Authentifizierung

Management, Überwachung und Kontrolle administrativer Konten

In vielen Unternehmen wächst die Erkenntnis, dass der Zugriff von administrativen Benutzern von zentraler Bedeutung bei der Sicherstellung der Unternehmenssicherheit ist. Hierfür ist es nicht nötig, in der IT-Presse auf die nächsten Schreckensmeldungen von Insider-Angriffen auf Unternehmensnetzwerke zu warten. weiter

Gestohlene Passwörter der US-Regierung im Internet veröffentlicht

Sie gehören 47 unterschiedlichen Behörden. Das Start-up Recorded Future hat sie bei einer Analyse von mehr als 680.000 öffentlich zugänglichen Websites, darunter auch Pastebin.com, gefunden. 12 der 47 betroffenen Behörden setzen keine Authentifizierung in zwei Schritten ein. weiter

Infusionssysteme in US-Krankenhäusern angeblich manipulierbar

Es handelt sich um eigentlich hochsichere Systeme, die aus Sicherheitsgründen vom Anbieter befüllt werden - und nicht erst im Krankenhaus. Laut Forscher Billy Riot lässt sich die Dosis aber verstellen. Vor Ort ist sogar ein Austausch der Firmware per seriellem Kabel möglich - ohne Authentifizierung. weiter

Unternehmensübergreifende Verbindlichkeit für die digitalisierte Welt

In einer immer stärker digitalisierten Welt funktioniert die Kommunikation und das Abwickeln von Geschäften nur durch das Zusammenspiel von Identität und Verbindlichkeit. Ismet Koyun, Gründer und Geschäftsführer des Sicherheitsanbieters Kobil Systems, erklärt im Gastbeitrag für ZDNet, wie sich beides unternehmensübergreifend und sicher verbinden lässt. weiter

NSA testet Gestenerkennung als Passwortersatz

Das System stammt vom Rüstungskonzern Lockheed Martin. Er bietet es seit 2013 schon für BYOD in Firmen an. Mandrake Secure Gesture analysiert Schriftbild, Druck, Rhythmus und Geschwindigkeit beim Schreiben auf einem Touchscreen. weiter

UMA-Protokoll: Die neue Nutzerrolle im Identitätsmanagement

Das UMA-Protokoll (User-Managed Access) gibt dem Nutzer die Kontrolle darüber, welche Zugriffe auf seine Daten erlaubt sind. Dies sollte nicht als optionale Funktion im Access Management verstanden werden, sondern als Forderung des Datenschutzes. weiter

Google: Sicherheitsabfragen taugen nichts

Sie lassen sich leicht erraten: Fast 20 Prozent der Amerikaner nennen beispielsweise "Pizza" als Lieblingsspeise. An falsche Angaben hingegen erinnern sich die wenigsten Anwender später. Kombiniert ein Anbieter zwei fragen, kommen echte Nutzer auf höchstens 59 Prozent Trefferquote. weiter

Ende der Passwörter: FIDO zertifiziert erste 31 Produkte

Sie kommen von 18 Firmen, darunter Samsung, Infineon, Nok Nok und Yubico. Auch Googles komplettes Authentifizierungssystem accounts.google.com erhielt ein Zertfikat. Durchwegs handelt es sich um Zwei-Faktor- und biometrische Lösungen. weiter

Ausgefeilte Betrugsmasche zielt auf Nutzer von Windows Live ID ab

Wer Microsoft-Dienste wie Xbox Live, Outlook.com, MSN oder OneDrive verwendet, sollte sich daher besonders vorsehen. Um an Anmeldedaten zu kommen, locken die Betrüger ihre Opfer zunächst auf die echte Microsoft-Site live.com. Dann fragen sie mittels einer Anwendung Zugangsdaten ab. weiter

European Identity & Cloud Conference: Wer darf eigentlich was tun?

Vom 5. bis 8. Mai fand in Unterschleißheim die European Identity & Cloud Conference statt. Das Konferenzprogramm bot über 150 internationale Sprecher und Experten sowie zahlreiche Best-Practice-Präsentationen. ZDNet sprach mit Veranstalter Martin Kuppinger über das Thema Identitätsmanagement. weiter

UMA-Standard erreicht Version 1.0

Das webbasierte Protokoll verwaltet Zugriffe auf persönliche Daten nach den Vorgaben des Nutzers. Es basiert auf dem Authentifizierungsprotokoll OAuth 2.0 und bei einem zentralen Autorisierungsdienst hinterlegten Richtlinien. UMA kann in Anwendungen und Internet-der-Dinge-Systemen implementiert werden. weiter

Postident: Legitimierung per Videochat möglich

Mit dem Identifikationsverfahren Postident Video soll eine Legitimierung nur wenigen Minuten dauern. Der Service steht ab sofort zur Verfügung. Das Legitimationsverfahren Postident wird häufig bei der Eröffnung eines Kontos genutzt. weiter

Googles Chrome-Plug-in „Passwort-Warnung“ mehrfach ausgehebelt

Ein erster Exploit erschien bereits einen Tag nach Veröffentlichung der Erweiterung, die Nutzer eigentlich vor Phishing-Seiten warnen soll. Google hat das Add-on bereits mehrfach aktualisiert. Dennoch lässt sich die Schutzfunktion offenbar nach wie vor umgehen. weiter

