WordPress-Websites mit Zwei-Faktor-Authentifizierung sichern

WordPress-Login mit Zwei-Faktor-Authentifizierung
WordPress-Login mit Zwei-Faktor-Authentifizierung

Was ist Zwei-Faktor-Authentifizierung?

Beim E-Banking ist es selbstverständlich, nicht allein auf Passwörter zu vertrauen: Dort muss man bei jedem Login einen nur einmal gültigen Code eingeben, den man entweder per SMS zugeschickt erhält, mit einer Smartphone App generiert, von einem RSA Key abliest oder (heute kaum noch verbreitet) einer Papier-Strichliste entnimmt. Alle diese Verfahren basieren auf dem Prinzip, dass man nicht nur das Passwort kennen muss, sondern auch noch ein physisches Objekt (ein Smartphone, einen Code-Generator, eine Liste) besitzen muss, um sich einloggen zu können.

Diese sogenannte Zwei-Faktor-Authentifizierung macht ein Login wesentlich sicherer, denn das Risiko, dass ein Unbefugter sowohl das Passwort in Erfahrung bringt als auch in den Besitz des physischen Objekts kommt, ist vergleichsweise gering. Und falls letzteres ein Smartphone ist, dann kann man es durch einen PIN noch zusätzlich absichern.

Read more…

Password Exporter: Passwörter aus Firefox als XML oder CSV exportieren

Zugang zum Password Exporter in den Firefox-Einstellungen
Zugang zum Password Exporter in den Firefox-Einstellungen

Grenzen der Passwort-Verwaltung in Firefox

Firefox macht es einem leicht, nach dem Login auf einer Website Benutzername und Passwort direkt im Browser zu speichern. Beim nächsten Besuch dieser Website wird dann das Login-Formular automatisch ausgefüllt, man braucht dann nur noch die “Anmelden”-Button zu klicken. Bei Bedarf kann man gespeicherte Logins in der Passwortverwaltung (unter “Einstellungen” > “Sicherheit”) auch einsehen, durchsuchen oder löschen.

Nicht vorgesehen ist hingegen, dass man die gespeicherten Login-Daten ausdruckt oder exportiert. Dabei gibt es durchaus Situationen, wo dies wünschenswert wäre – etwa für Backup-Zwecke oder bei der Migration auf eine andere Passwortverwaltung. In meinem Fall ging es darum, den internen Passwort-Manager von Firefox durch eine externe Lösung (konkret: KeePass) zu ersetzen. Die über Monate und Jahre zusammengekommenen Login-Daten manuell zu übertragen war allerdings keine Option.

Read more…

Password Reuse Visualizer: Firefox Add-on deckt Mehrfachverwendung von Passwörtern auf

Output des Password Reuse Visualizer

Eines der grössten Sicherheitsrisiken im Internet besteht darin, dass wir für unterschiedliche Websites dieselben Passwörter benutzen. Das Firefox Add-on Password Reuse Visualizer zeigt dieses Problem in Form einer anschaulichen Grafik: Grüne Punkte stehen für die verschiedenen Passwörter, welche im Firefox Passwort-Manager gespeichert sind, blaue Punkte für die zugehörigen Websites, und orange Verbindungen weisen auf sehr ähnliche Passwörter hin. Im obigen Beispiel kann man also unschwer drei neuralgische Punkte ausmachen, wo eine Passwortänderung mehr Sicherheit bringen würde.

(Hintergrundinformationen auf dem Blog des Entwicklers Paul Sawaya)

TYPO3 Security Checklist aktualisiert

TYPO3 Security Checklist v0.9.3

Schon mehr als eineinhalb Jahre sind vergangen seit der ersten Version der TYPO3 Security Checklist – Zeit für ein Update. Die neuste Version 0.9.3 wurde insbesondere in folgenden Punkten angepasst:

  • Berücksichtigung der System Extensions saltedpasswords und rsaauth, welche seit TYPO3 Version 4.3 zum Core gehören.
  • Aktualisierung aller Screenshots (basierend auf TYPO3 Version 4.5.2).
  • Einarbeitung diverser Detailkorrekturen aufgrund von Feedbacks auf die vorangehende Version.

