ICT Security-Sécurité PC et Internet

Google is making passkeys the default option, aiming to replace passwords altogether.

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/topic/securite-pc-et-internet

https://www.scoop.it/topic/securite-pc-et-internet/?&tag=PassKey

Zukünftig soll es möglich sein, sich von all seinen Geräten aus sicher und ohne Passwort bei Online-Diensten anzumelden, verspricht die Allianz für Fast IDentity Online (FIDO). Bei der Synchronisierung der FIDO-Identitäten über die Cloud zeichnet sich jetzt ein Paradigmenwechsel ab: Die könnte nämlich Ende-zu-Ende-verschlüsselt erfolgen – also, ohne dass die Cloud-Betreiber Zugriff darauf erhalten. Dazu hat sich nach Apple überraschend jetzt auch Google committet.

Die FIDO hat ein technisch ausgefeiltes Konzept zur Anmeldung bei Internet-Diensten auf Basis von asymmetrischer Kryptografie und Challenge-Response-Verfahren entworfen, das deutlich sicherer als Passwörter und noch dazu komfortabel ist. Um tatsächlich Passwörter ablösen zu können, will man, dass der Anwender zukünftig seine FIDO-Identität auf all seinen Geräten nutzen kann – auf dem Smartphone genauso wie auf dem PC. Dazu muss ein geheimer Schlüssel auf all diese Geräte verteilt werden, was gemäß FIDO über die Infrastruktur der großen Plattform-Provider – also primär Google, Apple und Microsoft geschehen soll. Alle drei haben sich auch bereits dazu bekannt, das umzusetzen.

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/topic/securite-pc-et-internet/?&tag=FIDO

A newly uncovered trojan malware campaign is targeting businesses and higher education in what appears to be an effort to steal usernames, passwords and other private information as well as creating a persistent backdoor onto compromised systems.

Jupyter infostealer has been detailed by cybersecurity company Morphisec who discovered it on the network of an unnamed higher education establishment in the US. It's thought the trojan has been active since May this year.

The attack primarily targets Chromium, Firefox, and Chrome browser data, but also has additional capabilities for opening up a backdoor on compromised systems, allowing attackers to execute PowerShell scripts and commands, as well as the ability to download and execute additional malware.

The Jupyter installer is disguised in a zipped file, often using Microsoft Word icons and file names that look like they need to be urgently opened, pertaining to important documents, travel details or a pay rise.

If the installer is run, it will install legitimate tools in an effort to hide the real purpose of the installation – downloading and running a malicious installer into temporary folders in the background.

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/t/securite-pc-et-internet/?&tag=Malware

Password manager LastPass has released an update last week to fix a security bug that exposes credentials entered on a previously visited site.

FIX AVAILABLE
LastPass, believed to be the most popular password manager app today, fixed the reported issue in version 4.33.0, released last week, on September 12.

If users have not enabled an auto-update mechanism for their LastPass browser extensions or mobile apps, they're advised to perform a manual update as soon as possible.

This is because yesterday, Ormandy published details about the security flaw he found. The security researcher's bug report walks an attacker through the steps necessary to reproduce the bug.

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/t/securite-pc-et-internet/?&tag=Password+Managers

https://www.scoop.it/t/securite-pc-et-internet/?&tag=Passwords

In April, with the GDPR deadline and its requirement for data portability looming, Instagram released the long-anticipated download your data tool. The feature gave users the ability to download images, posts and comments.

Unfortunately, Instagram turned the task of downloading your data into an exercise in exposing people’s passwords in plain text. Thankfully, the bug in the “download your data” tool only affected a handful of users, it said.

As The Information reported last week, Instagram told affected users on Thursday night that if they’d used the “download your data” feature, their passwords were showing up in plaintext in the URL of their browsers.

Learn more / En savoir plus / Mehr erfahren:

http://www.scoop.it/t/securite-pc-et-internet/?&tag=Instagram

Unser Tipp zum Welt-Passwort-Tag! Virenscanner, Firewall, getrennte Benutzerkonten und Verschlüsselung, Windows ist mit vielen Security-Tools bereits ausgestattet. Was fehlt ist eine Lösung für sichere Passwörter.

Mit Passwörtern ist es so eine Sache. Wir müssen uns zu viele von ihnen merken, was in den meisten Fällen dazu führt, dass man entweder verschiedene einfache Passwörter verwendet oder sich auf wenige sehr sichere konzentriert. Beide Strategien bergen ein hohes Risiko. Besser ist es, jedem Benutzerkonto ein eigenes sehr sicheres Passwort zu spendieren. Dafür braucht es aber eine Merkhilfe.

