USB Speicher mit Veracrypt verschlüsseln

Lang ist es her, da habe ich hier im Blog einen Artikel mit einer Schritt für Schritt Anleitung veröffentlicht, wie man mit dem damals noch aktuellen Verschlüsselungsprogramm Truecrypt einen verschlüsselten Container auf einem USB Speicher anlegen und mit einer portablen Version von Truecrypt versehen konnte, um ihn an jedem Rechner einsetzen zu können. Mittlerweile hat sich aber der ursprüngliche Autor von der Entwicklung zurückgezogen und Truecrypt für unsicher erklärt. Zwar hat ein Sicherheitsaudit trotzdem die Sicherheit des Programms bestätigt, aber dennoch wurde das Programm eingestellt.
Btw, der Lebenswandel des Autors von Truecrypt ist übrigens sehr spannend und wird in einem Artikel von Heise genauer beleuchtet.

In der Zwischenzeit wurde aber der Sourcecode von Truecrypt übernommen und aktiv unter dem neuen Projektnamen Veracrypt weiterentwickelt. Veracrypt basiert also auf Truecrypt, behebt aber die beim Sicherheitsaudit festgestellten „Probleme“ und wird aktiv weiterentwickelt. Zeit also, den Artikel endlich zu aktualisieren und auf Veracrypt anzupassen – und das habe ich heute gemacht. Ihr findet den Artikel auf der rechten Seite im Menü oder hier über den direkten Link „USB Speicher mit Veracrypt verschlüsseln“.

Warum man seine wichtigen Daten auf externen Datenträgern in einem gesicherten Container speichern sollte, ist, denke ich, offensichtlich. Ist man unterwegs und verliert den USB Stick kann es unangenehm sein, wenn die darauf gespeicherten, persönlichen Daten später irgendwann im Internet liegen. Die Datenhoheit über meine Urlaubsbilder, Steuererklärung, Kontoauszüge, Sourcecode, etc. möchte ich jedenfalls behalten. Also viel Spaß beim Verschlüsseln eurer externen Festplatten / Sticks / CDs :-)!

Umstellung auf SSL

Anfang diesen Monats hat mein Webhoster angekündigt, dass ab sofort SSL Zertifikate kostenlos für die Webseiten zur Verfügung stehen werden. Logischerweise habe ich diese Möglichkeit gleich in Anspruch genommen und mir für meine Webseiten erst einmal Zertifikate generiert, was auch ziemlich einfach möglich war. Als erstes war mein Development Blog dran, denn da sind bisher noch nicht so viele Inhalte zusammen gekommen, sodass keine größere Schwierigkeiten zu erwarten waren. Die Umstellung verlief schnell und reibungslos, wobei ich bei der Umstellung nach einer Anleitung von Webongo vorgegangen bin.

Wie ihr sicherlich bemerkt habt, habe ich mein Weblog mittlerweile auch komplett auf HTTPS umgestellt, wobei die Umstellung hier dann schon etwas aufwendiger war. Gerade wenn man Inhalte von anderen Seiten in seinem Weblog verlinkt, bspw. die Einbindung eines Videos von Youtube oder Bilder von anderen Webseiten, muss man daran denken, dass man auch hier auf HTTPS umstellen muss, denn sonst meckert der Browser. D.h. also, dass man wohl oder übel einmal über alle Seiten drüberschauen muss und alle externen Inhalte noch mal überprüfen muss. Einfache Links auf andere Seiten sind aber kein Problem.

Gerade hier in meinem Weblog ist da doch einiges zusammengekommen, was ich erst mal nacharbeiten musste. Neben Links zu Youtube Videos, die es einfach gar nicht mehr gibt oder deren Link sich geändert hat, waren aber auch eingebettete Elemente von anderen Dienstleistern dabei, die auch bereits schon in die Insolvenz gegangen sind oder Bilder aus Foren, die auch schon gar nicht mehr existieren. Ich habe mir deshalb die Arbeit gemacht und alles, so gut es ging, nachgearbeitet und habe, nach der Prüfung hoffentlich alles Seiten, keine weiteren Probleme mehr gefunden.

