Autor: Torsten

2-Faktor Authentifizierung [Kommentar]

Kommentar hinterlassen

Ist das Passwort als Schutz nicht ausreichend?

Das Passwort als als alleiniges Kriterium heute keine sichere Variante der Authentifizierung, besonders wenn man einen VPS (Virtual Private Server) hat und dort auch mal experimentiert. Dann kann es doch recht schnell passieren, dass das Passwort irgendwann mal im Klartext durch das Netz wandert.

Wie könnte jemand an das eigene Passwort gelangen?

  • Bruteforce (durch probieren) – dafür hilft es komplexe Passwörter zu benutzen, die man aber zwangsläufig wieder irgendwo speichern oder aufschreiben muss. Der verwendeten Verschlüsselung der Datei muss man trauen. Was bedeutet komplex? Das Passwort sollte z.B. nicht Schalke04, BMWFan, Hardrock!!!, BVBDortmund oder vergleichbar lauten. Derart simple Sachen werden von Passwortknackern zuerst probiert, weil viel zu viele Leute solche Simpelpasswörter nutzen. Im Optimalfall sollte das Passwort eine gewisse Mindestlänge haben, aus Groß / Kleinbuchstaben, Sonderzeichen und Zahlen bestehen
  • Lauschen – Wenn man ein Passwort auch nur einmal ungeschützt im Netz transportiert (z.B. per Mail) ist es verbrannt. Wenn die verwendete SSL Verschlüsselung kompromittiert oder geknackt wird, bietet das Passwort keinen Schutz mehr. Auch wenn man zwischendurch den Zugang über VNC (unverschlüsselt) nutzt , müsste man das oder die Passwörter danach ändern.
  • Direkter Zugriff auf den Server – bei einem VPS Server stellt sich immer die Frage, ob die Mitarbeiter des Anbieters Zugriff haben und wenn ja wie. Das beste Passwort bringt nichts, wenn man es umgehen kann.
  • Social engineering / Phishing – Wer kennt sie nicht die Mails. Wir haben ein Problem mit ihrem Konto festgestellt. Bitte loggen Sie sich ein und entsperren sie es. In dem Fall gibt man sein Passwort gegebenfalls selber an Betrüger weiter
  • Würmer – man installiert sich selbst (versehentlich Software) die zum Beispiel Passwörter an Kriminelle überträgt. Zugegeben – ja nach Wurm hat man dann noch weitere Probleme

Das sind nur ein paar Beispiele und die Liste erhebt keineswegs Anspruch auf Vollständigkeit.

Warum überhaupt schützen? Ich habe nichts zu verbergen!

Man kann nun argumentieren, dass auf einem VPS auf dem man zum Beispiel sein WordPress laufen lässt ja keine geheimen Informationen liegen. Das mag richtig sein (wobei man definitiv Probleme im Kontext DSGVO bekommen wird, wenn sie jemand Zugriff auf die persönlichen Daten von Besuchern verschaffen kann, selbst wenn es nur Mailadressen sind) aber alleine schon aus dem Aspekt, dass die Daten von Fremden ggf. beschädigt oder gelöscht werden, ist ein etwas höherer Schutzlevel ggf. angebracht.

Wenn man auf dem Server persönliche Informationen hat zum Beispiel als Backup wie Rechnungen, Krankeninformationen, Bewerbungen, Backups, Fotos usw. ist die Gefahr noch mal höher. Einerseits des Verlustes andererseits behaupten viele, dass die keine Geheimnisse haben. Ist das wirklich so? ist es nicht unangenehm, wenn die Fotos vom letzten Saufgelage beim Arbeitgeber aufschlagen?

Gibt es irgendwelche Einkäufe, die nicht an die Öffentlichkeit gelangen sollten?

Ist es nicht blöd, wenn die eigenen Krankenakten öffentlich verfügbar sind?

Wie ist es mit der Religionszugehörigkeit? Geheim oder kann das jeder wissen?

Ein sehr unschönes Beispiel aus der Geschichte: Die detaillierten Informationen über die Religionszugehörigkeit wurden bereits vor dem zweiten Weltkrieg in den Niederlanden erfasst.

