Steam schließt kuriose Sicherheitslücke

von Bernd Kling

Die Schwachstelle erlaubte auf verblüffend einfache Weise die Übernahme von Konten der Computerspiele-Plattform. Mehr als die Kenntnis des Kontonamens brauchte es nicht, um das bisherige Passwort durch ein neues zu ersetzen. Zu den Opfern zählten insbesondere prominente Gamer, die über die Live-Video-Plattform Twitch streamen. weiter

Wettbewerb: Argon2 erzeugt die besten Passwort-Hashes

von Florian Kalenda

Es wurde an der Universität Luxemburg entwickelt. Bis Ende des dritten Quartals wollen Erfinder und Juroren nun eine finale Version samt Referenzimplementierung in C schaffen. Vier weitere Hashing-Algorithmen werden für besondere Stärken empfohlen. weiter

Apple erklärt neue Zwei-Faktor-Authentifizierung von OS X El Capitan und iOS 9

von Bernd Kling

Die neue Sicherheitsfunktion löst die bisherige "zweistufige Bestätigung" ab und führt einen sechsstelligen statt nur vierstelligen Bestätigungscode ein. Dieser wird an alle angemeldeten Geräte des Nutzers geschickt und zusätzlich zum Passwort benötigt. Der 14-stellige Schlüssel für die Wiederherstellung entfällt zugunsten einer aufwendigen Überprüfung durch den Apple-Support. weiter

MasterCard testet Zahlungsbestätigung mittels Selfies

von Bernd Kling

In einem Pilotprogramm mit 500 Teilnehmern will die Kreditkartengesellschaft die Autorisierung mittels Fingerabdruck oder Gesichtserkennung erproben. Die Teilnehmer müssen beim Selfie mit dem Smartphone blinzeln, damit das System nicht durch ein davorgehaltenes Foto getäuscht werden kann. MasterCard hofft, dass die Beliebtheit von Selfies zu einer bereitwilligen Akzeptanz der Gesichtserkennung führt. weiter

Management, Überwachung und Kontrolle administrativer Konten

von Matthias Reinwarth

In vielen Unternehmen wächst die Erkenntnis, dass der Zugriff von administrativen Benutzern von zentraler Bedeutung bei der Sicherstellung der Unternehmenssicherheit ist. Hierfür ist es nicht nötig, in der IT-Presse auf die nächsten Schreckensmeldungen von Insider-Angriffen auf Unternehmensnetzwerke zu warten. weiter

Gestohlene Passwörter der US-Regierung im Internet veröffentlicht

von Stefan Beiersmann

Sie gehören 47 unterschiedlichen Behörden. Das Start-up Recorded Future hat sie bei einer Analyse von mehr als 680.000 öffentlich zugänglichen Websites, darunter auch Pastebin.com, gefunden. 12 der 47 betroffenen Behörden setzen keine Authentifizierung in zwei Schritten ein. weiter

Infusionssysteme in US-Krankenhäusern angeblich manipulierbar

von Florian Kalenda

Es handelt sich um eigentlich hochsichere Systeme, die aus Sicherheitsgründen vom Anbieter befüllt werden - und nicht erst im Krankenhaus. Laut Forscher Billy Riot lässt sich die Dosis aber verstellen. Vor Ort ist sogar ein Austausch der Firmware per seriellem Kabel möglich - ohne Authentifizierung. weiter

Unternehmensübergreifende Verbindlichkeit für die digitalisierte Welt

von Rainer Schneider

In einer immer stärker digitalisierten Welt funktioniert die Kommunikation und das Abwickeln von Geschäften nur durch das Zusammenspiel von Identität und Verbindlichkeit. Ismet Koyun, Gründer und Geschäftsführer des Sicherheitsanbieters Kobil Systems, erklärt im Gastbeitrag für ZDNet, wie sich beides unternehmensübergreifend und sicher verbinden lässt. weiter

