Troy Hunt hat einen nicht unumstrittenen Artikel über die Nutzung von Touch ID und Face ID geschrieben, in dem er für einen äußerst pragmatischen Zugang zum Thema Sicherheit argumentiert. Touch ID and Face ID are so frictionless that they remove the usability barrier PINs post. Weiterlesen

Backblaze verzeichnet erhöhte Zugriffe auf die Loginbereiche und empfiehlt seinen Kunden, die Passwörter zu ändern und die Zwei-Faktor-Authentifizierung zu aktivieren. Over the last 72 hours, our security team has noticed an increase in automated attempts to log into our users’ accounts using credentials stolen from other websites. Weiterlesen

Matthew Green spricht in mehreren Tweets aus, was jeder Nutzerin und jedem Nutzer von Gratis-Services und vordergründig kostenlosen Speicherplatzes klar sein muss: Die Sicherheit der dort gespeicherten Daten ist nur solange gewährleistet, solange sich die Firma Sicherheit finanziell leisten kann. Weiterlesen

Zwei-Faktor-Authentifizierung (2FA) ist kein endgültiger Schutz davor, gehackt zu werden, wenn nicht die Sicherheit jedes einzelnen Glieds der Authentifizierungskette gewährleistet ist. In Grant Blakemans Fall (sein Instagram-Konto wurde übernommen) scheint der Hack seinen Ausgang beim Telefonie-Anbieter (!) genommen zu haben. Weiterlesen

Letzten Freitag wurde eine Sicherheitslücke in praktisch allen gegenwärtigen Apple-Betriebssystemen bekannt, die ohne zu übertreiben als Desaster bezeichnet werden kann: iOS und OS X akzeptierten verschlüsselte Verbindungen ohne die Gegenstelle zu prüfen. Mittlerweile ist die Lücke geschlossen, das Problem aber nicht behoben, denn… If you have ever accessed a network with any of these [operating systems] on any of your devices, or used a service served by one of the affected systems […] the impact is that all passwords and authentication keys […] that have been transferred at least once should be considered compromised. Weiterlesen

Ö1 Digital Leben hat über das Geschäftsmodell Wirtschaftsspionage berichtet, das mittelständischen Unternehmen am meisten schadet. Was mir bislang nicht klar war, ist die Bewertung und Einordnung von privater oder staatlicher Wirtschaftsspionage in den Rechtskodex anderer Staaten. Weiterlesen

Martin Leyrer findet Unsicherheit in Georg Holzers Futurezone-Artikel „Wie man WordPress sicher installiert„. Folgt man nämlich Holzers Installationsanleitung, werden die Login-Daten unverschlüsselt vom Browser an den Server übertragen. Schade, dass dem Video keine Anleitung zur Installation und Konfiguration von WordPress mit SSL folgt… aber was noch nicht ist, kann ja noch werden. Weiterlesen

Im an sich wohlklingenden Statement Apples zur Consumer Privacy wird die Ende-zu-Ende-Verschlüsselung von iMessage (und FaceTime) als unknackbar präsentiert. For example, conversations which take place over iMessage and FaceTime are protected by end-to-end encryption so no one but the sender and receiver can see or read them. Weiterlesen

Ein Online-Generator, der zeigt, wie lange ein durchschnittlicher Heimcomputer (4 Milliarden Rechenoperationen in der Sekunde) fürs Erraten eine Passwortes benötigt: howsecureismypassword.net. Passwort Stellen Dauer 1 1 0.0000000025 Sekunden a 1 0.0000000065 Sekunden ! 1 0.0000000037 Sekunden 12345678 8 Sofort, weil bekanntes Passwort qwertzui 8 Sofort, weil bekanntes Passwort Mj_e4T-x 8 3 Tage !“§$%&/( 8 208 Tage 1234567891234567 16 28 Tage abcdefghijklmnop 16 345 Tausend Jahre Abcdefghijklmnop 16 22 Milliarden Jahre Ich brauche ein gutes Passwort! Weiterlesen

Warum Passwörter nicht verschlüsselt in Datenbanken gespeichert werden sollten (sondern gar nicht!) und wie man mit einem Schuh, einem Stift und einem Blatt Papier Passwörter, Hashing und Salting erklären kann. Wer es jetzt verstanden hat, liest gleich nochmal nach, warum Passwörter immer leichter zu knacken sind. Weiterlesen

Ein herrlich informativer, schrecklich beängstigender und den Glauben an selbst ausgedachte (aber dennoch „gute“) Passwörter auf ein Minimum reduzierender Artikel auf ars technica: Why passwords have never been weaker – and crackers have never been stronger. Weiterlesen