Tendenziell hätte man nun vielleicht angenommen, dass die Religionszugehörigkeit als Information beim eigenen Staat vollkommen unproblematisch ist. War sie nicht!

Wie funktioniert 2-Faktor Authentifizierung in der Praxis?

Da gebräuchlichste Verfahren ist heute die Variante über Token. Auf dem Handy befindet sich eine App, die über ein “Geheimnis”, dass der App un dem Server bekannt ist und der aktuellen Uhrzeit einen Code generiert. Diesen gibt man in der Regel zusätzlich zum Passwort ein. Beides muss für einen erfolgreichen Login stimmen. Der generierte Code ist in der Regel nur eine sehr begrenzte Zeit gültig (z.B. eine oder zwei Minuten bei dem Time based Verfahren)

Vergleichbare aber unsichere Verfahren gibt es zum Beispiel über SMS, Mail usw. – in dem Fall wird der Code nicht vom lokalen Gerät, sondern vom Server erzeugt. Aufgrund der Verzögerung durch das Senden sind diese Codes in der Regel länger gültig und können natürlich beim Senden leicht belauscht werden, weil weder eine e-Mail noch die SMS gegen Einsehen geschützt sind.

Ein Problem bei o.g. Verfahren ist, dass die Anwendung ein separates Feld für den Code anbieten muss, der nun zusätzlich benötigt wird.

Beispielsweise ist dies bei einem aktuellen Ubuntu Linux in Version 18.04 LTS gegeben, wenn man sich per SSH anmeldet. Wenn die App ein derartiges Verfahren nicht unterstützt, dann gibt es je nach Anbietet der OpenOTP Lösung die Variante das Passwort und Token direkt hintereinander einzugeben oder eine Push Authentifizierung zu nutzen. In dem Fall gibt man sein Passwort ein, bekommt dann eine Benachrichtigung auf dem Handy in der man zu Bestätigung aufgefordert wird. Dieses Verfahren funktioniert zum Beispiel, wenn man den RDP (Remote Desktop) Zugang in Linux schützen will gut.

RDP wird primär in der Windows Welt genutzt und ist nicht zwangsläufig verschlüsselt.

Und in der Praxis?

Welche Varianten habe ich getestet:

Webmin 2-Faktor

2-Faktor Authentifizierung phpMyAdmin

Plesk mit Google Authenticator

Google Authentificator – Zum Beispiel PHPMyadmin, Plesk, Webmin integriert – Die Variante ist Einfach und in der Regel direkt in der App integriert. Das bedeutet, dass abseits des Aktivierens oft keine Konfiguration nötig ist. Man scannt den QR-Code (im Optimalfall auf zwei Geräten also zum Beispiel dem Handy und dem IPad zwecks Fallbackoption, wenn eines der Geräte den Geist aufgibt oder verloren geht). Das war es auch schon. Google unterstützt kein Push aber sowohl die Kombinierte Variante von PW und Token, als auch über einen angepassten Dialog. Die verwendete Anwendung muss es natürlich unterstützen.

WebADM Seerver von RCDevs (als Gegenstück gibt es eine App namens OpenOTPToken (die Google App oder eine andere z.B. von Duo tut es aber auch)

/etc/pam.d/sshd – Konfiguration für den Zugang per SSH in Linux – common-auth = Standard, openotp-auth = RCDevs und die anderen drei Zeilen sind für Duo

Kommandozeilenlogin Putty per SSH und RCDevs OpenOTP Token + Backuppasswortliste

RCDevs OpenOTP – In dem Fall ist man vollkommen losgelöst vom Anbieter und kann seinen eigenen Authentifizierungsserver aufsetzen. RCDevs unterstützt alle Verfahren (Dialog mit Token, PW + Token, Push). Ich habe aber im Fall von RDP keine Variante zum Laufen bekommen, da dort ein separates Eingabefeld nicht vorgesehen ist. Die Push Variante funktioniert bei mir zwar mit SSH aber nicht per RDP. Der Einrichtungsaufwand ist ziemlich hoch.

Duo – Auch hier bindet man sich an einen Anbieter, von dem man Abhängig ist. Das ist aber die einzige Variante, mit der ich Push zum Laufen bekommen habe

Es ist übrigens egal welche App man auf dem mobilen Gerät nutzt. Man kann sowohl die Google App als auch z.B. die RCDevs App nutzen. Die erzeugten Codes sind immer identisch. Die einzige Ausnahme von dieser Regel ist der Pushservice. Der Duo Push funktioniert nur mit der Duo App und der von RCDevs nur mit der von RCDevs.