NSA testet Gestenerkennung als Passwortersatz

von Florian Kalenda

Das System stammt vom Rüstungskonzern Lockheed Martin. Er bietet es seit 2013 schon für BYOD in Firmen an. Mandrake Secure Gesture analysiert Schriftbild, Druck, Rhythmus und Geschwindigkeit beim Schreiben auf einem Touchscreen. weiter

UMA-Protokoll: Die neue Nutzerrolle im Identitätsmanagement

von Oliver Schonschek

Das UMA-Protokoll (User-Managed Access) gibt dem Nutzer die Kontrolle darüber, welche Zugriffe auf seine Daten erlaubt sind. Dies sollte nicht als optionale Funktion im Access Management verstanden werden, sondern als Forderung des Datenschutzes. weiter

Google: Sicherheitsabfragen taugen nichts

von Florian Kalenda

Sie lassen sich leicht erraten: Fast 20 Prozent der Amerikaner nennen beispielsweise "Pizza" als Lieblingsspeise. An falsche Angaben hingegen erinnern sich die wenigsten Anwender später. Kombiniert ein Anbieter zwei fragen, kommen echte Nutzer auf höchstens 59 Prozent Trefferquote. weiter

Ende der Passwörter: FIDO zertifiziert erste 31 Produkte

von Florian Kalenda

Sie kommen von 18 Firmen, darunter Samsung, Infineon, Nok Nok und Yubico. Auch Googles komplettes Authentifizierungssystem accounts.google.com erhielt ein Zertfikat. Durchwegs handelt es sich um Zwei-Faktor- und biometrische Lösungen. weiter

Ausgefeilte Betrugsmasche zielt auf Nutzer von Windows Live ID ab

von Björn Greif

Wer Microsoft-Dienste wie Xbox Live, Outlook.com, MSN oder OneDrive verwendet, sollte sich daher besonders vorsehen. Um an Anmeldedaten zu kommen, locken die Betrüger ihre Opfer zunächst auf die echte Microsoft-Site live.com. Dann fragen sie mittels einer Anwendung Zugangsdaten ab. weiter

European Identity & Cloud Conference: Wer darf eigentlich was tun?

von Kai Schmerer

Vom 5. bis 8. Mai fand in Unterschleißheim die European Identity & Cloud Conference statt. Das Konferenzprogramm bot über 150 internationale Sprecher und Experten sowie zahlreiche Best-Practice-Präsentationen. ZDNet sprach mit Veranstalter Martin Kuppinger über das Thema Identitätsmanagement. weiter

UMA-Standard erreicht Version 1.0

von Bernd Kling

Das webbasierte Protokoll verwaltet Zugriffe auf persönliche Daten nach den Vorgaben des Nutzers. Es basiert auf dem Authentifizierungsprotokoll OAuth 2.0 und bei einem zentralen Autorisierungsdienst hinterlegten Richtlinien. UMA kann in Anwendungen und Internet-der-Dinge-Systemen implementiert werden. weiter

Postident: Legitimierung per Videochat möglich

von Kai Schmerer

Mit dem Identifikationsverfahren Postident Video soll eine Legitimierung nur wenigen Minuten dauern. Der Service steht ab sofort zur Verfügung. Das Legitimationsverfahren Postident wird häufig bei der Eröffnung eines Kontos genutzt. weiter

Googles Chrome-Plug-in „Passwort-Warnung“ mehrfach ausgehebelt

von Björn Greif

Ein erster Exploit erschien bereits einen Tag nach Veröffentlichung der Erweiterung, die Nutzer eigentlich vor Phishing-Seiten warnen soll. Google hat das Add-on bereits mehrfach aktualisiert. Dennoch lässt sich die Schutzfunktion offenbar nach wie vor umgehen. weiter

Google stellt Chrome-Plug-in gegen Phishing vor

von Florian Kalenda

In Gmail machen Phishing-Mails etwa zwei Prozent aus. Gut gemachte Kampagnen haben Google zufolge bis zu 45 Prozent Erfolgsquote. Das quelloffene Programm warnt in Echtzeit - entweder den Nutzer selbst oder bei Apps for Work den Administrator. weiter