Natürlich können Sie auch Ihrem Browser Passwörter anvertrauen, wir raten aber zu einem anderen Ansatz. Tools wie KeePass packen Passwörter in eine verschlüssette Datei und versiegeln den Zugriff mit einem Masterpasswort. Sie müssen sich selbst also nur noch ein starkes Passwort merken.

Mit dem Entschlüsseln Sie Ihre Passwort-Datenbank und holen sich daraus die Passwörter für sämtliche Internet-Dienste. Der große Vorteil: So können Sie für jeden Dienst ein eigenes, sehr sicheres Passwort verwenden.

Sie geben die Passwörter auch nicht aus der Hand, wie bei LastPass & Co. Stattdessen haben nur Sie die Kontrolle über Ihre Passwörter.

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/t/securite-pc-et-internet?page=2&tag=Passwords

https://www.scoop.it/t/securite-pc-et-internet/?&tag=Password+Managers

Die großen Browser-Hersteller Mozilla, Google und Microsoft unterstützen den neuen Web-Standard WebAuthentication, kurz: WebAuthn. Er könnte künftig Passwörter im Internet überflüssig machen.

Der kommende Web-Authentication-Standard – kurz: WebAuthn – macht die Eingabe von Passwörtern bald überflüssig. Nutzer können sich bei Online-Diensten einfach mit ihrem (USB-)Token, Fingerabdruck oder einem anderen biometrischen Verfahren einloggen. Die großen Browser-Hersteller Google, Mozilla und Microsoft haben nun bekannt gegeben, dass sie den Standard unterstützen und in ihre Browser implementieren wollen. Dieser wichtige Support leite eine "neue Ära der allgegenwärtigen, phishing-resistenten und starken Authentifizierung ein", freut sich die FIDO-Allianz. FIDO hatte sich im Sommer 2012 gebildet, um offene Authentifizierungsstandards fürs Internet zu entwickeln.

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/t/securite-pc-et-internet/?&tag=Browsers

Ein Sicherheitsforscher warnt erneut: In Firefox und Thunderbird gespeicherte Passwörter sind nicht effektiv vor Datendiebstahl geschützt.

Angreifer könnten mit vergleichsweise wenig Aufwand das Master-Kennwort des Passwort-Tresors in Mozillas Firefox und Thunderbird erraten. Wer das kennt, kann die im Mail-Client und Webbrowser gespeicherten Passwörter für Onlinedienste im Klartext einsehen.

Davor warnt nun erneut ein Sicherheitsforscher. Bereits vor neun Jahren gab es Hinweise auf diesen Missstand. Daran hat sich offensichtlich bis jetzt nichts geändert.

Schutz knackbar
Die beiden Anwendungen schützen das Master-Passwort zwar, dafür kommt jedoch das längst als geknackt geltende Hash-Verfahren SHA-1 zum Einsatz. Eine Zufallszahl (Salt) verfremdet den Hash, damit gleiche Passwörter nicht den gleichen Hash bekommen. Das erschwert ein Erraten.

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/t/securite-pc-et-internet/?&tag=Firefox...

https://www.scoop.it/t/securite-pc-et-internet/?&tag=Browsers

Sicherheitslücke: Passwort für Raketenalarm stand monatelang im Internet

Der Fehlalarm wegen eines vermeintlichen Raketenangriffs aus Nordkorea hat ganz Hawaii in Panik versetzt. Nun zeigt sich: Das Passwort für das Warnsystem der Katastrophenschutz-Behörde war seit Monaten im Internet zu finden.

Learn more / En savoir plus / Mehr erfahren:

https://gustmees.wordpress.com/2012/11/05/naivety-in-the-digital-age/

https://gustmees.wordpress.com/2013/05/12/cyber-security-the-weakest-link-in-the-security-chain-is-the-human/

LastPass has closed a remote code execution vulnerability on its Chrome extension, but according to Google Project Zero researcher Tavis Ormandy, issues remain on its Firefox extension, as well as details on another password-stealing vulnerability to come.

Writing in the Project Zero issue tracker, Ormandy said it was possible to proxy untrusted messages to LastPass.

"This allows complete access to internal privileged LastPass RPC commands," the researcher said. "There are hundreds of internal LastPass RPCs, but the obviously bad ones are things copying and filling in passwords (copypass, fillform, etc)."

