Opera bestätigt, dass ein Hacker in einen für die Synchronisierung genutzten Server eingedrungen ist. Er könnte an gehashte Passwörter gelangt sein. Mit welchem Verfahren sie gehasht waren, hat das norwegische Unternehmen bisher nicht angegeben. Alle Kennwörter für die Opera-Synchronisierung wurden als Vorsichtsmaßnahme zurückgesetzt.
Mit Opera Sync lassen sich seit Version 32 vom September 2015 Website-Passwörter geräteübergreifend in Opera-Browsern nutzen. Im vergangenen Monat nutzten über 1,7 Millionen Menschen diese Funktion aktiv.
Die Passwörter für Sync selbst waren gehasht und mit Salt versehen, also für den Dieb nicht unmittelbar zu nutzen. Ob mit Hackerwerkzeugen aber eine Rekonstruktion möglich ist und wie leicht, hängt vom genutzten Hashing-Algorithmus ab, zu dem sich Opera bisher nicht geäußert hat.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Vielmehr schreibt Opera-Mitarbeiter Tarquin Wilton-Jones in seinem Bogbeitrag, das Unternehmen werde „keine genauen Angaben machen, wie die Authentifizierungspasswörter auf unseren Systemen für die Speicherung vorbereitet werden.“ Mit einer solchen Angabe erweise man einem potenziellen Angreifer nur einen Dienst.
Die Passwörter für externe Dienste, also die vom Sync-User benutzten Websites, waren verschlüsselt. Auch hier gibt es keine Angabe zum verwendeten Algorithmus – und nicht einmal zur Schlüssellänge.
Operas Sync-Funktion übernimmt Funktionen eines Passwortmanagers und weist auch die Schwachstelle eines solchen Programms auf: Ein einziges Passwort gewährt Zugriff auf alle anderen eines Users. Somit gibt es einen einzelnen, für Kriminelle besonders attraktiven Angriffspunkt. Vorteil für den Anwender ist natürlich, dass er sich nur ein Passwort merken muss.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
