Authentifizierung

Cyberkriminelle können theoretisch die vollständige Kontrolle über Konten von Drittanbietern übernehmen, für die eine Anmeldung mit einer Apple ID möglich ist. Ein Angreifer benötigt lediglich die E-Mail-Adresse der Apple ID. Der Fehler ist inzwischen behoben. weiter

Ein GitLab-Server der Mutter Daimler erlaubt jedem, ein Konto anzulegen. Ein Schweizer Sicherheitsforscher zieht Daten aus Hunderten Repositories ab und veröffentlicht sie im Internet. Die Daten enthalten nicht nur Quellcode, sondern auch Passwörter und API-Tokens. weiter

Schwache Passwörter sind ein beliebtes Einfallstor für Hacker. Die meisten Deutschen wissen das, sind aber zu nachlässig, um verschiedene oder starke Passwörter zu verwenden. weiter

Hacker nutzen Schwachstellen aus, um Systeme zu attackieren. Im Blickpunkt stehen aktuell der SaltStack, das Handy-Betriebssystem LineageOS, die Bloggerplattform Ghost und der Zertifizierungsanbieter Digicert. weiter

Beide Protokolle sollen den E-Mail-Verkehr sicherer machen. Sie verhindern unter anderem ein Downgrade auf unverschlüsselte SMTP-Verbindungen. Microsoft führt DANE und DNSSEC in zwei Phasen bis Ende 2021 ein. weiter

Die Anwendung wandelt UNC-Pfade in klickbare Links um. Die wiederum veranlassen Windows, automatisch die Anmeldedaten inklusive einem Hash des Passworts an den entfernten Server zu senden. Ein Angreifer kann die Daten abfangen und das Passwort mit frei verfügbaren Tools knacken. weiter

Im Durchschnitt werden etwa 0,5 Prozent aller Konten jeden Monat kompromittiert, was im Januar 2020 immerhin etwa 1,2 Millionen Konten betraf. Insgesamt nutzen nur 11 Prozent aller Unternehmenskonten eine Multi-Faktor-Authentifizierung (MFA). weiter

Der iPhone-Hersteller ist nun Board-Mitglied. Die Allianz entwickelt offene Standards für die Anmeldung ohne Passwort. Sie erhofft sich nun neue Impulse von der Zusammenarbeit mit Apple. weiter

Er nutzt die Funktion zum Auffinden von Twitter-Nutzern im eigenen Adressbuch. Dafür lädt er zuvor generierte Telefonnummern zu Twitter hoch. Der Kurznachrichtendienst liefert brav die passenden Namen aus seinem Datenbestand. Inzwischen ist die Sicherheitslücke geschlossen. weiter

Die Daten sind fast den gesamten Dezember frei über das Internet abrufbar. Auslöser ist eine falsch konfigurierte Sicherheitsregel. In der Datenbank befinden sich überwiegend anonymisierte Informationen von 250 Millionen Support-Kunden. weiter

Microsoft gleicht die Anmeldedaten seiner Nutzer mit einer Datenbank mit mehr als 3 Milliarden Nutzernamen und Kennwörtern ab. In der Zahl sind auch Konten von Azure Active Directory enthalten. Die Inhaber von Consumer-Konten fordert Microsoft zur Vergabe neuer Kennwörter auf. weiter

Einfallstor sind die verwendeten Mikrofone. Sie sind so empfindlich, dass Laserstrahlen Vibrationen der Membran auslösen können. Die Forscher testen ihren Angriff erfolgreich über eine Entfernung von 110 Metern. weiter

Quelle ist eine mit dem Internet verbundene ungesicherte Test-Umgebung. Die Datenbank enthält E-Mail-Adressen und Nutzernamen. Klarnamen von Nutzern oder gar Bezahldaten finden sich in dem Elasticsearch-Speicher indes nicht. weiter

