Fido

Was am 25. November 2020 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Über die Software Ivena werden Notfallpatienten in Krankenhäusern angemeldet. Ein Admin-Passwort ist nun öffentlich auf der Herstellerwebseite einsehbar gewesen.

Schlüssel für SSH lassen sich auf sogenannte Hardware-Token auslagern. Diese können in OpenSSH mit einem zweiten Faktor geschützt werden.

Kein Mensch kann sich stapelweise Passwörter merken, aufschreiben ist keine Alternative. Ein Passwortmanager muss her - aber welcher?
Ein Test von Moritz Tremmel

Einige Details zum kommenden Surface Hub 2S zeigen: Es ist wesentlich leichter als zuvor und rollbar. Auch gibt es Infos zu Windows 10 Team.

Der neue Yubikey 5C NFC soll eine breite Unterstützung moderner Geräte gewährleisten. Je nach Verwendungszweck gibt es günstigere Alternativen.

Das Summit E15 soll ein Notebook für Geschäftskunden sein. Mit Tiger-Lake-CPU und GTX 1650 Ti ist es zumindest performant.

Eigentlich sollten Microsofts Onlinedienste mit Fido-Stick und PIN geschützt sein - doch zwei Entwickler konnten die PIN-Abfrage umgehen.

Flipper Zero vereint mehrere Hacking-Devices und ein Tamagotchi in einem Gerät - mit dem sich wirklich hacken lässt.

Mit einem neuen Gesetz werden die Telemediendienste zur Herausgabe von Passwörtern verpflichtet. Was bedeutet das für die Sicherheit des eigenen Zugangs?
Eine Analyse von Friedhelm Greis und Moritz Tremmel

Mit SIM-Swapping haben Kriminelle bei Dutzenden Österreichern Geld abgehoben. Nun wurden sie verhaftet.

Fast alle kompromittierten Konten in Azure Active Directory hätten laut Microsoft durch Mehrfaktorauthentifizierung geschützt werden können. Die bietet der Hersteller zwar an, verlangt dafür aber teilweise nicht unerhebliche Geldsummen.

Nun kommen Googles Sicherheitsschlüssel Titan auch nach Deutschland. Seit kurzem können sie im Google Store in mehreren Varianten bestellt werden.

Das aktuelle OpenSSH 8.2 bringt erstmals Support für Fido U2F mit. Damit lässt sich für SSH künftig eine Zwei-Faktor-Authentifizierung über einen Hardware-Token einrichten. Die Entwickler bezeichnen SHA-1 außerdem als veraltet und wollen dies künftig entfernen.

Im Unterschied zu den Titan-Sicherheitsschlüsseln von Google ist OpenSK Open Source und unterstützt Fido2/Webauthn. Die auf Github verfügbare Software kann bereits auf zwei Entwicklerboards installiert werden.

36C3 Warum funktionieren Angriffe mit Word-Makros seit 20 Jahren? Der CCC-Sprecher Linus Neumann erklärt auf dem Hackerkongress, warum es so schwer fällt, sich dagegen zu schützen. Dabei gibt es viele Ansatzmöglichkeiten, die IT wirklich sicherer zu machen.
Von Moritz Tremmel

Apple hat neue Betriebssystem-Updates für iPhones, iPads und den iPod touch vorgestellt. IOS 13.3 und iPad OS 13.3 enthalten Verbesserungen, Fehlerbehebungen und zusätzliche Sicherungseinstellungen für Kinder.

Mit dem Nitrokey Fido2 ist erstmals passwortloses Anmelden mit Webauthn möglich. Auch eine starke Zwei-Faktor-Authentifizierung unterstützt der nun offiziell veröffentlichte Sicherheitsschlüssel. Eine Besonderheit ist die aktualisierbare Firmware, die er sich mit den Solokeys teilt.

Auf Knopfdruck anmelden, ohne Passwort und PIN, aber mit Fingerabdruck: Genau das soll der neue Yubikey Bio unterstützen. Die Sicherheit von biometrischen Merkmalen ist allerdings umstritten.

