Zwei-Faktor-Authentifizierung

Neuerdings lässt sich die Visa-Karte von Amazon auch auf dem Smartphone verwalten - inklusive Push-Benachrichtigungen.

Apple hat eine kritische Sicherheitslücke geschlossen. Es ließen sich beliebige Nutzerkonten bei externen Diensten übernehmen.

Bei Steam kostet Civilization 6 rund 60 Euro, im Epic Games Store löst es GTA 5 als kostenloses Spiel der Woche ab.

Auf Steam kostet die Premium Editon von GTA 5 rund 35 Euro, bei Epic Games gibt es sie jetzt ein paar Tage lang kostenlos als Download.

Gleiches Ziel, unterschiedliche Vorgehensweisen: Die Actionspiele Valorant und Call of Duty: Warzone gehen verstärkt gegen Betrüger vor.

Mit einem neuen Gesetz werden die Telemediendienste zur Herausgabe von Passwörtern verpflichtet. Was bedeutet das für die Sicherheit des eigenen Zugangs?
Eine Analyse von Friedhelm Greis und Moritz Tremmel

Laut Nintendo konnten Daten abgerufen und Einkäufe im eShop getätigt werden.

Seit einigen Tagen häufen sich im Netz die Berichte über ungewollten Zugriff auf Nintendo-Accounts - und auf Abbuchungen über Paypal.

Google Authenticator, Microsoft Authenticator und etliche andere Apps zur Zwei-Faktor-Authentifizierung haben keinen Schutz vor Screenshots eingerichtet. Eine Schadsoftware soll dies bereits ausnutzen.

Nun kommen Googles Sicherheitsschlüssel Titan auch nach Deutschland. Seit kurzem können sie im Google Store in mehreren Varianten bestellt werden.

Das aktuelle OpenSSH 8.2 bringt erstmals Support für Fido U2F mit. Damit lässt sich für SSH künftig eine Zwei-Faktor-Authentifizierung über einen Hardware-Token einrichten. Die Entwickler bezeichnen SHA-1 außerdem als veraltet und wollen dies künftig entfernen.

Im Unterschied zu den Titan-Sicherheitsschlüsseln von Google ist OpenSK Open Source und unterstützt Fido2/Webauthn. Die auf Github verfügbare Software kann bereits auf zwei Entwicklerboards installiert werden.

Nitropad ist der Laptop zum Sicherheitsschlüssel Nitrokey: ein gebrauchtes Thinkpad, dessen Bios durch die freie Firmware Coreboot ersetzt wurde. Abgesichert wird das Nitropad zudem durch einen Nitrokey, der Manipulationen erkennen soll.

36C3 Warum funktionieren Angriffe mit Word-Makros seit 20 Jahren? Der CCC-Sprecher Linus Neumann erklärt auf dem Hackerkongress, warum es so schwer fällt, sich dagegen zu schützen. Dabei gibt es viele Ansatzmöglichkeiten, die IT wirklich sicherer zu machen.
Von Moritz Tremmel

Apple hat neue Betriebssystem-Updates für iPhones, iPads und den iPod touch vorgestellt. IOS 13.3 und iPad OS 13.3 enthalten Verbesserungen, Fehlerbehebungen und zusätzliche Sicherungseinstellungen für Kinder.

Mit dem Nitrokey Fido2 ist erstmals passwortloses Anmelden mit Webauthn möglich. Auch eine starke Zwei-Faktor-Authentifizierung unterstützt der nun offiziell veröffentlichte Sicherheitsschlüssel. Eine Besonderheit ist die aktualisierbare Firmware, die er sich mit den Solokeys teilt.

Auch wer seinen Account anders als mit SMS-Codes zusätzlich absichern wollte: Bisher führte kein Weg daran vorbei, Twitter erstmal die eigene Telefonnummer zu geben. Das hat jetzt ein Ende.

Auf Knopfdruck anmelden, ohne Passwort und PIN, aber mit Fingerabdruck: Genau das soll der neue Yubikey Bio unterstützen. Die Sicherheit von biometrischen Merkmalen ist allerdings umstritten.

Auf der Ignite 2019 bringt Microsoft die Preview-Versionen von vielen Funktionen rund um Active Directory und Office 365. Es ist künftig möglich, die Authenticator-App als zweiten Faktor in AD zu nutzen. Office 365 wird durch eine Mustererkennung und eine Art Sandbox-Modus sicherer.

