Posts tagged "passwort"

iOS Backdoor Access

iPhone 5 mit iOS 6 Ortungsdienste

Kürzlich hat der Hacker Jonathan Zdziarski ein paar Dinge aufgedeckt, welche den Anschein erwecken, dass Apple ganz bewusst in iOS eine Hintertüre offen gelassen hat um Daten bei den Kunden, möglicherweise auf Anfrage von Regierungen, abzuzügeln. Ich will hier nicht zu technisch werden. Im Endeffekt gibt es ein paar Dienste, welche undokumentiert sind und wahrscheinlich weder dem Apple Support, noch sonst jemandem helfen. Auch wenn das iPhone oder iPad mit einem Passwort geschützt ist, können Hacker Daten wie Kontakte, Browser-Verlauf und mehr auslesen. Allerdings nur, wenn das iPhone an einen Computer angeschlossen wird!

Keine Panik!

Der Hacker Zdziarski selbst warnt aber ausdrücklich vor schnellen Anschuldigungen und Interpretationen.

I have NOT accused Apple of working with NSA, however I suspect (based on released documents) that some of these services MAY have been used by NSA to collect data on potential targets. I am not suggesting some grand conspiracy; there are, however, some services running in iOS that shouldn’t be there, that were intentionally added by Apple as part of the firmware, and that bypass backup encryption while copying more of your personal data than ever should come off the phone for the average consumer.

Apple selber nimmt wie folgt Stellung zu den Erkenntnissen:

Apple has never worked with any government agency from any country to create a backdoor in any of our products or services.

Ich bin gespannt ob Apple diese „Erkenntnisse“ aufnimmt und vielleicht bereits in iOS 8 angehen wird, oder bereits die Löcher gestopft hat.

Mehr Sicherheit mit dem Apple Configurator

Wer ein Höchstmass an vermeintlicher Sicherheit gewinnen möchte, dem empfiehlt Zdziarski ein starkes Passwort und die Verwendung von der kostenlosen App Apple Configurator. Mit dieser App kann „Pair Locking“ und Mobile-Device-Management aktiviert werden, was kommerzielle Forensik-Werkzeuge behindert im ausspionieren von Daten. Gegen die NSA und Co. wird aber auch das nichts nützen.

Wann kommt endlich die zweistufige Bestätigung für die Apple-ID? [Updated]

Zweistufige Bestätigung für die Apple-ID

Aktuell macht gerade die Runde, dass hauptsächlich in Australien diverse iCloud-Konten gehackt wurden und nun die entsprechenden iOS und Mac-Geräte gesperrt werden können. Die Hacker verlangen von den betroffenen teilweise ein Lösegeld, welches über Paypal bezahlt werden muss. Noch ist unklar, ob die Hacker wirklich, dank einfachen Passwörtern, mit der Apple-ID haben einbrechen können und auch die Spur des Paypal-Accounts verliert sich, denn der angegeben Account gibt es gemäss Paypal gar nicht. Dennoch entsteht ein flaues Gefühl und man wird sich wieder bewusst, wie wichtig die Sicherheit von einem Konto wie der Apple-ID ist.

Wo bleibt die zweistufige Bestätigung?

Damals im Mai 2013 konnte ich für kurze Zeit die Einstellungsmöglichkeiten zu der zweistufige Bestätigung für die eigene Apple-ID sehen und benutzen. Kurze Zeit später, war die Sicherheitseinstellung wieder weg und wird seither schmerzlich vermisst, zumindest von mir. Ähnlich wie beim E-Banking habe ich die zweistufige Bestätigung schon bei diversen Accounts freigeschaltet wie beispielsweise beim Google Account, oder auch mein Webhoster Cyon bietet das sichere Login an. Man fühlt sich einfach sicherer wenn so ein wichtiger Account wie das Google Profil, oder eben auch die Apple-ID nicht nur mit einem Passwort geschützt wird.

Nur leider ist die zweistufige Bestätigung in der Schweiz immer noch nicht verfügbar, sondern nur beispielsweise in Amerika und Deutschland erhältlich. Von mir aus wäre es dringend nötig endlich diese nützliche Sicherheitseinstellung in allen Ländern freizuschalten! In der Zwischenzeit wäre es ratsam, die Apple-ID nirgends anzugeben, schon gar nicht das Passwort. Wer eher ein einfaches Passwort hat, sollte dieses dringend ändern. Das Apple-System selber ist grösstenteils sicher, das grösste Sicherheitsrisiko jedoch sind die Benutzer…

 Update

Apple verneint die Vermutung, dass Hacker in iCloud eingebrochen sind. Somit sind tatsächlich nur Accounts betroffen, welche auf Phishing-Mails heringefallen sind oder einfach nur schlechte, einfache Passwörter haben.

Apple hat das sicherste Login.

Zweistufige Bestätigung für die Apple-ID

Die Passwort-Management-Firma Dashlane hat eine Studie bezüglich Login-Systemen in rund 100 grossen E-Commerce-Webseiten durchgeführt. 24 verschiedene Sicherheitskriterien galt es zu bestehen wie beispielsweise die Akzeptanz von schwachen Passwörter wie „123456“ oder „password“. Oder das Blockieren des Benutzers nach einer Anzahl von Fehlversuchen bei der Passwort-Eingabe, etc.

