Bislang galt nur die Empfehlung, das neue Anmeldeverfahren zu nutzen. WebAuthn findet bereits Unterstützung durch Webbrowser und Betriebssysteme. Zur Authentifizierung können Hardware-Security-Keys, Mobilgeräte und biometrische Verfahren dienen. weiter

Android-Geräte sollen künftig eine Anmeldung ohne Passwort bei Apps und Websites ermöglichen. Voraussetzung ist Android 7.0 und neuer sowie ein Fingerabdruckscanner oder ein integrierter Security Key. Möglicherweise wird ein Update für die Google Play Services benötigt. weiter

Password Checkup gleicht mit über vier Milliarden unsicheren Anmeldedaten aus Datenleaks der letzten Jahre ab. Die Chrome-Erweiterung überprüft die Kombination von Benutzername und Passwort bei jeder Anmeldung auf einer Webseite. weiter

Sie steckt in macOS 10.14.3 Mojave und früher. Mit einem lokal ausgeführten Exploit liest der Forscher alle im Schlüsselbund hinterlegten Anmeldedaten im Klartext aus – ohne Eingabe eines Passworts. Apple kennt die Details der Anfälligkeit bisher nicht. weiter

Azure AD B2B Collaboration erlaubt künftig die Zusammenarbeit mit Nutzern, die sich über ein einmaliges Passwort authentifizieren. Das per E-Mail übersandte Passwort gilt 24 Stunden. Optional sind ein bedingter Zugang und Multi-Faktor-Authentifizierung. weiter

re:ClaimID steht als Open-Source-Software bereit. Der Dienst ist über den Standard OpenID Connect in Webseiten zu integrieren. Die dezentrale Architektur vermeidet die Risiken, die mit der Nutzung zentraler Identitätsprovider verbunden sind. weiter

Der Schutz bezieht sich auf nicht konforme Ladegeräte sowie Geräte mit gefährlicher Firmware. Die Authentifizierung soll über ein neues Standardprotokoll erfolgen, während ein Gerät angeschlossen wird. Das USB Type-C Authentication Program entwickelt das USB Implementers Forum zusammen mit DigiCert. weiter

Neben Galaxy S9 und OnePlus 6 lassen sich auch Galaxy Note 8 und LG G7 ThinQ austricksen. Auch die als sicherer geltende langsame Gesichtserkennung ist kein Hindernis. Nur Apples Gesichtserkennung Face ID lässt sich mit dem 3D-Modell nicht täuschen. weiter

Die Lücke steckt im Tool zum Herunterladen der eigenen Instagram-Daten. Es packt das Passwort in den Download-Link, und zwar unverschlüsselt. Außerdem speichert Instagram versehentlich Nutzerpasswörter auf Servern von Facebook. weiter

Betroffen ist die Bibliothek libssh. Sie akzeptiert eine Bestätigungsmeldung für ein Login, das nie stattgefunden hat. Angreifer können also ohne Kenntnis von Nutzername und Passwort auf libssh-basierte Server zugreifen. weiter

Eine neue erweiterte Einstellung erlaubt die Deaktivierung der automatischen Anmeldung. Chrome 70 informiert zudem genauer darüber, ob Inhalte mit Googles Servern synchronisiert werden. Google schließt aber auch mehrere schwerwiegende Sicherheitslücken. weiter

Der Schlüssel authentifiziert den Nutzer im Fall eines Passwortverlusts. Er ist nur einmal gültig und muss vor Verlust des Kennworts erstellt werden. Der Recovery Key funktioniert ähnlich wie ein Einmal-Passwort einer Zwei-Faktor-Authentifizierung. weiter

Sie authentifizieren Apps anhand des Namens des Installationspakets. Der lässt sich jedoch leicht fälschen. Forscher tricksen bei ihren Tests unter anderem LastPass und 1Password aus. weiter

Exploits erlaubten schon lange die Umgehung des Passwortschutzes aus der Ferne. Ein Sicherheitsforscher meldete die Lücke in der My-Cloud-Serie im April 2017. Der Hersteller reagiert erst jetzt auf aktuelle Veröffentlichungen. weiter

Das Plug-in überwacht browserseitig die sichere Ausführung von Webprotokollen. Besonderen Schutz bietet es beim Einloggen mit Social-Media-Konten. Entwickelt wurde die Erweiterung von Forschern der TU Wien und einer italienischen Universität. weiter

Hardwareschlüssel und biometrische Merkmale sollen künftig Passwörter bei der Anmeldung im Internet ablösen. WebAuthn funktioniert auch mit Windows Hello und akzeptiert eine für die Windows-Anmeldung hinterlegte PIN. Auch Google und Mozilla integrieren den Standard in ihre Browser. weiter