YubiKey ausprobiert

Aufgeschreckt durch die zahlreichen Hacks, bei denen riesige Datenbanken mit Passwörtern in die Hände von Fremden gerieten, habe mich mich entschlossen, meine Accounts besser zu sichern. Mittel der Wahl sollte eine Zweifaktor-Authentifizierung mittel...

Cover Image

Aufgeschreckt durch die zahlreichen Hacks, bei denen riesige Datenbanken mit Passwörtern in die Hände von Fremden gerieten, habe mich mich entschlossen, meine Accounts besser zu sichern. Mittel der Wahl sollte eine Zweifaktor-Authentifizierung mittels eines YubiKey 5 NFC der Firma Yubico sein. In diesem Blog möchte ich meine ersten Erfahrungen schildern.

DenYubiKey 5 NFC gibt es bei Amazon für 50 € versandkostenfrei. Beim Hersteller direkt zahlt man wesentlich mehr, weil noch Zoll und Versand anfallen.

Der Stick soll sehr widerstandsfähig und sogar wasserfest sein, wie ein Taucher in einem Werbespot zeigt.

Es gibt für Linux (und auch für proprietäre Betriebssysteme) alle Anwendungen, die man für die Benutzung benötigt:

  • YubiKey Manager, mit dem man die Speicherslots des Sticks bearbeiten kann
  • YubiKey Authenticator, der genauso arbeitet wie der Google Authenticator, mit dem Unterschied, dass man die Einmalpasswörter nur mit dem angesteckten oder per NFC verbundenen YubiKey sehen kann. Dabei werden die Einträge synchronisiert, das heißt am PC hat man genau die gleichen OTP wie auf dem Smartphone oder Laptop.

OTP ist erstmal das einfachste, aber am weitesten verbreitete Verfahren. Hier gibt man bei der Anmeldung zusätzlich zu Benutzername und Passwort einen 6-steligen Code ein, der im YubiKey Authenticator generiert wird. Dies benutze ich bei Bitcoin.de, Twitter, Amazon und später sicher noch bei vielen anderen Anwendungen.

Google unterstützt U2F (das ist kein Wunder, denn Google entwickelt den Standard mit). Bei U2F benötigt man einen Browser mit entsprechender Unterstützung. Dann ist der zweite Faktor einfach durch Druck auf den Taster am YubiKey erfüllt. Man muss also im Gegensatz zu OTR keinen Code eintippen.

Den ganz neuen Standard FIDO2 konnte ich leider noch nicht testen, da ich keinen Dienst nutze, der das schon unterstützt. Mit FIDO2 sollte das Passwort komplett entfallen, was natürlich sehr bequem ist. Man sollte direkt angemeldet sein, wenn der Key erkannt wurde. Hier gibt es eine Liste der Dienste, die OTP bzw. FIDO unterstützen.

Auch seine Passwortdatenbank KeePassXC kann man mit dem YubiKey absichern. Dazu muss man in einem der zwei Slots eine Challenge Response HMAC ablegen. Diese wird dann von KeePassXC oder KeePass2Android wahlweise als einziger oder als zweiter Faktor benutzt.

Ich bin auf jeden Fall begeistert vom YubiKey. Er funktioniert tadellos unter Linux wie unter Windows und erhöht die Sicherheit deutlich. Gleichzeitig bleibt es möglich, sich ohne großen Aufwand vom Smartphone anzumelden, da er direkt NFC spricht. Die Amazon Bewertungen, dass das Einrichten des YubiKeys selbst für Informatiker schwer sein soll, kann ich nicht nachvollziehen…

Lediglich die Android-Lösung Keepass2Android wirkt etwas altbacken und hat bei mir Probleme, den Speicheroft und Typ (Challenge Response) der zuletzt geöffneten Datei zu merken. Die Nextcloud-Implementation in dieser App kommt mit deutschen Umlauten nicht klar. Leider ist es die einzige KeePass-App, die mit YubiKeys umgehen kann.

Die Sicherheit wird auf jeden Fall drastisch erhöht, denn sobald ein Hacker sieht, dass ein Profil mit einem zweiten Faktor gesichert ist, wird er sich ein leichteres Opfer suchen., denn davon gibt es genug. Eine Ausnahme sind natürlich gezielte Angriffe gegen eine Zielperson. Aber auch hier erhöht der zweite Faktor die Schwierigkeit solcher Angriffe.

