Android-Feldtest: E-Mail

Als Mail-Applikation kommt bei mir aktuell K-9 zum Einsatz. Bisher habe ich alle Funktionen gefunden, die ich benötige. Zusätzlich kann K-9 auch Mails mit PGP/GPG signieren und verschlüsseln. Solch eine Mail-Applikation fehlt mir auf dem iPhone.

Leider sind bisher viele Apps nicht sonderlich schick gestaltet, wozu auch K-9 gehört. Ich hoffe, dass sich das mittelfristig nochmals ändert…

Artikel aus der Serie Android-Feldtest.

Sag “JA” zu Verschlüsselung

Warum schreibe ich diesen Artikel? Weiß doch jeder, dass die NSA mitliest… – Aber leider ist es doch noch nicht jedem bekannt. Und es ist auch nicht nur die NSA, sondern auch DEIN Nachbar!

Ich habe schon oft versucht, meinen Freundes- und Bekanntenkreis von Verschlüsselung zu überzeugen. Dies hat leider nicht so gefruchtet, wie ich es mir erhofft habe. Aussagen wie “Das ist viel zu kompliziert” oder “Ich habe doch nichts zu verbergen” musste ich mir anhören.

Um was geht‘s hier überhaupt? In erster Linie erst einmal um sichere Kommunikation über einen Messenger (sowas wie WhatsApp meine ich 😉 ). Die E-Mail-Verschlüsselung habe ich hier schonmal behandelt – benötigt aber dringend mal wieder ein Update.

Warum solltest du kein WhatsApp mehr nutzen:

  • dein komplettes Adressbuch wird zu den WhatsApp-Servern in die USA hochgeladen
  • deine Textnachrichten werden unverschlüsselt übertragen. Dies wurde z.B. bei Heise Security und TheNextWeb bekannt
  • über eine Webseite oder ein Programm auf einem beliebigen Computer kann dein WhatsApp-Status von einem Fremden verändert werden
  • ein Fremder kann mit einem sehr leicht generierbaren Passwort (IMEI bzw. MAC-Adresse deines Geräts) von einem anderen Smartphone in deinem Namen Nachrichten versenden
  • WhatsApp-Zahlungen sind manipulierbar
  • miese Kommunikation des Unternehmens WhatsApp bzgl. aktueller Probleme

Teilweise wurden diese Sicherheitslücken bereits geschlossen – jedoch viel zu spät. Das Unternehmen reagierte erst Wochen oder Monate später.

Diese ganzen Gründe und Umstände reichen meines Erachtens nach aus, um sich schnellst möglich nach einer Alternative umzusehen. Ein radikaler Umstieg auf eine andere App wäre zwar sinnvoll, aber nicht immer machbar. Deswegen ist ein langsamer Umstieg natürlich auch OK.

Meine Empfehlungen sind aktuell folgende Apps:

Threema

Meine Threema ID: WFE389HW

iOS

[app 578665578]

Android (ab 4.x)

google-play-logo

Hoccer XO

iOS

[app 641387450]

Android

google-play-logo

Update (26.10.2013):

Hoccer XO ist nun auch kostenlos für Android im Play-Store verfügbar. Habe mich aber noch nicht ausgiebig mit beschäftigt. Mein Anspruch an solche Apps ist, dass ich auf mehreren Devices den gleichen Account nutzen kann. Dies scheint aktuell weder bei Threema noch bei Hoccer XO zu funktionieren.

Two-factor-authentication für Paypal

Bei Gdgts.de habe ich gelesen, dass Paypal die 2-Faktor-Authentifizierung nicht über OTP anbietet, sondern nur über SMS. Ich mag dieses veraltete Medium SMS zwar nicht, aber was soll’s.

Die Geschichte habe ich dann kurzerhand aktivert. Die Aktivierungs-SMS kam auch brav an. Allerdings kamen keine der folgenden SMS an, sodass ich mich nicht mehr in mein Paypal-Konto einloggen konnte. Dazu kam noch, dass meine Sicherheitsfragen scheinbar auch nicht mit meinen Informationen übereinstimmten.

Deshalb rief ich also bei Paypal an.
Der erste Mitarbeiter hat mir dann die SMS-Authentifizierung wieder abgeschaltet und die zweite Mitarbeiterin in der Fachabteilung hat mir dann zu der App „VIP Support“ geraten. Diese App von Verisign bietet sowas ähnliches wie „HDE OTP“ bzw. der „Google Authenticator“ an, allerdings scheinbar nicht 100%ig kompatibel, sodass ich eine zweite App auf meinem Device benötige.

Lange Rede, kurzer Sinn. hier die Anleitung, die ich von Paypal bekommen habe:

So registrieren Sie Ihren VIP Access-Sicherheitsschlüssel:
Loggen Sie sich in Ihr PayPal-Konto ein und gehen Sie auf „Mein Profil“.
Klicken Sie unter „Einstellungen“ auf „Aktualisieren“ neben „Sicherheitsschlüssel“.

  1. Klicken Sie unter „Einstellungen“ auf „Erste Schritte“ neben „Sicherheitsschlüssel“.
  2. Klicken Sie auf den Link „Kostenlos bestellen: Richten Sie Ihren SMS-Sicherheitsschlüssel mit nur wenigen Klicks ein.“
  3. Klicken Sie auf der nächsten Seite auf „Abbrechen“
  4. Wählen Sie rechts „Aktivieren“ aus.
  5. Tragen Sie unter „Seriennummer“ die „Credential ID“ Ihres VIP Access-Sicherheitsschlüssels ein. Bitte geben Sie einen sechsstelligen „Security Code“ ein.

Bestätigen Sie Ihren Sicherheitsschlüssel mit der Eingabe des nächsten „Security Codes“ und klicken Sie „Aktivieren“. Fertig.

Hinweis: Bei einem Update der VIP Access App kann sich die Credential ID und damit die Seriennummer ändern. Dann ist eine erneute Aktivierung des Sicherheitsschlüssels notwendig. Den bisherigen deaktivieren Sie entsprechend.

[app 307658513]

[app 571240327]

[app 388497605]

Two-factor-authentication für WordPress

Ich habe nun für mein Blog auch eine Two-factor-authentication am Start.

Für WordPress wird nur das Plugin Google Authenticator und natürlich die entsprechende App auf dem iPhone benötigt.

Leider scheint es keine One-Time-Passwörter wie z.B. bei Google und Dropbox zu geben, mit dem man sich einloggen kann, wenn das Telefon verloren gegangen ist. Für diesen Fall muss man dann von hinten ran.

[app 571240327]