Passwort der Accountinhaber nicht mehr hat *hierfür gerne mal Kommentarfunktion nutzen)

Ende vom Lied war, der alte Account (und noch ein Google-Account mit dem gleichen Problem) liegen jetzt weiter auf dem Androiden, bis der mal das zeitliche segnet und es wurde ein neuer Account erstellt, am PC „…für den ich mir jetzt aber ganz ehrlich ganz sicher das Kennwort notiert habe...“ na dann, die Hoffnung stirbt zuletzt?

Das ganze brachte mich aber mal dazu, meinen eigenen Account zu prüfen, was wäre wenn… Ok alles gut eine valide alternative Mailadresse und eine gültige Handynummer sind hinterlegt. Und falls beides mal irgendwann nicht mehr funktioniert, gibt es für beide noch eine alternative Nummer/Adresse.

Kann eigentlich nix mehr schief gehn oder??? Hm und wenn der Account gehackt wird und auch diese Infos gelöscht, verändert werden?

Vor einigen Tagen wurde ich dann von einem Kollegen auf ein Sicherheitsfeature für meinen Google-Account hingewiesen und gestern habe ich mir das mal selber angeschaut. Es geht um die Zwei-Wege-Authentifizierung.

Jeder der Onlinebanking nutzt kennt die diversen PIN/TAN Verfahren. Es reicht nicht sich einzuloggen, sondern man muss einen einmaligen Code aus einer Liste oder einen temporär generierten Code eingeben, zumindest um eine Aktion, wie Überweisung, anlegen/ändern/löschen eines Dauerauftrages usw. auszulösen.

Dieses Prinzip hat Google aufgegriffen und bietet oben erwähnte Methode optional an, in den Einstellungen zum Google Konto (bitte nicht mit den gmail Einstellungen verwechseln) unter Sicherheit gibt es die Option Bestätigung in zwei Schritten.

Ist diese Option eingeschaltet, wirst du beimLogin ausser nach deinen üblichen Zugangdaten noch nach einem Code gefragt, den du per SMS oder Sprachnachricht am Handy/Telefon bekommst oder aber per App auf deinem Smartphone. Letzteres funktioniert auch wenn das Handy mal kein Netz hat (vergleichbar, mit den kleinen TAN Generatoren die manche Banken ihren Kunden anbieten). Für das Internetcafe im Urlaub oder im Falle eines defekten/nicht verfügbaren Handys gibts dann auch noch eine Liste mit Codes zum ausdrucken. Einfach in die Brieftasche und du bist im Fall der Fälle gewappnet.

Zusätzlich kannst du vertrauenswürdige Rechner (z.B. deinen PC zuhause) als vertrauenswürdig einstufen, an diesem wirst du dann nicht ständig nach diesem Code gefragt.

Welchen Rechner der Anwender als vertrauenswürdig einstuft, muss jeder selber entscheiden, den Rechner im Internetcafe wohl sicher nicht, auch nicht den Firmenrechner und vielleicht auch nicht das Netbook das sich häufig in öffentlichen WLANs verbindet.

Alles in Allem gefällt mir diese Idee und bringt für uns Anwender wieder ein Stück mehr Sicherheit

Zwei-Wege-Grüße DxU

update zum Thema: Heise Artikel vom 26.02.2013 Googles Zwei-Faktor-Authentifizierung ausgetrickst

viel Platz und auch noch sicher

Am Donnerstag habe ich meine neuen Festplatten bekommen. 2x 1TB extern, lüfterlos also sehr leise, im schicken Aluminiumgehäuse und mit USB + e-sata Anschluß. Gestaunt habe ich über die Beschreibung auf dem Karton, unter Win-Systemen müsse die Platte noch formatiert werden, für Mac User wurde dieser Schritt aber nicht erwähnt. Und siehe da, die Teile werden doch wirklich mit HPFS+ vorformatiert geliefert. Aber da für mich ja eh beides nicht in Frage kommt, hab ich mich dann gleich mal mit LUKS befasst, ein paar Tipps noch von CCM (danke für die Hilfe) bekommen und wieder ein wenig mehr die Konsole* bei der Festplatteneinrichtung kennen gelernt. Wenn mensch weiß wie, gehts damit einfach oft schneller und effektiver als mit irgendwelchen grafischen Tools, die in dem Fall auch versagten. (qtparted**, kennt verschlüsselte Partitionen garnicht und gpartet findet sie, aber kann dort dann doch kein Dateisystem erstellen)
Nun sind die Platten eingerichtet und bereit, die Datenberge zu empfangen 😉
Passend dazu war ich am Samstag kurz davor, diesen Mediaplayer zu kaufen. Allerdings fiel mir dann kurz vor dem Zugriff noch ein, daß meine so vorbereiteten Platten da wohl garnicht mit laufen. Verschlüsselung werde ich damit sicher vergessen können, naja und ob das Kist’chen Filesysteme wie ext3 versteht, ist auch mehr als fraglich. Der Händler bestätigte mir dann auch meine Befürchtungen. Allerdings, erfährt das Teil wohl derzeit regelmäßig Firmwareupdates, womit der Support für ext3 vielleicht garnicht mehr ausgeschlossen sein wird. Zusätzlich habe ich heute irgendwo in einem Forum erfahren, daß es dafür auch eine alternative Firmware gibt, die dieses Dateisystem unterstützt. Na mal sehn, wär toll so ein schönes Player’chen. Selbst für gelegentliche Filme, Fotos und Mucke vom USB Stick noch durchaus lohnend.

block and sectors Grüße DxU

*die wichtigsten Programme und dazu passende Wiki Seiten auf ubuntuusers.de
gnu parted
Formatierung des Datenträgers (in meinem Fall mit mkfs.ext3)
– LUKS (Linux Unified Key Setup) und cryptsetup

**da ich am Tower noch ein Hardy Heron 8.04 wegen LTS (Long Term Support) ist dort qtparted auch noch verfügbar. Seit 8.10 ist qtparted nicht mehr enthalten.