Davon betroffen sind unter anderem das HTC One Max und das Samsung Galaxy S5. Ein Angreifer braucht dafür lediglich System-Rechte. Danach erhält er unbegrenzt Zugriff auf alle mit dem Sensor erfassten Fingerabdrücke. weiter
Die Schwachstelle erlaubte auf verblüffend einfache Weise die Übernahme von Konten der Computerspiele-Plattform. Mehr als die Kenntnis des Kontonamens brauchte es nicht, um das bisherige Passwort durch ein neues zu ersetzen. Zu den Opfern zählten insbesondere prominente Gamer, die über die Live-Video-Plattform Twitch streamen. weiter
Es wurde an der Universität Luxemburg entwickelt. Bis Ende des dritten Quartals wollen Erfinder und Juroren nun eine finale Version samt Referenzimplementierung in C schaffen. Vier weitere Hashing-Algorithmen werden für besondere Stärken empfohlen. weiter
Forscher kommen innerhalb von 52 Stunden an die Daten eines verschlüsselten Cookies. Anschließend können sie sich im Namen eines Opfers bei einer Website anmelden. Bisher benötigten die Forscher etwa 2000 Stunden, um eine RC4-Verschlüsselung zu knacken. weiter
Die neue Sicherheitsfunktion löst die bisherige "zweistufige Bestätigung" ab und führt einen sechsstelligen statt nur vierstelligen Bestätigungscode ein. Dieser wird an alle angemeldeten Geräte des Nutzers geschickt und zusätzlich zum Passwort benötigt. Der 14-stellige Schlüssel für die Wiederherstellung entfällt zugunsten einer aufwendigen Überprüfung durch den Apple-Support. weiter
In einem Pilotprogramm mit 500 Teilnehmern will die Kreditkartengesellschaft die Autorisierung mittels Fingerabdruck oder Gesichtserkennung erproben. Die Teilnehmer müssen beim Selfie mit dem Smartphone blinzeln, damit das System nicht durch ein davorgehaltenes Foto getäuscht werden kann. MasterCard hofft, dass die Beliebtheit von Selfies zu einer bereitwilligen Akzeptanz der Gesichtserkennung führt. weiter
Diese gegen Phishing schützende Absicherung bietet ab sofort auch Apps für Education an. FIDO-Mitglied Google setzt dabei auf das Verfahren "Universal 2nd Factor". Es macht zudem allen Apps-Kunden um 50 Prozent rabattierte Yubico-Security-Keys verfügbar. weiter
In vielen Unternehmen wächst die Erkenntnis, dass der Zugriff von administrativen Benutzern von zentraler Bedeutung bei der Sicherstellung der Unternehmenssicherheit ist. Hierfür ist es nicht nötig, in der IT-Presse auf die nächsten Schreckensmeldungen von Insider-Angriffen auf Unternehmensnetzwerke zu warten. weiter
Sie gehören 47 unterschiedlichen Behörden. Das Start-up Recorded Future hat sie bei einer Analyse von mehr als 680.000 öffentlich zugänglichen Websites, darunter auch Pastebin.com, gefunden. 12 der 47 betroffenen Behörden setzen keine Authentifizierung in zwei Schritten ein. weiter
Es handelt sich um eigentlich hochsichere Systeme, die aus Sicherheitsgründen vom Anbieter befüllt werden - und nicht erst im Krankenhaus. Laut Forscher Billy Riot lässt sich die Dosis aber verstellen. Vor Ort ist sogar ein Austausch der Firmware per seriellem Kabel möglich - ohne Authentifizierung. weiter
In einer immer stärker digitalisierten Welt funktioniert die Kommunikation und das Abwickeln von Geschäften nur durch das Zusammenspiel von Identität und Verbindlichkeit. Ismet Koyun, Gründer und Geschäftsführer des Sicherheitsanbieters Kobil Systems, erklärt im Gastbeitrag für ZDNet, wie sich beides unternehmensübergreifend und sicher verbinden lässt. weiter
Das System stammt vom Rüstungskonzern Lockheed Martin. Er bietet es seit 2013 schon für BYOD in Firmen an. Mandrake Secure Gesture analysiert Schriftbild, Druck, Rhythmus und Geschwindigkeit beim Schreiben auf einem Touchscreen. weiter
Das UMA-Protokoll (User-Managed Access) gibt dem Nutzer die Kontrolle darüber, welche Zugriffe auf seine Daten erlaubt sind. Dies sollte nicht als optionale Funktion im Access Management verstanden werden, sondern als Forderung des Datenschutzes. weiter
Sie lassen sich leicht erraten: Fast 20 Prozent der Amerikaner nennen beispielsweise "Pizza" als Lieblingsspeise. An falsche Angaben hingegen erinnern sich die wenigsten Anwender später. Kombiniert ein Anbieter zwei fragen, kommen echte Nutzer auf höchstens 59 Prozent Trefferquote. weiter
Sie kommen von 18 Firmen, darunter Samsung, Infineon, Nok Nok und Yubico. Auch Googles komplettes Authentifizierungssystem accounts.google.com erhielt ein Zertfikat. Durchwegs handelt es sich um Zwei-Faktor- und biometrische Lösungen. weiter