Backups sind aber essentiell! Bei Googles U2F kann man einen Code ausdrucken, mit dem man sich dann ohne YubiKey anmelden kann. Bei OTP sollte man sich das Secret, welches man in die App einträgt, sichern. Achtung, bei den meisten Diensten, die ich kenne, wird das Secret nach der Einrichtung nirgends mehr angezeigt. Bei KeePassXC soll man sich das HMAC Secret sicher abspeichern oder ein benutzerdefiniertes Secret benutzen. Dieses kann man sich mit der Personalisierungs-App von YubiKey anzeigen lassen.

Wie das Login in Linux und auf dem Mac mit dem Yubikey funktioniert, werde ich zu einem späteren Zeitpunkt nachberichten.

Warum ich mich für das HTC 10 entschieden habe

Mein bisheriges Smartphone, das Samsung Galaxy S4 Active erhält leider vom Hersteller keine Softwareupdates mehr, was schade ist. Doch da es sich um ein relativ selten verkauftes „Sondermodell“ „Active“ handelt, gibt es auch von Cyanogen Mod keine st...

Cover Image

Mein bisheriges Smartphone, das Samsung Galaxy S4 Active erhält leider vom Hersteller keine Softwareupdates mehr, was schade ist. Doch da es sich um ein relativ selten verkauftes „Sondermodell“ „Active“ handelt, gibt es auch von Cyanogen Mod keine stabilen Versionen mit aktuellem Android. Die „Nightly-Builds“ haben unzählbar viele Bugs. Nach langer Überlegung habe ich mich für das HTC 10 entschieden. In diesem Beitrag erfahrt ihr die Gründe.

Zuerst überlegte ich, mir ein Fairphone zuzulegen. Mir gefällt der Gedanke der fairen Hardware, dafür wäre auch auch bereit, mehr zu zahlen. Dies scheiterte jedoch daran, dass die Firma ein eigenes angepasstes Android nutzt und es bislang kein Cyanogen Mod dafür gibt. Das ist mir sehr wichtig, denn es zeigt sich, dass die Hersteller immer kürzer Updates bereitstellen. Es ist für mich entscheidend, dass ich nach Ablauf der Herstellerunterstützung zu CyanogenMod wechseln kann. Außerdem hat das Fairphone keine sonderlich gute Kamera. Wenn ich scho mehr zahle als bei anderen Herstellern, möchte ich auch die beste Technik, die es auf dem Markt gibt.

Als nächstes empfahl mir ein Kollege den „Flagship-Killer“ One Plus One, das sehr viel günstiger ist als Samsung, HTC und Co. Aber mir ist klar, dass hier dann beim Service, den Produktionsbedingungen und dem Umweltschutz gespart wird. Es wäre quasi ein Wegwerftelefon, denn bei dem Preis dürfte eine Reparatur in den seltensten Fällen wirtschaftlich sein. Da man die Geräte nur über den Hersteller beziehen kann, muss man das Gerät im Garantiefall nach China zurücksenden. Darauf habe ich keine Lust.

Vom iPhone kam ich sofort wieder ab, weil die Apple-Welt nicht mit Linux kompatibel ist. Nichtsdestotrotz unterstützt Apple seine Geräte deutlich länger mit Updates, was ich sehr wünschenswert finde.

Das Samsung Galaxy S7 gilt gemeinhin als Flagship-Smartphone und hat eine der besten Kameras und ein sehr gutes Display. Der Preis ist inzwischen auch akzeptabel. Was mich dennoch vom Kauf abbrachte war folgendes:

  • Das S7 hat einen Rücken aus Glas. Der würde bei meiner Schussligkeit sicher nicht lange halten.
  • Das S7 hat noch einen MicroUSB-Stecker und kein USB-C.
  • Die unglaubliche Menge an Bloatware die Samsung vorinstalliert.

Schließlich blieb das HTC 10 übrig, welches USB-C hat und mit USB 3-Geschwindigkeit befüllen lässt. Zudem entfällt das nervige Drehen des Steckers, bis er passt. Allerdings ist es mit den USB-3-Kabeln so eine Sache. DAs mitgelieferte Kabel des HTC 10 liefert auch nur USB 2-Geschwindigkeit. Den SuperSpeed-Modus kann man in den Einstellungen des Handys nur mit einem geeigneten Kabel aktivieren.

Die Kamera des HTC 10 spielt in der gleichen Liga wie die des S7, wie der Test bei DxOmark zeigt. Es hat ein schickes und widerstandsfähiges Metallgehäuse. Das installierte Android 6 ist verglichen mit Samsung relativ sauber und enthält nur wenig Bloatware. Ein Upgrade auf Android 7 ist bereits im Roll-out (in den USA).

