YubiKey ausprobiert

Aufgeschreckt durch die zahlreichen Hacks, bei denen riesige Datenbanken mit Passwörtern in die Hände von Fremden gerieten, habe mich mich entschlossen, meine Accounts besser zu sichern. Mittel der Wahl sollte eine Zweifaktor-Authentifizierung mittel...

Cover Image

Aufgeschreckt durch die zahlreichen Hacks, bei denen riesige Datenbanken mit Passwörtern in die Hände von Fremden gerieten, habe mich mich entschlossen, meine Accounts besser zu sichern. Mittel der Wahl sollte eine Zweifaktor-Authentifizierung mittels eines YubiKey 5 NFC der Firma Yubico sein. In diesem Blog möchte ich meine ersten Erfahrungen schildern.

DenYubiKey 5 NFC gibt es bei Amazon für 50 € versandkostenfrei. Beim Hersteller direkt zahlt man wesentlich mehr, weil noch Zoll und Versand anfallen.

Der Stick soll sehr widerstandsfähig und sogar wasserfest sein, wie ein Taucher in einem Werbespot zeigt.

Es gibt für Linux (und auch für proprietäre Betriebssysteme) alle Anwendungen, die man für die Benutzung benötigt:

  • YubiKey Manager, mit dem man die Speicherslots des Sticks bearbeiten kann
  • YubiKey Authenticator, der genauso arbeitet wie der Google Authenticator, mit dem Unterschied, dass man die Einmalpasswörter nur mit dem angesteckten oder per NFC verbundenen YubiKey sehen kann. Dabei werden die Einträge synchronisiert, das heißt am PC hat man genau die gleichen OTP wie auf dem Smartphone oder Laptop.

OTP ist erstmal das einfachste, aber am weitesten verbreitete Verfahren. Hier gibt man bei der Anmeldung zusätzlich zu Benutzername und Passwort einen 6-steligen Code ein, der im YubiKey Authenticator generiert wird. Dies benutze ich bei Bitcoin.de, Twitter, Amazon und später sicher noch bei vielen anderen Anwendungen.

Google unterstützt U2F (das ist kein Wunder, denn Google entwickelt den Standard mit). Bei U2F benötigt man einen Browser mit entsprechender Unterstützung. Dann ist der zweite Faktor einfach durch Druck auf den Taster am YubiKey erfüllt. Man muss also im Gegensatz zu OTR keinen Code eintippen.

Den ganz neuen Standard FIDO2 konnte ich leider noch nicht testen, da ich keinen Dienst nutze, der das schon unterstützt. Mit FIDO2 sollte das Passwort komplett entfallen, was natürlich sehr bequem ist. Man sollte direkt angemeldet sein, wenn der Key erkannt wurde. Hier gibt es eine Liste der Dienste, die OTP bzw. FIDO unterstützen.

Auch seine Passwortdatenbank KeePassXC kann man mit dem YubiKey absichern. Dazu muss man in einem der zwei Slots eine Challenge Response HMAC ablegen. Diese wird dann von KeePassXC oder KeePass2Android wahlweise als einziger oder als zweiter Faktor benutzt.

Ich bin auf jeden Fall begeistert vom YubiKey. Er funktioniert tadellos unter Linux wie unter Windows und erhöht die Sicherheit deutlich. Gleichzeitig bleibt es möglich, sich ohne großen Aufwand vom Smartphone anzumelden, da er direkt NFC spricht. Die Amazon Bewertungen, dass das Einrichten des YubiKeys selbst für Informatiker schwer sein soll, kann ich nicht nachvollziehen…

Lediglich die Android-Lösung Keepass2Android wirkt etwas altbacken und hat bei mir Probleme, den Speicheroft und Typ (Challenge Response) der zuletzt geöffneten Datei zu merken. Die Nextcloud-Implementation in dieser App kommt mit deutschen Umlauten nicht klar. Leider ist es die einzige KeePass-App, die mit YubiKeys umgehen kann.

Die Sicherheit wird auf jeden Fall drastisch erhöht, denn sobald ein Hacker sieht, dass ein Profil mit einem zweiten Faktor gesichert ist, wird er sich ein leichteres Opfer suchen., denn davon gibt es genug. Eine Ausnahme sind natürlich gezielte Angriffe gegen eine Zielperson. Aber auch hier erhöht der zweite Faktor die Schwierigkeit solcher Angriffe.