Wer Microsoft-Dienste wie Xbox Live, Outlook.com, MSN oder OneDrive verwendet, sollte sich daher besonders vorsehen. Um an Anmeldedaten zu kommen, locken die Betrüger ihre Opfer zunächst auf die echte Microsoft-Site live.com. Dann fragen sie mittels einer Anwendung Zugangsdaten ab. weiter
Vom 5. bis 8. Mai fand in Unterschleißheim die European Identity & Cloud Conference statt. Das Konferenzprogramm bot über 150 internationale Sprecher und Experten sowie zahlreiche Best-Practice-Präsentationen. ZDNet sprach mit Veranstalter Martin Kuppinger über das Thema Identitätsmanagement. weiter
Das webbasierte Protokoll verwaltet Zugriffe auf persönliche Daten nach den Vorgaben des Nutzers. Es basiert auf dem Authentifizierungsprotokoll OAuth 2.0 und bei einem zentralen Autorisierungsdienst hinterlegten Richtlinien. UMA kann in Anwendungen und Internet-der-Dinge-Systemen implementiert werden. weiter
Mit dem Identifikationsverfahren Postident Video soll eine Legitimierung nur wenigen Minuten dauern. Der Service steht ab sofort zur Verfügung. Das Legitimationsverfahren Postident wird häufig bei der Eröffnung eines Kontos genutzt. weiter
Ein erster Exploit erschien bereits einen Tag nach Veröffentlichung der Erweiterung, die Nutzer eigentlich vor Phishing-Seiten warnen soll. Google hat das Add-on bereits mehrfach aktualisiert. Dennoch lässt sich die Schutzfunktion offenbar nach wie vor umgehen. weiter
In Gmail machen Phishing-Mails etwa zwei Prozent aus. Gut gemachte Kampagnen haben Google zufolge bis zu 45 Prozent Erfolgsquote. Das quelloffene Programm warnt in Echtzeit - entweder den Nutzer selbst oder bei Apps for Work den Administrator. weiter
"Wenn Nutzer ein Passwort mit mindestens einem Großbuchstaben verwenden müssen, dann ist das in mehr als 90 Prozent der Fälle der erste Buchstabe." Werden aber Ziffern vorgeschrieben, sind es meist zwei, die am Ende des Passworts stehen. weiter
Zunächst will das Unternehmen externe Merkmale wie Handvenenmuster nutzen. Auf Dauer hält es "interne" Körpermerkmale wie Herzfrequenz und Glukosespiegel für zuverlässiger. Unter der Haut implantierte oder verschluckbare Sensoren könnten solche biometrischen Daten liefern. weiter
Secure Registry Service basiert auf der IBM-Cloud und einem Chip-Token von TI. Letzteres soll die Echtheit von Geräten ab der Inbetriebnahme sichern. Die APIs werden auch andere IoT-Clouddiensten und Halbleiterherstellern zur Verfügung stehen. weiter
Toopher nutzt den Standort, von dem eine Anfrage ausgeht, um Authentifizierungsvorgänge zu verifizieren. Der Anwender muss neue Standorte zusätzlich per App bestätigen. Bisher setzen es LastPass, MailChip und zwei US-Universitäten ein. weiter
Er steckte im YouTube Creator Studio. Per event_id ließ sich ein Video nach Wahl löschen - ohne Kontrolle der Berechtigung. Der Entdecker der Lücke erhielt den Höchstbetrag für Vulnerability Research Grants in Höhe von 5000 Dollar. weiter
Die Sicherheitslücke soll angeblich vier Tage aktiv gewesen sein. Betroffen war laut Angaben der Firma die zentrale Nutzerdatenbank, die unter anderem Namen, E-Mail-Adressen und Telefonnummern sowie verschlüsselte Passwörter der Nutzer enthält. Auf Kreditkartendaten sowie Nachrichten innerhalb von Gruppen konnten die Hacker laut Slack nicht zugreifen. weiter
Es nutzt dafür eine vom Stanford Research Institute entwickelte Technik namens Iris on the Move. Sie soll die für die Erfassung der Iris benötigte Zeit deutlich verkürzen. Geschäftskunden bietet Samsung in Kürze eine mit dem Iris-Scanner ausgestattete Variante das Galaxy Tab Pro 8.4 an. weiter
Die Ausgabe erfolgte durch das ägyptisches Unternehmen MCS als Zwischenzertifizierer, autorisiert durch die chinesische Zertifizierungsstelle CNNIC. Diese wiederum genießt das grundsätzliche Vertrauen aller Browser und Betriebssysteme. Die SSL-Zertifikate wurden für mehrere Domains von Google ausgestellt - und möglicherweise auch für andere Domains. weiter
Android-Smartphones bleiben mit "Trageerkennung" entsperrt solange sie gehalten oder am Körper getragen werden. Erst wenn man sie beiseite legt, wird eine neuerliche Authentifizierung erforderlich. Die Einführung erfolgt offenbar über Google Play-Dienste und hat bereits begonnen. weiter