Einziger Kritikpunkt ist die Wasserfestigkeit, es ist nur gegen Spritzwasser geschützt, darf aber nicht untergetaucht werden. Doch wie oft tut man das wirklich? Der fest verbaute Akku ist zwar schmerzhaft, aber es gibt in der Top-Klasse schlichtweg keine Geräte mit Wechselakku mehr. Außerdem reicht der Akku des HTC 10 bei moderater Nutzung auch mal 2 Tage. Das senkt die Anzahl der Ladezyklen, die den Akku ja letztlich altern lassen.

Stromfresser bei Android finden

Normalerweise sollte das Display bei jedem Smartphone mit Abstand der größte Verbraucher sein. Wenn dem nicht so ist, dann gibt es vermutlich irgendeine App, die das Gerät davon abhält in den Schlafzustand zu gehen. Kompliziert wird es, wenn die größ...

Normalerweise sollte das Display bei jedem Smartphone mit Abstand der größte Verbraucher sein. Wenn dem nicht so ist, dann gibt es vermutlich irgendeine App, die das Gerät davon abhält in den Schlafzustand zu gehen.

Kompliziert wird es, wenn die größten Verbraucher Android OS und Android System heißen.  Dann nutzt meist eine App Systemdienste, wie z.B. die Positionsbestimmung.

Wie kommt man solchen Stromfressern auf die Spur? Die App Wakelock Detector leister wertvolle Dienste. Sie zeigt sogar bei vielen Apps genau an welche Funktion soviel Strom frisst, z.B. der Abruf eines bestimmten Postfachs.Leider funktioniert sie unter KitKat nicht mehr ohne Rootrechts. Das Rooten ist aber meist recht einfach möglich. Bei mir hat es mit Towelroot geklappt. Man packt einfach die APK-Datei auf sein Gerät und führt sie aus. Fertig. Dadurch hat man volle Kontrolle über sein GErät, hebelt aber leider auch Sicherheitsmechanismen aus.

Nun kann man mit Wakelock Detector detailliert sehen, welche Apps das Gerät auf Trab halten. Bei mir lag es letztendlich an Tasker und K-9 Mail. Es gab offenbar Probleme, den Standort zu bestimmen. Deshalb ging andauernd das WLAN an und aus, die Standortbestimmung lief quasi pausenlos, wenn ich zu Hause war. Bei K-) Mail waren es die vielen per Push synchronisierten Ordner. Beuautiful Widgets braucht mit der Funktion Nachladen beim Aufwecken deutlich mehr Saft als beim regulären Nachladen alle 2h.

Wakelock Detector

Behoben habe ich das Problem in Tasker durch eine weitere Bedingung beim Zustand ‚zu Hause‘ es wird jetzt neben dem Ort und den GSM-Masten in der Nähe auch mein WLAN abgefragt. Nun läuft die Standorterkennung stabil und sauber.

In K-9 Mail kann man durch langen Druck auf einen Ordner die Ordnereigenschaften erreichen. Hier kann man festlegen ob der Ordner ein Haupt- oder Nebenordner ist. Push war bei mir für 5 Ordner aktiv. Das summierte sich jeden Tag auf 10-15min CPU Vollast. Es ist besser, nur den Posteingang per Push abzufragen und die restlichen Ordner regulär zu synchronisieren mit festem Intervall.

Diese Maßnahmen haben viel gebracht. Nach einem Arbeitstag ist das Handy noch zu 50% statt 25% geladen. Der Balken ‚wach‘ im Wakelock Detector ist von 90% auf 20% geschrumpft.

 

 

Android automatisieren mit Tasker

Seit etwa einem Jahr setze ich die App Tasker ein, um mein Android zu automatisieren. Die App kann zum Beispiel das WLAN ausschalten, wenn man das Haus verlässt oder im Auto Bluetooth anschalten. Sie hilft also auch dabei, Strom zu sparen und verbess...

Seit etwa einem Jahr setze ich die App Tasker ein, um mein Android zu automatisieren. Die App kann zum Beispiel das WLAN ausschalten, wenn man das Haus verlässt oder im Auto Bluetooth anschalten. Sie hilft also auch dabei, Strom zu sparen und verbessert den Schutz vor Tracking, wie ich auch hier im Blog bereits geschrieben habe. Die App ist jedoch für Einsteiger nicht so ganz einfach zu bedienen und erfordert einige Kenntnisse über den Stromverbrauch der verschiedenen Ortungsmethoden. Dazu habe ich diesen Link hier entdeckt, der das ganz gut zusammenfasst. Der springende Punkt steht ganz unten, man sollte seine Profile immer zuerstmal mit einer Ortungsmethode versehen, die wenig Strom verbraucht. Erst, wenn diese Bedingung erfüllt ist, werden Bedingungen wie WLAN Status abgefragt.