Und so freue ich mich mittlerweile über ein „A“ bei der Sicherheitsprüfung mit dem SSL Tool von SSLlabs.

SSLlabs

Aber warum macht man sich eigentlich die Arbeit? Naja, hauptsächlich, damit meine Passwörter erst mal bei der Anmeldung zur Webseite nicht ungesichert über das Internet laufen. Als nächstes natürlich noch, weil es einen besseren Google PageRank gibt und zum Schluss natürlich auch wegen der Sicherheit für euch, denn nicht jeder muss unbedingt wissen, was ihr euch gerade anschaut, oder :-)?

WordPress mit Zwei-Faktor-Authentifizierung absichern

Nach langer Zeit endlich mal einen neuen Beitrag von mir… In den letzten Tagen habe ich mich einmal ein wenig damit beschäftigt, meine diversen Zugänge etwas besser abzusichern und natürlich musste dann auch bei WordPress etwas passieren. Durch Zufall bin ich über die Zwei-Faktor-Authentifizierung gestolpert. Das Verfahren war mir bereits durch die RSA SecurID bekannt, aber dass man es auch in WordPress einsetzen kann, war mir neu.
Die Idee dahinter ist, dass man zusätzlich zu seinem Benutzernamen und Login noch einen Code eingeben muss, der über einen anderen Kanal (z.B. eine Smartphone App, einen USB Key, …) generiert wird und nur für einen kurzen Zeitraum gültig ist (TOTP – Time Based One Time Password). Auf diese Weise verhindert man, dass jemand, der sowohl Benutzername, Passwort und Code kennt, sich später mit diesen Daten neu einloggen kann, da der Code bereits ungültig geworden ist.

FreeOTPDie Installation in WordPress ist sehr einfach. Installiert in eurem Blog einfach das „Google Authenticator“ Plugin. Wer jetzt schon wieder einen Schreck wegen Google bekommt: Keine Panik! Das System setzt die RFC6238 um und das Plugin baut keinerlei Verbindung zu Google auf, zumindest habe ich im Quellcode keinerlei Hinweis darauf gefunden. Bevor ihr jetzt in den Benutzereinstellungen der einzelnen Benutzer das Plugin aktviert, solltet ihr euch noch einen Codegenerator herunter laden. Erste Wahl – zumindest für Android Nutzer – wäre vermutlich der „Google Authenticator“, allerdings wurde der Quellcode seit einigen Version nicht mehr herausgegeben. Ich verwende deshalb „FreeOTP„. FreeOTP basiert auf der letzten Version des Google Authenticator Quellcodes und wird von Red Hat gepflegt. Man kann es auch im bekannten F-Droid Store bekommen, in dem nur Programme angeboten werden, die im Quellcode verfügbar sind und von den Buildservern des Projektes gebaut wurden.

Ok, das war es eigentlich auch schon, denn jetzt braucht man nur noch im Benutzerprofil unter „Google Authenticator Einstellungen“ das Login aktivieren, eine vernünftige Beschreibung eingeben und den QR-Code mit der App einscannen. Wenn ihr das gemacht habt, sollte FreeOTP direkt damit beginnen, Einmalpasswörter zu generieren und eurem ersten Login steht nichts mehr im Wege.

GoogleAuthenticator-Plugin

Tipp: Solltet ihr euch mal aus eurem Weblog ausgesperrt haben, dann löscht einfach im Plugin Verzeichnis das Google Authenticator Plugin und schon könnt ihr euch wieder ganz normal an eurem Weblog anmelden.

P.S.: Es gibt noch jede Menge andere Dienste, die den Zugang über Zwei-Faktor-Authentifizierung unterstützen. Bspw. kann man bei Github, App.net, aber auch bei Dropbox, Facebook und den Google Diensten diese Zugangsart aktivieren.