Passwort

Mit einfachsten Mitteln können aus Routern von D-Link Zugangsdaten ausgelesen oder Code ausgeführt werden. Die Sicherheitslücken wurden veröffentlicht, Patches jedoch nicht.

Die neue Bundesbehörde Zitis sucht immer noch händeringend nach Hackern. Von den geplanten Haushaltsmitteln sollen Hochleistungsrechner angeschafft werden, um Verschlüsselung zu knacken.

Besitzer eines mit Face ID gesperrten iPhones können in den USA zum öffnen ihres Gerätes gezwungen werden. Mit jedem Blick von Polizisten schwinden jedoch die Login-Versuche.

Seit mehreren Monaten ist die umstrittene BSI-Richtlinie zur Sicherheit von Heimroutern überfällig. Laut BSI-Chef Schönbohm ist sie längst fertig und soll ein "Mindesthaltbarkeitsdatum" für Software und 19 andere Kriterien enthalten.

Ein warnender Anruf der Bank unter der echten Telefonnummer kann auch Menschen mit technischem Hintergrund zur Preisgabe sensibler Daten bringen. Der Journalist Brian Krebs berichtet von mehreren Fällen.

Kalifornien verabschiedet ein Gesetz, das Standardpasswörter verbietet. Das ist ein Schritt in die richtige Richtung, denn es setzt beim größten Problem von IoT-Geräten an und ist leicht umsetzbar.
Ein IMHO von Hanno Böck

Ein kürzlich verabschiedetes Gesetz in Kalifornien soll für mehr Sicherheit bei vernetzten Geräten sorgen. Der wichtigste Punkt: Geräte müssen entweder einmalige Passwörter haben oder die Nutzer bei Inbetriebnahme zum Passwortwechsel zwingen.

Wer MacOS Mojave als bloßes Designupdate sieht, liegt falsch. Neben Neuerungen wie dem Dark Mode bringt Apples neues Betriebssystem vieles, was die Produktivität der Nutzer steigern kann - sofern sie sich darauf einlassen.
Ein Test von Andreas Donath

Golem.de-Wochenrückblick Microsoft stellt auf der Ignite 2018 seine Pläne für die Azure-Cloud vor, Fotografen erfahren auf der Photokina etwas über ihre Aussichten und Xiaomi zeigt, dass Topsmartphones doch billig sein können.

Ignite 2018 Ohne Passwort in Active Directory anmelden: Microsoft will das Passwort dringend loswerden und bietet seine Alternativen für diverse Azure-Dienste an. Der Grund: Passwörter sind für Microsoft wenig praktisch.

Nach Tests im Sommer ist der Firefox Monitor allgemein verfügbar. Der Dienst ist eine Kooperation mit dem Sicherheitsforscher Troy Hunt. Nutzer sollen mit dem Werkzeug über Hacks ihrer Daten informiert werden.

Teuer, in der Regel nicht mit 4K und erst recht nicht mit Mehrkanalton oder HDR - so ist das Premiumangebot von Sky im Jahr 2018.
Ein Test von Michael Wieczorek

Mit aktivierter Handschriftenerkennung liest Windows Texte aus Dateien auf der Festplatte aus und speichert sie unter WaitList.dat ab. Auch gelöschte Dateien sind so wieder herstellbar.

Das neue Webauthn-Protokoll soll sichere Logins ohne Passwörter ermöglichen. Doch ein Security-Audit bescheinigt den bisherigen Implementierungen in Chrome, Firefox und Edge angreifbare Kryptographie.

Golem.de-Wochenrückblick Netzaktivisten verlieren im EU-Parlament, Knuddels verliert Nutzerdaten, Lara Croft erlebt sogar die Apokalypse - und Apple stellt Geräte vor.

Ein alter Angriff neu durchgeführt: Forschern ist es gelungen, den Schutzmechanismus gegen die zehn Jahre alte Cold-Boot-Attacke zu umgehen. Angreifbar sind eingeschaltete verschlüsselte Rechner.

Welche der deutschen Single-Sign-on-Lösungen ist am vielversprechendsten? Golem.de erläutert die Unterschiede zwischen Verimi, NetID und ID4me.
Eine Analyse von Monika Ermert

Das Datenleck beim Chatanbieter Knuddels ruft nun auch die Aufsichtsbehörden auf den Plan. Nach der Datenschutz-Grundverordnung sind hohe Bußgelder möglich.

