Schlagwort: Passwort

Instagram gesteht Datenpanne ein

19. November 2018

Bei der Abfrage der bei Instagram gespeicherten Daten haben Nutzer auch ihr Passwort unverschlüsselt sehen können.

Im Zuge der DSGVO-Umsetzung hat Instagram die „Download your data“-Option eingeführt. So konnten Nutzer eine Übersicht der über sie bei Instagram gespeicherten Daten bekommen. Bei der Abfrage war allerdings auch das Passwort ausgeschrieben in der URL im Browser sichtbar. Dies bedeutet, dass die Passwörter unverschlüsselt auf dem Server gespeichert waren, was die Sicherheitsstandards von Instagram in Frage stellt.

Nach dem Instagram das Problem aufgefallen ist wurde es direkt behoben. Nach eigenen Angaben seien nur wenige Nutzer betroffen. Die Betroffenen wurden informiert und gebeten ihre Passwörter zu ändern.

Ungeklärt bleibt, wie lange dieses „Datenleck“ bereits bestand und warum nur einige Nutzer betroffen sein sollten und nicht alle.

Unbekanntes Risiko bei der Eingabe von Passwörtern aufgedeckt

18. Juli 2018

Kalifornische Wissenschaftler haben einen neuen Weg gefunden, Passwort-Eingaben auslesen zu können, ohne eine spezielle Software auf dem System installieren oder in das Netzwerk des Unternehmens eindringen zu müssen.

Ausreichend ist eine Wärmebildkamera, mit der die Tastatur gefilmt wird. Die Wissenschaftler der Universität von Kalifornien haben festgestellt, dass bis zu einer Minute nach Eingabe der Passwörter die gedrückten Tasten noch zu erkennen seien, insbesondere dann, wenn die  Nutzer die nur mit zwei Fingern statt mit dem Zehn-Finger-System schreiben. In diesen Fällen sind die Wärmeabdrücke bei dieser langsameren Eingabemethode häufig größer und damit für Angreifer einfacher wieder herzustellen.

Die Gefahr ist deshalb so groß, da kein besonderes Fachwissen für die Erkennung der Eingabe notwendig ist und selbst Laien nach einer kurzen Einweisung aus den Bildern auf korrekte Eingabe von Passwort-Fragmenten schließen konnten. Außerdem sei diese Technik unkompliziert und deutlich günstiger als andere Angriffsversuche auf die Infrastruktur eines Netzwerkes. Es ist lediglich eine freie Sicht mit der Kamera auf die Tastatur erforderlich.

Bei dieser Passwort-Rekonstruktion spielen die Stärke des Passworts und andere Maßnahmen, wie etwa spezielle Filter, die den Blick auf den Bildschirm erschweren, keine Rolle mehr.

Um nicht Opfer dieser neuen Methode zu werden, empfehlen die Wissenschaftler nach der Eingabe von sensiblen Informationen mit der Hand über die Tastatur zu streichen oder willkürliche Tastenkombinationen einzugeben. Eine weitere Möglichkeit bestünde in der Nutzung einer Bildschirmtastatur.

Diese neue ungewöhnliche Methode für das Ausspähen von Tastatureingaben zeigt auf, dass Passwörter eine Schwachstelle in jedem Sicherheitskonzept darstellen.

Die Zwei-Faktor-Authentifizierung würde eine größere Sicherheit bieten, da diese Möglichkeit den Zugriff auf ein System nicht von der Eingabe eines Passworts abhängig macht.

 

Kategorien: Allgemein · Hackerangriffe
Schlagwörter: , ,

Millionenfacher Datendiebstahl bei Yahoo

23. September 2016

Wie Yahoo gestern abend mitteilte, wurden etwa 500 Millionen Nutzer-Accounts von Unbekannten gestohlen. Bei den vom Zugriff betroffenen Daten handelt es sich wohl um Namen, E-Mailadressen, Telefonnumern und Geburtsdaten.

Auch wenn die Nachricht von gestern abend, 22.09.2016, stammt, fand der Diebstahl wohl bereits 2014 statt. Yahoo hat nun an alle betroffenen Nutzer entsprechende informatorische E-Mails versandt mit dem Hinweis, ihr Passwort so schnell wie möglich zu ändern. Zwar seien die Passwörter wohl nach wie vor verschlüsselt gewesen und keinerlei Bankdaten betroffen. Da jedoch auch Sicherheitsfragen nebst deren Antworten für die Angreifer abrufbar waren, können somit nicht nur die Nutzer sondern auch die Angreifer die Passwörter ändern oder zurücksetzen.

Die betroffenen Nutzer sollten nun nicht nur ihr Yahoo Passwort, sondern auch alle anderen Passwörter ändern. Kritisch ist insbesondere die Nutzung eines Passworts für mehrere Konten, ebenso wie die gleichen Antworten auf die häufig genutzten Sicherheitsabfragen.

Immer wieder sind insbesondere Internetplattformen von Angriffen dieser Art betroffen. Allen Nutzern wird empfohlen, ein möglichst sicheres Passwort zu verwenden und verschiedene Passwörter für die unterschiedlichen Nutzerkonten zu verwenden.

