Normale Ansicht

Es gibt neue verfügbare Artikel. Klicken Sie, um die Seite zu aktualisieren.
Ältere BeiträgeHaupt-Feeds

KeePass 2.54 schließt Sicherheitslücke

07. Juni 2023 um 07:53

Mit Version 2.54 der freien Passwortverwaltung KeePass beseitigen die Entwickler unter anderem eine Lücke, über die es einem lokalen Angreifer unter Umständen möglich war, das Masterpasswort zu rekonstruieren.

In KeePass 2.x vor Version 2.54 ist es möglich, das Master-Kennwort im Klartext aus einem Speicherabbild wiederherzustellen. Der Angreifer musste sich dafür aber bereits Zugang zum System verschafft haben. Bei dem Speicherauszug kann es sich laut der Sicherheitswarnung (CVE-2023-32784) um einen KeePass-Prozessdump, eine Auslagerungsdatei (pagefile.sys), eine Hibernationsdatei (hiberfil.sys) oder einen RAM-Dump des gesamten Systems handeln. Das erste Zeichen könne dabei nicht wiederhergestellt werden. Nutzer von KeePass sollten deshalb möglichst bald auf die neue Version aktualisieren. Diese biete verbesserter Prozessspeicherschutz von Secure Edit Controls, heißt es dazu knapp in der Ankündigung, was die Sicherheitslücke schließt.

Neben dem gelösten Sicherheitsproblem gibt es neue Features. KeePass speichere jetzt Triggers, globale URL Overrides, Password Generator Profile und einige Einstellungen mehr in der „enforced configuration“ Datei. Passend dazu gibt es den neuen Dialog Enforce Options (Menü ‘Extras’ → ‘Erweiterte Tools’ → ‘Optionen erzwingen’), der die Speicherung bestimmter Optionen in der „enforced configuration“ Datei erleichtere.

Der Beitrag KeePass 2.54 schließt Sicherheitslücke erschien zuerst auf Linux-Magazin.

Google-Passkeys: “Macht’s gut und danke für den Phish”

05. Mai 2023 um 07:58

Mit Passkeys möchte sich Google von Passwörtern verabschieden. Die passwortlose Authentifizierung ist nun bei allen Google-Konten verfügbar.

Statt mit einem Passwort und eventuell einem zusätzlichen zweiten Faktor sollen sich Google-Nutzer zukünftig passwortlos per Passkeys anmelden. Das soll sowohl für mehr Komfort als auch für mehr Sicherheit sorgen.

Die Technik  wurde für alle Google-Konten freigeschaltet, erklärt Google in einem Blogbeitrag mit der Überschrift “Macht’s gut und danke für den Phish”, eine Anspielung an den vierten Band der Per-Anhalter-durch-die-Galaxis-Reihe von Douglas Adams.

Statt mit einem Passwort können sich die Nutzer mit einem auf ihrem Gerät generierten Passkey anmelden, der durch Fingerabdruck, Gesicht oder PIN geschützt wird. Das funktioniert laut Google mittlerweile unter allen gängigen Betriebssystemen und Browsern.

Auf Geräten, auf denen man sich nur einmalig bei seinem Google-Konto anmelden möchte oder die Passkeys noch nicht unterstützen, ist eine Anmeldung über das Smartphone möglich. Der Passkey verbleibt dabei auf dem Smartphone und wird nicht auf das Gerät, auf dem man sich anmelden will, übertragen. Auch ein Log-in mit Passwort soll laut Google weiterhin möglich sein.

Passkeys baut auf die bereits seit einigen Jahren existierenden Technik für eine Zwei-Faktor-Authentifzierung und passwortloses Anmelden mittels Fido2 beziehungsweise Webauthn auf. Mit Passkeys wird die Technik jedoch um eine Back-up-Funktion in der Cloud sowie die bereits oben genannte Möglichkeit, sich auf Betriebssystemen, welche die Technik nicht unterstützen, über das Smartphone anzumelden.

Neben auf dem jeweiligen Betriebssystem wie Android, iOS oder Windows generierten Passkeys können mit Fido-Sticks auch Hardware-Sicherheitsschlüssel für das passwortlose Anmelden genutzt werden, die teils ebenfalls per Fingerabdruck geschützt werden können. Im Hintergrund kommt bei dem Anmeldevorgang Publik-Key-Kryptografie zum Einsatz, von der die Nutzer allerdings nichts mitbekommen. Sie bietet jedoch deutlich mehr Sicherheit als Passwörter oder Zwei-Faktor-Authentifizierungsverfahren und schützt vor Phishing.

Der Beitrag Google-Passkeys: “Macht’s gut und danke für den Phish” erschien zuerst auf Linux-Magazin.

Queen Elizabeth und Taylor Swift inspirieren zu Passwörtern

21. März 2023 um 09:17

Laut dem VPN-Anbieter Atlas VPN sind im Jahr 2022 Passwörter mit Bezug zu Prominenten wie Taylor Swift, Bad Bunny, Jennifer Lopez, Ben Affleck und Elon Musk beliebt gewesen.  AtlasVPN hat für seine Analyse mit Hilfe von SpyCloud Passwörter aus verschiedenen Listen im Dark Web extrahiert.

Auch Bad Bunny, der meistgestreamte Künstler auf Spotify im Jahr 2022, hat Nutzer dazu inspiriert, Bad Bunny, titi und verano als Passwörter zu nutzen, wobei die beiden letzteren Songs des Künstlers sind. Die Übernahme von Twitter durch Elon Musk führte ebenfalls dazu, dass twitter und elon musk als Passwörter verwendet wurden.

Die Beliebtheit von Streaming-Diensten spiegele sich in Passwörtern wie youtube, netflix und hulu wider und der Tod von Queen Elizabeth und andere Nachrichten über die königliche Familie führten zur Verwendung von queen, queen elizabeth und royal family als Passwörter, die insgesamt 167.000 Mal verwendet wurden.

Rangliste der Passwörter aus dem DarkWeb. Quelle: Spycloud

Passwörtern, die mit Familie und Liebe in Verbindung stehen, stellen laut AtlasVPN ebenfalls ein hohes Sicherheitsrisiko dar. Passwörter wie wife, husband, boyfriend und family fanden sich über 7 Millionen Mal in den durchsuchten Listen.

Und Passwörter, wie password, 123456, qwerty und ähnliche, sind und bleiben die unsicherste Wahl, um ein Konto zu schützen, warnt AtlasVPN.

Der Beitrag Queen Elizabeth und Taylor Swift inspirieren zu Passwörtern erschien zuerst auf Linux-Magazin.

❌
❌