MORE SECURITY NEWS

Secret Service laptop with Trump Tower plans stolen from car
Feature or flaw? How to hijack a Windows account in less than a minute
Internet of Things security: What happens when every device is smart and you don't even know it?
Microsoft Edge used to escape VMware Workstation at Pwn2Own 2017
Additionally, if a user has the LastPass binary component installed, the system was vulnerable to remote code execution.

Yahoo has disclosed that more than one billion accounts may have been stolen from the company's systems in another cyberattack.

The company said in a statement Wednesday after the markets closed that unnamed attackers stole the accounts in August 2013, a little over a year prior to a previously disclosed attack in September, in which attackers stole around 500 million accounts in 2014.

But the company said it wasn't able to identify the intrusion associated with August breach.

The statement said that the hackers may have stolen names, email addresses, telephone numbers, hashed passwords (using the weak, easy to crack MD5 algorithm) dates of birth, and in some cases encrypted or unencrypted security questions and answers.

Yahoo said it has invalidated unencrypted security questions and answers so that they cannot be used to access affected accounts.

But payment card data and bank account information, stored in separate systems, are not thought to have been stolen in the attack.

Learn more / En savoir plus / Mehr erfahren:

http://www.scoop.it/t/securite-pc-et-internet/?tag=Yahoo...

http://www.scoop.it/t/securite-pc-et-internet/?tag=DATA-BREACHES

http://www.scoop.it/t/securite-pc-et-internet/?tag=Cyberattacks

Im Netz kursiert eine gewaltige Menge an Zugangsdaten aus Raubzügen bei Yahoo, LinkedIn und Co. c't hat die Spur der Daten-Hehler verfolgt und einen Insider interviewt. Zudem liefert das Magazin Tipps, wie man sich vor Account-Missbrauch schützt.

Learn more / En savoir plus / Mehr erfahren:

http://www.scoop.it/t/securite-pc-et-internet/?tag=cybercrime

The web design platform Weebly was hacked in February, according to the data breach notification site LeakedSource. Usernames and passwords for more than 43 million accounts were taken in the breach, although the passwords are secured with the strong hashing algorithm bcrypt.

Weebly said in an email to customers that user IP addresses were also taken in the breach.

“We do not believe that any customer website has been improperly accessed,” Weebly said in the notice to users.” The company also said that it does not store credit card information, making fraudulent charges unlikely.

LeakedSource said it received the Weebly database from an anonymous source and notified Weebly of the breach. In addition to the customer notification emails, LeakedSource claims that password resets are being issued — but, if you’re a Weebly user and you don’t receive a password reset, you probably want to change your password anyway.

Learn more / En savoir plus / Mehr erfahren:

http://www.scoop.it/t/securite-pc-et-internet/?tag=DATA-BREACHES

Google macht Passkeys zur Standard-Anmeldung für alle
Wer ein Passkey erstellt, kann sich damit ganz einfach ohne Passwort in sein Google-Konto einloggen. Nun will Google Passkeys zum Standard für alle Nutzer:innen machen.

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/topic/securite-pc-et-internet

https://www.scoop.it/topic/securite-pc-et-internet/?&tag=PassKey

Résultat des courses : vous n'aurez bientôt plus besoin d'un mot de passe pour vous connecter à vos appareils, à des sites web ou à des applications.

Au lieu de cela, votre téléphone stockera un justificatif FIDO appelé "passkey", qui sera utilisé pour déverrouiller votre appareil – et l'ensemble de vos comptes en ligne. Il s'agit d'un dispositif plus sûr qu'un mot de passe, car cette clé est protégée par de la cryptographie et n'est montrée à votre compte en ligne que lorsque vous déverrouillez votre appareil. A contrario, les mots de passe nous rendent vulnérables aux tentatives d’hameçonnage et à nos propres mauvaises habitudes, comme l'utilisation du même mot de passe sur plusieurs comptes.

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/topic/securite-pc-et-internet

A new Android malware strain has been uncovered, part of the Rampant Kitten threat group’s widespread surveillance campaign that targets Telegram credentials and more.

Researchers have uncovered a threat group launching surveillance campaigns that target victims’ personal device data, browser credentials and Telegram messaging application files. One notable tool in the group’s arsenal is an Android malware that collects all two-factor authentication (2FA) security codes sent to devices, sniffs out Telegram credentials and launches Google account phishing attacks.

Researchers found the threat group, dubbed Rampant Kitten, has targeted Iranian entities with surveillance campaigns for at least six years. It specifically targets Iranian minorities and anti-regime organizations, including the Association of Families of Camp Ashraf and Liberty Residents (AFALR); and the Azerbaijan National Resistance Organization.

