#sicherheit

WordPress per .htaccess/.htpasswd sichern

Seit einigen Tagen wird dieses Blog wieder von einer wahren Flut von dubiosen Login-Versuchen heimgesucht. Das WordPress-Plugin Limit Login Attempts hält mich nach wie vor über all die vereitelten Versuche auf dem laufenden, doch ist natürlich jeder dieser Versuche ein potentielles Sicherheitsrisiko. Daher habe ich heute zusätzlich den Aufruf des WordPress-Login-Formulars gesichert. Das geht per .htaccess/.htpasswd schnell und einfach, besonders wenn man die oben verlinkte Anleitung von Sergej Müller befolgt. Sollten die vierzehn verbliebenen Blogger in Deutschland jedenfalls auch mal in Erwägung ziehen.

Meine Threema-ID

Auch wenn mit Telegram schon die nächste Secure-Messaging-App in den Startlöchern steht, habe ich gestern die Gunst der Stunde genutzt und meine App.net und Twitter-Follower mal gefragt, wer denn alles von ihnen Threema nutzt. Threema (hier Wikipedia-Eintrag und App-Store-Link) ist das aktuelle Sternchen am abgesicherten Kurznachrichtendiensthimmel und seit Tagen erfreulicherweise auch die #1 im iOS-App-Store. Das ganze funktioniert wie WhatsApp & Co., nur dass es echte Ende-zu-Ende-Verschlüsselung gibt, also nur der vorgesehene Empfänger die Nachricht lesen kann. Dass somit selbst der schweizerische Betreiber nicht mitlesen kann und die Server in der Alpenrepublik stehen, rundet die Sache zusätzlich ab. (Stefan hat mich allerdings auf diesen Artkel hingewiesen, in dem steht, dass Threema zwar die Inhalte verschlüsselt, für den Entwickler aber dennoch ersichtlich ist, wer da mit wem kommuniziert. Trotzdem besser als WhatsApp nichts.)

Langer Rede, kurzer Sinn: Meine Threema-ID lautet XUF6KPEJ. Added mich und schreibt mir das, was ihr mir sonst nirgends schreiben könnt. 😉

How I lost my $50,000 Twitter username

Ziel der Attacke auf Naoki Hiroshima war dessen Twitter-Username @N. Wie schon Ende 2012 im Fall von Mat Honan (Ziel: @mat) konnte der Angreifer per Telefon die letzten vier Ziffern der Kreditkarte abgreifen und damit bei anderen Anbietern seine Identität belegen und alles munter zurücksetzen.

Für @eay bekomme ich übrigens auch regelmäßig Password Reset Requests. Die täglichen Erwähnungen auf Instagram lassen mich vermuten, dass „eay“ ein Namensteil im asiatischen Raum ist, mit dem sich hoffentlich kein Hacker zu sehr identifiziert. Wie immer gilt also allgemeine Sicherheitstipps befolgen und hoffen, dass die Kreditkartennummer im deutschsprachigen Raum nicht funktioniert.

Update, 26.02.2014: Naoki Hiroshima hat seinen Twitter-Account @N zurückbekommen. Was wohl nur so lange gedauert hat, weil Twitter die laufenden Ermittlungen nicht stören wollte.

00000000, das Passwort für US-Atomraketen

Der Launch-Code für die in den USA stationierten Minuteman-Atomraketen war offensichtlich für fast zwei Jahrzehnte die Kombination „00000000”. Die Wahl fiel auf diese Kombination, da die obersten Entscheider im Militär während der heißen Phase des Kalten Krieges die Startzeit der Raketen bei einem möglichen Angriff auf die USA so kurz wie möglich halten wollten.

Das weiß man gar nicht, was man dazu sagen soll… (via daMax)