von Klaus Schmeh | Jan 18, 2019 | Unkategorisiert
Haben Sie schon überprüft, ob auch Ihr Passwort zu den 21 Millionen gehört, die derzeit unter der Bezeichnung „Collection#1“ auf einer illegalen Internet-Seite zum Verkauf angeboten werden? Falls nein können Sie dies auf der Webseite Have I been pwned? tun. Falls ja, könnte es sein, dass Sie demnächst noch einmal prüfen müssen, denn Gerüchten zufolge sind die 21 Millionen noch längst nicht alles. Offensichtlich hat hier ein unbekannter Hacker reiche Beute gemacht.
Doch wie ist so ein gigantischer Passwort-Klau überhaupt möglich? Ganz einfach: Es liegt im Wesen eines Passworts, dass stets beide Seiten es kennen müssen. Wenn ein Online-Anbieter also eine Million Kunden hat, die sich mit einem Passwort einloggen, muss dieser Anbieter eine Million Passwörter speichern. Im aktuellen Fall hat sich also ein Mitarbeiter mit entprechenden Rechten oder ein Hacker Zugriff auf die gespeicherten Passwörter verschafft. Zwar gibt es Möglichkeiten, abgespeicherte Passwörter zu schützen, doch nicht nur der aktuelle Hack zeigt, dass diese längst nicht immer funktionieren.
Dabei gibt es Alternativen zum Passwort, und zwar in Form der so genannten Zwei-Faktor-Authentisierung. Diese sieht beispielsweise vor, dass der Kunde beim Einloggen zusätzlich zum Passwort noch eine Transaktionsnummer (TAN) eingeben muss, die ihm der Anbieter per SMS zuschickt (M-TAN-Verfahren). Ein Angreifer kann in diesem Fall mit einem gestohlenen Passwort nichts anfangen, da ihm die Transaktionsnummer fehlt.
Nun ist das M-TAN-Verfahren im Online Banking weit verbreitet. Doch wollten Sie auf diese Weise Ihre E-Mails abrufen? Wohl kaum. Deshalb ist eine andere Form der Zwei-Faktor-Authentisierung oft die bessere Lösung: die Zwei-Faktor-Authentisierung mit Smartcard. Diese Technik nutzt die so genannte asymmetrische Kryptografie, die es ermöglicht, eine Art Passwort (man spricht hier von einem privaten Schlüssel) zu prüfen, ohne dieses überhaupt zu kennen. Dieses „Passwort“ wird üblicherweise auf einer Smartcard gespeichert. Um sich einzuloggen, benötigt der Anwender die besagte Smartcard und eine Geheimnummer (PIN), um diese freizuschalten – also zwei Faktoren. Ein Hacker oder ein korrupter IT-Mitarbeiter hat von vornherein keine Chance. Er kann dem Online-Anbieter gar keine Passwort-Sammlung stehlen, weil eine solche schlichtweg nicht existiert. Der Anbieter kann den Anwender über das Gegenstück zum privaten Schlüssel, dem so genannten öffentlichen Schlüssel, identifizieren.
Zahlreiche Unternehmen und Behörden haben längst auf Zwei-Faktor Authentisierung in der beschriebenen Form umgestellt und damit Passwörter abgeschafft. Online-Shops, E-Mail-Dienste und Social-Media-Anbieter scheuen dagegen meist noch die Kosten, die entstehen, wenn sie ihre Kunden mit Smartcards ausstatten. Allerdings richtet ein Verlust von 21 Millionen Passwörter (wie im aktuellen) Fall viel größere Schäden an. Es ist an der Zeit, dass diese Anbieter endlich umdenken.
von Klaus Schmeh | Jan 8, 2019 | Unkategorisiert
Markus Hoffmeister, Geschäftsführer von cryptovision, ist über die Anfang 2019 bekannt gewordenen Datendiebstähle, denen deutsche Politiker und andere Prominente zum Opfer fielen, nicht überrascht. Seine Forderung: Starke Authentifizierung und Verschlüsselung müssen sich endlich auch bei Privatanwendern durchsetzen.
„Haben die Sicherheitssysteme des Bundestags versagt?“, fragt sich so mancher, der die aktuellen Berichte über die geleakten Daten diverser Politiker verfolgt. Die Antwort lautet meiner Meinung nach erst einmal nein, denn nach bisherigem Kenntnisstand haben der oder die Täter keine Sicherheitsmaßnahmen des Bundestags ausgehebelt (zumal auch Prominente betroffen sind, die mit dem Bundestag nichts zu tun haben). Wie andere Menschen sind jedoch auch Politiker manchmal privat im Internet unterwegs und nutzen dort soziale Medien, E-Mail-Server oder Cloud-Dienste. An dieser Stelle haben die Hacker offensichtlich angesetzt. Über gestohlene Passwörter, schlecht gesicherte Zugänge und andere Lücken sind sie an private Daten herangekommen. Diese Methode ist nicht neu, funktioniert aber nach wie vor, denn Internet-Nutzer neigen nun einmal zur Sorglosigkeit. Oder wie es Frank Rieger vom Chaos Computer Club formuliert: „Wie man sieht, sind einzelne Betroffene relativ freigiebig mit ihren Daten umgegangen.“
Was also ist zu tun? Meiner Meinung nach sind die Anbieter von E-Mail, sozialen Medien und Cloud-Diensten gefragt. Sie müssen einen stärkeren Schutz für Endanwender gewährleisten. Das ist kein Hexenwerk und im professionellen Bereich schon längst Alltag. So stellen zahlreiche Unternehmen und Behörden derzeit von Passwörtern auf Smartcards oder andere Smart Credentials um – falls sie dies nicht schon längst erledigt haben. Auch das Verschlüsseln verbreitet sich in diesem Umfeld immer mehr. Es wird höchste Zeit, dass diese Standards aus der professionellen Informationstechnik auch privat zur Selbstverständlichkeit werden. Zur Not muss der Gesetzgeber einschreiten und die Anbieter zu entsprechenden Maßnahmen zwingen.
