Mozilla veröffentlicht Passwortmanager Lockbox für Android

Lockbox macht alle in Firefox gespeicherten Passwörter unter Android verfügbar. Die App übergibt Anmeldedaten auch an mobile Apps von Drittanbietern. Auch eine Authentifizierung per Fingerabdruck oder Gesicht ist möglich. weiter

Facebook speichert mehrere Hundert Millionen Passwörter im Klartext

Die Zahl der Betroffenen liegt offenbar im Bereich zwischen 200 und 600 Millionen. Es geht auch um Kennwörter von Instagram-Nutzern. Die unverschlüsselten Passwörter sind zum Teil jahrelang für Tausende Facebook-Mitarbeiter einsehbar. Facebook will bisher keine Anzeichen für einen Missbrauch gefunden haben. weiter

Studie: Programmierer schlampen bei der Passwortsicherheit

Forscher geben ein Registrierungssystem für Nutzer eines Sozialen Netzwerks in Auftrag. 18 von 43 freiberuflichen Entwicklern speichern die Kennwörter dabei im Klartext. Insgesamt setzen nur 17 auf als sicher geltende Verschlüsselungsverfahren. weiter

Anmeldung ohne Passwort: W3C erklärt WebAuthn zum Standard

Bislang galt nur die Empfehlung, das neue Anmeldeverfahren zu nutzen. WebAuthn findet bereits Unterstützung durch Webbrowser und Betriebssysteme. Zur Authentifizierung können Hardware-Security-Keys, Mobilgeräte und biometrische Verfahren dienen. weiter

MWC 2019: Google erhält FIDO2-Zertifizierung für Android

Android-Geräte sollen künftig eine Anmeldung ohne Passwort bei Apps und Websites ermöglichen. Voraussetzung ist Android 7.0 und neuer sowie ein Fingerabdruckscanner oder ein integrierter Security Key. Möglicherweise wird ein Update für die Google Play Services benötigt. weiter

Google-Erweiterung warnt vor gestohlenen Zugangsdaten

Password Checkup gleicht mit über vier Milliarden unsicheren Anmeldedaten aus Datenleaks der letzten Jahre ab. Die Chrome-Erweiterung überprüft die Kombination von Benutzername und Passwort bei jeder Anmeldung auf einer Webseite. weiter

Azure AD: Microsoft erleichtert Gastzugang

Azure AD B2B Collaboration erlaubt künftig die Zusammenarbeit mit Nutzern, die sich über ein einmaliges Passwort authentifizieren. Das per E-Mail übersandte Passwort gilt 24 Stunden. Optional sind ein bedingter Zugang und Multi-Faktor-Authentifizierung. weiter

USB Typ-C erhält Authentifizierungsfunktion zum Schutz vor schädlichen Geräten

Der Schutz bezieht sich auf nicht konforme Ladegeräte sowie Geräte mit gefährlicher Firmware. Die Authentifizierung soll über ein neues Standardprotokoll erfolgen, während ein Gerät angeschlossen wird. Das USB Type-C Authentication Program entwickelt das USB Implementers Forum zusammen mit DigiCert. weiter

Instagram: Bug gibt Nutzerpasswort im Klartext preis

Die Lücke steckt im Tool zum Herunterladen der eigenen Instagram-Daten. Es packt das Passwort in den Download-Link, und zwar unverschlüsselt. Außerdem speichert Instagram versehentlich Nutzerpasswörter auf Servern von Facebook. weiter

Western Digital schließt Lücke in NAS-Geräten

Exploits erlaubten schon lange die Umgehung des Passwortschutzes aus der Ferne. Ein Sicherheitsforscher meldete die Lücke in der My-Cloud-Serie im April 2017. Der Hersteller reagiert erst jetzt auf aktuelle Veröffentlichungen. weiter

Browser-Erweiterung WPSE verspricht mehr Internet-Sicherheit

Das Plug-in überwacht browserseitig die sichere Ausführung von Webprotokollen. Besonderen Schutz bietet es beim Einloggen mit Social-Media-Konten. Entwickelt wurde die Erweiterung von Forschern der TU Wien und einer italienischen Universität. weiter