Mein ‚zu Hause‘ Profil sieht daher so aus: Wenn die Funkzelle GSM: 123456… in der Nähe ist, Prüfe anhand der Funkzelle (Triangulation) ob ich mich im Radius von 300m um mein Haus befinde. Wenn ja, schalte WLAN ein und Bluetooth aus. Wenn ich diesen Radius verlasse, schalte WLAN aus und Vibration an. Es werden immer zuerst diejenigen Bedingungen ausgewertet, die wenig Strom brauchen.

Die Bedingung Funkzelle in der Nähe (unter Telefon) kostet nochmal etwas weniger Strom als die Triangulation über Funkzellen. Ortung mit WLAN ist immer relativ stromhungrig, da das WLAN dafür immer wieder ein- und ausgeschaltet werden muss.

Praktisch ist Tasker auch für sicherheitsbewußte Menschen, die ein Passwort/eine PIN verwenden. Zu Hause deaktiviere ich diese Funktion dann, damit ich nicht so oft die PIN eintippen muss. Sollte das Handy aber verloren gehen, so kommt erstmal keiner an meine Daten dran. Möglich ist das mit dem Tasker Plugin Secure Settings.

Einziger Haken ist, dass Google aus mir unverständlichen Gründen in KitKat die Option entfernt hat, bestimmte Funktionen durch Apps zu steuern. So kann man nicht mehr den Flugmodus aktivieren. Ich behalfe mir damit, dass ich WLAN und Bluetooth und mobile Netzwerke nachts einzeln ausschalte.

 

Android: WLAN Tracking standardmäßig aktiviert

Moderne Android-Versionen lauschen auch bei eigentlich deaktiviertem WLAN in kurzen Zeitabständen auf Basisstationen in der Nähe. Dies soll die Genauigkeit und Geschwindigkeit der Standortbestimmung verbessern.

Moderne Android-Versionen lauschen auch bei eigentlich deaktiviertem WLAN in kurzen Zeitabständen auf Basisstationen in der Nähe. Dies soll die Genauigkeit und Geschwindigkeit der Standortbestimmung verbessern.

Leider geschieht dies nicht rein passiv, sondern das Smartphone fordert die Basisstationen durch ein sog. Probe Request Paket auf, sich erkennen zu geben. In diesen Paketen ist natürlich auch die MAC-Adresse, über die sich jedes Gerät eindeutig identifizieren lässt. Diese Auskunftsfreudigkeit wird berets in Kaufhäusern genutzt, um herauszufinden, wo sich die Kunden bewegen.

Um diese Funktion abzuschalten muss man in den Erweiterten WLAN-Einstellungen, die über die Menütaste erreichbar sind, die Option Suche immer erlauben deaktivieren.

Android 4.4.2
Android 4.4.2

Ich finde es eine Frechheit von Google, solche Optionen standardmäßig zu aktivieren. Laut c’t erfolgt allerdings ein Hinweis bei der Einrichtung, aber wer beachtet die schon?

Google selbst nutzt diese  Option natürlich insofern, da die Nutzer so ganz von allein die Karte der WLAN-Basisstationen aktualisiert.

Ich persönlich fahre übrigens gut mit der App Tasker, die viele Einstellungen mit Bedingungen koppeln kann und so z.B. das WLAN beim Verlassen des Hauses deaktivieren und am Arbeitsplatz wieder aktivieren kann. Das spart zudem natürlich auch Strom und verhindert das versehentliche Verbinden mit offenen APs.

Mein Umzug zu Posteo

Nun endlich habe ich die Abkehr vom Datenkraken Google vollzogen. In diesem Artikel möchte ich meine Entscheidung darlegen und die Probleme beschreiben, die ich umschiffen musste.

Nun endlich habe ich die Abkehr vom Datenkraken Google vollzogen. In diesem Artikel möchte ich meine Entscheidung darlegen und die Probleme beschreiben, die ich umschiffen musste.