E-Commerce Passwort-Sicherheit

E-Commerce Passwort-Sicherheit

Apple hat brilliert und konnte die volle Punktzahl abholen. Nirgends, bzw. nicht in den untersuchten 100 Online Shops wie Amazon, Dell, Best Buy, etc. ist ein Benutzer sicherer aufgehoben als bei Apple. Shops wie Amazon, Victoria’s Secret, Disney oder Groupon haben sogar erwähnenswert schlecht abgeschnitten…

Hier noch ein paar Erkenntnisse aus der Studie:

  • 55% aller untersuchten Shops erlauben offensichtlich schlechte Passwörter wie „123456“ oder „password“.
  • 51% der Shops sperren das Konto auch nach 10-facher Fehleingabe des Passwort nicht. Inklusive Amazon und Dell.
  • 61% der Shops klären nicht über starke Passwörter auf!
  • 93% geben keinen grafischen Indikator auf der Seite aus, welcher die Passwort-Sicherheit zeigt.
  • 8 der untersuchten Seiten, inklusive Toys „R“ Us, versenden die Passwörter per Plain-Text E-Mail.

Apple hat mit der Apple-ID einen hohen Sicherheitsstandard geschaffen. Dennoch sollte man sich, insbesondere vor Phishing-Mails, in Acht nehmen und eher skeptisch mit Login-Aufforderungen umgehen. Wer sich jetzt erst Gedanken über die Passwort-Sicherheit macht, der sollte mal den von David Blum kürzlich veröffentlichten Beitrag zu einer sicheren Passwort-Strategie aufmerksam lesen.

 

Zweistufige Bestätigung für die Apple-ID nun auch in der Schweiz

Zweistufige Bestätigung für die Apple-ID

Schon etwas länger hat Apple die zweistufige Bestätigung für die Apple-ID in den Ländern  USA, England, Australien, Irland und Neuseeland eingeführt. Eine Möglichkeit die nicht ganz unwichtigen Apple-ID vor fremden Zugriffen zu schützen, welche nun auf alle Länder ausgerollt wurde.

Wer dem, hoffentlich sicher gewählten Passwort, nicht traut, der kann nun auch ausserhalb der oben genannten Ländern die Sicherheitshürde aktivieren. Dazu muss man die Apple-ID Seite https://appleid.apple.com/de aufrufen, sich einloggen und den Reiter „Kennwort und Sicherheit“ wählen. Hier müssen zuerst zwei Sicherheitsfragen beantwortet werden, bevor man die zweistufige Bestätigung für die Apple-ID aktivieren kann, bzw. auf den Link „Erste Schritte…“ klicken kann.

Mit der neuen Sicherheitsfunktion genügt das Passwort nicht mehr wenn man eine Änderung am Account vornehmen oder mit einem neuen Gerät im iTunes oder App Store was einkaufen möchte. Nach der Aktivierung dieser Funktion wird, ähnlich wie beim E-Banking, zuerst ein Code an ein definiertes iOS Gerät gesendet und dieser Code muss bei der gewünschten Änderung eingetragen werden:

Bei der zweistufigen Bestätigung müssen Sie Ihre Identität mithilfe eines Ihrer Geräte bestätigen, bevor Sie Änderungen an Ihrem Account vornehmen oder auf einem neuen Gerät Käufe im iTunes Store oder App Store tätigen können.

Etwas mehr Sicherheit dürfte der Apple-ID sicher nicht schaden, denn dahinter verbergen sich wertvolle Informationen, Lieferadressen welche umgeleitet werden könnten, Guthaben aus dem iTunes und/oder App Store und viele bereits eingekauften Inhalte wie Musik, Film, Apps, etc.

Lock Screen für den Mac

Das Programm Lock Screen 2 bringt ein bisschen iPhone-Feeling auf den Mac. Einfach nur ein Passwort eingeben ist doch irgendwie langweilig. Mit Lock Screen kann man den Mac via Trackpad entsperren, was aber für die Sicherheit nicht so gut wäre. Interessanter ist eine definierte Abfolge von Tasten entlang „sliden“… Aber schaut Euch das Video an. Bilder sagen bekanntlich mehr als Worte, besonders bewegte Bilder.

Lock Screen 2 - iDevelop Co., Ltd.

(via)

3 iPhone Apps mit Datensicherheitsproblemen

Das Blog WasWirMeinen hat ein Datensicherheitsproblem bei drei iPhone Programmen entdeckt. Zuerst fündig wurde man beim App Lufthansa Launcher aus dem Hause Lufthansa German Airline Obwohl in der Information festgehalten ist, dass die Login-Daten verschlüsselt auf dem lokalen Betriebssystem des iPhone abgelegt werden, so sind diese dann doch ganz normal leserlich und ohne Verschlüsselung zu finden.

Die Jungs von WasWirMeinen haben dann gleich noch weitere Apps kontrolliert und sind auch fündig geworden. Die Programme MobileButler und UsedBudget versprechen zwar nicht, dass irgendwelche Daten sicher abgelegt werden, dennoch sind die Passwörter als normaler, lesbarer Text hinterlegt.

Eine unschöne Sache! Hier hätte ich von Apple erwartet, dass wenn die Apps schon geprüft werden, nicht nur die Interessen von Apple sichergestellt werden, sondern eben auch solche Sicherheitslücken aufgedeckt werden. Schliesslich ist doch die Sicherheit eines der Hauptargumente von Apple wenn es darum geht Apps in den App Store zuzulassen oder eben auch nicht…

Mac Trojaner in illegalem iWork ’09 entdeckt

Die Sicherheitsfirma Intego hat einen neuen Trojaner für Mac Computer entdeckt. Wer sich iWork ’09 nicht via der offiziellen Website von Apple herunterlädt, sondern via BitTorrent, der riskiert sich einen neuen Mac Trojaner einzufangen.

Das gemeine daran, wenn man die Software installiert, muss man das Administrator-Passwort eingeben, was ja meistens normal ist bei Neuinstallationen. Genau dann holt sich der Trojaner das Passwort und hat fortan die gesamten Lese- und Schreibrechte! Also, wenn Ihr iWork ’09 downloaden wollt, dann bitte nur ab der Apple Website: http://www.apple.com/iwork/