Wieder ein Aspekt aus dem Hack in Mat Honans Onlinekonten: Während des Wiederherstellungsprozesses seiner Daten bemerkte er, dass man den Zugang zur Datendatei von 1Password (oder jedem anderen Passwortmanager) dann doch verfügbar haben sollte… I’m a heavy 1Password user. Weiterlesen

Mat Honan erklärt nun, wie es Hackern gelang in sein iCloud- und in sein Google Konto zu gelangen. Zwei unterschiedliche Sicherheitssysteme, in dem Fall das von Amazon und jenes von Apple, haben sich gegenseitig ausgespielt. Apple tech support gave the hackers access to my iCloud account. Weiterlesen

Es macht keinen Sinn, seinen sicheren Passcode auf iPhone oder iPad gegen einen einfachen (zB: eine 4-stellige PIN) auszutauschen, dafür aber die Option „Daten löschen“ zu aktivieren, denn diese Option ist bei einem realen Angriff irrelevant: The attack of the sort used by XRY gets beneath the software that would keep that count of attempts, so „Erase after N failed attempts“ does not protect against this kind of attack. Weiterlesen

Das renommierte Fraunhofer-Institut hat die Sicherheit von Cloud-Speicherdiensten getestet und dabei erhebliche Mängel bei Dropbox, Mozy, Crashplan, Wuala und Co. festgestellt. Keiner der getesteten Anbieter konnte die Sicherheitsanforderungen vollständig erfüllen, teilweise fehlte eine ordentliche Verschlüsselung. Weiterlesen

Was passiert, wenn Philip Zimmermann, ein vom Kalten Krieg geprägter ehemaliger Analyst amerikanischer Militärpolitik und Autor des E-Mail-Verschlüsselungsprogramms PGP, beschließt, sich der gegenwärtig immer stärker auf Datenleitungen (= Internet) verlagerten und damit zusehends leichter abhörbaren Telefonie anzunehmen? Weiterlesen

Max Mansick über die Sicherheit von E-Mails per se als das eigentliche Problem. There’s been some recent buzz about how it’s bad that Google is „reading“ the email of Gmail users. Google examines email algorithmically to power its targeted advertising in Gmail. Weiterlesen

Die New York Times berichtet über das Reisen nach China in Zeiten digitaler Spionage. When Kenneth G. Lieberthal, a China expert at the Brookings Institution, travels to that country, he follows a routine that seems straight from a spy film. Weiterlesen

Ben Gross, immer für fundierte Artikel zum Thema Sicherheit gut, plädiert für bessere Passwörter als Neujahrsvorsatz 2012. Was mich am meisten an seinem Beitrag schockiert, ist wie schnell Brute-Force-Attacken mittlerweile sein können. Realistically, it’s getting to the point where unless you have a pretty fantastic password, if your password is in a database of poorly hashed passwords then someone with a bit of time can discover it. Weiterlesen

Die Damen und Herren von agilebits (1Password) haben ein Follow-Up zum Thema sichere Passwörter geschrieben. Im Prinzip ist das die technische Erläuterung zu den Hintergründen des xkcd-Comics. Bevor man sich allerdings dem Follow-Up hingibt, empfiehlt sich die Lektüre des ersten Teils. Weiterlesen

Die Gibson Research Corporation hat einen Rechner online gestellt, mit dem man nicht die Komplexität eines Passworts („Password Strength“) herausfinden kann, sondern den Grad der Schwierigkeit, es zu erraten. Experimentiert man dort ein wenig herum, bestätigt sich, dass das Passwort „this is fun“ schwieriger zu erraten ist als „J4fS<2“. Weiterlesen

Passwörter, die nur aus Zahlen bestehen, werden selbst vom langsamsten Computer in etwas mehr als einem Tag erraten. Um jedoch Passwörter, die sich aus Groß- und Kleinbuchstaben, sowie Zahlen und häufigen Symbolen zusammensetzen, zu erraten, braucht selbst ein ganzes Rechnernetzwerk mindestens zweieinhalb Monate. Weiterlesen

Marc Ambinder über die Schwierigkeiten, Sicherheit im Internet politisch und rechtlich zu erfassen. We allow Google, Amazon.com, credit companies and all manner of private corporations to collect intimate information about our lives, but we reflexively recoil when the government proposes to monitor (and not even collect) a fraction of that information, even with legal safeguards. Weiterlesen

Do NOT follow this link or you will be banned from the site! Wo niemand klickt