The threat group has relied on a wide array of tools for carrying out their attacks, including four Windows info-stealer variants used for pilfering Telegram and KeePass account information; phishing pages that impersonate Telegram to steal passwords; and the aforementioned Android backdoor that extracts 2FA codes from SMS messages and records the phone’s voice surroundings.

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/t/securite-pc-et-internet/?&tag=Two-factor+authentication

Erneut ist eine riesige Menge gehackter Nutzeraccounts ins Netz gelangt: Nach der Passwort-Sammlung "Collection #1" kursieren nun auch die Collections #2 bis #5.

Diese sind deutlich umfangreicher als Teil 1, einer ersten Einschätzung von heise Security zufolge sind sie insgesamt über 600 GByte groß. Nach Angaben des Hasso-Plattner-Institus kursieren durch die Collections #1 bis #5 nun rund 2,2 Milliarden Mail-Adressen und die dazugehörigen Passwörter.

Treffer, versenkt: Über den HPI Identity Leak Checker findet man heraus, ob sich die eigenen Mail-Adresse in den Collections #1-5 und weiteren Leaks befindet.
Die Daten sind offenbar nicht komplett neu, sondern stammen zu einem einem Großteil aus älteren Leaks. Dennoch dürfte durch die Zusammenstellung und erneute Veröffentlichung die Wahrscheinlichkeit steigern, dass die Zugansdaten von Cyber-Ganoven ausprobiert werden. Zunächst wurden die gigantischen Datenpakete in einem einschlägigen Online-Forum gehandelt, inzwischen sind sie auch über den Hoster Mega öffentlich zugänglich.

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/t/securite-pc-et-internet/?&tag=DATA-BREACHES

Twitter has admitted that user passwords were briefly stored in plaintext and may have been exposed to the company's internal tools.

In a blog post, the microblogging site urged users to change their passwords.

"When you set a password for your Twitter account, we use technology that masks it so no one at the company can see it. We recently identified a bug that stored passwords unmasked in an internal log," said Twitter in a statement.

Twitter didn't say how many accounts were affected, but Reuters reports -- citing a source -- that the number of affected users was "substantial" and that passwords were exposed for "several months."

It's unclear exactly why user passwords were stored in plaintext before they were hashed. Twitter said that it stores user passwords with bcrypt, a stronger password hashing algorithm, but a bug meant that passwords were "written to an internal log before completing the hashing process."

The company said it fixed the bug and that an investigation "shows no indication of breach or misuse" by anyone.

A spokesperson for Twitter reiterated that the bug "is related to our internal systems only," but it did not comment further.

"Since this is not a breach and our investigation has shown no signs of misuse, we are not forcing a password reset but are presenting the information for people to make an informed decision about their account," said the spokesperson. "We believe this is the right thing to do."

The company had 330 million users at its fourth-quarter earnings in February.

Read also: Twitter hopes trolls can be stopped by eradicating ignorance

Twitter is the second company to admit a password-related bug this week.

GitHub on Tuesday said it also exposed some users' plaintext passwords after they were written to an internal logging system.

It's not known if the two incidents are related, and a Twitter spokesperson would not comment in a follow-up email.

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/t/securite-pc-et-internet?page=2&tag=Passwords

https://www.scoop.it/t/securite-pc-et-internet/?&tag=Password+Managers

https://www.scoop.it/t/securite-pc-et-internet/?&tag=Twitter

Heute feiert das Netz den Tag des Passworts. Wir haben dies zum Anlass genommen, Ihnen acht Tipps für den sicheren Umgang mit Passwörtern und anderen Sicherheitsvorkehrungen zu geben. Und einigen von Ihnen den Spiegel vorzuhalten.

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/t/securite-pc-et-internet?page=2&tag=Passwords

Ein kleiner Schritt in Richtung Phishing-freie Welt? Schon länger ist bekannt, dass ein Login per Nutzername und Passwort nicht die sicherste Methode ist – Alternativen müssen her. Mozilla, Google und Microsoft unterstützen jetzt einen Login-Standard ohne Passwort-Eingabe.

