Sie erlaubt unter Umständen den Diebstahl aller Passwörter eines Nutzers. Voraussetzung dafür ist jedoch, dass er seinen Passworttresor auch auf den Servern von LastPass abgelegt hat. Einen Patch des Unternehmens hält der Entdecker der Lücke für unzureichend. weiter

Das Interesse ist gering und seit zwei Jahren kein Wachtum zu sehen. Nun will Mozilla die nötigen Server nicht mehr bereitstellen: "Einen Dienst mit dem für ein Authentifizierungssystem notwendigen Level an Sicherheit und Verfügbarkeit zu hosten, ist keine kleine Sache." weiter

Ein Angreifer kann unter Umständen Schadcode einschleusen und ausführen. Tavis Ormandy zufolge gibt der Passwortmanager zudem gegenüber Unbefugten alle Passwörter preis. Es liegt inzwischen zwar ein Patch vor, Ormandy stuft das Tool aber weiterhin als unsicher ein. weiter

Der Täter versuchte, Geld an eine mit der Terrormiliz Islamischer Staat verbundene Hackergruppe zu überweisen. Trotz aktiver 2-Faktor-Authentifizierung konnte er das Konto durch einen Anruf beim Paypal-Support übernehmen. Für die Passwort-Rücksetzung genügte die Beantwortung weniger Fragen mit leicht zugänglichen Antworten. weiter

Der Internetkonzern will Passwörter entbehrlich machen für die Anmeldung bei seinen Diensten. Die Anwender müssen auf PC oder Tablet nur ihre E-Mail-Adresse eingeben und die Anmeldung mit einem Button-Klick auf ihrem Smartphone bestätigen. Das neue Verfahren ist mit Android-Smartphones sowie iPhones möglich. weiter

Dies gilt sowohl für die Notebook-Nachrüst-Lösung EyeX wie auch das für Integratoren gedachte Modul IS4. Sie erkennen das Gesicht des Anwenders und erlauben zusätzlich Maussteuerung mit den Augen. Auch kann sich der Bildschirm automatisch abdunkeln, sobald der Nutzer wegsieht. weiter

Innerhalb des nächsten Jahres sollen Sicherheitslösungen erscheinen, die Biometrie, dynamische Schlüssel oder Geolokalisierung zur Authentifizierung verwenden. Mit VIP Everywhere will Symantec beispielsweise sein Produkt Validation and ID Protection um Ende-zu-Ende-Authentifizierung erweitern. weiter

Sie erhalten eine E-Mail sowie eine Nachricht in ihrem Message Center. Amazon zufolge wurden die Passwörter einiger Kunden "unsachgemäß" gespeichert und möglicherweise gegenüber Dritten offengelegt. Konkrete Hinweise darauf findet das Unternehmen jedoch nicht. weiter

Einem New Yorker Bezirksstaatsanwalt zufolge unterstützt Google so auf Anordnung eines Gerichts die Ermittler bei ihrer Arbeit. Die "Hintertür" gilt allerdings nur für ältere Android-Versionen. Auf Daten von Android 5 und 6 hat Google, falls die Geräteverschlüsselung aktiv ist, keinen Zugriff. weiter

Den Angriff können auch unerfahrene Nutzer ausführen. Er funktioniert allerdings nur auf mit einer Domäne verbundenen Computern. Microsoft bietet seit vergangener Woche den Patch MS12-122 an, der die Lücke schließen soll. weiter

Sie sollen Kunden unter anderem vor Advanced Persistent Threats schützen. Neu ist auch eine integrierte Management-Lösung für Switches der X-Serie. Die Cloud Edition der Datensicherheitslösung Dell Data Protection unterstützt nun Box und Dropbox. weiter

Nutzer müssen dafür allerdings ein Smartphone bei Yahoo registrieren. Auf diesem Gerät erhalten sie bei jedem Anmeldeversuch eine Push-Benachrichtigung, mit der sie die Anmeldung auf einem anderen Computer bestätigen. Account Key funktioniert anfänglich nur mit Yahoo Mail. weiter

Bei einem gezielten Angriff wurden die Anmeldedaten von über 11.000 Mitarbeitern einer großen Organisation erbeutet. Auf dem OWA-Server lief eine manipulierte DLL-Datei, die zugleich eine Hintertür einrichtete. Open Web Access ist ein interessantes Ziel für Angreifer, da es als Vermittler zwischen dem öffentlichen Internet und internen Ressourcen hinter der Firewall einer Firma fungiert. weiter

Außerdem behebt das Update auch einen Fehler, der beim Ein- oder Ausschalten der mobilen Datenverbindung auftritt. Auch die Aktivierung von iMessage soll nun problemlos funktionieren. weiter

Das Office of Personnel Management korrigiert die Zahl damit deutlich nach oben. Eine Arbeitsgruppe prüft nun, wie Kriminelle die Daten für ihre Zwecke benutzen können. Daran beteiligen sich FBI, Justiz- und Heimatschutzministerium. weiter

