Authentifizierung

Die Zahl der Betroffenen liegt offenbar im Bereich zwischen 200 und 600 Millionen. Es geht auch um Kennwörter von Instagram-Nutzern. Die unverschlüsselten Passwörter sind zum Teil jahrelang für Tausende Facebook-Mitarbeiter einsehbar. Facebook will bisher keine Anzeichen für einen Missbrauch gefunden haben. weiter

Zu den Betroffenen zählt auch Apple. Forscher entwickeln ein Tool, das Vanity-URLs zu Box-Freigaben aufspürt. Auf diese Art finden sie Finanzunterlagen, Passfotos, Mitarbeiterlisten, Gesprächsprotokolle und sogar Details zu technischen Prototypen. weiter

Forscher geben ein Registrierungssystem für Nutzer eines Sozialen Netzwerks in Auftrag. 18 von 43 freiberuflichen Entwicklern speichern die Kennwörter dabei im Klartext. Insgesamt setzen nur 17 auf als sicher geltende Verschlüsselungsverfahren. weiter

Bislang galt nur die Empfehlung, das neue Anmeldeverfahren zu nutzen. WebAuthn findet bereits Unterstützung durch Webbrowser und Betriebssysteme. Zur Authentifizierung können Hardware-Security-Keys, Mobilgeräte und biometrische Verfahren dienen. weiter

Android-Geräte sollen künftig eine Anmeldung ohne Passwort bei Apps und Websites ermöglichen. Voraussetzung ist Android 7.0 und neuer sowie ein Fingerabdruckscanner oder ein integrierter Security Key. Möglicherweise wird ein Update für die Google Play Services benötigt. weiter

Password Checkup gleicht mit über vier Milliarden unsicheren Anmeldedaten aus Datenleaks der letzten Jahre ab. Die Chrome-Erweiterung überprüft die Kombination von Benutzername und Passwort bei jeder Anmeldung auf einer Webseite. weiter

Die intelligente Uhr hat gravierende Sicherheitsmängel. Ihre Android- uns iOS-App kommuniziert unverschlüsselt mit den Servern des Anbieters. Dritte können unerlaubt die Träger der Uhr – also Kinder – orten und mit ihnen kommunizieren. weiter

re:ClaimID steht als Open-Source-Software bereit. Der Dienst ist über den Standard OpenID Connect in Webseiten zu integrieren. Die dezentrale Architektur vermeidet die Risiken, die mit der Nutzung zentraler Identitätsprovider verbunden sind. weiter

Das Tool eines polnischen Sicherheitsforschers ist für Penetrationstests gedacht. Es könnte aber Phishing-Angriffe in hohem Maße automatisieren. Dagegen immun sind Hardware-Token, die auf dem Protokoll U2F basieren. weiter

Der Schutz bezieht sich auf nicht konforme Ladegeräte sowie Geräte mit gefährlicher Firmware. Die Authentifizierung soll über ein neues Standardprotokoll erfolgen, während ein Gerät angeschlossen wird. Das USB Type-C Authentication Program entwickelt das USB Implementers Forum zusammen mit DigiCert. weiter

Sie täuschen ihre Opfer mit gefälschten E-Mails. Die angeblichen Sicherheitswarnungen sollen tatsächlich die Anmeldedaten für die E-Mail-Dienste abfangen. Mit Hilfe eines versteckten Bilds werden die Hacker über eine Interaktion mit ihren Phishing-E-Mails informiert. weiter

Neben Galaxy S9 und OnePlus 6 lassen sich auch Galaxy Note 8 und LG G7 ThinQ austricksen. Auch die als sicherer geltende langsame Gesichtserkennung ist kein Hindernis. Nur Apples Gesichtserkennung Face ID lässt sich mit dem 3D-Modell nicht täuschen. weiter

Betroffen ist die Bibliothek libssh. Sie akzeptiert eine Bestätigungsmeldung für ein Login, das nie stattgefunden hat. Angreifer können also ohne Kenntnis von Nutzername und Passwort auf libssh-basierte Server zugreifen. weiter

Den Ermittlern genügt ein Hausdurchsuchungsbefehl. Der Verdächtige kommt der Aufforderung des FBI offenbar nach. Ohne Kenntnis des Passworts erhalten die Ermittler jedoch nur einen eingeschränkten Zugang zu dem mobilen Gerät. weiter