Google stellt Chrome-Plug-in gegen Phishing vor

In Gmail machen Phishing-Mails etwa zwei Prozent aus. Gut gemachte Kampagnen haben Google zufolge bis zu 45 Prozent Erfolgsquote. Das quelloffene Programm warnt in Echtzeit - entweder den Nutzer selbst oder bei Apps for Work den Administrator. weiter

Bericht: Passwort-Kontrollmechanismen erleichtern Cracks

"Wenn Nutzer ein Passwort mit mindestens einem Großbuchstaben verwenden müssen, dann ist das in mehr als 90 Prozent der Fälle der erste Buchstabe." Werden aber Ziffern vorgeschrieben, sind es meist zwei, die am Ende des Passworts stehen. weiter

IBM entwickelt mit Texas Instruments Authentifizierung für IoT

Secure Registry Service basiert auf der IBM-Cloud und einem Chip-Token von TI. Letzteres soll die Echtheit von Geräten ab der Inbetriebnahme sichern. Die APIs werden auch andere IoT-Clouddiensten und Halbleiterherstellern zur Verfügung stehen. weiter

Salesforce kauft Start-up für Zwei-Faktor-Authentifizierung

Toopher nutzt den Standort, von dem eine Anfrage ausgeht, um Authentifizierungsvorgänge zu verifizieren. Der Anwender muss neue Standorte zusätzlich per App bestätigen. Bisher setzen es LastPass, MailChip und zwei US-Universitäten ein. weiter

Fehler in Youtube ermöglichte Löschen beliebiger Videos

Er steckte im YouTube Creator Studio. Per event_id ließ sich ein Video nach Wahl löschen - ohne Kontrolle der Berechtigung. Der Entdecker der Lücke erhielt den Höchstbetrag für Vulnerability Research Grants in Höhe von 5000 Dollar. weiter

Slack führt nach Datendiebstahl Zwei-Faktor-Authentifizierung ein

Die Sicherheitslücke soll angeblich vier Tage aktiv gewesen sein. Betroffen war laut Angaben der Firma die zentrale Nutzerdatenbank, die unter anderem Namen, E-Mail-Adressen und Telefonnummern sowie verschlüsselte Passwörter der Nutzer enthält. Auf Kreditkartendaten sowie Nachrichten innerhalb von Gruppen konnten die Hacker laut Slack nicht zugreifen. weiter

Samsung arbeitet an Iris-Erkennung

Es nutzt dafür eine vom Stanford Research Institute entwickelte Technik namens Iris on the Move. Sie soll die für die Erfassung der Iris benötigte Zeit deutlich verkürzen. Geschäftskunden bietet Samsung in Kürze eine mit dem Iris-Scanner ausgestattete Variante das Galaxy Tab Pro 8.4 an. weiter

Google-Zertifikate unerlaubt ausgestellt

Die Ausgabe erfolgte durch das ägyptisches Unternehmen MCS als Zwischenzertifizierer, autorisiert durch die chinesische Zertifizierungsstelle CNNIC. Diese wiederum genießt das grundsätzliche Vertrauen aller Browser und Betriebssysteme. Die SSL-Zertifikate wurden für mehrere Domains von Google ausgestellt - und möglicherweise auch für andere Domains. weiter

Trageerkennung: Google erweitert intelligente Sperrfunktion von Android

Android-Smartphones bleiben mit "Trageerkennung" entsperrt solange sie gehalten oder am Körper getragen werden. Erst wenn man sie beiseite legt, wird eine neuerliche Authentifizierung erforderlich. Die Einführung erfolgt offenbar über Google Play-Dienste und hat bereits begonnen. weiter

Windows 10: Mit „Hello“ wendet sich Microsoft von Passwörtern ab

Sein biometrisches System baut etwa auf Intels RealSense-Kameras auf. Als Windows Passport soll es auch Dritten zur Implementierung in Apps und Websites angeboten werden. Microsoft: "Es gibt kein gemeinsames Passwort, das auf Microsoft-Servern gespeichert und potenziell von Hackern kompromittiert werden könnte." weiter

Yahoo führt On-Demand-Passwörter ein

Sie sollen das vom Nutzer hinterlegte Kennwort ersetzen. Yahoo schickt das Einmal-Passwort bei der Anmeldung auf ein zuvor registriertes Mobiltelefon. Der Dienst steht bisher allerdings nur Nutzern in den USA zur Verfügung. weiter

Sicherheitslücke: Netgear-Router geben Passwörter und WLAN-Schlüssel preis

Der Fehler steckt in mehreren auch hierzulande angebotenen Routern. Ein Angreifer kann die Informationen aus der Ferne über das Web-Interface ohne Eingabe von Anmeldedaten abrufen. Netgear hat auf die Meldung der Schwachstelle angeblich nur mit einem Hinweis auf Sicherheitsfunktionen reagiert. weiter

Apple verbessert Sicherheit von iMessage und Facetime

Nutzern steht ab sofort eine Anmeldung in zwei Schritten zur Verfügung. Die Eingabe eines zusätzlichen Zahlencodes soll vor unbefugten Kontozugriffen schützen. Apple ID bietet die Sicherheitsfunktion schon seit 2013. weiter