Zwei-Faktor-Authentifizierung

Beim beliebten Paketmanager Homebrew für MacOS ist es möglich gewesen, unbefugt Commits im offiziellen Github-Repo des Projekts einzufügen. Grund war ein öffentlich einsehbarer Github-API-Token.

Die Betaversion 69 von Googles Chrome-Browser enthält einen Decoder für den neuen freien Videocodec AV1. Das Team liefert außerdem die Unterstützung für eine neue Art von Hardwareschlüssel, aktiviert den Bild-in-Bild-Modus für Videos und CSS umfließt Display-Notches.

Angreifern ist es gelungen, Nutzerdaten, Nachrichten sowie alte Passwort-Hashes aus einem Backup der Webseite Reddit zu kopieren. Offenbar reichte das Abfangen einer SMS zur Zwei-Faktor-Authentifizierung zum Eindringen in die Systeme.

Mit einem eigenen Hardwareschlüssel, dem Titan Security Key, will Google ähnlich wie mit den bekannten Yubikeys den Zugriff seiner Kunden auf die Cloud absichern. Der Hardwareschlüssel zur Zwei-Faktor-Authentifizierung soll später für alle im Google Store angeboten werden.

Obwohl es 2017 weniger Fälle geleakter Zugangsdaten gab, blüht der Handel mit E-Mail-Adressen und Passwörtern wie eh und je. Das funktioniert auch deswegen so gut, weil Nutzer noch immer ein und dasselbe Passwort für verschiedene Konten verwenden.

Die auf Github gespiegelten Quellen der Linux-Distribution Gentoo sind vergangene Woche kurzzeitig von Angreifern übernommen worden. Diese waren demnach eher rabiat als vorsichtig. Das Team nutzt jetzt eine Zweifaktorauthentifzierung.

Das Projekt Gitea erstellt eine leichtgewichtige Open-Source-Alternative zu Github. Ein Bot-Account des Projekts auf Github ist nun offenbar kurzzeitig übernommen worden, um Cryptominer zu verbreiten. Quellcode und Infrastruktur sollen nicht betroffen sein.

Rund 92 Millionen Nutzerdaten von einem Dienst zur Ahnenforschung sind unberechtigt kopiert worden. Die Passwörter liegen jedoch nur gehasht vor. Das Unternehmen verarbeitet auch DNA-Informationen.

Auf der Suche nach einem Ersatz für das XPS 13 stoßen wir auf das Latitude 7390. Dells Business-Notebook hat eine ähnlich gute Tastatur wie Thinkpads, während es wie das XPS 13 trotzdem nicht zu klobig wirkt. Wir finden in unserem Test: Dieses Kind ist gut gelungen.
Ein Test von Oliver Nickel und Sebastian Grüner

Die aktuelle Version 60 Firefox bringt die Beschleunigung des Projekts Quantum auch auf die Variante mit Langzeitsupport und auf Android. Außerdem gibt es eine bessere Enterprise-Unterstützung, Web-Authentication und wieder Neuerungen in der Tab-Ansicht.

Sofort patchen: Eine hochkritische Sicherheitlücke in Drupal ermöglicht Angreifern ohne Authentifizierung die Ausführung von Code. Auch einige nichtunterstütze Versionen bekommen ein Update.

Facebook wird künftig alle Links auf der Plattform automatisch auf HTTPS umstellen, wenn dies möglich ist. Dafür nutzt das Unternehmen HTTP Strict Transport Security auf innovative Weise.

In den vergangenen Tagen ist Facebook damit aufgefallen, dass das soziale Netzwerk die Telefonnummer für die Zwei-Faktor-Authentifizierung des Nutzers für das Verschicken seiner Benachrichtigungen missbraucht. Mittlerweile bestätigt Facebook dies und gibt einem Fehler im System die Schuld.

Nach 2013 sind bei der Swisscom erneut Nutzerdaten weggekommen: Über den Account eines Vertriebspartners kopierten Unbekannte 800.000 Daten. Immerhin sollen keine Passwörter betroffen sein.

Zu kaum einem IT-Sicherheits-Thema gibt es so viele unsinnige Tipps wie zu Passwörtern. Auch Behörden wie das BSI und Forschungseinrichtungen wie das Hasso-Plattner-Institut veröffentlichen jede Menge Unfug.
Ein IMHO von Hanno Böck

Mozilla will die Nutzung von Zwei-Faktor-Authentifizierung erhöhen und aktiviert in Firefox 60 die Webauthentication-API standardmäßig. Noch gebe es allerdings keine fertigen Bibliotheken, die Entwickler nur einbinden müssten.

