Ketzerei!
Eine Forschergruppe von Microsoft und der kanadischen Carleton University behaupten in einer großen Forschungsarbeit, dass die Wiederverwendung von Passwörten keine Todsünde sei, sondern eine notwendige Strategie zur Verwaltung einer großen Menge von Online-Konten. Doch da bin ich skeptisch. Auf den ersten Blick scheint die Arbeit das konventionelle Wissen an den Pranger zu stellen. Doch eigentlich sprechen sich die Forscher für ein System mehrstufiger Passwörter aus, bei dem man diese zwar mehrfach verwendet, die stärksten Passwörter aber für die wichtigsten Konten, die schwächeren für weniger vertrauliche Daten genutzt werden.
Kein Zweifel, dass ein einzigartiges Passwort für jedes einzelne Online-Konto die sicherste Option ist. Allerdings ist das Erstellen neuer Passwörter für jedes Konto lästig und schwer durchzuhalten.
Die Forscher behaupten zudem, dass Passwort-Manager ebenfalls nicht perfekt sind. Der Grund dafür – wie Sie sich vorstellen können – ist, dass solche Tools einen einzigen Zugriffspunkt bieten, über den ein Angreifer Zugriff auf alle Passwörter des Opfers erlangen könnte.
Ich müsste lügen, wenn ich Ihnen sagen würde, dass ich für jedes einzelne Online-Konto ein eigenes Passwort nutze. Allerdings empfehle ich auf jeden Fall, starke und einzigartige Passwörter für all die Konten zu verwenden, die finanzielle oder andere vertrauliche Daten enthalten. Und Passwort-Manager bieten auf jeden Fall besseren Schutz als die meisten von uns den Passwörtern selbst bieten können.
Project Zero
Google hat ein Hacker-Team zusammengestellt, das Sicherheitslücken in Drittanbieter-Software und anderen Elementen des Internets beseitigen soll, die den Kunden und damit auch dem Geschäft von Google schaden. Wenn das Team Fehler findet, informiert es die entsprechenden Hersteller, hilft bei der Lösung der Probleme und veröffentlicht Informationen dazu. Das Team nennt sich Project Zero.
„Wir setzen dem Projekt keine bestimmten Grenzen und werden daran arbeiten, die Sicherheit jeder Software zu verbesssern, die von vielen Menschen genutzt wird, wobei wir die Techniken, Ziele und Motivationen der Angreifer im Auge behalten werden“, schrieb Chris Evens, langjähriger Security Engineer für Chrome und nun Chef von Project Zero. „Wir verwenden Standardmethoden wie das Orten und Weitergeben einer großen Zahl von Sicherheitslücken. Zusätzlich werden wir in den Bereichen, Schadensminderung, Exploitation und Programmanalyse forschen – und in allen anderen, bei denen unsere Forscher davon ausgehen, dass es sich lohnt.“
Verschlüsselter Apfel
Apple hat in der vergangenen Woche eine starke Verschlüsselung implementiert, als das Unternehmen ganz leise angefangen hat, so ziemich den ganzen E-Mail-Verkehr, der über die Server von iCloud.com, mac.com und me.com geht, zu verschlüsseln. Dieser Schritt errichtet eine dichte Barriere für Angreifer, die diese Übertragungen ausspionieren wollen.
Threatpost-Redakteur Dennis Fisher erklärt, dass das kein kleines Unterfangen ist:
„Apples Entscheidung, TLS-Verschlüsselung bei seinen E-Mail-Domains zu nutzen ist eine große Veränderung, da dies auf Server-Ebene passiert und die Anwender auf ihrer Seite nichts tun müssen, um die Sicherheit zu verbessern. E-Mail-Verschlüsselung auf dem Nutzer-PC ist eine notorisch nervige Angelegenheit und nur in individuellen Fällen effektiv. Wenn ein Anbieter von Apples Größe Verschlüsselung dieser Größenordnung bietet, kann das beim Schutz vor gut-finanzierten Angreifern einen ziemlichen Unterschied machen. Individuell verschlüselte E-Mails werden als gute Verteidigungsmaßnahme gegen manche Formen zielgerichteter Überwachung oder Angriffe gesehen, doch wenn große E-Mail-Anbieter wie Yahoo, Google oder Apple verschlüsselte Kommunikation bieten, kann das eine große Zahl Anwender schützen.“
Reparaturen
Wir haben bereits von Passwort-Managern gesprochen – und das beliebte Browser-basierte Passwort-Tool LastPass hat in der vergangenen Woche ein paar Sicherheitslücken geschlossen. Ein gut ausgebildeter Angreifer könnte diese Fehler ausgenutzt haben, um seine eigenen einmaligen Passwörter zu generieren, mit denen er auf die Konten der Opfer zugreifen könnte.
Google ändert seine Warnungen vor Schadprogrammen und Phishing. Statt einer weißen Warnung auf rotem Grund wird ab sofort die ganze Seite rot sein und oben ein großes X dargestellt werden. Sowohl die Warnung vor Schadprogrammen, als auch die Warnung vor Phishing-Seiten klären die Anwender auf, dass die folgende Seite versuchen könnte, gefährliche Programme auf dem Computer zu installieren oder den Anwender dazu zu bringen, vertrauliche Daten preiszugeben.
Cisco hat ebenfalls eine Sicherheitslücke geschlossen, und zwar in seinem drahtlosen Wohnungs-Gateway, während Google ein Update für Chrome for Android veröffentlicht hat, das das Problem der URL-Fälschung löst.
Die #Sicherheits-Schlagzeilen der Woche mit @TheBrianDonohue von @Kaspersky Lab
Tweet