Sie sind winzig und groß, sorgen für mehr Sicherheit bei der Anmeldung per Webauthn und können gepatcht werden: Die in Kürze erscheinenden Fido-Sticks von Nitrokey und Solokeys machen so manches besser als die Konkurrenz von Google und Yubico. Golem.de konnte bereits vorab zwei Prototypen testen.
Ein Test von Moritz Tremmel

Zusammen mit iOS 13.2 hat Apple auch ein Update für ältere iPhones veröffentlicht: Das neue iOS 12.4.3 soll wichtige Sicherheitsupdates enthalten, Apple empfiehlt entsprechend eine Aktualisierung. Bisher war die Entwicklung einer iOS-Version mit Erscheinen der neuen eigentlich abgeschlossen.

Die gute Organisation eines Teams ist das A und O in der Projektplanung. Tools wie Jira, Trello, Asana und Zendesk versuchen, das Werkzeug der Wahl zu sein. Wir machen den Vergleich und zeigen, wo ihre Stärken und Schwächen liegen und wie sie Firmen helfen, die DSGVO-Konformität zu wahren.
Von Sascha Lewandowski

Google wechselt mit seinem neuen Titan-Sicherheitschlüssel zur Zwei-Faktor-Authentifizierung nicht nur den Anschluss auf USB-C, sondern auch den Hersteller. Die Firmware stammt jedoch weiterhin von Google selbst.

Eigentlich sollte sie nur die Sicherheit erhöhen, doch Twitter nutzte die Zwei-Faktor-Telefonnummer auch zu Werbezwecken, darunter gezielte Nutzer-Ansprachen von Unternehmen. Es ist nicht das erste Mal, dass Twitter Probleme mit Telefonnummern oder 2FA hat.

Die aktuelle Version 17 von Nextcloud bietet mit Virtual Data Rooms einen neuen Dienst zum Umgang mit besonders kritischen Daten an. Außerdem lassen sich nun Daten von gestohlenen Geräten löschen.

Ein Pärchen aus den USA wurde über seine gehackten Smart-Home-Geräte terrorisiert - dabei hatten sie sich die Geräte gekauft, um sich sicherer zu fühlen. Aus dem Lautsprecher der Nest-Cam tönte vulgäre Musik und die Temperatur kletterte immer weiter nach oben - wie in einem Horrorfilm, nur eben echt.

Funkende Fido2-Sticks lassen sich mit iOS 13 auch auf dem iPhone verwenden. Passwortloses Anmelden oder eine starke Zwei-Faktor-Authentifizierung per Webauthn waren bisher nur mit einer Lightning-Variante des Yubikeys möglich.

Mit zwei Steckern sorgt der neue Yubikey 5Ci für eine breite Geräteunterstützung in und außerhalb der Apple-Welt. Mit USB-C und Lightning lassen sich Apps auf iPhones schützen oder eine sichere Zwei-Faktor-Authentifizierung nutzen. Das hat seinen Preis.

Die größten Schwachstellen in technischen Systemen sind bis heute Menschen. Social Engineers machen sich ihre Sorglosigkeit zunutze - und finden auf sozialen Netzwerken alles, was sie für einen erfolgreichen Angriff brauchen.
Von Moritz Tremmel

Wer die aktuellen Betaversionen von iOS 13, iPad OS oder MacOS Catalina installiert hat, kann sich auf der Beta-Webseite von iCloud mit Gesichtsscan oder Fingerabdruck einloggen. Dabei kommt wohl kein Webauthn zum Einsatz.

Firefox-Hersteller Mozilla hat binnen weniger Tage eine zweite schwere Sicherheitslücke behoben. Die Lücken sind offenbar beide für einen Phishing-Angriff auf Mitarbeiter einer Kryptobörse genutzt worden.

Der Hersteller Yubico muss einige seiner Sticks zur Zwei-Faktor Authentifizierung wegen Sicherheitslücken zurückziehen und bei Kunden austauschen. Kurioserweise nur jene mit einer besonderen Zertifizierungen der US-Regierung.

Die neue Zahlungsdiensterichtlinie soll eigentlich ausnahmslos zum 14. September 2019 umgesetzt werden. Doch mittlerweile regt sich Widerstand in der Branche, die nicht schnell genug mit den verbundenen Umstellungen vorankommt.

Der Messengerdienst Whatsapp will stärker gegen den Missbrauch seiner Dienste vorgehen. Anbietern droht demnächst eine Klage bei Verstoß gegen die Nutzungsbedingungen.

