Momentan plane ich ein neues WordPress Blog. Im beruflichen Umfeld. Im Zuge dessen, befasst man sich zwangsläufig über das Thema “Sicherheit” und sucht nach neuen Wegen. Ich möchte euch jetzt nicht mit den üblichen Tricks und Kniffen langweilen sondern, mit den ziemlich besten Tipps die es so gibt.
Google bietet bekanntlich ja den “Google Authenticator” welcher uns im 30 Sekunden Takt eine neue Nummer anzeigt. Diese App wird für das iPhone, Android und den Blackberry angeboten. Mit dieser App kann man nicht nur sein Google Mail Konto authentifizieren, sondern auch einfach andere Dienste hinzufügen. Wer nun rummeckern will dass das alles ja viel zu unsicher ist und sowieso sollte man nichts von Google installieren, dem sei gesagt das Google hier lediglich die App bereitstellt und das ganze Open Source ist. Man gewährt also Google nicht Zugriff auf seinen WordPress Blog oder Ähnliches.
Zuerst brauch man also die App, für das jeweilige Smartphone und dann, auf WordPress Seite, natürlich noch das dazugehörige Plugin von Henrik Schack. Wenn man nun das alles installiert und aktiviert hat, besucht man erstmal die Profileinstellung (oben rechts) um sein WordPress Profil zu bearbeiten. Im Grunde setzt man da nur den Haken bei aktivieren und scannt mit dem Smartphone den QR Code und dann kann es eigentlich schon los gehen.
Wenn man sich nun noch traut, eventuell vielleicht in einer extra Session (für sowas eignet sich tatsächlich die Privacy Mode von eurem Browser), dann kann man das ganze tatsächlich testen ohne sich gleich selbst auszusperren. Bei mir funktionierte es aber ohne Probleme. Man bekommt, wie auf den Screenshots zu sehen, ein 3. Eingabefeld beim Login wo man den Code vom Smartphone eingeben muss. Das zieht einem echt die Schuhe aus!
(Die Bilder habe ich auf der Plugin Seite geklaut und so)
Ich habe einen interessanten Artikel gefunden wie man denn mit der Mail.app seine Mails verschlüsselt. Interessant ist das ganze aufjedenfall denn man sollte eigentlich keine sensiblen Daten einfach über öffentliche Netze schicken. Ich bin momentan dabei das zu testen. Sowohl Mac to Mac als auch Crossplattform.
Interessante Anmerkung fand ich im Kommentarbereich des Blogposts:
1. NIEMALS einen Schlüssel mit unendlicher gültigkeit erstellen!
Sollte der schlüssel irgendwie in die Falschen Hände geraten, oder das private Passwort “öffentlich” werden, können andere sich unbegrenzt mit dem gestolenen Schlüssel ausweisen.
Zwischen 3 und 5 Jahre sind angemessen.
2. Während der schlüsselerstellung MÖGLICHST VIEL am Computer arbeiten! (große Programme öffnen)
Aus den bei der Arbeit entstehenden Daten pickt sich PGP echte Zufallsdaten heraus, hat der Rechner nichts zu tun, kann kein Schlüssel erstellt werden.
3. In den Kommentaren taucht immer wieder die frage nach den angezeigten 1024 langen Schlüsseln auf. Der private Schlüssel wird mit der eingestellten Schlüssellänge erstellt, der öffentliche schlüssel ist jedoch immer 1024 lang.
4. NIEMALS einen Schlüssel auf einen öffentlichen Server hochladen solange man sich noch nicht im klaren ist, wie ein Schlüssel für ungültig erklärt werden kann.
5. Selbstverständlich nimmt man keine Schlüssel von Personen, die mann noch nie gesehen hat in seinen Schlüsselbund auf.
6. Eine genaue und verständliche Beschreibung der Hintergründe/ Grundlagen von GPG findet sich hier:
http://wiki.ubuntuusers.de/GnuPG/Technischer_Hintergrund
http://wiki.ubuntuusers.de/GnuPG
http://wiki.ubuntuusers.de/GnuPG/Web_of_Trust
Habt ihr schon einmal damit herumgespielt? Benutzt ihr aktiv Verschlüsselungen? Wie geht ihr vor und wie tauscht ihr euren öffentlichen Schlüssel? Fragen über Fragen.