Anmeldung ohne Passwort: Microsoft Edge unterstützt neuen Standard WebAuthn

Hardwareschlüssel und biometrische Merkmale sollen künftig Passwörter bei der Anmeldung im Internet ablösen. WebAuthn funktioniert auch mit Windows Hello und akzeptiert eine für die Windows-Anmeldung hinterlegte PIN. Auch Google und Mozilla integrieren den Standard in ihre Browser. weiter

Teamviewer schließt Sicherheitslücke

Sie gibt Angreifern unter Umständen Zugriff auf das im Arbeitsspeicher im Klartext abgelegte Passwort. Teamviewer löscht zwischengespeicherte Kennwörter nun automatisch nach fünf Minuten. Unter Android steht nun eine Suchfunktion für Computer und Kontakte zur Verfügung. weiter

Lockbox: Firefox für iOS erhält Passwortmanager

Der Passwortmanager funktioniert unter iOS auch mit Safari und Chrome. Er macht die bereits in einem Firefox-Konto gespeicherten Anmeldedaten unter iOS verfügbar. Das Experiment Notes in Firefox steht zudem nun auch für Android zur Verfügung. weiter

Analyst: Samsung Galaxy S10 kommt in drei Größen

Die Displays sollen 5,8, 6,1 und 6,4 Zoll groß sein. Die beiden größeren Modelle sollen über einen unter dem Display angebrachten Fingerabdrucksensors auf Ultraschall-Basis verfügen. weiter

Yubico stellt FIDO2-Key für passwortlose Windows-10-Anmeldung vor

Der neue Hardware-Key soll die sichere Anmeldung bei mit Azure AD verwalteten Windows-10-Geräten ermöglichen. Er ist zunächst für den Einsatz in Unternehmen mit verteilter Belegschaft gedacht. Laut Hersteller ist er " der Anfang einer passwortlosen Welt". weiter

Windows ohne Passwort: Microsoft integriert FIDO2

Der Support beschränkt sich auf Windows 10 in einer Azure-AD-Umgebung. FIDO2 Security Keys sollen die Anmeldung per Benutzername und Passwort vor allem an gemeinsam genutzten Geräten ersetzen. Auch eine Zwei-Faktor-Authentifizierung mit zusätzlicher PIN oder Fingerabdruck ist möglich. weiter

AdBlock-Plus-Entwickler macht Passwort-Fehler in Firefox öffentlich

Er erleichtert Brute-Force-Angriffe auf das Master-Passwort des Passwort-Managers. Es wird mit nur einem SHA-1-Durchgang gesichert. Die Schwachstelle ist Mozilla offenbar seit neun Jahren bekannt. Ein neuer Passwort-Manager mit dem Codenamen Lockbox soll das Problem künftig lösen. weiter

Passwort-Manager Keeper verliert Sicherheitszertifikat

Der Forscher Chris Vickery findet das Zertifikat sowie Installationsdateien von Keeper auf einem ungesicherten Amazon-S3-Server. Einem Screenshot zufolge stammt das Zertifikat von Apple. Keeper dementiert jedoch, dass es sich auf dem inzwischen gesicherten Server befand. weiter

Protokollfehler macht Single-Sign-on-Lösungen angreifbar

Betroffen sind Systeme, die für die Übermittlung von Authentifizierungsdaten SAML verwenden. Ein Implementierungsfehler erlaubt Manipulationen dieser Daten. Als Folge erhalten Hacker unter Umständen ohne Kenntnis des Passworts Zugang zu beliebigen Konten. weiter

Microsoft will Blockchain für Identity-Management nutzen

"Decentralized Digital Identities" nennt Microsoft ein neues Projekt für föderierte digitale Identitäten. Größtes Problem dabei scheint aktuell die Skalierbarkeit von Blockchain zu sein. Doch will Microsoft hier einen neuen Ansatz gefunden haben. weiter

Windows 10 Pro erlaubt Anmeldung mit Handflächenvenen-Scan

Die Authentifizierung mit Fujitsu PalmSecure soll Passwörter überflüssig machen. Fujitsu verbaut die Sensoren in Notebooks und über USB anschließbaren Scannern. Der Hersteller verspricht eine höhere Sicherheit als mit anderen biometrischen Lösungen. weiter