Vermeiden Sie diese „schlechtesten Passwörter“

21. Januar 2015

SplashData, ein amerikanisches IT-Unternehmen, das vor allem auch im Bereich Passwort-Management-Anwendungen tätig ist, hat jetzt eine Liste mit den 25 schlechtesten Passwörtern veröffentlicht. Für die Untersuchung wurden Dateien mit mehr als 3,3 Millionen Passwörtern aus dem Jahr 2014 ausgewertet.

Auf den ersten beiden Plätzen dieser Liste stehen so geistreiche Ideen wie „123456“ und „password“ – beachten Sie einfach die folgenden Hinweise und lassen Sie sich so Ihr Passwort weniger leicht „knacken“:

1. Länge: Ein Passwort muss mindestens 8 Zeichen enthalten.
2. Komplexität: Das Passwort muss jeweils mindestens ein Zeichen aus den folgenden vier Kategorien enthalten:

  • Ein großgeschriebener Buchstabe (A–Z)und
  • ein kleingeschriebender Buchstabe (a-z) und
  • eine Zahl (0-9) oder
  • ein nicht-alphanumerisches Zeichen (zum Beispiel: !$#,%)

3. Maximale und minimale Gültigkeit: Passwörter sind höchstens einmal pro Tag und mindestens alle 90 Tage zu ändern.
4. Historie: Neue Passwörter sollten Sie so wählen, dass sie nicht aus den vorherigen Passwörtern hergeleitet werden können.
5. Name: Passwörter sollten auf keinen Fall den Namen des jeweiligen Nutzers ganz oder in Teilen enthalten.
6. Geheimhaltung: Teilen Sie Ihr Passwort niemandem mit und schreiben Sie es möglichst nicht auf!

 

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter: ,

Massenhaft E-Mail-Adressen samt Passwörtern geknackt

22. Januar 2014

Bei der Analyse von Botnetzen wurden 16 Millionen gestohlene digitale Identitäten entdeckt, wie das Bundesamt für Sicherheit in der Informationstechnik berichtet. Das BSI hat eine Seite eingerichtet, auf welcher geprüft werden kann, ob der eigene Account betroffen ist, indem der Nutzer seine E-Mail-Adresse dort eingibt. Bei einem Treffer erhält der Nutzer eine Nachricht per Mail an die angegebene Adresse.

Vorsicht bei automatischer Passwortspeicherung im Rahmen von BYOD

23. Juli 2013

Bring Your Own Device erfreut sich immer größerer Beliebtheit – nicht mehr nur bei jüngeren Arbeitnehmern und Jung-Unternehmen. Praktischerweise wird es Mitarbeitern gestattet, dienstliche Arbeiten an ihren privaten Endgeräten wie Notebook, Tablet oder Smartphone durchzuführen. Hierzu haben die Anwender in der Regel diverse Zugriffe u.A. auf das Netzwerk ihrer Firma. Während die Unternehmen selbst viel Geld und Aufwand in den Schutz ihrer Firmen-Daten investieren, wird es Privatanwendern immer leichter gemacht, die Fülle ihrer Passwörter und Log-in-Daten zentral zu speichern. Allen voran auf Geräten von Apple und Google (Android) sind dergleichen Features sehr beliebt, liegt doch der rein praktische Nutzen aufgrund der Unüberschaubarkeit von Anmeldedaten und deren außerordentliche Präsenz auf dem IT-Markt auf der Hand.

Doch genau hier wird es problematisch: Speichert ein privater Anwender im Rahmen von BYOD Firmen-Passwörter oder Log-in-Daten bei Apple, Google & Co., ist nicht mehr unbedingt sichergestellt, was mit diesen Daten geschieht. Legt man nun die jüngsten Fälle von Datenweitergabe an die NSA zugrunde, woran auch Google beteiligt war, und hält man sich vor Augen, dass die NSA nicht nur im Rahmen von Terrorabwehr tätig ist, sondern auch schon mit Fällen der Wirtschaftsspionage in Verbindung gebracht wurde, erscheint das praktische zentrale Passwort-Speichern in einem völlig neuen Licht, so Heise.

Anwender wie auch Arbeitgeber, die ihren Mitarbeitern BYOD gestatten, sollten hier besonders achtsam sein. Das Rechenzentrum der Universität Passau beispielsweise erklärt in seinen Benutzerbedingungen ihren Anwendern ausdrücklich, dass die Weitergabe von Passwörtern an Dritte verboten sei. Das gelte laut Heise auch dann, wenn dies durch automatisches Speichern geschieht. Somit liegt die Hauptverantwortung beim Benutzer. Schließlich liegt es in seinem Verantwortungsbereich, entsprechende Einstellungen an seinem Endgerät vorzunehmen, und zwar bevor er bestimmte Anwendungen damit durchführt.

Doch wichtig ist nicht nur, Anwender auf etwaige Gefahren hinzuweisen und durch Policys mögliche Haftungsfragen im Vorfeld zwischen Arbeitgeber und Arbeitnehmer hin und her zu schieben, sondern ganz explizit Anwendungshilfen mit auf den Weg zu geben. Hier hilft es oft nicht, dass es ja der Anwender ist, der die Möglichkeit hat, die Einstellungen seines Gerätes selber anzupassen. Ein ausgewogenes Datensicherheitskonzept, BYOD-Programme, Seminare und Schulungen, aber auch spezielle Software kann hier bereits im Vorfeld dafür sorgen, dass es gar nicht erst zu Konflikten kommt.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter: , ,