Backups sind aber essentiell! Bei Googles U2F kann man einen Code ausdrucken, mit dem man sich dann ohne YubiKey anmelden kann. Bei OTP sollte man sich das Secret, welches man in die App einträgt, sichern. Achtung, bei den meisten Diensten, die ich kenne, wird das Secret nach der Einrichtung nirgends mehr angezeigt. Bei KeePassXC soll man sich das HMAC Secret sicher abspeichern oder ein benutzerdefiniertes Secret benutzen. Dieses kann man sich mit der Personalisierungs-App von YubiKey anzeigen lassen.

Wie das Login in Linux und auf dem Mac mit dem Yubikey funktioniert, werde ich zu einem späteren Zeitpunkt nachberichten.

Meine Meinung zu Let’s Encrypt

Let’s Encrypt ist ein neuer Dienst, der es einfach machen soll, TLS/SSL-Zertifikate für den eigenen Server zu erzeugen. Im Praxistest mit Nginx konnte mich das Tool leider überhaupt nicht überzeugen. Dies möchte ich hier darlegen.

Let’s Encrypt ist ein neuer Dienst, der es einfach machen soll, TLS/SSL-Zertifikate für den eigenen Server zu erzeugen. Im Praxistest mit Nginx konnte mich das Tool leider überhaupt nicht überzeugen. Dies möchte ich hier darlegen.

Bei Let’s encrypt handelt es sich um eine Skriptsammlung, die via Git auf dem Server installiert wird. Die Skripte scannen die Konfiguration des Webservers und finden hier Hostnamen, unter denen der Server seine Dienste anbietet. Es wird dann im Document-Root eine Datei angelegt, die Let’s Encrypt zur Authentifizierung von außen abzurufen versucht. Soweit die Theorie. Bei Apache mag das schon ganz gut funktionieren, die Unterstützung für Nginx ist jedoch noch experimentell. Ich wollte daher eigentlich nur ein Zertifikat zu einer vorgegebenen Domain erstellen, ohne das meine Nginx-Konfiguration analysiert wird. Das sollte doch eigentlich kein Problem sein?

Leider doch. Let’s Encrypt versucht nämlich, den Webserver dann über Port 80 zu erreichen. Dieser ist bei mir nicht offen und ich musste erst die Firewall und interne Dienste umkonfigurieren, damit der Port überhaupt erreichbar ist. Auch danach klappte es jedoch nicht, die Datei von außen auszulesen, vermutlich ein Rechte-Problem.

Da die Zertifikate von Let’s Encrypt nur drei Monate gültig sind, müsste man alle drei Monate seine Firewall öffnen. Das ist nicht praktikabel. In der Zeit, die ich gestern investiert habe, hätte ich dreimal ein kostenloses Zertifikat von StartSSL geholt, das dann ein Jahr lang gilt. Für 60 $/zwei Jahre bekommt man auch ein Wildcard-Zertifikat. Das ist immerhin viel günstiger als bei 1&1 (120 € im Jahr) und Co.

Statt Port 80 zu benutzen, sollte Let’s Encrypt lieber ein temporäres, selbstsigniertes Zertifikat benutzen um auf Port 443 zuzugreifen.

Fazit

Let’s Encrypt ist ein netter Versuch, aber wenn man dafür seine gesamte Konfiguration ändern muss, dann lohnt sich der Aufwand nicht! Die Dokumentation lässt auch sehr zu wünschen übrig und ist nicht immer auf dem aktuellen Stand. Es ist – gerade für unerfahrene Admins – leichter, die kostenlosen Zertifikate von StartSSL zu verwenden.

Frustabbau Weihnachtseinkäufe

Ich bin ein bisschen frustriert. In Konstanz sind fast alle Preise auf Schweizer Kunden abgestimmt und für uns Deutsche oft sehr teuer. Natürlich will man die lokale Wirtschaft und gerade die kleinen Geschäfte stützen, aber ganz einfach ist es nicht....

