Mythen und Fakten über WordPress-Security

Hier klicken, um den Inhalt von VideoPress anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von VideoPress.

securitycheckli.st#

Die securitycheckli.st ist eine ziemlich gute Quelle für Software- und Verhaltenshinweise zum Thema Online-Security. Mir gefällt, dass die Tipps kommentiert sind und es interessante „Mehr zum Thema“-Links für jedes einzelne Kapitel gibt. – Eigentlich erinnert mich diese Liste an eine Hochglanzversion einer Cryptoparty. Schade, dass die nicht mehr so populär sind wie früher.

Touch ID und Face ID sind in Ordnung, nutzt sie!#

Troy Hunt hat einen nicht unumstrittenen Artikel über die Nutzung von Touch ID und Face ID geschrieben, in dem er für einen äußerst pragmatischen Zugang zum Thema Sicherheit argumentiert.

Touch ID and Face ID are so frictionless that they remove the usability barrier PINs post. There’s a good reason Apple consistently shows biometric authentication in all their demos – because it’s just such a slick experience.

The majority of negative commentary I’m seeing about Face ID in particular amounts to „facial recognition is bad“ and that’s it. Some of those responses seem to be based on the assumption that it introduces a privacy risk in the same way as facial tracking in, say, the local supermarket would. But that’s not the case here; the data is stored in the iPhone’s secure enclave and never leaves the device:

Oder, zusammengefasst in nur einem einzigen Tweet:

Hier klicken, um den Inhalt von Twitter anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von Twitter.

Logins nicht mehrfach verwenden. Heute: Backblaze.#

Backblaze verzeichnet erhöhte Zugriffe auf die Loginbereiche und empfiehlt seinen Kunden, die Passwörter zu ändern und die Zwei-Faktor-Authentifizierung zu aktivieren.

Over the last 72 hours, our security team has noticed an increase in automated attempts to log into our users’ accounts using credentials stolen from other websites. […] we live in an era where companies have been breached and their customers’ credentials have been leaked – Dropbox, Adobe, and LinkedIn are just a few, high profile examples. What happens in these attacks is that the attacker acquires “the Dropbox list” and simply tries those usernames and passwords on another site. If your credentials were leaked in one of those hacks and you used the same username/password combination to sign up for other services (such as ours), you are vulnerable.

Die Wiederverwendung von Logindaten bei mehreren Services ist fahrlässig. Punkt.

Datensicherheit ist die Ausnahme

Matthew Green spricht in mehreren Tweets aus, was jeder Nutzerin und jedem Nutzer von Gratis-Services und vordergründig kostenlosen Speicherplatzes klar sein muss: Die Sicherheit der dort gespeicherten Daten ist nur solange gewährleistet, solange sich die Firma Sicherheit finanziell leisten kann.

Gehackt trotz Zwei-Faktor-Authentifizierung#

Zwei-Faktor-Authentifizierung (2FA) ist kein endgültiger Schutz davor, gehackt zu werden, wenn nicht die Sicherheit jedes einzelnen Glieds der Authentifizierungskette gewährleistet ist. In Grant Blakemans Fall (sein Instagram-Konto wurde übernommen) scheint der Hack seinen Ausgang beim Telefonie-Anbieter (!) genommen zu haben.

I had two-factor authentication turned on for Google […] I use 1Password and passwords I use to each service are painfully-long, complex, and unique. [Mat Honan] suggested that I check with my cell phone provider and make sure that call-forwarding had not been enabled on my number without me knowing. […] I called, and sure enough, as of Saturday morning my number had been forwarded to a number I did not recognize. Unreal. So, as far I can tell, the attack actually started with my cell phone provider, which somehow allowed some level of access or social engineering into my Google account, which then allowed the hackers to receive a password reset email from Instagram, giving them control of the account.

Nota bene: Authentifizierungs-SMS abschalten, Authentifizierung per App einschalten.

„Ungewollter Informationsabfluss“ bei KMUs#

Ö1 Digital Leben hat über das Geschäftsmodell Wirtschaftsspionage berichtet, das mittelständischen Unternehmen am meisten schadet. Was mir bislang nicht klar war, ist die Bewertung und Einordnung von privater oder staatlicher Wirtschaftsspionage in den Rechtskodex anderer Staaten. Dazu befragt, antwortete Walter Karl, Sicherheitsexperte bei IBM:

Wenn sie sich die Frage stellen, wieviele Länder sehen Wirtschaftsspionage als Straftat, weltweit, dann sind es 3 Stück. Das ist Deutschland, Österreich und Schweiz. Und in jedem anderen Land ist es teilweise so, dass Wirtschaftsspionage als „Wirtschaftsunterstützung“ bewertet wird, das heißt, dass sogar die Firmen animiert werden, Regierungsstellen zu nutzen, sich Daten beschaffen zu lassen, die ihnen helfen, in der Wirtschaft konkurrenzfähig zu bleiben. Das heißt auch Datenklau, Datenspionage, Wirtschaftsspionage zu betreiben.

Toll, wenn ich vom IT-Betreuer einer Firma dann zu hören bekomme, dass ich mit meinen (automatisch generierten, nie außer im Passwort-Manager gespeicherten) mehr-als-zwanzigstelligen Passwörtern nicht „so übertreiben soll“, weil „wen interessieren diese Daten schon?“

WordPress nicht so ganz sicher installieren

Hier klicken, um den Inhalt von YouTube anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von YouTube.

Martin Leyrer findet Unsicherheit in Georg Holzers Futurezone-Artikel „Wie man WordPress sicher installiert„. Folgt man nämlich Holzers Installationsanleitung, werden die Login-Daten unverschlüsselt vom Browser an den Server übertragen.

Schade, dass dem Video keine Anleitung zur Installation und Konfiguration von WordPress mit SSL folgt… aber was noch nicht ist, kann ja noch werden.