Zwei-Faktor-Authentifizierung

Ein Angestellter hat Überwachungskameras für Kunden der Sicherheitsfirma ADT installiert und sie missbraucht, um Paare beim Sex zu beobachten.

Postings, Videos und Fotos von Parler samt Metadaten waren aufgrund stümperhafter Sicherheitsvorkehrungen leicht zu erreichen.

Der privaten Schlüssel eines Hardware-Sicherheitstokens von Google lässt sich anhand der Strahlung rekonstruieren.

Das FBI warnt vor Swatting, bei dem die Täter die teils gefährlichen Polizeieinsätze über gehackte Kameras verfolgen oder streamen.

Abermals hat der Handel einen Aufschub bei der Umsetzung strengerer Sicherheitsbestimmungen bei der Zahlung mit Kreditkarte erhalten.

Nachdem mein altes Thinkpad T430 ein umfangreiches Hardware-Update erhalten hat und schneller ist denn je, will ich es noch sicher machen.
Von Moritz Tremmel

Was am 26. November 2020 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Über die Software Ivena werden Notfallpatienten in Krankenhäusern angemeldet. Ein Admin-Passwort ist nun öffentlich auf der Herstellerwebseite einsehbar gewesen.

Ein Teil der Minecraft-Community ist sauer: Künftig ist der Zugang nur noch mit einem Konto bei Microsoft möglich.

Am Freitag machten sich Medien noch über einen Tweet von US-Präsident Trump lustig. Dahinter könnte ein Hacker aus den Niederlanden gesteckt haben.

Weil er den kleinen Sensorknopf auf seinem Yubikey 5C Nano schlecht erreichte, hat Entwickler Bertrand Fan das einzig Sinnvolle getan: einen automatischen Finger dafür konstruiert.

Schlüssel für SSH lassen sich auf sogenannte Hardware-Token auslagern. Diese können in OpenSSH mit einem zweiten Faktor geschützt werden.

Kein Mensch kann sich stapelweise Passwörter merken, aufschreiben ist keine Alternative. Ein Passwortmanager muss her - aber welcher?
Ein Test von Moritz Tremmel

Der neue Yubikey 5C NFC soll eine breite Unterstützung moderner Geräte gewährleisten. Je nach Verwendungszweck gibt es günstigere Alternativen.

E-Mails einige Abgeordneter des norwegischen Parlaments wurden offenbar gehackt. Das genaue Ausmaß des Datenabflusses ist bisher unklar.

Missbräuchliche Datenabfragen haben die hessische Polizei in Verruf gebracht. Nun soll die Identität der Beamten biometrisch überprüft werden.

Eigentlich sollten Microsofts Onlinedienste mit Fido-Stick und PIN geschützt sein - doch zwei Entwickler konnten die PIN-Abfrage umgehen.

Flipper Zero vereint mehrere Hacking-Devices und ein Tamagotchi in einem Gerät - mit dem sich wirklich hacken lässt.

Mehreren rechtsextremen Morddrohungen sind Abfragen in Polizeidatenbanken vorausgegangen, doch dort wird weiterhin fast unkontrolliert auf Daten zugegriffen.
Eine Analyse von Moritz Tremmel

Was am 20.07.2020 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Über die Twitter-Accounts zahlreicher US-Prominenter ist Werbung für einen Bitcoin-Betrug gelaufen. Offenbar wurden interne Tools kompromittiert.

Neuerdings lässt sich die Visa-Karte von Amazon auch auf dem Smartphone verwalten - inklusive Push-Benachrichtigungen.

Apple hat eine kritische Sicherheitslücke geschlossen. Es ließen sich beliebige Nutzerkonten bei externen Diensten übernehmen.

Bei Steam kostet Civilization 6 rund 60 Euro, im Epic Games Store löst es GTA 5 als kostenloses Spiel der Woche ab.

Auf Steam kostet die Premium Editon von GTA 5 rund 35 Euro, bei Epic Games gibt es sie jetzt ein paar Tage lang kostenlos als Download.

Gleiches Ziel, unterschiedliche Vorgehensweisen: Die Actionspiele Valorant und Call of Duty: Warzone gehen verstärkt gegen Betrüger vor.

Mit einem neuen Gesetz werden die Telemediendienste zur Herausgabe von Passwörtern verpflichtet. Was bedeutet das für die Sicherheit des eigenen Zugangs?
Eine Analyse von Friedhelm Greis und Moritz Tremmel

Laut Nintendo konnten Daten abgerufen und Einkäufe im eShop getätigt werden.

Seit einigen Tagen häufen sich im Netz die Berichte über ungewollten Zugriff auf Nintendo-Accounts - und auf Abbuchungen über Paypal.

Google Authenticator, Microsoft Authenticator und etliche andere Apps zur Zwei-Faktor-Authentifizierung haben keinen Schutz vor Screenshots eingerichtet. Eine Schadsoftware soll dies bereits ausnutzen.

Nun kommen Googles Sicherheitsschlüssel Titan auch nach Deutschland. Seit kurzem können sie im Google Store in mehreren Varianten bestellt werden.

Das aktuelle OpenSSH 8.2 bringt erstmals Support für Fido U2F mit. Damit lässt sich für SSH künftig eine Zwei-Faktor-Authentifizierung über einen Hardware-Token einrichten. Die Entwickler bezeichnen SHA-1 außerdem als veraltet und wollen dies künftig entfernen.