Wie immer gilt: Ergänzungen und Korrekturen nehme ich gerne entgegen.

Der Pharma-Hack und einige Hinweise zur WordPress-Sicherheit

Open Mind Blog mit Pharma-Hack

Falls Sie mein Blog über einen RSS-Reader verfolgen oder in der Google-Trefferliste gefunden haben, dann haben Sie sich vielleicht über die penetrante Pharmazeutika-Werbung gewundert. Seien Sie versichert: Ich habe keinen Rappen damit verdient und sie auch nicht selbst aufgeschaltet; vielmehr ist das Open Mind Blog Opfer des sogenannten Pharma-Hacks geworden.

Das Perfide daran: Die Verunstaltungen des Blogs waren für den normalen Besucher (und damit auch für mich selbst) nicht sichtbar. Wurde die Seite von einem normalen Browser angefordert, dann lieferte WordPress die unversehrte Seite aus; nur dem Googlebot wurde die infizierte Version angezeigt. Leider erreichten mich auch die Warnungen meiner Leser nicht, die mich per Kommentarformular darauf hinwiesen, dass in meinen Artikeln Wörter wie “Prozac”, “Ventolin”, “Lithium” und “Viagra” vorkommen – denn hier schlug natürlich Akismet (der Kommentar-Spam-Filter von WordPress) zu. Erst durch Beschwerden per E-Mail wurde ich auf das Problem aufmerksam – und selbst dann dauerte es noch einige Zeit, bis ich es beheben konnte. Was ich bei dieser Gelegenheit gelernt habe, möchte ich Ihnen nicht vorenthalten.

Exploit Scanner

Wie ich den Pharma-Hack eingefangen habe, kann ich nicht nachvollziehen. Da ich den WordPress-Core laufend auf den neusten Stand bringe (Sicherheitsregel Nummer 1), war wahrscheinlich ein Plug-in oder ein Theme die Schwachstelle, wo der Hacker angreifen konnte. In diesem Zusammenhang habe ich einen ausführlichen Artikel gefunden, der eindrücklich die Gefahr von versuchten Gratis-Themes aufzeigt: Why You Should Never Search For Free WordPress Themes in Google or Anywhere Else. Über diesen Artikel bin ich auch auf zwei WordPress-Plugins gestossen, welche mir letztlich den entscheidenden Hinweis auf den Pharma-Hack gaben: Theme Authentity Checker (TAC) und Exploit Scanner.

Die notwendigen Informationen zur Entfernung des Schadcodes verdanke ich schliesslich diesem Artikel: Understanding and cleaning the Pharma hack on WordPress. Ich hoffe, es hat gewirkt! Falls nicht, dann beschweren Sie sich mit Vorteil nicht über das Kommentarformular, sondern per E-Mail

KeePass für das iPhone: Apple says no!

Screenshot: iKeePass

Das Passwort-Verwaltungsprogramm KeePass gibt es nicht nur für Windows, Mac OS und Linux, sondern auch für diverse SmartPhones – nur leider nicht für das iPhone. Das liegt aber nicht an den Entwicklern, sondern an den Prüfungsinstanzen des App Store, welche iKeePass wiederholt zurückgewiesen haben. Das Beispiel zeigt exemplarisch den Nachteil eines geschlossenen Systems, wo der Plattformbetreiber ein Vetorecht geniesst. Man kann nur hoffen, dass dem iKeePass-Entwickler Karsten Fusenig der Schnauf nicht ausgeht und er weiterhin mit Hartnäckigkeit und Humor den Apple-Mitarbeitern auf die Pelle rückt.

Freie Backup-Software: Partimage

Screenshot Partimage

Backups einer Festplatte (bzw. einer Festplatten-Partition) kann man grundsätzlich auf zwei Arten durchführen: Entweder man kopiert Datei für Datei auf ein Backup-Medium – oder man schreibt Spur um Spur in eine sogenannte Image-Datei, so dass man ein 1:1-Abbild der Festplatte erhält.

