Die Anwendung wandelt UNC-Pfade in klickbare Links um. Die wiederum veranlassen Windows, automatisch die Anmeldedaten inklusive einem Hash des Passworts an den entfernten Server zu senden. Ein Angreifer kann die Daten abfangen und das Passwort mit frei verfügbaren Tools knacken. weiter
Im Durchschnitt werden etwa 0,5 Prozent aller Konten jeden Monat kompromittiert, was im Januar 2020 immerhin etwa 1,2 Millionen Konten betraf. Insgesamt nutzen nur 11 Prozent aller Unternehmenskonten eine Multi-Faktor-Authentifizierung (MFA). weiter
Der iPhone-Hersteller ist nun Board-Mitglied. Die Allianz entwickelt offene Standards für die Anmeldung ohne Passwort. Sie erhofft sich nun neue Impulse von der Zusammenarbeit mit Apple. weiter
Er nutzt die Funktion zum Auffinden von Twitter-Nutzern im eigenen Adressbuch. Dafür lädt er zuvor generierte Telefonnummern zu Twitter hoch. Der Kurznachrichtendienst liefert brav die passenden Namen aus seinem Datenbestand. Inzwischen ist die Sicherheitslücke geschlossen. weiter
Die Daten sind fast den gesamten Dezember frei über das Internet abrufbar. Auslöser ist eine falsch konfigurierte Sicherheitsregel. In der Datenbank befinden sich überwiegend anonymisierte Informationen von 250 Millionen Support-Kunden. weiter
Microsoft gleicht die Anmeldedaten seiner Nutzer mit einer Datenbank mit mehr als 3 Milliarden Nutzernamen und Kennwörtern ab. In der Zahl sind auch Konten von Azure Active Directory enthalten. Die Inhaber von Consumer-Konten fordert Microsoft zur Vergabe neuer Kennwörter auf. weiter
Einfallstor sind die verwendeten Mikrofone. Sie sind so empfindlich, dass Laserstrahlen Vibrationen der Membran auslösen können. Die Forscher testen ihren Angriff erfolgreich über eine Entfernung von 110 Metern. weiter
Quelle ist eine mit dem Internet verbundene ungesicherte Test-Umgebung. Die Datenbank enthält E-Mail-Adressen und Nutzernamen. Klarnamen von Nutzern oder gar Bezahldaten finden sich in dem Elasticsearch-Speicher indes nicht. weiter
Auch zu Sicherheitszwecken hinterlegte E-Mail-Adressen werden zum Kriterium für die Auswahl von Anzeigen. Twitter behebt den Fehler am 17. September. Zur Zahl des Betroffenen macht es keine Angaben. weiter
Per JavaScript lassen sich die Kennwörter der zuletzt besuchten Websites auslesen. Eine Interaktion mit dem Nutzer ist dafür nicht notwendig. Google-Forscher Tavis Ormandy meldet den Bug vertraulich an LastPass. Inzwischen ist auch ein Patch erhältlich. weiter
Yubico hat einen neuen Hardware-Security Key auf den Markt gebracht, der mit gleich zwei Steckern ausgerüstet ist: USB-C auf der einen und Lightning auf der anderen Seite. weiter
Die Angreifer erreichen mit "vergifteten" Zertifikaten, dass Installationen und Clients unbrauchbar werden. Das weltweite SKS-Keyserver-Netz für die Verschlüsselungssoftware ist gefährdet. Als Alternative ist der Server keys.openpgp.org im Gespräch. weiter
In einem offenen Brief warnt die Stiftung vor Risiken für Sicherheit und Privatsphäre. Das Zertifizierungsteam der OpenID Foundation dokumentiert Abweichungen zwischen OpenID Connect und Apples Implementierung für seinen eigenen Anmeldedienst. weiter
Dazu gehören WordPress, Composr und SugarCRM. Eine sichere Hashing-Funktion ist nur bei rund 40 Prozent der Systeme voreingestellt. Ab Werk lassen WordPress und Drupal sogar einzelne Zeichen als Passwörter für Nutzerkonten zu. weiter
Ein Android-Gerät dient als zweiter Faktor bei der Anmeldung auf iPhones und iPads. Es muss zu diesem Zweck per Bluetooth mit dem iOS-Gerät verbunden sein. Eine weitere Voraussetzung ist Googles Smart-Lock-App für iOS. Sie stellt die Anmeldung anschließend für andere Google-Apps zur Verfügung. weiter