Ich bin ein bisschen frustriert. In Konstanz sind fast alle Preise auf Schweizer Kunden abgestimmt und für uns Deutsche oft sehr teuer. Natürlich will man die lokale Wirtschaft und gerade die kleinen Geschäfte stützen, aber ganz einfach ist es nicht. Amazon will man aber eigentlich auch meiden, die bezahlen ihre Mitarbeiter schlecht und liegen seit Jahren im Arbeitskampf mit Ver.di. Doch das Problem ist: Es gibt kaum ernstzunehmende Konkurrenz. In diesem Blog will ich meinen Frust mal etwas darlegen.

Klar, es gibt abertausende Online-Shops. Ich wollte uns für Weihnachten eine neue Lampe fürs Wohnzimmer kaufen. Die beiden größten Anbieter, Lampenwelt.de und LampenOnline.de. halten es nicht mal für nötig ihre Seiten zu verschlüsseln. Diese Einstellung zieht sich durch sehr viele kleinere und auf eine Produktgruppe spezialisierte Webshops. Auch wenn man Bezahldaten in einem verschlüsselten Pop-Up von Paypal eingibt, Vertrauen geht anders. Dabei muss Verschlüsselung nicht mal etwas kosten, wie StartSSL und Let’s Encrypt zeigen. Es fehlt vermutlich einfach das technische Know How und das Wissen, dass Google verschlüsselte Seiten deutlich höher bewertet. Selbst große Shops wie Mindfactory verzichten  auf Verschlüsselung – die gibt es erst, wenn man eingeloggt ist.

Ein wichtiger Grund, warum Seitenbetreiber auf HTTPS verzichten ist sicher die Werbung. Es gibt wenig Werbevermittler, die HTTPS unterstützen. Die oft befürchteten Performance-Einbußen sind ein Mythos. Im schlimmsten Fall einige Millisekunden mehr Ladezeit. Dass Google SSL verschlüsselte Seiten bevorzugt, ist dagegen ein Fakt.

Auch aufgefallen ist mir bei solchen Spezialshops, dass sie sehr viele Sachen nicht lagern sondern selbst erst bestellen müssen. Dann kommen schnell Lieferzeiten von acht Wochen zusammen. So rennen die Kunden, mich eingeschlossen, natürlich alle gleich zu Amazon. Lieferung am nächsten Werktag. In einer Woche hätte auch gereicht, aber nicht in acht Wochen! Wenn das dann nicht einmal beim Produkt dabei steht, dann fühlt man sich verarscht.

Auf diese Weise überlassen solche Online-Shops ihre Kundschaft kampflos dem Internetgiganten Amazon. Ich finde Verschlüsselung essentiell, denn was ich im Internet kaufe und anschaue ist meine Privatsache. Die Verschlüsselung sollte also unbedingt im gesamten Shop zum Einsatz kommen.

Mit Browsererweiterungen wie HTTPS Everywhere kann man als Benutzer sicherstellen, dass man – sofern vorhanden – sichere Seiten nutzt.

Daher der Aufruf an alle Shopbetreiber: Verschlüsselt eure Seiten! Konfiguriert die Server sicher, das kann man z.B. mit diesem SSL Tester prüfen. So wie hier sollte es nicht aussehen! Denn dann kann ein Angreifer sehr leicht den Aufbau einer verschlüsselten Verbindung verhindern. Haltet die Produkte auf Lager oder zumindest so, sodass man nicht länger als 1 Woche warten muss.

Pakete mitschneiden mit der FritzBox

Dass die FritzBoxen von AVM einen riesigen Funktionsumfang haben ist bekannt. Weniger bekannt dürfte sein, dass sie ab Werk ohne irgendwelche Fummelei Pakete mitschneiden können. Man muss dann nicht mehr den Netzwerkverkehr über den eigenen PC umleit...

Dass die FritzBoxen von AVM einen riesigen Funktionsumfang haben ist bekannt. Weniger bekannt dürfte sein, dass sie ab Werk ohne irgendwelche Fummelei Pakete mitschneiden können. Man muss dann nicht mehr den Netzwerkverkehr über den eigenen PC umleiten, sondern kann mit zwei Klicks alles mitlesen, was ins Internet will. Sehr praktisch ist das z.B. um den Kummunikations-drang des Heimischen Fernsehers einzudämmen.

Um das mitschneiden zu aktivieren ruft man http://fritz.box/capture.lua auf. Nun kann man an beliebigen Schnittstellen mitschneiden. Der Mitschnitt wird als Download angeboten und kann dann mit Wireshark betrachtet werden.