Es setzt wie etwa auch Google auf Universal 2nd Factor, kurz U2F - einen Standard der FIDO Alliance. Bekanntester Anbieter solcher Sticks ist Yubico. Anders als SMS- und App-Codes muss nichts eingetippt werden, und der Schlüssel lässt sich weder abfangen noch kopieren. weiter

Sie nutzen eine schon seit 2001 bekannte Sicherheitslücke. Bisher erlaubte sie aber nur einen Datendiebstahl im Intranet. Die Forscher greifen aber nun auch auf cloudbasierte Exchange- und SharePoint-Server zu. weiter

Die unbekannten Täter erbeuten auch Kontonamen und E-Mail-Adressen von Nutzern der öffentlichen ICANN-Website. Sie wird allerdings von einem externen Serviceanbieter betrieben. Auf die internen Systeme hatten die Täter keinen Zugriff. weiter

Davon betroffen sind unter anderem das HTC One Max und das Samsung Galaxy S5. Ein Angreifer braucht dafür lediglich System-Rechte. Danach erhält er unbegrenzt Zugriff auf alle mit dem Sensor erfassten Fingerabdrücke. weiter

Es wurde an der Universität Luxemburg entwickelt. Bis Ende des dritten Quartals wollen Erfinder und Juroren nun eine finale Version samt Referenzimplementierung in C schaffen. Vier weitere Hashing-Algorithmen werden für besondere Stärken empfohlen. weiter

In einem Pilotprogramm mit 500 Teilnehmern will die Kreditkartengesellschaft die Autorisierung mittels Fingerabdruck oder Gesichtserkennung erproben. Die Teilnehmer müssen beim Selfie mit dem Smartphone blinzeln, damit das System nicht durch ein davorgehaltenes Foto getäuscht werden kann. MasterCard hofft, dass die Beliebtheit von Selfies zu einer bereitwilligen Akzeptanz der Gesichtserkennung führt. weiter

Diese gegen Phishing schützende Absicherung bietet ab sofort auch Apps für Education an. FIDO-Mitglied Google setzt dabei auf das Verfahren "Universal 2nd Factor". Es macht zudem allen Apps-Kunden um 50 Prozent rabattierte Yubico-Security-Keys verfügbar. weiter

Sie gehören 47 unterschiedlichen Behörden. Das Start-up Recorded Future hat sie bei einer Analyse von mehr als 680.000 öffentlich zugänglichen Websites, darunter auch Pastebin.com, gefunden. 12 der 47 betroffenen Behörden setzen keine Authentifizierung in zwei Schritten ein. weiter

Sie erbeuten offenbar E-Mail-Adressen und Authentifizierungs-Hashes. Laut LastPass haben die unbekannten Täter aber keine verschlüsselten Nutzerdaten entwendet. Trotzdem fordert das Unternehmen alle seine Nutzer auf, ihr Master-Passwort zu ändern. weiter

In einer immer stärker digitalisierten Welt funktioniert die Kommunikation und das Abwickeln von Geschäften nur durch das Zusammenspiel von Identität und Verbindlichkeit. Ismet Koyun, Gründer und Geschäftsführer des Sicherheitsanbieters Kobil Systems, erklärt im Gastbeitrag für ZDNet, wie sich beides unternehmensübergreifend und sicher verbinden lässt. weiter

Das UMA-Protokoll (User-Managed Access) gibt dem Nutzer die Kontrolle darüber, welche Zugriffe auf seine Daten erlaubt sind. Dies sollte nicht als optionale Funktion im Access Management verstanden werden, sondern als Forderung des Datenschutzes. weiter

Sie lassen sich leicht erraten: Fast 20 Prozent der Amerikaner nennen beispielsweise "Pizza" als Lieblingsspeise. An falsche Angaben hingegen erinnern sich die wenigsten Anwender später. Kombiniert ein Anbieter zwei fragen, kommen echte Nutzer auf höchstens 59 Prozent Trefferquote. weiter

Sie kommen von 18 Firmen, darunter Samsung, Infineon, Nok Nok und Yubico. Auch Googles komplettes Authentifizierungssystem accounts.google.com erhielt ein Zertfikat. Durchwegs handelt es sich um Zwei-Faktor- und biometrische Lösungen. weiter

Vom 5. bis 8. Mai fand in Unterschleißheim die European Identity & Cloud Conference statt. Das Konferenzprogramm bot über 150 internationale Sprecher und Experten sowie zahlreiche Best-Practice-Präsentationen. ZDNet sprach mit Veranstalter Martin Kuppinger über das Thema Identitätsmanagement. weiter

Das webbasierte Protokoll verwaltet Zugriffe auf persönliche Daten nach den Vorgaben des Nutzers. Es basiert auf dem Authentifizierungsprotokoll OAuth 2.0 und bei einem zentralen Autorisierungsdienst hinterlegten Richtlinien. UMA kann in Anwendungen und Internet-der-Dinge-Systemen implementiert werden. weiter