In der Regel muss man sich für alle Anmeldewege für ein Verfahren entscheiden. RCDevs bietet zwar die Möglichkeit nach Anwendung zu unterscheiden, dass funktioniert aber nach meiner Erfahrung eher schlecht bzw. es gibt diverse Voraussetzungen, die sich teilweise nicht erfüllen lassen.

Alle Varianten sind für den Privatgebrauch kostenlos.

Ausgesperrt?

Bedenken sollte man aber, dass man ohne den Code keine Chance mehr hat sich anzumelden. Wenn man sein Handy als einziges Gerät aktiviert, dann führt ein defektes oder verlorenes Handy ggf. dazu, dass man sich überhaupt nicht mehr anmelden kann. Es empfiehlt sich also eine Rückfalloption zu konfigurieren.

Auch andere Szenarien sollten man bedenken: Ein Beispielszenario, dass ich natürlich absichtlich <hust> gestestet habe, ist, dass die Festplatte des Servers voll ist. Wie ich festgestellt habe, funktionierte RCDevs in dem Fall bei mir nicht mehr, vermutlich weil die entsprechenden Logeinträge nicht mehr auf die Datenbank geschrieben werden konnten.

Der Fall – volle Festplatte – sollte zwar nicht vorkommen aber hey, es ist halt ein Privatserver und kein produktiver Server im Unternehmen (wobei auch dort solche Sachen vorkommen). Wenn man dann keine Alternative hat, dann hat man sich ggf. selber dauerhaft und endgültig ausgesperrt.

Beispielsweise eine Liste mit einigen Codes, die man im Notfall verwenden kann (das geht zum Beispiel bei RCDevs OpenOTP sehr einfach).

Fazit:

Mit 2-Faktor Authentifizierung kann man die Sicherheit deutlich hochschrauben. Die einfachste und an den meisten Stellen integrierte Variante ist die über Google.

Duo ermöglicht es zum Beispiel auch besondere Anforderungen wie die der RDP Authentifizierung zu erfüllen.

RCDevs OpenOTP mit eigenem Server ist vollkommen losgelöst von externen Anbietern (alles läuft auf dem eigenen Server, wenn man die Push Funktion nicht nutzt. Dafür ist der Einrichtungsaufwand mit Abstand am höchsten. Theoretisch sollte sich mit dem Werkzeug alles abbilden lassen, was mit Duo / Google auch geht (also z.B. Passwort + Code in einem Feld oder auch Push), das ist mir aber nicht in jedem Fall gelungen.

Montagsfrage: Kochbücher oder nicht, das ist hier die Frage!

Kommentar hinterlassen

Bei der Montagsfrage wird von lauter-und-leise jeden Montag eine Frage gestellt, die auf dem eigenen Blog zu beantworten ist. Diese Frage muss innerhalb einer Woche beantwortet werden.  An dieser Aktion nehmen diverse Blogs teil.

Die Montagsfrage ist umgezogen und hat nun endlich ein neues zu Hause. Bisher war die Montagsfrage bei Buchfresserchen angesiedelt und nun bei lauter-und-leise.

Abseits von einem Kinobesuch (Bad Boys for Life) und dem Beenden des ersten Buches der Mortal Engines Reihe war die letzte Woche recht unspektakulär.

Zur Frage:

Ich bin kein großer Konsument von Kochbüchern aber ich finde sie haben nach wie vor ihre Daseinsberechtigung. Mir käme es aber nicht in den Sinn ein Kochbuch zur Freizeitgestaltung zu lesen.

Aus meiner Sicht gibt es diverse Aspekte. Als Alternative zum Buch wird in einigen Beiträgen als Beispiel das Internet genannt.

Bei einem Kochbuch gehe ich davon aus, dass die Rezepte getestet sind, funktionieren und essbar sind. Im Internet sind Informationen in der Regel nicht verifiziert.