Eine 2-Faktor-Authentifizierung mit einem zusätzlichen Code per SMS oder Mail gibt es bereits seit einigen Jahren, doch nur wenige Nutzer sichern über diese - eher unbequeme - Weise ihre Accounts ab. Login auch ohne Passwort? Das soll mit einem weiteren Standard, FIDO, möglich sein. Dabei funktioniert der Login etwa durch biometrische Verfahren - wie zum Beispiel dem Iris-Scanner oder Fingerabdruck, die das Smartphone entsperren - oder durch einen Token in Form von einem USB-Stick, der einfach am Schlüsselbund getragen werden kann.

Wie das World Wide Web Consortium (W3C) und die FIDO-Allianz verkündeten, unterstützen künftig Firefox, Chrome und Edge die Schnittstelle zu FIDO für Webseiten: WebAuthn. Firefox unterstützt bereits mit der aktuellen Version, wohingegen Chrome und Edge erst mit kommenden Versionen in den nächsten Monaten nachrücken werden.

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/t/securite-pc-et-internet/?&tag=Browsers

Password manager maker Keeper hit by another security snafu
The exposed server contained the company's downloadable software -- including a code-signing certificate.

Keeper, an embattled password manager maker currently suing a news reporter for defamation, left a server hosting the company's installer files exposed with full permissions, allowing anyone to access and replace files with malicious content, a security researcher told ZDNet.

Chris Vickery, who found the exposed server, immediately notified ZDNet of the exposure. We reached out to Keeper by phone and email on Friday. Within an hour of disclosure, the server had been secured.

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/t/securite-pc-et-internet/?&tag=Password+Managers

https://www.scoop.it/t/securite-pc-et-internet/?&tag=Passwords

Die Elcomsoft-Software "Distributed Password Recovery" verspricht Ungeheueres: In der neuen Version 3.40 soll das Tool nun in der Lage sein, die bekannten Passwort-Manager 1Password, KeePass, LastPass und Dashlane zu knacken.

Learn more / En savoir plus / Mehr erfahren:

http://www.scoop.it/t/securite-pc-et-internet/?&tag=Passwords

Top 9 Password Manager Apps for Android Found Leaking Your Secrets.

Learn more / En savoir plus / Mehr erfahren:

http://www.scoop.it/t/ict-security-tools/?&tag=Password-Tools

http://www.scoop.it/t/securite-pc-et-internet/?&tag=Password+Managers

http://www.scoop.it/t/securite-pc-et-internet/?&tag=Android

Hundreds of millions of users put at risk after AdultFriendFinder and other sites suffer hack.

What has happened?

The AdultFriendFinder website appears to have been hacked, exposing the personal information of hundreds of millions of user accounts.

What is AdultFriendFinder?

I don’t want to be indelicate, so I’ll just tell you it’s strapline: “Hookup, Find Sex or Meet Someone Hot Now”.

Oh! So like Ashley Madison?

Yes, very much so. And we all know what a big story that was, how extortionists attempted to blackmail users, and how lives were damaged as a result. Fortunately, information about individuals’ sexual preferences do not appear to have been included in the exposed databases.

Still, it sounds nasty – and there clearly remains the potential for blackmail. Are there any .gov and .mil email addresses associated with the exposed accounts in this latest breach?

I’m afraid so. Of the 412 million accounts exposed on the breached sites, in 5,650 cases, .gov email addresses have been used to register accounts. The same goes for 78,301 .mil email addresses.

Learn more / En savoir plus / Mehr erfahren:

http://www.scoop.it/t/securite-pc-et-internet/?tag=DATA-BREACHES

IOT-BOTNETZE:
BSI fordert Zwangsänderung von Passwörtern
Die Hersteller vernetzter Geräte für das IoT sollen nach Ansicht des BSI höhere Sicherheitsstandards einhalten. Bei der Entwicklung dürfe nicht nur auf den Preis geachtet werden.
Nach wiederholten Denial-of-Service-Angriffen über Botnetze fordert das Bundesamt für Sicherheit in der Informationstechnik (BSI) höhere Sicherheitsstandards bei vernetzten Geräten. Der Angriff auf den Internet-Dienstleister Dyn "zeigt anschaulich, dass die Digitalisierung ohne Cyber-Sicherheit nicht erfolgreich sein wird", sagte BSI-Präsident Arne Schönbohm am Dienstag in Bonn. Hersteller von Netzwerkgeräten des sogenannten Internet of Things (IoT) sollten bei der Entwicklung neuer Produkte nicht nur auf funktionale und preisliche Aspekte achten, sondern notwendige Sicherheitsaspekte einbeziehen.

Learn more / En savoir plus / Mehr erfahren:

http://www.scoop.it/t/securite-pc-et-internet/?tag=Internet+of+things