Im Unterschied zu den Titan-Sicherheitsschlüsseln von Google ist OpenSK Open Source und unterstützt Fido2/Webauthn. Die auf Github verfügbare Software kann bereits auf zwei Entwicklerboards installiert werden.

Nitropad ist der Laptop zum Sicherheitsschlüssel Nitrokey: ein gebrauchtes Thinkpad, dessen Bios durch die freie Firmware Coreboot ersetzt wurde. Abgesichert wird das Nitropad zudem durch einen Nitrokey, der Manipulationen erkennen soll.

36C3 Warum funktionieren Angriffe mit Word-Makros seit 20 Jahren? Der CCC-Sprecher Linus Neumann erklärt auf dem Hackerkongress, warum es so schwer fällt, sich dagegen zu schützen. Dabei gibt es viele Ansatzmöglichkeiten, die IT wirklich sicherer zu machen.
Von Moritz Tremmel

Apple hat neue Betriebssystem-Updates für iPhones, iPads und den iPod touch vorgestellt. IOS 13.3 und iPad OS 13.3 enthalten Verbesserungen, Fehlerbehebungen und zusätzliche Sicherungseinstellungen für Kinder.

Mit dem Nitrokey Fido2 ist erstmals passwortloses Anmelden mit Webauthn möglich. Auch eine starke Zwei-Faktor-Authentifizierung unterstützt der nun offiziell veröffentlichte Sicherheitsschlüssel. Eine Besonderheit ist die aktualisierbare Firmware, die er sich mit den Solokeys teilt.

Auch wer seinen Account anders als mit SMS-Codes zusätzlich absichern wollte: Bisher führte kein Weg daran vorbei, Twitter erstmal die eigene Telefonnummer zu geben. Das hat jetzt ein Ende.

Auf Knopfdruck anmelden, ohne Passwort und PIN, aber mit Fingerabdruck: Genau das soll der neue Yubikey Bio unterstützen. Die Sicherheit von biometrischen Merkmalen ist allerdings umstritten.

Auf der Ignite 2019 bringt Microsoft die Preview-Versionen von vielen Funktionen rund um Active Directory und Office 365. Es ist künftig möglich, die Authenticator-App als zweiten Faktor in AD zu nutzen. Office 365 wird durch eine Mustererkennung und eine Art Sandbox-Modus sicherer.

Sie sind winzig und groß, sorgen für mehr Sicherheit bei der Anmeldung per Webauthn und können gepatcht werden: Die in Kürze erscheinenden Fido-Sticks von Nitrokey und Solokeys machen so manches besser als die Konkurrenz von Google und Yubico. Golem.de konnte bereits vorab zwei Prototypen testen.
Ein Test von Moritz Tremmel

Zusammen mit iOS 13.2 hat Apple auch ein Update für ältere iPhones veröffentlicht: Das neue iOS 12.4.3 soll wichtige Sicherheitsupdates enthalten, Apple empfiehlt entsprechend eine Aktualisierung. Bisher war die Entwicklung einer iOS-Version mit Erscheinen der neuen eigentlich abgeschlossen.

Die gute Organisation eines Teams ist das A und O in der Projektplanung. Tools wie Jira, Trello, Asana und Zendesk versuchen, das Werkzeug der Wahl zu sein. Wir machen den Vergleich und zeigen, wo ihre Stärken und Schwächen liegen und wie sie Firmen helfen, die DSGVO-Konformität zu wahren.
Von Sascha Lewandowski

Google wechselt mit seinem neuen Titan-Sicherheitschlüssel zur Zwei-Faktor-Authentifizierung nicht nur den Anschluss auf USB-C, sondern auch den Hersteller. Die Firmware stammt jedoch weiterhin von Google selbst.

Eigentlich sollte sie nur die Sicherheit erhöhen, doch Twitter nutzte die Zwei-Faktor-Telefonnummer auch zu Werbezwecken, darunter gezielte Nutzer-Ansprachen von Unternehmen. Es ist nicht das erste Mal, dass Twitter Probleme mit Telefonnummern oder 2FA hat.

Die aktuelle Version 17 von Nextcloud bietet mit Virtual Data Rooms einen neuen Dienst zum Umgang mit besonders kritischen Daten an. Außerdem lassen sich nun Daten von gestohlenen Geräten löschen.

Ein Pärchen aus den USA wurde über seine gehackten Smart-Home-Geräte terrorisiert - dabei hatten sie sich die Geräte gekauft, um sich sicherer zu fühlen. Aus dem Lautsprecher der Nest-Cam tönte vulgäre Musik und die Temperatur kletterte immer weiter nach oben - wie in einem Horrorfilm, nur eben echt.

Funkende Fido2-Sticks lassen sich mit iOS 13 auch auf dem iPhone verwenden. Passwortloses Anmelden oder eine starke Zwei-Faktor-Authentifizierung per Webauthn waren bisher nur mit einer Lightning-Variante des Yubikeys möglich.

Mit zwei Steckern sorgt der neue Yubikey 5Ci für eine breite Geräteunterstützung in und außerhalb der Apple-Welt. Mit USB-C und Lightning lassen sich Apps auf iPhones schützen oder eine sichere Zwei-Faktor-Authentifizierung nutzen. Das hat seinen Preis.

Die größten Schwachstellen in technischen Systemen sind bis heute Menschen. Social Engineers machen sich ihre Sorglosigkeit zunutze - und finden auf sozialen Netzwerken alles, was sie für einen erfolgreichen Angriff brauchen.
Von Moritz Tremmel