Partimage ist ein Backup-Programm der zweiten Kategorie, das unter Linux läuft. Nebst den für Linux typischen Dateisystemen (ext2, ext3, reiserfs-3) unterstützt es auch FAT16 und FAT 32 (DOS, Windows) und HPFS (OS/2). Die Unterstützung von HFS (Mac OS X) wird derzeit noch als “beta” klassifiziert, das NTFS der neueren Windows-Versionen gar als “experimental”.

Die Images können sowohl komprimiert (gzip, bzip2) als auch in mehrere Dateien gesplittet werden (beispielsweise um sie auf mehrere CDs/DVDs zu verteilen). Partitionen können auch über eine Netzwerkverbindung gesichert und zurückgeschrieben werden. Und dank der SystemRescueCd kann ein PC direkt ab CD oder USB-Stick gebootet werden, um ein Image zurückzuspielen.

Kurz: Partimage ist ein leistungsfähiges Tool – mit dem nicht unbedeutenden Nachteil, dass Mac- und Windows-Festplatten nur mit Einschränkungen gesichert werden können.

MySQLDumper 1.24: Zentrale Backup-Lösung für mehrere MySQL-Server

MySQLDumper 1.24

Backups einer MySQL-Datenbank werden oft über phpMyAdmin oder über ein proprietäres Tool des Hosting Providers erstellt. Ich habe allerdings schon Situationen erlebt, wo diese beiden Methoden versagt haben, insbesondere bei sehr grossen Datenbanken. In diesem Fall empfiehlt sich MySQLDumper als zuverlässige und zudem sehr komfortable Lösung.

Ich habe kürzlich das Update von der Version 1.22 auf 1.24 vollzogen und dabei festgestellt, dass trotz des kleinen Unterschieds in der Versionsnummer einige wesentliche Verbesserungen erfolgt sind. Nebst der frischeren Benutzeroberfläche fällt insbesondere die Möglichkeit auf, mehrere MySQL-Server anzusprechen. Hierfür können Konfigurationen angelegt werden, welche nebst den Verbindungsparametern auch die zu sichernden Datenbanken umfassen. So kann man aus einer einzigen MySQLDumper-Installation heraus verschiedenste Datenbank-Server bzw. Hosting-Accounts zentral backupen – auf Wunsch auch automatisiert.

TYPO3 Security Checklist: 47 Massnahmen, um eine TYPO3-Installation sicherer zu machen

image

UPDATE: Version 0.9.2 verfügbar (Problem mit TYPO3-Font “Share” gefixt)

Der Angriff auf die Website von Bundesinnenminister Wolfgang Schäuble hat Diskussionen über die Sicherheit von TYPO3 entfacht. Wer nun allerdings TYPO3 als unsicher abqualifiziert und denkt, dass dies mit “seinem” CMS nicht passieren könnte, macht es sich zu einfach. Grundsätzlich ist jede Software angreifbar, um so mehr, wenn sie auf einem öffentlich zugänglichen Webserver läuft. TYPO3 ist weder sicherer noch unsicherer als vergleichbare Systeme – es ist vielmehr eine Frage der richtigen Handhabung.

Die TYPO3 Security Checklist ist eine Sammlung von rund 50 Tipps für die Praxis, wie man eine TYPO3-Installation sicherer macht. Sie richtet sich nicht an Entwickler, sondern an TYPO3-Administratoren, welche eine Website aufsetzen und betreiben. Die Empfehlungen lassen sich in den meisten Fällen auch in einer Shared-Hosting-Umgebung umsetzen, wo man nur beschränkten Zugriff auf Webserver und Datenbank hat.

Dies ist die erste öffentliche Version dieser Checkliste. Ergänzungen und Korrekturen nehme ich gerne entgegen – sei es als Kommentar in diesem Blog, sei es per Kontaktformular.

Sicherheit: Wie man Keylogger austrickst

image

Ein Keylogger ist ein Programm, das heimlich jeden Tastendruck protokolliert und auf diese Weise Passwörter ausspäht. Brian Huisman hat eine Lösung entwickelt, dank der man einem Passwortfeld eine Bildschirm-Tastatur hinzufügen kann, über welche der Benutzer sein Passwort per Mausklick eingibt und damit allfällige in seinem System eingenistete Keylogger überlistet. Die Lösung basiert auf JavaScript, der Code kann unter der BSD-Lizenz genutzt werden.