In der vergangenen Woche wurden fast zwei Millionen Zugangsdaten von Knuddels geleakt. Die Speicherung der Passwörter im Klartext sollte der Sicherheit der Mitglieder dienen. Die Schwachstelle steht möglicherweise fest.

Schwere Sicherheitslücke beim Chat-Anbieter Knuddels: Im Internet sind gehackte Daten von 1,8 Millionen Nutzern aufgetaucht. Die Passwörter sind im Klartext zu lesen, bestimmte Accounts wurden deaktiviert.

Bösartiger Code in der Chrome-Erweiterung des Filehosters Mega greift Zugangsdaten ab. Die Erweiterung wurde automatisch über den Chrome Web Store verteilt. Mittlerweile steht ein Update bereit.

Mit der aktuellen Version 62 des Firefox-Browsers können Nutzer schnell den Trackingschutz aktivieren sowie Cookies und Webseitendaten löschen. Die Ansicht für den neuen Tab lässt sich weiter individualisieren und das Erstellen von Lesezeichen wird schöner.

Das IBM Model M ist zu klobig, MX-Blue-Schalter sind zu laut: Es muss eine schlanke Flachtastatur sein. Ein Redakteur geht auf sein persönliches Abenteuer und testet das Microsoft Modern Keyboard mit Fingerprint ID.

Die Videoplattform Dailymotion muss ein Bußgeld für den unzureichenden Schutz von über 80 Millionen E-Mail-Adressen bezahlen. Ein im Github-Repository des Unternehmens veröffentlichtes Admin-Passwort hatte Hackern 2016 Tür und Tor geöffnet.

Dirty Harry und seine Kollegen sind anscheinend wieder zurück: Die Verbraucherzentrale berichtet von vermehrten Betrugsversuchen durch angebliche Microsoft-Support-Mitarbeiter und gibt Tipps im Umgang mit diesen. Hilfreich: ein gesunder Menschenverstand.

Obwohl es 2017 weniger Fälle geleakter Zugangsdaten gab, blüht der Handel mit E-Mail-Adressen und Passwörtern wie eh und je. Das funktioniert auch deswegen so gut, weil Nutzer noch immer ein und dasselbe Passwort für verschiedene Konten verwenden.

Mit der Sommer-Release-Version Owncloud 10.0.9 bringt die Dateimanagement-Plattform neue Funktionen wie sogenannten Pending Shares. Mit der Integration des S3-Objekt-Stores macht Owncloud auch eine bislang für Enterprise-Kunden vorbehaltene Funktion der Allgemeinheit zugänglich.

Das Test-Pilot-Programm von Mozilla, mit dem sich neue Funktionen des Firefox-Browsers testen lassen, hat das Unternehmen nun auch für die mobilen Browservarianten für Android und iOS erweitert. Dazu gehört eine Notiz-App für Android und ein Passwortspeicher für iOS.

Um Nutzer besser gegen Angriffe wie Spectre zu schützen, nutzt der Chrome-Browser nun standardmäßig eine strikte Isolierung von Webseiten. Bisherige Änderungen an Javascript gegen Spectre sollen aufgehoben werden. Das Team will gegen weitere Angriffsvektoren vorgehen.

Die auf Github gespiegelten Quellen der Linux-Distribution Gentoo sind vergangene Woche kurzzeitig von Angreifern übernommen worden. Diese waren demnach eher rabiat als vorsichtig. Das Team nutzt jetzt eine Zweifaktorauthentifzierung.

Die Wi-Fi Alliance hat mit WPA3 einen neuen Verschlüsselungsstandard für drahtlose Netze vorgestellt. Darin werden einige Macken von früheren Standards ausgebessert, wie etwa Offline-Passwort-Angriffe unterbunden und Forward Secrecy eingeführt.

Nutzer sollen schneller erfahren, wenn ihre Passwörter bei einem Datenleck in falsche Hände geraten sind. In Kooperation mit dem Sicherheitsexperten Troy Hunt soll es künftig das neue Browser-Tool Firefox Monitor geben.

Rund 92 Millionen Nutzerdaten von einem Dienst zur Ahnenforschung sind unberechtigt kopiert worden. Die Passwörter liegen jedoch nur gehasht vor. Das Unternehmen verarbeitet auch DNA-Informationen.

Ein junger Kanadier ist in den USA wegen seiner Beteiligung am Hack von 500.000 Yahoo-Nutzerkonten verurteilt worden. Er soll Profile ausspioniert und die Informationen an den russischen Geheimdienst weitergegeben haben.