Microsoft verspricht das Ende des Passwort-Zeitalters. Enterprise-Kunden sollen mit Authenticator auf Azure AD mit allen verbundenen Diensten und Anwendungen zugreifen. Auf der Ignite-Konferenz stellt Microsoft Sicherheitsfeatures für die Cloud vor. weiter

Der Schlüssel authentifiziert den Nutzer im Fall eines Passwortverlusts. Er ist nur einmal gültig und muss vor Verlust des Kennworts erstellt werden. Der Recovery Key funktioniert ähnlich wie ein Einmal-Passwort einer Zwei-Faktor-Authentifizierung. weiter

Sie authentifizieren Apps anhand des Namens des Installationspakets. Der lässt sich jedoch leicht fälschen. Forscher tricksen bei ihren Tests unter anderem LastPass und 1Password aus. weiter

Exploits erlaubten schon lange die Umgehung des Passwortschutzes aus der Ferne. Ein Sicherheitsforscher meldete die Lücke in der My-Cloud-Serie im April 2017. Der Hersteller reagiert erst jetzt auf aktuelle Veröffentlichungen. weiter

Microsoft ermöglicht es Google-Anwendern, mit anderen Benutzern über Azure Active Directory B2B zusammenzuarbeiten, ohne dass sie ein Microsoft-Konto benötigen. weiter

Das Plug-in überwacht browserseitig die sichere Ausführung von Webprotokollen. Besonderen Schutz bietet es beim Einloggen mit Social-Media-Konten. Entwickelt wurde die Erweiterung von Forschern der TU Wien und einer italienischen Universität. weiter

Das öffnet den Dienst für die Kommunikation mit Nutzern anderer E-Mail-Services. Auch ein Umzug von einem anderen PGP-Client auf ProtonMail ist nun möglich. Die Sicherheitsfunktion Adress Verification soll indes Angriffe auf die Verschlüsselung von ProtonMail abwehren. weiter

Mit einer Authenticator App ist die Nutzung einer Zwei-Faktor-Authentifizierung auch dann möglich, wenn zum Beispiel der SMS-Dienst nicht zur Verfügung steht oder kostenpflichtig ist. weiter

Wie viele der 330 Millionen Konten betroffen sind, hat Twitter nicht mitgeteilt. In einem Blogbeitrag fordert der Microblogging-Dienst seine Nutzer auf, umgehend ihre Passwörter zu ändern. weiter

Sie nutzen Fehler im elektronischen Schließsystem Vision by VingCard des schwedischen Anbieters Assa Abloy. Betroffen sind Schließanlangen von mehr als 42.000 Objekten in 166 Ländern. Die anfälligen Türschlösser benötigen ein Firmwareupdate. weiter

Der neue Hardware-Key soll die sichere Anmeldung bei mit Azure AD verwalteten Windows-10-Geräten ermöglichen. Er ist zunächst für den Einsatz in Unternehmen mit verteilter Belegschaft gedacht. Laut Hersteller ist er " der Anfang einer passwortlosen Welt". weiter

Der Support beschränkt sich auf Windows 10 in einer Azure-AD-Umgebung. FIDO2 Security Keys sollen die Anmeldung per Benutzername und Passwort vor allem an gemeinsam genutzten Geräten ersetzen. Auch eine Zwei-Faktor-Authentifizierung mit zusätzlicher PIN oder Fingerabdruck ist möglich. weiter

WebAuthn hat inzwischen die Verfahrensstufe Candidate Recommendation (CR) des Standardisierungsgrmium W3C erreicht. Und Microsoft, Google und Mozilla haben Unterstützung von WebAuthn für ihre Browser angekündigt. weiter

Durch die Fehlerbehebung wurde das Sicherheitsproblem sogar noch verschärft. Beliebige Prozesse können dabei den Inhalt des Speichers lesen und auch verändern. Ein Angreifer oder eine Malware muss dafür jedoch lokal angemeldet sein. weiter

Betroffen sind Systeme, die für die Übermittlung von Authentifizierungsdaten SAML verwenden. Ein Implementierungsfehler erlaubt Manipulationen dieser Daten. Als Folge erhalten Hacker unter Umständen ohne Kenntnis des Passworts Zugang zu beliebigen Konten. weiter

"Decentralized Digital Identities" nennt Microsoft ein neues Projekt für föderierte digitale Identitäten. Größtes Problem dabei scheint aktuell die Skalierbarkeit von Blockchain zu sein. Doch will Microsoft hier einen neuen Ansatz gefunden haben. weiter