Man kann natürlich argumentieren, dass es dort auch Bewertungen gibt.Aber ist ein Rezept schlecht, weil es noch keiner bewertet hat? Nein, es kann sogar besser sein als ein anderes, dass aber noch keine bewertet hat. Zumal Geschmack doch recht subjektiv ist. Das ist das gleiche Blasenphänomen, dass man bereits von Facebook und Co kennt. Man bleibt im Internet oft in seiner eigenen Blase. Die Vielfalt leidet.

Genauso wird man Omas Rezepte vermutlich eher nicht im Internet finden. Damals wurde evtl. anders gekocht. Auch das muss nicht schlecht sein, es ist einfach nicht modern. Eine vergleichbare Einschränkung hat man zum Beispiel auch bei Apfelsorten und Kartoffelsorten. Der Staat gibt vor war effizient ist und der Rest darf nicht als Samen gehandelt werden. Auch darunter leidet die Vielfalt.

Ansonsten haben viele Leute nicht unbedingt ein Notebook in der Küche stehen und bedienen dass mit ölverschmierten Händen. Das Kochbuch funktioniert völlig berührungslos, geht nicht in den Standby und ist den Küchenbedingungen gut gewachsen. Es funktioniert nach 20 Jahren noch und geht nicht so leicht verloren wie ein Rezept im Internet, wenn die Seite nicht mehr verfügbar ist. Noch spannender wird es, wenn das Kochbuch am Gerät hängt. Wenn der Thermomix mal wieder aus der Mode ist, gibt es die Rezepte auch nicht mehr. Die waren ja auf dem Gerät.

Um einen Vergleich zu bringen: Wikipedia macht eine wissenschaftliche Recherche auch nicht überflüssig. Beides hat Anwendungsfälle. Wenn ich mal schnell was nachschlage nehme ich Wikipedia. Wenn ich mich tiefer mit einem Thema beschäftigen möchte, doch eher ein Buch.

Wie seht ihr das? Sind Kochbücher noch notwendig?

Leselaunen Bad Boys

Kommentar hinterlassen

Leselaunen

Die Aktion „Leselaunen“ ist ein wöchentlicher Bericht und Austausch unter Buchbloggern über das aktuell gelesene Buch, die Lesemotivation und andere Kleinigkeiten im Leben eines Buchbloggers. Der Leselaunen Bericht erscheint wöchentlich am Sonntag um 20:00 und jeder darf jederzeit mitmachen und seinen Link dann bei Trallafittibooks verlinken. Einfach einen Leselaunen-Beitrag schreiben, verlinken, andere Teilnehmer besuchen/kommentieren und genießen!

Da ich unten ggf. einige Markennamen erwähne, kennzeichne ich den Beitrag hiermit als Werbung.

Aktuelles Buch:

Mortal Engines Jagd durchs Eis - Philip Reeve

Mit Teil zwei der Serie habe ich gerade erst begonnen.

Aktuelle Lesestimmung:

Mortal Engines Krieg der Städte - Philip Reeve

Grundsätzlich ist diese Serie eine klasse Abenteuerserie. Mir geht lediglich auf die Nerven, dass der Autor es regelmäßig schafft wissenschaftliche Grundlagen vollständig zu ignorieren. Offenbar hält er die Erde noch für eine Scheibe. Man gewinnt zumindest den Eindruck.

Diese Woche bin ich wieder wenig zum Lesen gekommen. Dafür ist der Server jetzt mit der aktuellen Mysql / Nextcloud Version ausgestattet.

Zitat der Woche:

»Eigentlich« ist ein hässliches Wort. Es steht für all das, was wir uns vorgenommen, aber nicht geschafft haben. Dafür, wie es sein sollte, aber nicht war. – Eva Siegmund, H.O.M.E.

Und sonst so?

Gestern war ich im neuen Bad Boys Film und war recht angenehm überrascht. Nach einem etwas lauen Einstieg hat der Film sich gemausert und genau das geliefert was man von einem Bad Boys Film erwartet. Gute Arbeit. 😉

Auch in der letzten Woche habe ich wieder etwas am Server gebastelt. Das entwickelt sich langsam zum Dauerthema (ich glaube ich schreibe das seit 4 Wochen schon) aber so langsam sollte ich durch sein. Ein paar Themen waren dabei, wo ich separate Blogbeiträge zu schreiben könnte. Eigentlich Kleinigkeiten aber wenn man einer der ersten in einer bestimmten Konstellation ist, finden sich oft keine Tipps im Netz.