Der japanische Roboter Pepper ist nicht sicher: Er kann aus der Ferne gesteuert werden, weil er keine Authentifzierung von Befehlen vornimmt. Außerdem gibt es stark veraltete Software und weitere Sicherheitsprobleme.

Mehr Sicherheitslücken in CPUs von Intel und AMD: Neue Seitenkanalangriffe ermöglichen das Auslesen von Registern und Ergebnissen der Sprungvorhersage. AMD und Intel haben Patches entwickelt, halten diese aber offenbar nicht für dringend notwendig.

Erneut haben Chrome-Erweiterungen zahlreiche Rechner infiziert. Sie führten Klickbetrug durch, kopierten Passwörter und schürften ohne Erlaubnis Kryptowährungen.

Bei Github wurden Passwörter versehentlich im Klartext gespeichert. Kurze Zeit später meldete Twitter ein ähnliches Problem. Es gibt keinen Hinweis darauf, dass dadurch Nutzer gefährdet wurden. Trotzdem gingen die Firmen damit transparent um - richtig so!
Ein IMHO von Hanno Böck

Die mehr als 330 Millionen Nutzer von Twitter sollen ihr Passwort ändern: Wegen eines internen Sicherheitsfehlers wurden Passwörter im Klartext angelegt, Mitarbeiter des sozialen Netzwerks oder Hacker könnten sie abgegriffen haben.

Die von Google angekündigte Top-Level-Domain .app soll Apps und ihren Entwicklern eine Präsentationsplattform bieten, die einfach zu finden ist. Interessant ist, dass darauf gehostete Seiten HTTPS voraussetzen. Erste Partner gibt es schon.

Wissenschaftliche Dokumente und Dissertationen: Iranische Hacker haben Zugang zu Daten von mehreren deutschen wissenschaftlichen Instituten erhalten. Die Spur führt zum Mabna-Institut in Teheran - eine Einrichtung, die bereits öfter in den Medien auftauchte.

Die Bundesregierung hat erläutert, wie das Bundeskriminalamt und die Zollverwaltung versuchen, Passwörter herauszufinden oder Verschlüsselung zu brechen.

Auf Twitter hat sich ein Nutzer bei T-Mobile Österreich darüber beschwert, dass dort offenbar Kundenpasswörter im Klartext gespeichert werden. Wir fanden ein weiteres gravierendes Sicherheitsproblem bei der Telekom-Tochter durch öffentlich zugängliche Git-Repositories mit Datenbankpasswörtern.

Nach dem letzten Problem rund um die Klartextspeicherung von Passwörtern zu verschlüsselten APFS-Datenträgern stellt sich nach weiteren Untersuchungen heraus, dass die Passwörter mit 10.13.4 weiter lesbar sind. Die Passwörter verbleiben auch nach dem Patch in den Logs.

Apple hat mit 10.13.4 ein Update für MacOS High Sierra veröffentlicht, das zwar nach wie vor 32-Bit-Anwendungen ausführt, aber vor ihnen warnt, einen Chatkanal für Firmen eröffnet und Fehler behebt.

Troopers 2018 Ein Hersteller von Yacht-Vernetzungssystemen hat offenbar nicht auf die Sicherheit geachtet. So wurden Konfigurationsdateien mit Passwörtern über eine unverschlüsselte FTP-Verbindung übertragen.

Über eine bezahlte Studie haben Nutzer eine App installiert, welche die Daten ihrer Facebook-Profile und die der Facebook-Kontakte sammelte. Ein Analysetool konnte dann ihre Vorlieben und Ängste vorhersehen. Trump konnte das wohl zu seinem Vorteil nutzen. Ein Gründer von Cambridge Analytica verriet Details.

Ein Problem in der Browser-Extension des eigenen Passwortmanagers ist für den Hersteller Keeper nur eine "potentielle" Sicherheitslücke - ein Begriff, der so nicht existiert. Sicherheitsforscher haben außerdem ein neues Problem bei Keeper Security entdeckt.

Die Laptops von Purism legen einen Fokus auf Sicherheit und freie Software. So deaktiviert der Hersteller auf seinen Geräten unter anderem Intels Management Engine und nutzt die freie Firmware Coreboot. Künftig integriert die Firma auch die TPM-Firmware Heads.

Bei HaveIBeenPwned können Nutzer aktuell rund eine halbe Milliarde Passwort-Hashes herunterladen. Damit könnten sie Dienste in die Lage versetzen, geleakte Passwörter abzulehnen.