Sie lehnen einen Vorschlag des britischen Geheimdiensts GCHQ ab. Der sieht Ermittler als zusätzliche Nutzer verschlüsselter Kommunikation vor. In einem offenen Brief beschreiben Anbieter und Bürgerrechtler mögliche Folgen für die Sicherheit und das Vertrauen von Nutzern. weiter
Der Fehler wurde offenbar schon vor 14 Jahren eingeführt. Die ungehashten Kennwörter hält Google als Kopie in seiner Admin-Konsole vor. Dabei handelt es sich um ein verschlüsseltes internes System. Betroffen sind ausschließlich Enterprise-Kunden der G Suite und keine Verbraucher-Konten. weiter
Betroffen ist die Bluetooth-Version. Der Fehler tritt während der Geräte-Kopplung auf. Unbefugte können sich mit dem Schlüssel oder dem Gerät verbinden und unter Umständen die Kontrolle über ein Google-Konto übernehmen. weiter
Auslöser ist eine fehlerhafte Implementierung eines kryptografischen Algorithmus. Der Fehler steckt in der Qualcomm Secure Execution Environment und betrifft 46 Chipsätze des Unternehmens. Googles April-Patchday bringt einen Fix für die Schwachstelle. weiter
Lockbox macht alle in Firefox gespeicherten Passwörter unter Android verfügbar. Die App übergibt Anmeldedaten auch an mobile Apps von Drittanbietern. Auch eine Authentifizierung per Fingerabdruck oder Gesicht ist möglich. weiter
Die Zahl der Betroffenen liegt offenbar im Bereich zwischen 200 und 600 Millionen. Es geht auch um Kennwörter von Instagram-Nutzern. Die unverschlüsselten Passwörter sind zum Teil jahrelang für Tausende Facebook-Mitarbeiter einsehbar. Facebook will bisher keine Anzeichen für einen Missbrauch gefunden haben. weiter
Zu den Betroffenen zählt auch Apple. Forscher entwickeln ein Tool, das Vanity-URLs zu Box-Freigaben aufspürt. Auf diese Art finden sie Finanzunterlagen, Passfotos, Mitarbeiterlisten, Gesprächsprotokolle und sogar Details zu technischen Prototypen. weiter
Forscher geben ein Registrierungssystem für Nutzer eines Sozialen Netzwerks in Auftrag. 18 von 43 freiberuflichen Entwicklern speichern die Kennwörter dabei im Klartext. Insgesamt setzen nur 17 auf als sicher geltende Verschlüsselungsverfahren. weiter
Bislang galt nur die Empfehlung, das neue Anmeldeverfahren zu nutzen. WebAuthn findet bereits Unterstützung durch Webbrowser und Betriebssysteme. Zur Authentifizierung können Hardware-Security-Keys, Mobilgeräte und biometrische Verfahren dienen. weiter
Android-Geräte sollen künftig eine Anmeldung ohne Passwort bei Apps und Websites ermöglichen. Voraussetzung ist Android 7.0 und neuer sowie ein Fingerabdruckscanner oder ein integrierter Security Key. Möglicherweise wird ein Update für die Google Play Services benötigt. weiter
Password Checkup gleicht mit über vier Milliarden unsicheren Anmeldedaten aus Datenleaks der letzten Jahre ab. Die Chrome-Erweiterung überprüft die Kombination von Benutzername und Passwort bei jeder Anmeldung auf einer Webseite. weiter
Die intelligente Uhr hat gravierende Sicherheitsmängel. Ihre Android- uns iOS-App kommuniziert unverschlüsselt mit den Servern des Anbieters. Dritte können unerlaubt die Träger der Uhr – also Kinder – orten und mit ihnen kommunizieren. weiter
re:ClaimID steht als Open-Source-Software bereit. Der Dienst ist über den Standard OpenID Connect in Webseiten zu integrieren. Die dezentrale Architektur vermeidet die Risiken, die mit der Nutzung zentraler Identitätsprovider verbunden sind. weiter
Das Tool eines polnischen Sicherheitsforschers ist für Penetrationstests gedacht. Es könnte aber Phishing-Angriffe in hohem Maße automatisieren. Dagegen immun sind Hardware-Token, die auf dem Protokoll U2F basieren. weiter
Der Schutz bezieht sich auf nicht konforme Ladegeräte sowie Geräte mit gefährlicher Firmware. Die Authentifizierung soll über ein neues Standardprotokoll erfolgen, während ein Gerät angeschlossen wird. Das USB Type-C Authentication Program entwickelt das USB Implementers Forum zusammen mit DigiCert. weiter