So tüftelt man an eigentlich simplen Dingen stundenlang rum, bis man auf die Lösung kommt. 🙂

Mein PCT Permit istnun auch da. Während das letztes Jahr noch ein Riesen Ding war, weil ich ein halbes Jahr auf dem PCT verbracht habe, ist das jetzt eher eine nebensächliche Kleinigkeit. Schon witzig wie unterschiedlich die Wahrnehmung je nach den Randbedingungen ist.

Ansonsten bin ich jetzt seit einer Weile an der Börse unterwegs in der Hoffnung mein durchaus schlankes Vermögen zu vermehren. Es ist schon krass wie sehr die Börse von der realen Entwicklung der Wirtschaft entkoppelt ist. Man sollte ja meinen, dass der Aktienkurs von Unternehmen wie Apple, Adidas, Microsoft oder Starbucks deren reale Entwicklung spiegelt.

Das mitnichten der Fall. Da schießt der Kurs eines Unternehmens nach oben, nur weil irgendeine Bank (vermeintlich ein “Experte”) eine Empfehlung ausspricht. Sobald eine derartige Empfehlung zurückgenommen wird stürzt der Kurs ab. Wenn man dann noch berücksichtigt wie extrem die Anstiege und Abfälle sind, dann ist eigentlich jedem klar, dass das System nicht mehr funktioniert und der nächste Systemcrash nur eine Frage der Zeit ist.

Echte Nachrichten? Fakten? Fehlanzeige. In den seltensten Fällen gibt es Nachrichten oder Unternehmensberichte, die zu den Kursänderungen passen.

Wie war eure Woche?

Weitere Leselaunen:

∗ Schreiben, schreiben, schreiben bei Andersleser ∗ Leselaunen bei Taya’s Crazy WorldOnline-Geburtstagssause & COD bei Trallafittibooks ∗ Eine Menge Bücher bei cbee talks about books ∗ Kampf dem Schlachthof bei Letterheart ∗

 

Bad Boys for Life [Film]

Kommentar hinterlassen

@ Sony

Originaltitel:

Bad Boys for Life

Laufzeit:

124 Minuten

Jahr:

2020

Veröffentlichungsdatum:

16.01.2020

Regisseur:

Adil El Arbi, Bilall Fallah

Buchgrundlage:

Hauptdarsteller:

Will Smith, Martin Lawrence

Rezension und Inhalt:

Die Bad Boys Filme sind für mich Kult, die ähnlich wie Lethal Weapon nicht wegzudenken sind. Klassisches Popcornkino at it’s best. Coole Sprüche, Humor eine tolle Partnerdynamik und Action.

Der Neue Bad Boys greift alte Tugenden modern auf. Der Film ist eine Mischung aus Stirb Langsam 4.0, den klassischen Bad Boys. Eine Szene erinnert ganz stark an den ersten Stirb Langsam Film.

Es gibt fette Action, markige Sprüche und schmissige Musik nur am Anfang schwächelt der Film etwas. Man hat das Gefühl, dass sie sich beiden erst wieder finden und warm spielen müssen. In der Phase gibt es einige ziemlich langatmige Dialoge, die eher langweilig sind.

Neben mir wurden zu dem Zeitpunkt bereits die Handys gezückt – dazu mal ein kurzer Einwurf: Wenn man auf seinem Handy rumspielen will, ist das Kino der falsche Ort dafür! Das nervt. Es hat seinen Grund warum es im Kino dunkel ist. Wirklich!

Die neue Truppe kommt eher aus Mission Impossible passt aber super zu den beiden Oldschool Typen (habe ich Will Smith gerade wirklich so genannt, der scheint ewig jung zu bleiben), die zur Hochform auflaufen.

Danke an das Regisseurduo. In der letzten Zeit hatte ich schon das Gefühl, dass ich zu anspruchsvoll geworden bin. Viele gute Filme gab es wahrlich nicht.