Spezifische Referrer für jeden Newsletter-Nutzer haben dazu geführt, dass Webseitenbetreiber die E-Mail-Adressen von Mailchimp-Nutzern herausfinden konnten. Das Problem wurde nach Meldung an den Anbieter mittlerweile behoben.

Nach Angaben von Google nehmen nur sehr wenige Gmail-Nutzer die sichere Anmeldung mit einem zweiten Faktor in Anspruch. Auch Passwortmanager sind zumindest in den USA offenbar nicht weit verbreitet.

Der Twitter-Account des Spiegel-Chefredakteurs hat über mehrere Stunden ein Bild des türkischen Staatspräsidenten Recep Tayyip Erdogan verbreitet und sich für schlechte Nachrichten über die Türkei entschuldigt. Nach dem Hack soll der Account jetzt wieder unter Kontrolle sein.

Ein Beratergremium der US-Regierung empfiehlt ihren Bundesbehörden, eigene IT-Lösungen aufzugeben und stattdessen stärker auf kommerzielle Cloud-Dienste zu setzen. Damit würden nicht nur Kosten gespart, die Cloud sei auch sicherer.

Mit dem Security Planner hat das CitizenLab der Universität Toronto einen einfachen Guide zur IT-Sicherheit für Otto-Normal-Nutzer veröffentlicht. Dabei genügt es, drei kurze Fragen zu beantworten, um fundierten Ratschlag zu erhalten.

Deepsec Unternehmen, die ihre IT vor Angriffen schützen wollen, sollten sich Rat aus der Soziologie und der Psychologie holen, sagt die Unternehmensberaterin Jessica Barker. Im Interview erklärt sie auch, warum Security-Experten optimistischer über Sicherheitstechnologien sprechen sollten.
Ein Interview von Hauke Gierow

Yubico bietet ein Hardware-Security-Modul für kleinere Unternehmen an, die nicht Hunderte Schlüssel sicher verwahren müssen. Der Schlüssel im Nano-Format verschwindet fast vollständig im USB-Port.

Es ist erst der zweite bekannte Angriff dieser Art: Microsofts interner Bugtracker ist im Jahr 2013 gehackt worden. Unklar ist, ob und welche Informationen über Sicherheitslücken die Angreifer dabei erbeuten konnten.

Menschen scheinen nicht dafür gemacht, sich sehr viele komplizierte Passwörter zu merken. Abhilfe schaffen Passwortmanager. Wir haben die Lösungen von Keepass, Lastpass, 1Password und Dashlane verglichen - und bei allen Stärken gefunden.
Ein Test von Hauke Gierow

Eine der größten Unternehmens- und Buchhaltungsfirmen weltweit ist einem Bericht zufolge gehackt worden. Ein unzureichend gesicherter Admin-Account soll Zugriff auf mehrere Millionen E-Mails mit privaten Kundendaten ermöglicht haben.

Nach der Schlüsselbundversion des Yubikey für USB-C folgt die Nano-Version. Sie ist nur ein Gramm schwer und kann dauerhaft im Gerät verbleiben.

Ein neues Logo und neue Angebote: Microsoft will den zukünftigen Microsoft Store mit eigenen und Partnerprodukten befüllen - zusammen mit passenden Angeboten beim Neukauf. Der neue Store kommt wahrscheinlich mit dem Fall Creators Update.

Ausgerechnet der Chef des Bundesamtes für Sicherheit in der Informationstechnik möchte in der kommenden Legislaturperiode eine digitale Stimmabgabe bei Wahlen - weil er die "Digitalisierung ernst nehmen" will. Das Bundesverfassungsgericht und Angela Merkel sind anderer Meinung.

Instagram hat eine Sicherheitslücke in der eigenen API bestätigt, mit der private Daten wie E-Mail-Adresse und Telefonnummer von Accounts ausgelesen wurden. Betroffen sind die Accounts mehrerer prominenter Personen.

Hacker haben mit einer Betrugsmasche mindestens eine halbe Million US-Dollar von Kryptowährungsinteressierten erbeutet. Nachdem die Hacker die Server des Enigma-Projektes übernommen hatten, wurden ihnen das Geld offenbar regelrecht hinterhergeworfen.

Noch immer haben viele Nutzer schlechte Passwörter und benutzen diese gleich für mehrere Accounts. Das geht aus Microsofts eigener Sicherheitsanalyse hervor, die Trends aus dem Enterprise- und Privatkundengeschäft präsentiert.

Dropbox bietet ein Backup an, wenn der Login per Zwei-Faktor-Authentifizierung nicht funktioniert. Nutzer sollen dann die App des Unternehmens nutzen können, um die Anmeldung sicher abzuschließen.

