LastPass führt Sicherheits-Dashboard mit Dark-Web-Überwachung ein
von Stefan Beiersmann
Das Dashboard informiert unter anderem über schwache Passwörter. Die Dark-Web-Überwachung gleicht gespeicherte Anmeldedaten mit Datenbanken mit kompromittierten Nutzernamen und Passwörtern an. Das Angebot beschränkt LastPass auf Abonnenten. weiter
eID: Personalausweis kommt aufs Samsung Galaxy S20
von Stefan Beiersmann
Es ist das erste für diesen Zweck vom BSI zertifizierte Smartphone. An dem Projekt sich auch die Bundesdruckerei und die Deutsche Telekom Security beteiligt. Der elektronische Personalausweis eID startet noch in diesem Jahr. weiter
Phishing-Kampagne nutzt Googles Cloud-Dienste zum Diebstahl von Office-365-Anmeldedaten
von Stefan Beiersmann
Die Hacker hosten auf Google Drive eine speziell gestaltete PDF-Datei. Die Google Cloud stellt für den Angriff auch eine Phishing-Website bereit. Ähnliche Attacken missbrauchen auch Cloud-Dienste anderer Anbieter wie Microsoft Azur. weiter
Studie: Eines von 142 Passwörtern lautet „123456“
von Stefan Beiersmann
Es ist im fünften Jahr in Folge das am häufigsten wiederverwendete Passwort. Der analysierte Datensatz mit einer Milliarde Kennwörter enthält lediglich rund 169 Millionen unterschiedliche Einträge. Sie wiederum entfallen auf 393 Millionen Nutzer. weiter
Safari 14 unterstützt FIDO, HTTP/3 und WebP – beendet Support für Adobe Flash
von Stefan Beiersmann
Die Anmeldung ohne Passwort erlaubt Safari 14 per Touch ID und Face ID. Der Browser informiert außerdem über bereits kompromittierte Anmeldedaten, sobald diese lokal gespeichert werden. Safari liest aber auch Einmalpasswörter aus SMS aus. weiter
Featured Whitepaper
Apple unterstützt Entwicklung besserer Passwort-Manager-Apps
von Stefan Beiersmann
Neue Open-Source-Tools sollen die Generierung sicherer Passwörter verbessern. Apple geht vor allem das Problem an, dass generierte Passwörter unter Umständen inkompatibel sind zu bestimmten Websites. weiter
Kritische Schwachstelle in Apples Anmeldedienst bringt Forscher 100.000 Dollar ein
von Stefan Beiersmann
Cyberkriminelle können theoretisch die vollständige Kontrolle über Konten von Drittanbietern übernehmen, für die eine Anmeldung mit einer Apple ID möglich ist. Ein Angreifer benötigt lediglich die E-Mail-Adresse der Apple ID. Der Fehler ist inzwischen behoben. weiter
Microsoft erweitertet Exchange Online um DANE- und DNSSEC-Support
von Stefan Beiersmann
Beide Protokolle sollen den E-Mail-Verkehr sicherer machen. Sie verhindern unter anderem ein Downgrade auf unverschlüsselte SMTP-Verbindungen. Microsoft führt DANE und DNSSEC in zwei Phasen bis Ende 2021 ein. weiter
Anmeldung ohne Passwort: Apple tritt FIDO Alliance bei
von Stefan Beiersmann
Der iPhone-Hersteller ist nun Board-Mitglied. Die Allianz entwickelt offene Standards für die Anmeldung ohne Passwort. Sie erhofft sich nun neue Impulse von der Zusammenarbeit mit Apple. weiter
Ungesicherte Datenbank: Microsoft verliert Daten von Support-Kunden
von Stefan Beiersmann
Die Daten sind fast den gesamten Dezember frei über das Internet abrufbar. Auslöser ist eine falsch konfigurierte Sicherheitsregel. In der Datenbank befinden sich überwiegend anonymisierte Informationen von 250 Millionen Support-Kunden. weiter
Passwörter für mehr als 500.000 Server, Router und IoT-Geräte veröffentlicht
von Stefan Beiersmann
Die Liste ist in einem Hacker-Forum verfügbar. Sie enthält Nutzernamen, Passwörter und die zugehörigen IP-Adressen für Telnet-Dienste. Der Leaker der Daten ist Betreiber eines IoT-Botnets. weiter
44 Millionen Microsoft-Nutzer verwenden ein Passwort für mehrere Dienste
von Stefan Beiersmann
Microsoft gleicht die Anmeldedaten seiner Nutzer mit einer Datenbank mit mehr als 3 Milliarden Nutzernamen und Kennwörtern ab. In der Zahl sind auch Konten von Azure Active Directory enthalten. Die Inhaber von Consumer-Konten fordert Microsoft zur Vergabe neuer Kennwörter auf. weiter
Sicherheitsrisiko: Rechtevergabe für Dritte
von Kai Schmerer
Eine Umfrage von über 1000 IT-Sicherheitsfachkräften offenbart Defizite, was die Zugriffsverwaltung von Drittanbietern und Vertragsnehmern angeht. Die Mehrheit aller Organisationen erteilt Benutzern von Dritten sogar privilegierte Zugriffsrechte, die administrativen Zugriff auf sensible Informationen gestatten. weiter
OpenTitan: Google macht sichere Siliziumchips zu Open Source
von Stefan Beiersmann