Sie sind winzig und groß, sorgen für mehr Sicherheit bei der Anmeldung per Webauthn und können gepatcht werden: Die in Kürze erscheinenden Fido-Sticks von Nitrokey und Solokeys machen so manches besser als die Konkurrenz von Google und Yubico. Golem.de konnte bereits vorab zwei Prototypen testen.
Ein Test von Moritz Tremmel

Google wechselt mit seinem neuen Titan-Sicherheitschlüssel zur Zwei-Faktor-Authentifizierung nicht nur den Anschluss auf USB-C, sondern auch den Hersteller. Die Firmware stammt jedoch weiterhin von Google selbst.

Funkende Fido2-Sticks lassen sich mit iOS 13 auch auf dem iPhone verwenden. Passwortloses Anmelden oder eine starke Zwei-Faktor-Authentifizierung per Webauthn waren bisher nur mit einer Lightning-Variante des Yubikeys möglich.

Mit zwei Steckern sorgt der neue Yubikey 5Ci für eine breite Geräteunterstützung in und außerhalb der Apple-Welt. Mit USB-C und Lightning lassen sich Apps auf iPhones schützen oder eine sichere Zwei-Faktor-Authentifizierung nutzen. Das hat seinen Preis.

Der Umgang mit Passwörtern ist für viele Nutzer zu kompliziert. Google führt stattdessen nun die Möglichkeit ein, sich auf einem Android-Smartphone bei einigen seiner Dienste mit Hilfe biometrischer Entsperrmöglichkeiten einzuloggen. Dabei werden FIDO2, W3C Webauthn und FIDO CTAP genutzt.

Die Variante des Firefox-Browsers für das Android-Betriebssystem unterstützt in der aktuellen Version den Webauthn-Standard. Das ermöglicht eine Art passwortloses Anmelden über biometrische Merkmale.

Der Hersteller Yubico muss einige seiner Sticks zur Zwei-Faktor Authentifizierung wegen Sicherheitslücken zurückziehen und bei Kunden austauschen. Kurioserweise nur jene mit einer besonderen Zertifizierungen der US-Regierung.

Microsoft blockiert mit seinem Juni-Update unsichere Bluetooth-Geräte wie Googles Fido-Stick Titan. Über eine Sicherheitslücke könnten Angreifer ihre Tastatur an einem Rechner oder Smartphone per Bluetooth anmelden.

Android kann Zwei-Faktor-Authentifizierung und passwortloses Anmelden per Fido2 von Haus aus - doch ohne Onlinedienste, die die Funktion unterstützen, bringt das wenig. Mit Dropbox ändert sich das nun. Wir haben uns angeschaut, wie gut das funktioniert.
Von Moritz Tremmel

Windows Hello, Android und kleine bunte USB-Sticks sollen mit Webauthn das Passwort überflüssig machen. Wir haben die passwortlose Welt mit unserem Android Smartphone erkundet und festgestellt: Sie klingt zu schön, um wahr zu sein.
Von Moritz Tremmel

Gleich zwei Fehler in Googles Angebot für Unternehmenskunden G Suite speicherten Passwörter im Klartext. Ein Fehler ist bereits 14 Jahre alt.

Der Sicherheitsschlüssel Titan enthält in seiner Bluetooth-Variante zwei Sicherheitslücken, über welche die Zwei-Faktor-Authentifizierung oder die verwendeten Geräte angegriffen werden können. Google tauscht die Sticks kostenlos aus - bis dahin sollen Nutzer diese jedoch weiter verwenden.

Build 2019 Wie sieht die Zukunft des Edge-Browsers aus und was will Microsoft zum Chromium-Projekt beitragen? Im Gespräch mit Golem.de gibt das Unternehmen die vage Aussicht auf einen Release für Linux und Verbesserungen in Google Chrome. Bis dahin steht viel Arbeit an.
Von Oliver Nickel

Um den Anmeldeprozess für Nextcloud-Instanzen über Fido2 einfacher und sicherer zu machen, will der Hersteller der Kollaborationsplattform mit dem Hersteller der Nitrokeys zusammenarbeiten.