Wer den Passwortmanager Lastpass nutzt, muss künftig mehr bezahlen. Nutzern der kostenfreien Version werden einige Funktionen gestrichten. Außerdem kündigt das Unternehmen eine Familienversion an.

Have I Been Pwned ist um einen weiteren Dienst erweitert worden - einen Passwortcheck. Aktiv genutzte Passwörter sollten der Seite aber nicht anvertraut werden.

HBO kommt nicht zur Ruhe: Nachdem Hacker Anfang der Woche 1,5 TByte Daten erbeuten konnten, ist nun die vierte Folge der neuen Staffel von Game of Thrones vor dem Ausstrahlungstermin online veröffentlicht worden. Es wird davon ausgegangen, dass das Material authentisch ist.

Angreifern ist es offenbar gelungen, in die Systeme von HBO einzudringen. Sie wollen 1,5 Terabyte an Material haben und bereits Episoden verschiedener Serien sowie ein Skript von Game of Thrones veröffentlicht haben.

Schon länger bietet Google für den Login auch sein System Prompts zur Zwei-Faktor-Authentifizierung an. Dieses System soll nun stärker in den Vordergrund rücken und Freigaben per SMS zurückdrängen - allerdings nur, wenn die Nutzer das wollen.

Der NPM-Dienst hat vor zwei Wochen Passwörter von Entwicklern zurückgezogen. Jetzt ist klar warum: Ein Hacker konnte schwache Passwörter sammeln und hätte damit wohl die Hälfte des Node-Paket-Systems sowie sehr prominente Pakete infiltrieren können.

Angriffe auf IT-Infrastruktur richten sich nicht nur gegen dienstliche Adressen. Derzeit seien auch private Mailkonten im Visier von Angreifern, warnt das BSI. Betroffen seien "Spitzenkräfte" aus Wirtschaft und Verwaltung.

Zwei Funktionen für Android-Apps können einfach missbraucht werden, um Nutzereingaben mitzulesen oder sogar weitere bösartige Apps zu installieren - ohne Wissen oder Zutun des Anwenders. Google hat bereits reagiert.

Amazon hat "Prozesse zum Schutz der Kunden und Verkäufer etabliert". Doch Marketplace-Händler fühlen sich bei unberechtigten Sperrungen dennoch alleingelassen.

Mit APFS bringt Apple nach langer Zeit wieder ein neues Dateisystem in die Computerlandschaft. Zunächst wird die iOS-Welt nach einer erstaunlich kurzen Testphase umgestellt. Wir haben anhand von alten wie neuen Geräten versucht, die Unterschiede auszumachen und geben Tipps zu dem sehr seltenen Konvertierungsvorgang.
Ein Test von Andreas Sebayang

Gleich drei Sicherheitslücken innerhalb einer Woche wurden im Passwort-Manager Lastpass entdeckt. Der Hersteller reagiert zwar schnell, aber eben deshalb wohl überhastet: Eine Lücke wurde nicht vollständig geschlossen, eine weitere ist noch ganz offen.

Apple hat mit iOS 10.3 nach langer Testphase ein Update für das mobile Betriebssystem von iPhones, iPads und dem iPod Touch veröffentlicht. Neu sind das Dateisystem APFS und ein Suchmodus für Airpods.

Die Situation erinnert an den iCloud-Hack zahlreicher Prominenter: Erneut wurden angebliche Nacktfotos von Emma Watson und Amanda Seyfried veröffentlicht. Woher die Bilder stammen, ist derzeit völlig unklar.

Was kann da schon schiefgehen? Banken erproben derzeit Systeme, bei denen Kunden ihre EC-Karte durch ein Smartphone ersetzen, um Geld am Automaten zu bekommen. Die ersten Sicherheitsprobleme gibt es bereits.

Mit einem sechsstelligen Code können Nutzer künftig ihren Whatsapp-Account gegen Übernahmen absichern. Die Nutzung von Authenticator-Apps ist nicht vorgesehen und wäre in vielen Fällen auch nicht sehr sinnvoll.

Protonmail bezeichnet sich als sicherster E-Mail-Dienst der Welt. In der Praxis zeigt sich, dass der Dienst zwar durchaus durchdacht ist, aber mangels vollständiger PGP-Kompatibilität eine Insellösung bleibt.
Ein Praxistest von Hauke Gierow

Google hat ein umfangreiches Update für die Enterprise-Version seiner G-Suite angekündigt: Mit dabei sind verpflichtende Hardwareschlüssel, S/MIME für Gmail und erweiterte Funktionen, um Datenverlust zu verhindern.