IT-News Authentifizierung

Passwort (Bild: James Martin / CNET)

Das Ende der Passwörter

Eine Welt ohne Passwörter – das klingt wie eine ferne Zukunftsvorstellung. Nach Julian Totzek-Hallhuber, Solution Architect bei Veracode, ist dies jedoch schon bald Realität. Er erklärt, warum die Anzahl an sicheren Passwörtern sinkt und wie sich das auf die Anwendungssicherheit auswirkt.

Phishing (Bild: Shutterstock)

Passwort-Manager LastPass erlaubt Phishing

Nutzer des Passwort-Managers können unter Umständen dazu gebracht werden, das Masterpasswort Preis zu geben. Ein bereits veröffentlichter Patch soll jedoch das Problem nur unzulänglich beheben.

OpenSSH erneut mit schwerem Sicherheits-Leck

Private Sicherheitsschlüssel und Speicher eines Clients können über einen Fehler in einer experimentellen Funktion ausgelesen werden. Betroffen sind verschiedene Linux Distributionen wie Ubuntu und Apples Mac OS X.

Google Chrome (Bild: Google)

Google leitet das Ende von SHA-1-Zertifikaten ein

Ab Januar 2016 akzeptiert Chrome keine neu ausgestellten SHA-1-Zertifikate mehr. Das endgültige Aus soll ein Jahr später erfolgen. Microsoft und Mozilla verfolgen mit ihren Browsern denselben Zeitplan.

LastPass geht an LogMeIn

Schon in den nächsten Wochen soll die Übernahme in trocken Tüchern sein. LogMeIn will damit den Bereich Identity- und Access-Management stärken. Zahlreichen Nutzern scheint der Verkauf sauer aufzustoßen.

Seagate (Grafik: Seagate)

Seagate-Festplatten für Attacke verwundbar

Kabellose Festplatten von Seagate lassen sich über ein Default Password Leck angreifen. Hacker können Dateien verändern oder auch über einen “undokumentierten Telnet-Service” Schadsoftware auf die Fesplatten aufspielen.

Spam

T-Online warnt vor Spam-Kampagne

Mail-Server der Telekom seien nicht gehackt worden. Dennoch scheinen die Cyberkriminellen für ihre Kampagne in größerem Umfang auch Mail-Accounts von T-Online-Kunden zu verwenden. Wie diese Informationen in falsche Hände gelangen konnten, ist unklar.

Security in Firmen (Bild: Shutterstock/Mikko Lemola)

Forscher entwenden remote Windows-Zugangsdaten

Für den Versuch haben sie eine seit 2001 bekannte Sicherheitslücke. Bislang konnte sie nur eingesetzt werden, um Daten im Intranet zu stehlen. Nun können die Forscher aber auch auf Cloud-basierte Exchange- und SharePoint-Server zugreifen.

Metal Captcha. (Screenshot: http://metalcaptcha.heavygifts.com)

Metalhead oder Bot: Mehr Sicherheit mit Heavy Metal

Jeder kennt sie, keiner mag sie: Captchas. Die Firma HeavyGifts bietet als Alternative der oft unleserlichen Buchstabenfolge nun Metal Captchas an. Allerdings eignet sich die Sicherheitsfunktion nur für wahre Metal-Fans.

OpenSSL (OpenSSL.org)

OpenSSL schließt Logjam-Lücke

Mit einer Reihe von Patches für die quelloffene Verschlüsselung schließt das OpenSSL-Team auch ein Leck im Diffie-Hellman Algorithmus, der für eine Man-in-the-Middle-Attacke verwendet werden konnte.

Mit UMA können Anwender selbst festlegen, welche persönlichen Daten weiter gegeben werden. (Bild: Kantara Initiative)

UMA 1.0: Die Datenverwaltung für Nutzer

Egal ob Foto, Dokument oder vernetztes Auto. Der neue Ansatz der quelloffenen Authentifizierungs-Technologie UMA soll dem Anwender die Möglichkeit geben, festzulegen, wer welche Daten sehen darf.

Logo Microsoft Ignite 2015 (Bild: Microsoft)

Microsoft steigt bei Advanced Thread Analytics ein

Vergangenes Jahr hatte Microsoft Aorata übernommen und stellt jetzt auf der Ignite ein neues Produkt vor, das Anomalien in einem Unternehmensnetzwerk analysiert und so verhindert, dass Angreifer Informationen abgreifen.

(Bild: James Martin/CNET)

Passwort-Warnung: Chrome-Plug-in lässt sich einfach umgehen

Bereits einen Tag nach dem Google die Erweiterung veröffentlicht hat, erschien ein erster Exploit. Eigentlich soll das Plug-in Nutzer vor Phishing-Seiten warnen. Trotz mehrerer Updates lässt sich die Sicherheitsfunktion offenbar immer noch umgehen.

ForgeRock – Thelen übernimmt DACH-Region

Mit einem quelloffenem Identity Management, das seine Ursprünge bei Sun Microsystems hat, kann ForgeRock derzeit zahlreiche Kunden gewinnen. Jetzt soll André Thelen unter anderem die deutsche Niederlassung aufbauen.

Sicherheit (Bild: Shutterstock)

SSL-Zertifikate für Google-Domains unerlaubt ausgestellt

Die Zertifikate stammen von dem ägyptischen Unternehmen MCS. Dieses wurde durch die chinesische Zertifizierungsstelle CNNIC autorisiert. Eigentlich gilt diese als vertrauenswürdig. Neben Google-Domains hat MCS wohl auch für andere Domains SSL-Zertifikate ausgestellt.

Berechtigungsmanagement. (Bild: Schutterstock)

Berechtigungsmanagement für SAP und Microsoft

Das Berliner Unternehmen Protected Networks zeigt mit 8MAN for SAP neue Möglichkeiten für ein sicheres Berechtigungsmanagement. Auf der CeBIT 2015 stellt das Unternehmen neue Funktionen der Lösung.

iPhone 5S Touch ID (Bild: Apple)

31C3: Biometriesysteme lassen sich leicht umgehen

Auf dem Jahreskongress des Chaos Computer Clubs haben Hacker gezeigt, wie sich Fingerabdruckscanner und Iris-Erkennung überlisten lassen. Dafür reichen bereits Fotos aus mehreren Metern Entfernung. Die Schwachstellen bezeichnet das Bundesinnenministerium als “nichts gravierend Neues”.

Apple iCloud

Promi-Hack: Apple führt Zwei-Faktor-Authentifizierung in iCloud ein

Apple führt einen neuen Sicherungsmechnanismus in den Speicherdienst I-Cloud ein. Selbst wenn ein Hacker über Nutzername und Passwort verfügbt, bleibt der Zugriff auf die Daten auf künftig verwehrt. Apple reagiert damit auf die Veröffentlichung von Nacktbildern von Prominenten, die aus dem Apple-Dienst stammen.