FritzBox Mitschnitt Optionen

Wireshark
Die Kummunikation meines Fernsehers in Wireshark

 

Mein Samsung TV ist nun übrigens per Firewall ruhig gestellt. Es war schier unglaublich wie viele Pakete er innerhalb weniger Minuten an die IP 216.137.61.190 versendete – immerhin verschlüsselt. Dieser Dienst hat übrigens eine beeindruckende Vielfalt offener Ports, es handelt sich demnach um einen FTP, Mail und Webserver.

Mein Umzug zu Posteo

Nun endlich habe ich die Abkehr vom Datenkraken Google vollzogen. In diesem Artikel möchte ich meine Entscheidung darlegen und die Probleme beschreiben, die ich umschiffen musste.

Nun endlich habe ich die Abkehr vom Datenkraken Google vollzogen. In diesem Artikel möchte ich meine Entscheidung darlegen und die Probleme beschreiben, die ich umschiffen musste.

Das Tolle an Google ist natürlich die Einfachheit. Man meldet sich einmal mit dem neuen Telefon an und schon hat man sämtliche Kontakte, Kaleder, Mails etc. Doch diese Bequemlichkeit ist gefährlich. Dadurch, dass Google praktisch alles anbietet, was der digitale Nomade so braucht, entsteht ein wirklich sehr detailliertes Bild. Für die Agenten ist das prima, sie müssen ihre Informationen nicht mühsam bei mehreren Anbietern zusammenkratzen. Deshalb darf man davon ausgehen, dass Google eine direkte Schnittstelle zur NSA bietet, d.h. meine Daten können ohne nervige Gerichtsbeschlüsse eingesehen werden. Dem wollte ich einen Riegel vorschieben. Ich bezahle halt lieber einen € im Monat für die Sicherheit meiner Daten als mit meinen Daten. Einen Überblick, was Google alles über euch weiß, erhaltet ihr im Google Dashboard.

Wahl des Anbieters

Die Wahl fiel auf Posteo, weil dieser Anbieter sehr positiv heraussticht, was den Datenschutz und die Verweigerung von staatlichen Zugriffen angeht. Hier ein Test in der c’t.

Außerdem bietet Posteo folgende Funktionen, die für mich sehr relevant sind:

  • 2 kostenlose Alias-Adressen. Im Gegensatz zu GMX und Co. sind hier noch viele Adressen frei.
  • Identitäten, d.h. man kann mit anderen Mailadressen versenen.
  • DANE-Unterstützung, im Gegensatz zu dem De-Mail-Quatsch
  • Ansehliches und gut bedienbares Web-Frontend, inkl. Adressbuch und Kalender.
  • Posteo ist komplett werbefrei
  • Es werden keinerlei persönliche Daten erfasst, bezahlen kann man Bar.

Einrichtung

Es ist natürlich klar, dass die Einrichtung nicht so schnell und glatt verläuft wie bei Google, denn Google setzt gerade bei Android viele proprietäre Schnittstellen ein und hat die Standard-Schnittstellen dafür entfernt, so geschehen bei CardDAV und CalDAV. Für die Synchronisierung von Kontakten und Kalendern setze ich daher auf die App DAVdroid. Posteo weiß natürlich um die Schwierigkeiten und bietet sehr ausführliche Anleitungen, sodass auch Nicht-Nerds den Umstieg schaffen sollten. Für die Emails bietet sich K-9 Mail an, das als Schmankerl gleich noch PGP unterstützt, wobei der Gmail-Client natürlich nicht dienen kann. Die App ist inzwischen auch auf Tablets ansehlich.

Auch in Thunderbird muss man Mail Kontakte, Kalender einrichten. Apple Kontakte unterstützt übrigens direkt CardDAV, sodass man auf dem Mac kein Thunderbird-Plugin braucht. Das Thunderbird-Profil kann man problemlos auf adere Rechner portieren und spart sich somit die erneute Einrichtung.

Das einzige, was mir noch fehlt, sind die Kontaktbilder. Diese muss ich wohl bei Posteo neu einpflegen, da Google sie nicht zu exportieren scheint. Alles in allem ist es aber ein sehr gutes Gefühl, frei über seine  Daten zu verfügen!

