Apple verbessert Sicherheit von Touch ID

von Stefan Beiersmann

Nutzer müssen nun häufiger ihr Passwort eingeben. Das gilt beispielsweise für Geräte, die acht Stunden lang nicht per Fingerabdruck entsperrt wurden. US-Behörden können Verdächtige folglich nur noch über einen sehr kurzen Zeitraum zwingen, ihr Gerät per Fingerabdruck freizuschalten. weiter

Microsoft schließt kritische Phishing-Lücke in seinen Online-Diensten

von Stefan Beiersmann

Ein Sicherheitsforscher stiehlt per Cross-Site-Request-Forgery Login-Tokens für Microsoft-Dienste. Sie erlauben die Anmeldung bei bestimmten Diensten ohne Eingabe von Nutzername und Passwort. Microsoft entwickelt in nur 48 Stunden einen Patch für die Schwachstelle. weiter

Risiko-Analyse als Basis der notwendigen Authentifikation in der Praxis

von Matthias Reinwarth

Adaptive und Risiko-basierte Authentifikation steigert die Sicherheit und Benutzerfreundlichkeit von mobilen und Web-Anwendungen gleichermaßen. Diese Funktionalität erfordert aber eine angemessene Integration in bestehende und neu entstehende Systeme und die Ermittlung individueller Regelwerke. weiter

Google erprobt kontinuierliche Authentifizierung per Gesichtserkennung

von Florian Kalenda

Sie soll die Anwesenheit der eingeloggten Person über eine einmalige Erkennung hinaus gewährleisten. So könnten E-Mail- oder auch Bankkonten in Echtzeit gesichert werden. Google ATAP berücksichtigt dabei, dass eine Smartphone-Kamera immer nur Ausschnitte eines Gesichts sieht. weiter

Biometrisches Log-in mit Windows Hello kommt auch für Web-Apps

von Florian Kalenda

Für Insider bringt ein neuer Build diese Option schon jetzt. Sie wird auch Teil des Anniversary Update im Sommer sein. Microsoft implementiert das System nur in Edge, es ist aber kompatibel zu FIDO 2.0 und steht somit auch anderen Browsern offen. weiter

Yahoo führt Anmeldung ohne Passwort breiter ein

von Florian Kalenda

Account Key ist eine Ein-Faktor-Authentifizierung. Statt einem Passwort dient das Smartphone der Bestätigung. Das bisher nur für Mail nutzbare System steht nun etwa auch für Yahoo Finanzen und Messenger zur Verfügung. weiter

Amazon-Patent: Einkaufen mit Selfie statt Passwort

von Bernd Kling

Die Authentifizierung soll durch eine Bildanalyse erfolgen. Der Nutzer muss dabei zwinkern, lächeln oder den Kopf zur Seite neigen, um sich als lebender Mensch zu beweisen. Mastercard experimentiert schon länger mit einem solchen Verfahren und will ab diesem Sommer Selfies als Passwortersatz akzeptieren. weiter

Adaptive Authentifizierung: immer die richtige Sicherheit

von Matthias Reinwarth

Die adaptive Authentifizierung verbindet die Identität des zugreifenden Nutzers mit der Kritikalität des angeforderten Prozesses und den Rahmenbedingungen der aktuellen Verbindung. Dieser risikoorientierte Ansatz erhöht das allgemeine Sicherheitsniveau und vermindert die Anzahl nicht notwendiger starker Authentifizierungen. weiter

MWC: Mastercard akzeptiert Selfies als Passwortersatz

von Florian Kalenda

Das System wird im Sommer 2016 eingeführt - Deutschland und Schweiz zählen zu den Startländern. Statt einer Passwortabfrage kann entweder das Gesicht abfotografiert oder der Fingerabdruck gescannt werden. Aufforderungen zum Blinzeln sollen Täuschen der Gesichtserkennung vermeiden. weiter

Instagram führt Zwei-Faktor-Authentifizierung ein

von Florian Kalenda

Anwender können sich einen Zugangscode per SMS aufs Handy schicken lassen. Damit setzt Instagram eine durch seinen Erfolg nötig gewordene Sicherheitsmaßnahme mit großer Verspätung um. Facebook bietet seit mehr als vier Jahren Zwei-Faktor-Authentifizierung an. weiter

MongoDB-Lücke machte Microsofts Jobportal anfällig für Angriffe

von Björn Greif

Aufgrund eines Authentifizierungsfehlers stand die zugrunde liegende Datenbank offen im Netz. Angreifer konnten darüber theoretisch Wasserloch-Attacken ausführen oder Browser-Exploits sowie Phishing-Kampagnen an Jobsuchende ausliefern. Inzwischen hat der zuständige Dienstleister die Schwachstelle beseitigt. weiter

Google belohnt Konten-Sicherheitscheck mit 2 GByte Cloudspeicher

von Bernd Kling

Anlass ist wie schon im vergangenen Jahr der Safer Internet Day. Ein paar einfache Schritte dienen dem Schutz des Google-Kontos vor unberechtigten Zugriffen. Den dauerhaften kostenlosen Cloudspeicher soll anschließend zugeschrieben bekommen, wer sie bis spätestens 18. Februar 2016 abschließt. weiter

Intel: Sechste vPro-Generation enthält Authentifizierungstechnik

von Florian Kalenda

Authenticate steht einer Vielzahl von Identifikationstechniken offen - von der PIN bis zu Biometrie. Der Abgleich mit Verzeichnissen und Richtlinien - etwa Active Directory - erfolgt durch die Firmware, innerhalb der Chip-Hardware. Eine breite Einführung erfolgt noch 2016. weiter

Phishing-Lücke in Passwort-Manager LastPass entdeckt

von Stefan Beiersmann

Sie erlaubt unter Umständen den Diebstahl aller Passwörter eines Nutzers. Voraussetzung dafür ist jedoch, dass er seinen Passworttresor auch auf den Servern von LastPass abgelegt hat. Einen Patch des Unternehmens hält der Entdecker der Lücke für unzureichend. weiter

Mozilla löscht im November Daten von Authentifizierungsdienst Persona

von Florian Kalenda

Das Interesse ist gering und seit zwei Jahren kein Wachtum zu sehen. Nun will Mozilla die nötigen Server nicht mehr bereitstellen: "Einen Dienst mit dem für ein Authentifizierungssystem notwendigen Level an Sicherheit und Verfügbarkeit zu hosten, ist keine kleine Sache." weiter

Paypal-Konto von Sicherheitsblogger Brian Krebs gehackt

von Bernd Kling

Der Täter versuchte, Geld an eine mit der Terrormiliz Islamischer Staat verbundene Hackergruppe zu überweisen. Trotz aktiver 2-Faktor-Authentifizierung konnte er das Konto durch einen Anruf beim Paypal-Support übernehmen. Für die Passwort-Rücksetzung genügte die Beantwortung weniger Fragen mit leicht zugänglichen Antworten. weiter