Nach der allgemeinen
Beschreibung
der Zwei-Faktor-Authentifizierung geht es nun um bekannte
Implementierungen und Angriffe darauf. Ein praktisches Beispiel, wie man
eine Zwei-Faktor-Authentifizierung nicht implementieren sollte, hat
ja Twitter
geliefert,
aber es gibt noch weitere bekannte Beispiele für
Zwei-Faktor-Authentifizierungen und Angriffe darauf. Am bekanntesten ist
wohl die
Zwei-Faktor-Authentifizierung beim Onlinebanking
"Zwei-Faktor-Authentifizierung per SMS" vollständig lesen
Twitter hat eine optionale Zwei-Faktor-Authentifizierung
eingeführt.
Wenn die Zwei-Faktor-Authentifizierung, bei Twitter als "login
verification" bezeichnet, aktiviert ist, wird beim Einloggen eine SMS mit
einem sechsstelligen Code an eine zuvor angegebenen Telefonnummer
geschickt. Erst wenn dieser Code eingegeben wurde, ist der Zugriff auf den
Twitter-Account möglich. Leider ist diese
Zwei-Faktor-Authentifizierung bei weitem nicht so sicher, wie sie sein
sollte.
SMS mit doppelter Bedeutung
"Twitters Zwei-Faktor-Authentifizierung mit Haken und Ösen" vollständig lesen
Bisher kam man bei der Authentifizierung mit einem Faktor aus, der Eingabe
eines
Passworts.
Wer Benutzernamen und zugehöriges Passwort kannte, war mit ziemlich
hoher Wahrscheinlichkeit der entsprechende Benutzer. Inzwischen gibt es so
viele Möglichkeiten, Zugangsdaten auszuspähen, dass diese Annahme
nicht mehr zwingend richtig ist. Also muss der bisher verfolgte Ansatz
verbessert werden. Meist, indem ein zweiter Faktor hinzu genommen wird.
Aber bevor es darum geht, gibt es eine sehr allgemeine Einführung in
die Authentifizierung.
Authentifizierungsmethoden
"Authentifizierung: Ein Faktor reicht nicht (mehr)" vollständig lesen
Im
PHP Magazin 4.2013
ist ein Artikel über die Sicherheit von Git und insbesondere GitHub
erschienen.
Unter anderem geht es um zwei bekannte Schwachstellen bzw. Angriffe auf
GitHub und GitHubs Reaktionen darauf: Zum einen um den "Angriff" auf das
Public Key Update-Formular im März 2012, der sich schnell als Proof of
Concept für eine "Mass-Assignment"-Schwachstelle entpuppte. Und zum
anderen die im Januar 2013 über die neue Code-Suche entdeckten
sensitiven Informationen wie zum Beispiel private SSH- und
SSL-Schlüssel.
Und hier noch die Links und Literaturverweise aus dem Artikel:
"Drucksache: PHP Magazin 4.2013 - GitHub-Sicherheit" vollständig lesen
Heute gibt es mal wieder nur ein paar kommentierte Lesetipps: Zu
Schadsofware, zu SSL und zu
Googles Glass, Datenschutz und Privatsphäre
"Kommentare rund um Schadsoftware, SSL und Googles Glass" vollständig lesen
Im
ersten Teil
dieses zweiteiligen Artikels über Sinn und Zweck von Passwortregeln ging es
um das Aufschreiben von Passwörtern. Als nächstes geht es um das Wechseln
der Passwörter:
Passwörter regelmäßig wechseln
"Authentifizierung: Passwortregeln, Teil 2" vollständig lesen
Ein paar Worte zum Patch für die aktuelle 0-Day-Schwachstelle im
Internet Explorer 8 führt zum Schluss, dass Cyberkrieger
Cyberkriminelle unterstützen.
Ein Patch für die 0-Day-Schwachstelle im IE8?
"Cyberkrieger? Cyberkriminelle!" vollständig lesen
Microsoft hat ein FixIt-Tool für die 0-Day-Schwachstelle im Internet
Explorer 8 veröffentlicht. Und es gibt schon wieder eine
0-Day-Schwachstelle, diesmal in Coldfusion.
8. Mai: FixIt-Tool für IE 8 veröffentlicht
"FixIt für IE-0-Day veröffentlicht, neue 0-Day-Schwachstelle in ColdFusion gemeldet" vollständig lesen
Hier finden Sie eine Übersicht über die 2013 eingesetzten
0-Day-Exploits:
"Die 0-Day-Exploits 2013 im Überblick" vollständig lesen
Es gibt schon wieder eine 0-Day-Schwachstelle. Diesmal mal wieder im
Internet Explorer, allerdings nur in Version 8. Und wie die
0-Day-Schwachstelle
im Dezember 2012
wird auch diese Schwachstelle für Wasserloch-Angriffe ausgenutzt. Werfen
wir mal einen Blick auf die wenigen bisher bekannten Fakten.
3. Mai - Microsoft veröffentlicht ein Security Advisory
"Schon wieder eine 0-Day-Schwachstelle, diesmal im IE 8" vollständig lesen