Nachtrag: Kontaktbilder

Beim Export der Kontakte von Google Mail und anschließendem Import bei Posteo fehlten erstmal sämtliche Kontaktbilder. Auch bei Android waren keinerlei Bilder zu sehen. Später fiel mir auf, dass Apple Kontakte die Bilder sehr wohl anzeigt, sie waren also nicht verloren. Ein Export der Daten auf Apple Kontakte und anschließender Neuimport bei Posteo verhalf dann allen Kontakten wieder zu ihrem Bild.

Nachtrag: Geburtstage

Man kann, wie auch in der Posteo -Hilfe dokumentiert, auch die Geburtstage seiner Kontakte auch unter Android anzeigen lassen. Dazu braucht man jedoch erneut eine Zusatz-App, die immerhin über einen alternativen App Store kostenlos zu haben ist. Toll finde ich das trotzdem nicht! Posteo sollte einen Kalender anbieten, der einfach diese Geburtstage enthält. Doch mit mehreren Kalendern musste ich leider auch noch Probleme feststellen. Wirklich sauber funktioniert alles nur mit einem Kalender und mehreren Kategorien. Das reicht aber für Privatnutzer auch vollkommen aus.

Man kann zusammenfassend sagen, dass Posteo mehr tun muss, ob das Benutzererlebnis zu verbessern. Es kann doch nicht sein, dass man für Standardfeatures gleich mal zwei Apps installieren soll, die dann auch wieder ihre Sicherheitslücken haben können!? Eine eigene Posteo-App würde ich für ausgesprochen sinnvoll halten!.

Die Auswüchse der NSA und sichere Passwörter

Was Heise Online gerade berichtet ist erschreckend: http://www.heise.de/newsticker/meldung/Snowden-NSA-Mitarbeiter-tauschen-erbeutete-Nacktbilder-2262547.html Die Agenten werden offenbar überhaupt nicht kontrolliert, sie schnüffeln in den Inhalten vo...

Was Heise Online gerade berichtet ist erschreckend:

http://www.heise.de/newsticker/meldung/Snowden-NSA-Mitarbeiter-tauschen-erbeutete-Nacktbilder-2262547.html

Die Agenten werden offenbar überhaupt nicht kontrolliert, sie schnüffeln in den Inhalten von völlig unbeteiligten Personen. Da bin ich schon froh, dass meine Dropbox bereits seit Jahren komplett verschlüsselt ist.

Dropbox Verschlüsselung mit BoxCryptor Classic
Dropbox Verschlüsselung mit BoxCryptor Classic

Die einfachen A haben vermutlich nicht die Werkzeuge, sowas zu knacken, sie nutzen nur die Schnittstellen, die Google, Apple, Dropbox usw. der NSA einrichten müssen. Die Inhalte liegen dort meist komplett unverschlüsselt und für jederman lesbar. Nur für die Übertragung werden Sie mit SSL/TLS verschlüsselt.

Natürlich ist es nicht so, dass die Verschlüsselung nicht geknackt werden kann. Aber das ist aufwändig und erfordert erhebliche Rechenkraft. Hier findet ihr einen sehr interessanten Zusammenhang zwischen der Passwort-Länge und der benötigten Zeit für einen Brute-Force-Angriff. Demzufolge benötigt man bei einem 10 Zeichen langen Passwort aus Zahlen und Buchstaben bereits 12 Jahre um alle Kombinationen auszuprobieren.  Allerdings lässt sich dieser Wert unter Einsatz von Wörterbüchern erheblich reduzieren – sofern das Passwort im Wörterbuch steht.

Auch Hochleistungs-Computersysteme werden kaum mehr als um den Faktor 10 schneller sein als der im Link verwendete Rechner.

BoxCryptor dagegen bietet eine Ende-zu-Ende Verschlüsselung. Nur ich allein kann meine Daten mit meinem Passwort entschlüsseln.

Aus den oben genannten Gründen habe ich mich nun auch entgültig von Google Mail getrennt und alle meine Mails zum deutschen Anbieter Posteo umgezogen. Ich bezahle lieber 1 € im Monat für die Sicherheit meiner Daten, als mit meinen Daten! Wie der Umzug zu Posteo lief werde ich nachberichten.