Auch zu Sicherheitszwecken hinterlegte E-Mail-Adressen werden zum Kriterium für die Auswahl von Anzeigen. Twitter behebt den Fehler am 17. September. Zur Zahl des Betroffenen macht es keine Angaben. weiter

Per JavaScript lassen sich die Kennwörter der zuletzt besuchten Websites auslesen. Eine Interaktion mit dem Nutzer ist dafür nicht notwendig. Google-Forscher Tavis Ormandy meldet den Bug vertraulich an LastPass. Inzwischen ist auch ein Patch erhältlich. weiter

Yubico hat einen neuen Hardware-Security Key auf den Markt gebracht, der mit gleich zwei Steckern ausgerüstet ist: USB-C auf der einen und Lightning auf der anderen Seite. weiter

Die Angreifer erreichen mit "vergifteten" Zertifikaten, dass Installationen und Clients unbrauchbar werden. Das weltweite SKS-Keyserver-Netz für die Verschlüsselungssoftware ist gefährdet. Als Alternative ist der Server keys.openpgp.org im Gespräch. weiter

In einem offenen Brief warnt die Stiftung vor Risiken für Sicherheit und Privatsphäre. Das Zertifizierungsteam der OpenID Foundation dokumentiert Abweichungen zwischen OpenID Connect und Apples Implementierung für seinen eigenen Anmeldedienst. weiter

Dazu gehören WordPress, Composr und SugarCRM. Eine sichere Hashing-Funktion ist nur bei rund 40 Prozent der Systeme voreingestellt. Ab Werk lassen WordPress und Drupal sogar einzelne Zeichen als Passwörter für Nutzerkonten zu. weiter

Ein Android-Gerät dient als zweiter Faktor bei der Anmeldung auf iPhones und iPads. Es muss zu diesem Zweck per Bluetooth mit dem iOS-Gerät verbunden sein. Eine weitere Voraussetzung ist Googles Smart-Lock-App für iOS. Sie stellt die Anmeldung anschließend für andere Google-Apps zur Verfügung. weiter

Sie lehnen einen Vorschlag des britischen Geheimdiensts GCHQ ab. Der sieht Ermittler als zusätzliche Nutzer verschlüsselter Kommunikation vor. In einem offenen Brief beschreiben Anbieter und Bürgerrechtler mögliche Folgen für die Sicherheit und das Vertrauen von Nutzern. weiter

Der Fehler wurde offenbar schon vor 14 Jahren eingeführt. Die ungehashten Kennwörter hält Google als Kopie in seiner Admin-Konsole vor. Dabei handelt es sich um ein verschlüsseltes internes System. Betroffen sind ausschließlich Enterprise-Kunden der G Suite und keine Verbraucher-Konten. weiter

Betroffen ist die Bluetooth-Version. Der Fehler tritt während der Geräte-Kopplung auf. Unbefugte können sich mit dem Schlüssel oder dem Gerät verbinden und unter Umständen die Kontrolle über ein Google-Konto übernehmen. weiter

Auslöser ist eine fehlerhafte Implementierung eines kryptografischen Algorithmus. Der Fehler steckt in der Qualcomm Secure Execution Environment und betrifft 46 Chipsätze des Unternehmens. Googles April-Patchday bringt einen Fix für die Schwachstelle. weiter

Lockbox macht alle in Firefox gespeicherten Passwörter unter Android verfügbar. Die App übergibt Anmeldedaten auch an mobile Apps von Drittanbietern. Auch eine Authentifizierung per Fingerabdruck oder Gesicht ist möglich. weiter

Die Zahl der Betroffenen liegt offenbar im Bereich zwischen 200 und 600 Millionen. Es geht auch um Kennwörter von Instagram-Nutzern. Die unverschlüsselten Passwörter sind zum Teil jahrelang für Tausende Facebook-Mitarbeiter einsehbar. Facebook will bisher keine Anzeichen für einen Missbrauch gefunden haben. weiter