Das von Google initiierte OpenTitan Project entwickelt Standards für sichere Siliziumchips. Sie basieren auf einem Design von lowRISC. Unterstützung erhält Google unter anderem von der ETH Zürich und von Western Digital. weiter
Umgehung des Fingerabdrucksensors: Samsung kündigt Patch fürs Galaxy S10 an
von Stefan Beiersmann
Bestimmte Silikonhüllen für das Display vertragen sich nicht mit dem Fingerabdruckscanner. Der erfasst zusammen mit dem Fingerabdruck deren Mikromuster. Das wiederum erlaubt es Unbefugten, ein S10 per Fingerabdruck zu entsperren. weiter
Sudo-Bug erlaubt unbefugte Code-Ausführung mit Root-Rechten
von Stefan Beiersmann
Eine Schwachstelle erlaubt das Umgehen der Sicherheitsrichtlinie. Sudo verarbeitet bestimmte Werte für die User-ID fehlerhaft und interpretiert sie als Root. Fehlerfrei ist nun die Version 1.8.28. weiter
Bug in LastPass gibt Anmeldedaten preis
von Stefan Beiersmann
Per JavaScript lassen sich die Kennwörter der zuletzt besuchten Websites auslesen. Eine Interaktion mit dem Nutzer ist dafür nicht notwendig. Google-Forscher Tavis Ormandy meldet den Bug vertraulich an LastPass. Inzwischen ist auch ein Patch erhältlich. weiter
Mobile Connect: Deutsche Mobilfunkunternehmen starten gemeinsamen Anmeldedienst
von Kai Schmerer
Mobile Connect verzichtet beim Login auf Passwörter. Die Identifikation des Kunden erfolgt über das Handy. Nach Eingabe der Mobilfunknummer im Internet-Portal wird eine SMS an das Smartphone des Kunden geschickt. Über den in der Textnachricht integrierten Link bestätigt er auf seinem Smartphone den Erhalt. weiter
Anmelden mit Apple: OpenID Foundation mahnt Kompatibilität an
von Bernd Kling
In einem offenen Brief warnt die Stiftung vor Risiken für Sicherheit und Privatsphäre. Das Zertifizierungsteam der OpenID Foundation dokumentiert Abweichungen zwischen OpenID Connect und Apples Implementierung für seinen eigenen Anmeldedienst. weiter
Studie: Namhafte Content-Management-Systeme nutzen unsicheres Passwort-Hashing
von Stefan Beiersmann
Dazu gehören WordPress, Composr und SugarCRM. Eine sichere Hashing-Funktion ist nur bei rund 40 Prozent der Systeme voreingestellt. Ab Werk lassen WordPress und Drupal sogar einzelne Zeichen als Passwörter für Nutzerkonten zu. weiter
AVG-Sicherheitssoftware blockiert Zugriff auf in Firefox gespeicherte Passwörter
von Stefan Beiersmann
Grund ist ein neues Zertifikat für Firefox, das die AVG-Software nicht kennt. Als Folge unterbindet die AVG Password Protection Zugriffe die Passwort-Datei. Die muss nach einem Update der Virendefinitionen manuell wiederhergestellt werden. weiter
Google weitet in Android integrierten Sicherheitsschlüssel auf iOS-Geräte aus
von Stefan Beiersmann
Ein Android-Gerät dient als zweiter Faktor bei der Anmeldung auf iPhones und iPads. Es muss zu diesem Zweck per Bluetooth mit dem iOS-Gerät verbunden sein. Eine weitere Voraussetzung ist Googles Smart-Lock-App für iOS. Sie stellt die Anmeldung anschließend für andere Google-Apps zur Verfügung. weiter
Apple, Google und WhatsApp wehren sich gegen Abhören verschlüsselter Kommunikation
von Stefan Beiersmann
Sie lehnen einen Vorschlag des britischen Geheimdiensts GCHQ ab. Der sieht Ermittler als zusätzliche Nutzer verschlüsselter Kommunikation vor. In einem offenen Brief beschreiben Anbieter und Bürgerrechtler mögliche Folgen für die Sicherheit und das Vertrauen von Nutzern. weiter
Google speichert jahrelang Passwörter von G-Suite-Kunden im Klartext
von Stefan Beiersmann
Der Fehler wurde offenbar schon vor 14 Jahren eingeführt. Die ungehashten Kennwörter hält Google als Kopie in seiner Admin-Konsole vor. Dabei handelt es sich um ein verschlüsseltes internes System. Betroffen sind ausschließlich Enterprise-Kunden der G Suite und keine Verbraucher-Konten. weiter
Windows 10 künftig ohne Verfallsdatum für Passwörter
von Stefan Beiersmann
Microsoft ändert die Sicherheitsempfehlungen für Unternehmen. Sie können künftig eigene Verfallsdaten für Kennwörter festlegen oder vollständig auf eine regelmäßige Änderung verzichten. Die Empfehlung für eine regelmäßige Erneuerung eines Passworts ist laut Microsoft veraltet. weiter
Microsoft erweitert Edge für iOS und Android um Single-Sign-On
von Stefan Beiersmann
Die Funktion richtet sich an Unternehmen, die Azure AD einsetzen. Single-Sign-On unterstützt SaaS- und selbst gehostete Anwendungen. Eine weitere neue Funktion schränkt zudem den Zugriff auf bestimmte Anwendungen über Chrome oder Safari ein. weiter