Ein paar Worte noch zur Handlung. Mike wird von seiner Vergangenheit eingeholt. Jemand will ihn ermorden. Was liegt da näher als mit Marcus den Killer aufzuspüren. Der will aber nicht mehr Verbrecher jagen, sondern möchte in den Ruhestand gehen.

Fazit:

Zu dem Film muss man nicht viel sagen. Alte Tugenden werden wiederbelebt. Schmissige Musik, lustige Sprüche, Action und ein wenig modernisiert. Wenn am Anfang nicht ganz so viel belangloses Zeug geredet würde, wäre der Film noch etwas besser geworden.

Ich will mich aber nicht beschweren. Das ist Kritik auf hohem Niveau.

Jeztt hab ich einen Ohrwurm … der Soundtrack funktioniert noch wie früher. Bitte lass Top Gun Maverick auch so gut werden. Ein kleiner Wink mit dem Zaunpfahl an Disney: So macht man Fans glücklich. Das was ihr da ihr da mit Star Wars verzapft habt, macht die meisten nicht glücklich. 😉

Bewertung:

4 out of 5 stars 4/5

Offene Fragen / Ideen / Diskussionsstoff (Spoilerwarnung):

  • Die Anfangszene ist ein arg unrealistischer Einstieg und ergibt auch nicht viel Sinn. Eine Mega Jagd durch die Stadt mit diversen Fastunfällen mit Bussen, zig Polizeiautos, einem Boot und dann – reingefallen liebe Zuschauer. Einer der Hauptakteure wird Opa. Die Idee ist witzigm die Umsetzung schlecht.

[Einklappen]

Montagsfrage: Können Autoren in mehreren Genres brillieren?

Kommentar hinterlassen

Bei der Montagsfrage wird von lauter-und-leise jeden Montag eine Frage gestellt, die auf dem eigenen Blog zu beantworten ist. Diese Frage muss innerhalb einer Woche beantwortet werden.  An dieser Aktion nehmen diverse Blogs teil.

Die Montagsfrage ist umgezogen und hat nun endlich ein neues zu Hause. Bisher war die Montagsfrage bei Buchfresserchen angesiedelt und nun bei lauter-und-leise.

In der letzten Woche habe ich die Scythe Serie beendet abseits davon war es ruhig auf dem Blog. Im Nachgang zum Ehrlich Brothers besuch habe ich mir die aufgezeichneten Shows im Fernsehen angeschaut (siehe auch hier). Ich bin froh, dass ich das nicht vorher gemacht habe, sonst wäre es doch ziemlich langweilig geworden. Die Tricks waren zum Großteil die gleichen.

Zur Frage:

Aus meiner Sicht spricht nichts dagegen in mehreren Genres aktiv zu sein.

Natürlich kann man sich spezialisieren und die Recherche fällt ggf. auch kürzer aus oder ist nicht notwendig, wenn man immer im gleichen Genre unterwegs ist.

Ein Beispiel ist John Grisham, dessen Bücher überwiegend von Anwälten handeln und im Bereich Thriller angesiedelt sind. Dementsprechend kennt er sich in dem Kontext gut aus und kann sich auf die Handlung konzentrieren. Irgendwann wird es aber auch recht langweilig.

Bei Steven King denkt man im ersten Moment auch an Horror aber wenn man etwas genauer nachdenkt, dann ist er damit zwar berühmt geworden aber das ist nicht das einzige Genre, mit dm er erfolg hatte. Es wurden sogar Bücher von ihm verfilmt, die mit dem Horror Genre nichts zu tun haben. Für das Genre ist er aber am bekanntesten.

Es fallen mir auch weitere Autoren ein, die in mehreren Bereichen unterwegs waren / sind und deren Bücher im jeweils anderen Bereich durchaus gut sind. Zum Beispiel ist Sabine Schulter zu nennen, die sich sowohl im Bereich High Fantasy, Dystopie oder auch in der Realwelt bewegt und auch zwischen eher für Kinder / jugendliche geeigneten Büchern und Büchern für Jugendliche / Erwachsene wechselt.

Natürlich ist der Mensch ein Gewohnheitstier und sich in gewohnten Pfaden bewegen ist somit immer einfacher und bequemer. Ich denke das hängt auch vom jeweiligen Autor ab. Wie flexibel ist er oder sie?

Wie seht ihr das?

1 64 65 66 67 68 121