Einem Medienbericht zufolge soll Windows 10 nun auf mehr als 800 Millionen Geräten laufen. Hersteller Microsoft hatte ursprünglich als Ziel 1 Milliarde Geräte bis 2018 ausgegeben. Windows 10 hat erst vor kurzem die Verbreitung von Windows 7 überholt.

Statt mit dem Passwort mit einem Blick bei einem Internetdienst anmelden: Windows Hello wurde Fido2-zertifiziert und soll Passwörter in Zukunft obsolet machen. Das funktioniert bisher allerdings nur mit Microsoft.

Golem.de-Wochenrückblick James Bond gibt in seinem nächsten Abenteuer nicht mehr Gas. Tesla widmet sich künftig der Generation Y. Und wir entdecken die Vorzüge einer kompakten Galaxie. Sieben Tage und viele Meldungen im Überblick.

34 von 45 getesteten Internetdiensten unterstützen laut Stiftung Warentest Zwei-Faktor-Authentifizierung - die Techniken sind allerdings sehr unterschiedlich.

Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.
Ein Test von Moritz Tremmel

Ohne Passwort anmelden? Mit dem Webauthn-Standard soll das möglich werden. Die Technik steht bereit und soll das Anmelden nicht nur sicherer, sondern auch komfortabler machen.
Von Moritz Tremmel

Ignite 2018 Ohne Passwort in Active Directory anmelden: Microsoft will das Passwort dringend loswerden und bietet seine Alternativen für diverse Azure-Dienste an. Der Grund: Passwörter sind für Microsoft wenig praktisch.

Das neue Webauthn-Protokoll soll sichere Logins ohne Passwörter ermöglichen. Doch ein Security-Audit bescheinigt den bisherigen Implementierungen in Chrome, Firefox und Edge angreifbare Kryptographie.

Googles Chrome-Browser erhält in der aktuellen Version 69 ein neues Aussehen im Material Design samt abgerundeter Ecken. Das erinnert an das alte UI des Firefox-Browsers. Google ändert außerdem weiter das Verhalten der TLS-Anzeige, bereitet den Flash-Abschied vor und sollte seltener abstürzen.

Die aktuelle Version 60 des Thunderbird basiert erstmals auf der neuen Firefox-Quantum-Engine. Das Projekt erhält damit ein überarbeitetes Aussehen und Webextensions. Das Team hat außerdem den Umgang mit Anhängen und den Kalender überarbeitet.

Die Betaversion 69 von Googles Chrome-Browser enthält einen Decoder für den neuen freien Videocodec AV1. Das Team liefert außerdem die Unterstützung für eine neue Art von Hardwareschlüssel, aktiviert den Bild-in-Bild-Modus für Videos und CSS umfließt Display-Notches.

Mit einem eigenen Hardwareschlüssel, dem Titan Security Key, will Google ähnlich wie mit den bekannten Yubikeys den Zugriff seiner Kunden auf die Cloud absichern. Der Hardwareschlüssel zur Zwei-Faktor-Authentifizierung soll später für alle im Google Store angeboten werden.

iPhone-Nutzer können die One-Time-Passwort-Funktion des Yubikey nutzen, um sich bei einer Applikation anzumelden. Als erster Hersteller unterstützt der Passwortmanager Lastpass das neue Software-Development-Kit.

Die aktuelle Version 60 Firefox bringt die Beschleunigung des Projekts Quantum auch auf die Variante mit Langzeitsupport und auf Android. Außerdem gibt es eine bessere Enterprise-Unterstützung, Web-Authentication und wieder Neuerungen in der Tab-Ansicht.

Die Anmeldung über Fido2-Systeme wird bald nativ in Windows Hello unter Windows 10 unterstützt. Das System befindet sich noch in einer Testphase, die mit Wartelisten arbeitet.

Mozilla will die Nutzung von Zwei-Faktor-Authentifizierung erhöhen und aktiviert in Firefox 60 die Webauthentication-API standardmäßig. Noch gebe es allerdings keine fertigen Bibliotheken, die Entwickler nur einbinden müssten.

Yubico bietet ein Hardware-Security-Modul für kleinere Unternehmen an, die nicht Hunderte Schlüssel sicher verwahren müssen. Der Schlüssel im Nano-Format verschwindet fast vollständig im USB-Port.