Das Tolle an Google ist natürlich die Einfachheit. Man meldet sich einmal mit dem neuen Telefon an und schon hat man sämtliche Kontakte, Kaleder, Mails etc. Doch diese Bequemlichkeit ist gefährlich. Dadurch, dass Google praktisch alles anbietet, was der digitale Nomade so braucht, entsteht ein wirklich sehr detailliertes Bild. Für die Agenten ist das prima, sie müssen ihre Informationen nicht mühsam bei mehreren Anbietern zusammenkratzen. Deshalb darf man davon ausgehen, dass Google eine direkte Schnittstelle zur NSA bietet, d.h. meine Daten können ohne nervige Gerichtsbeschlüsse eingesehen werden. Dem wollte ich einen Riegel vorschieben. Ich bezahle halt lieber einen € im Monat für die Sicherheit meiner Daten als mit meinen Daten. Einen Überblick, was Google alles über euch weiß, erhaltet ihr im Google Dashboard.

Wahl des Anbieters

Die Wahl fiel auf Posteo, weil dieser Anbieter sehr positiv heraussticht, was den Datenschutz und die Verweigerung von staatlichen Zugriffen angeht. Hier ein Test in der c’t.

Außerdem bietet Posteo folgende Funktionen, die für mich sehr relevant sind:

  • 2 kostenlose Alias-Adressen. Im Gegensatz zu GMX und Co. sind hier noch viele Adressen frei.
  • Identitäten, d.h. man kann mit anderen Mailadressen versenen.
  • DANE-Unterstützung, im Gegensatz zu dem De-Mail-Quatsch
  • Ansehliches und gut bedienbares Web-Frontend, inkl. Adressbuch und Kalender.
  • Posteo ist komplett werbefrei
  • Es werden keinerlei persönliche Daten erfasst, bezahlen kann man Bar.

Einrichtung

Es ist natürlich klar, dass die Einrichtung nicht so schnell und glatt verläuft wie bei Google, denn Google setzt gerade bei Android viele proprietäre Schnittstellen ein und hat die Standard-Schnittstellen dafür entfernt, so geschehen bei CardDAV und CalDAV. Für die Synchronisierung von Kontakten und Kalendern setze ich daher auf die App DAVdroid. Posteo weiß natürlich um die Schwierigkeiten und bietet sehr ausführliche Anleitungen, sodass auch Nicht-Nerds den Umstieg schaffen sollten. Für die Emails bietet sich K-9 Mail an, das als Schmankerl gleich noch PGP unterstützt, wobei der Gmail-Client natürlich nicht dienen kann. Die App ist inzwischen auch auf Tablets ansehlich.

Auch in Thunderbird muss man Mail Kontakte, Kalender einrichten. Apple Kontakte unterstützt übrigens direkt CardDAV, sodass man auf dem Mac kein Thunderbird-Plugin braucht. Das Thunderbird-Profil kann man problemlos auf adere Rechner portieren und spart sich somit die erneute Einrichtung.

Das einzige, was mir noch fehlt, sind die Kontaktbilder. Diese muss ich wohl bei Posteo neu einpflegen, da Google sie nicht zu exportieren scheint. Alles in allem ist es aber ein sehr gutes Gefühl, frei über seine  Daten zu verfügen!

Nachtrag: Kontaktbilder

Beim Export der Kontakte von Google Mail und anschließendem Import bei Posteo fehlten erstmal sämtliche Kontaktbilder. Auch bei Android waren keinerlei Bilder zu sehen. Später fiel mir auf, dass Apple Kontakte die Bilder sehr wohl anzeigt, sie waren also nicht verloren. Ein Export der Daten auf Apple Kontakte und anschließender Neuimport bei Posteo verhalf dann allen Kontakten wieder zu ihrem Bild.

Nachtrag: Geburtstage

Man kann, wie auch in der Posteo -Hilfe dokumentiert, auch die Geburtstage seiner Kontakte auch unter Android anzeigen lassen. Dazu braucht man jedoch erneut eine Zusatz-App, die immerhin über einen alternativen App Store kostenlos zu haben ist. Toll finde ich das trotzdem nicht! Posteo sollte einen Kalender anbieten, der einfach diese Geburtstage enthält. Doch mit mehreren Kalendern musste ich leider auch noch Probleme feststellen. Wirklich sauber funktioniert alles nur mit einem Kalender und mehreren Kategorien. Das reicht aber für Privatnutzer auch vollkommen aus.

Man kann zusammenfassend sagen, dass Posteo mehr tun muss, ob das Benutzererlebnis zu verbessern. Es kann doch nicht sein, dass man für Standardfeatures gleich mal zwei Apps installieren soll, die dann auch wieder ihre Sicherheitslücken haben können!? Eine eigene Posteo-App würde ich für ausgesprochen sinnvoll halten!.