500 Millionen Opfer bei Marriott: Hashes sind keine Verschlüsselung2018 holten sich Täter Daten von über 500 Millionen Marriott-Kunden. Die Daten seien gut verschlüsselt, behauptete Marriott. Unwahr, gesteht es Jahre später.
Unerwünschte Inhalte: Chinesische Polizei hat angeblich Apple AirDrop "geknackt"Eine chinesische Behörde ist offenbar in der Lage, Telefonnummer und Mail-Adresse von iPhone-Besitzern herauszufinden, die Inhalte per AirDrop verbreiteten.
heise+ Aktionsangebot 1 Jahr heise+ zum Aktionspreis: Jetzt heise+ für nur 1,90 € pro Woche lesen und 1 Jahr lang geballtes, brandaktuelles IT- und Tech-Wissen sichern. Unbegrenzter Zugriff auf alle heise+ Beiträge inklusive der Inhalte aller Heise-Magazine. Nur bis zum 31. Mai!
IT-Security: Wie Schlüsselableitungsfunktionen funktionieren und was sie leistenSchlüsselableitungsfunktionen zum Schutz Ihrer Passwörter gibt es in diversen Varianten. Aber nicht jede ist für den Einsatz in jeder Situation empfehlenswert.
Kryptografische Hashfunktionen: Was sie leisten und wie man sie berechnetHashes begegnen Computernutzern überall, auch wenn sie sich nicht für IT-Security interessieren. Mit ihnen werden Downloads überprüft und Daten identifiziert.
Was Sie über Kryptografie wissen müssenDass wir Nachrichten verschlüsselt übertragen können, verdanken wir der Errungenschaften der Kryptologie. Eine Einführung auch für Nicht-Mathematiker.
Unsicherer Hash-Algorithmus: Forscher demonstrieren Angriffe auf SHA-1 in der PraxisEin 2019 vorgestellter Chosen-Prefix-Angriff auf SHA-1 wurde nun in die Praxis umgesetzt. Ein Grund mehr, endlich zu sicheren Hashfunktionen zu wechseln.
UNIX-Prominenz wählte Schach-Eröffnung: 39 Jahre alte BSD-Passwörter geknacktGute Passwörter halten lange, aber nicht ewig. Ein paar Relikte aus der UNIX-Geschichte wurden jetzt geknackt.
Sicherheitsupdates: Angreifer könnte Passwörter in Typo3 überschreibenIm freien Content Management System Typo3 klaffen mitunter kritische Sicherheitslücken. Patches schließen mehrere Schwachstellen.
Java: Das Ende von MD5 und SHA-1 nahtOracle hat angekündigt, dass mit seinem nächsten Quartalsupdate MD5 für die Signatur von JAR-Paketen ausgemustert wird. Ebenso soll das JDK nur noch in Ausnahmen SHA-1-Zertifikate anerkennen.
Kardinalfehler im WordPress-Update-Server: 27 Prozent aller Webseiten sollen gefährdet gewesen seinAngreifer hätten den offiziellen WordPress-Server zum Ausspielen von Updates für eigene Zwecke missbrauchen können, um so unzählige Seiten zu kapern. Mittlerweile soll die Schwachstelle geschlossen sein.
Todesstoß für SHA-1 steht bevorEin erster praktikabler Angriff von Sicherheitsforschern auf SHA-1 verschärft die Aussage, dass die Hashfunktion nicht mehr zum Einsatz kommen sollte.
Ashley Madison: Wie man Passwörter nicht speichern sollteDie beim Ashley-Madison-Hack erbeuteten Daten zeigen anschaulich, wie man ein eigentlich sicheres Login-System mit einer kleinen Unachtsamkeit ad absurdum führen kann.
Argon2 gewinnt Passwort-Hashing-WettbewerbIn der Password Hashing Competition (PHC) hat sich der Algorithmus Argon2 gegen 23 Mitbewerber durchgesetzt.
Auch Mozilla verabschiedet sich langsam von SHA-1Die Entwickler der freien Web-Browsers Firefox wollen den angreifbaren Hash-Algorithmus in Zukunft nicht mehr für verschlüsselte Verbindungen akzeptieren. Server-Betreibern bleibt jedoch noch Zeit für die Umstellung.
Hash-Funktion SHA-3: NIST stellt Standardisierungs-Entwurf vorDas National Institute of Standards and Technology schreitet mit der Standardisierung von SHA-3 voran und bittet nun um Kommentare von Krypto-Experten. Zuletzt war der Prozess scharf kritisiert worden.
Passwort-Knacker mischen beim Wettbewerb für neue Hash-Funktionen mitMit dem Ende der Einreichungsfrist der Password Hashing Competition sind 24 Algorithmen akzeptiert worden. Es fällt auf, dass einige der konkurrierenden Methoden von bekannten Password-Crackern entwickelt wurden.
Fragwürdige Hash-Funktion SHA-1 immer noch beliebtSHA-1 ist nicht mehr sicher, wird aber trotzdem noch gerne verwendet. Selbst Behörden wie das US-amerikanische NIST und das deutsche BSI hielten sich zu Beginn des Jahres nicht an die eigenen Vorgaben.
Kryptographie: NIST will angeblich Sicherheit von SHA-3 schmälernForscher werfen dem NIST vor, den SHA-3-Algorithmus Keccak für die Standardisierung unsicherer zu machen. Sichere Hashverfahren werden insbesondere für digitale Signaturen und Integritätschecks von Software benötigt.
oclHashcat-plus knackt TrueCrypt-Container am schnellstenDie Entwickler haben 618.473 Zeilen Quellcode angefasst, um zahlreiche Krypto-Verfahren zu implementieren. Außerdem knackt das Tool nun auch Passwörter, die länger als 15 Zeichen sind – und hält sich auf Wunsch an Passwort-Policies.
Passwort-Schutz für jedenWer den wohl gemeinten Tipps folgt und für jeden Dienst ein eigenes Passwort verwendet, braucht entweder ein fotografisches Gedächtnis oder die richtigen Tricks, um das scheinbare Chaos in den Griff zu bekommen.
Megas erster Krypto-Fauxpas Ein eigentlich cleveres Konzept zum Nachladen von Code entpuppt sich als potentielle Hintertür, weil dabei ungeeignete Krypto-Funktionen zum Einsatz kommen. So könnten Dritte Teile des Mega-Codes manipulieren.
Zweifel an der Notwendigkeit des Kryptostandards SHA3Kurz vor der für den Sommer erwarteten Kür eines Nachfolgers für den Secure Hash Algorithm 2 (SHA2) kommen Zweifel auf, ob er wirklich gebraucht wird. Das NIST spricht bereits nicht mehr von einer "Nachfolge", sondern von einer "Ergänzung".