Microsoft blockiert mit seinem Juni-Update unsichere Bluetooth-Geräte wie Googles Fido-Stick Titan. Über eine Sicherheitslücke könnten Angreifer ihre Tastatur an einem Rechner oder Smartphone per Bluetooth anmelden.

Android kann Zwei-Faktor-Authentifizierung und passwortloses Anmelden per Fido2 von Haus aus - doch ohne Onlinedienste, die die Funktion unterstützen, bringt das wenig. Mit Dropbox ändert sich das nun. Wir haben uns angeschaut, wie gut das funktioniert.
Von Moritz Tremmel

Auch GMX-Kunden können nun ihre E-Mails und Daten in der Cloud mit einem zweiten Faktor schützen. Bei Web.de soll eine Zwei-Faktor-Authentifizierung bald folgen. Der eingesetzte TOTP-Standard hat aber auch Nachteile.
Von Moritz Tremmel

Nutzer von Apple-Systemen sollen sich in Apps nicht mit Konten von Drittanbietern anmelden müssen, wenn sie dies nicht wollen. Der Hersteller bietet außerdem eine E-Mail-Weiterleitung an die Apple-ID, 2FA, und zwingt die App-Anbieter zur Mitwirkung.

Windows Hello, Android und kleine bunte USB-Sticks sollen mit Webauthn das Passwort überflüssig machen. Wir haben die passwortlose Welt mit unserem Android Smartphone erkundet und festgestellt: Sie klingt zu schön, um wahr zu sein.
Von Moritz Tremmel

Der Sicherheitsschlüssel Titan enthält in seiner Bluetooth-Variante zwei Sicherheitslücken, über welche die Zwei-Faktor-Authentifizierung oder die verwendeten Geräte angegriffen werden können. Google tauscht die Sticks kostenlos aus - bis dahin sollen Nutzer diese jedoch weiter verwenden.

Um den Anmeldeprozess für Nextcloud-Instanzen über Fido2 einfacher und sicherer zu machen, will der Hersteller der Kollaborationsplattform mit dem Hersteller der Nitrokeys zusammenarbeiten.

Laut eigenen Aussagen konnten sich anscheinend die Angreifer fast sechs Monate lang im Firmennetzwerk bewegen und personenbezogene Daten abgreifen, nachdem sie auf Citrix unbefugten Zugriff erhalten haben. Schuld am Angriff habe keine Sicherheitslücke, sondern Brute-Forcing von Passwörtern.

Groß- und Kleinbuchstaben, mindestens ein Sonderzeichen, aber nicht irgendeins? Viele Passwort-Richtlinien führen dazu, dass Nutzer genervt oder verwirrt sind, aber nicht unbedingt zu sichereren Passwörtern. Wir geben Tipps, wie Entwickler es besser machen können.
Von Hanno Böck

Die Zahlungsdienste Apple Pay und Google Pay sind nach Ansicht von Experten sicherer als klassische Kreditkarten. In der täglichen Praxis schneidet ein Dienst etwas besser ab. Einige Haftungsfragen sind aber noch juristisch ungeklärt.
Von Andreas Maisch

34 von 45 getesteten Internetdiensten unterstützen laut Stiftung Warentest Zwei-Faktor-Authentifizierung - die Techniken sind allerdings sehr unterschiedlich.

Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.
Ein Test von Moritz Tremmel

Ohne Passwort anmelden? Mit dem Webauthn-Standard soll das möglich werden. Die Technik steht bereit und soll das Anmelden nicht nur sicherer, sondern auch komfortabler machen.
Von Moritz Tremmel

Facebook verwendet die zur Zwei-Faktor-Authentifizierung hinterlegte Telefonnummer auch zu Werbezwecken und zum Zurücksetzen des Kontos. Hierüber lässt sich herausfinden, wem die Telefonnummer gehört.

Passwort vergessen? Kein Problem, viele Anbieter machen es Nutzern leicht, ihr Passwort zurückzusetzen - und damit auch Kriminellen. Wir haben uns angesehen, wie leicht es ist, mit der Funktion an Daten zu gelangen oder ein E-Mail- oder Social-Media-Konto zu übernehmen.
Eine Analyse von Moritz Tremmel

Mit der aktuellen Version 72 von Chrome beginnt Google den Abschied von TLS 1.0, 1.1 und FTP. HPKP wird komplett entfernt. Die Entwickler haben außerdem die Web-Authentication ausgebaut, WebRTC um eine Screen-Capture-Funktion erweitert und führen ein neues User-Activation-API ein.