cryptovision beweist mit seinen Lösungen (sc/interface für starke Authentifizierung sowie s/mail und GreenShield für Mail- bzw. Datei-Verschlüsselung) seit fast zwei Jahrzehnen, dass die genannten Sicherheitsmaßnahmen umsetzbar sind und darüber hinaus benutzerfreundlich und praktikabel realisiert werden können. Der aktuelle Datenklau wäre also vermeidbar gewesen.
von Klaus Schmeh | Dez 19, 2018 | Unkategorisiert
Kurz vor Jahresende setzt cryptovision noch einmal ein mediales Ausrufezeichen. In der Zeitschrift The Vault, herausgegeben vom Branchenverband Silicon Trust, hat cryptovision-Geschäftsführer Markus Hoffmeister (zusammen mit Koautor Klaus Schmeh) seine Einschätzung zum momentan meistdiskutierten Thema in der Identity-Branche dargelegt: zur Blockchain. In seinem Artikel BLOCKCHAIN Blues – the END of eID cards? zeigt Hoffmeister, dass die Blockchain für die eID-Technologie durchaus von Nutzen sein kann und es interessante Synergieeffekte gibt. Die im Titel des Artikels gestellte Frage lässt sich daher einfach beantworten: Die Blockchain ist nicht das Ende der eID-Karten. Für einen Blockchain-Blues gibt es daher keinen Anlass.
Artikel lesen (englisch, auf Seite 20): https://silicontrust.files.wordpress.com/2018/11/the_vault_23_web.pdf
von Klaus Schmeh | Dez 13, 2018 | Unkategorisiert
Klaus Schmeh von cryptovision ist wieder einmal in den Medien präsent. Zu einem YouTube-Video, das unter dem Titel Famous UNCRACKED Codes That STILL Exist! zehn ungelöste Geheimnisse aus der Welt der Kryptologie vorstellt, steuerte Schmeh einen O-Ton bei. Besonders stolz ist er darauf, dass er direkt nach William und Elizebeth Friedman gezeigt wird – zwei der berühmtesten Codeknacker der Geschichte. Das von der US-amerikanischen Firma Origins Explained („der Ort, an dem man Antworten auf alle seine Fragen findet“) produzierte Video wurde bereits über eine Million Mal aufgerufen. Klaus Schmeh, ein Spezialist für ungelöste Krypto-Rätsel, ist ab 11:32 zu sehen. Sein Beitrag bezieht sich auf das Voynich Manuskript – das wohl größte Krypto-Rätsel der Welt.
Artikel über das Video (englisch): http://scienceblogs.de/klausis-krypto-kolumne/2018/12/06/famous-uncracked-codes-video-on-youtube-receives-over-a-million-hits/
von Klaus Schmeh | Dez 12, 2018 | Unkategorisiert
Hoch über den Dächern von Cannes (Südfrankreich) gaben drei Mitarbeiter von cryptovision Interviews zum Thema elektronische Identitäten. Diese Interviews sind nun als Videos auf der Webseite von Silicon Trust erschienen. Anlass für den Videodreh war die Kongressmesse TrusTech im Palais des Festivals, wo sich bei den weltberühmten Filmfestspielen von Cannes die Stars die Ehre geben. Dort hatte Steve Atkins vom Branchenverband Silicon Trust die wichtigsten Player der Branche zum Lunch geladen.
Die Aussicht auf der Dachterrasse des höchsten Hotels der Stadt war atemberaubend, der Himmel strahlend blau und die Temperaturen um mindestens zehn Grad höher als im neblig-trüben Deutschland.
Steve Atkins nutzte die Anwesenheit der eID-Prominenz zu mehreren Video-Interviews, die er professionell produzieren ließ. Auch die cryptovision-Mitarbeiter Ben Drisch, Fermín Vazquez und Marco Smeja gaben ihre Statements ab.
Auf der Webseite von Silicon Trust gibt es die Interviews nun in drei separaten Videos. Reinschauen lohnt sich.
Fotos: @MickyGoelerPhotography
von Klaus Schmeh | Okt 1, 2018 | Unkategorisiert
Sie suchen eine plattformübergreifende Identifikations- und Authentifizierungslösung für Ihr Unternehmen und Ihre Mitarbeiter? Dann lohnt sich ein Besuch auf dem Stand der cryptovision auf der it-sa (Stand 10.0-420). Wir zeigen Ihnen gerne anhand einer Produktdemonstration, wie eine multifunktionale Karte mehrere Identitätsanforderungen lösen und so die Effizienz und die Sicherheit in Ihrem Unternehmen steigern kann.
Mit unserer Lösung können Sie die verifizierten digitalen Identitäten Ihrer Mitarbeiter für eine Vielzahl von sicherheitsrelevanten Anwendungen nutzen – von der visuellen Identifikation, der Multi-Faktor-Authentifizierung, dem Einsatz eIDAS-konformer Signaturen bis hin zur digitalen und physischen Zutrittskontrolle. Dabei sind Karten-IDs nicht der einzig verfügbare Formfaktor: Je nach Bedarf geben wir als Spezialisten gerne Empfehlungen, welche Technologie und welches Sicherheitslevel für Ihr ID-System am besten geeignet ist. cryptovision bietet unter anderem die weltweit einzige für VS-NfD zugelassene Verschlüsselungssoftware für E-Mail-Kommunikation.
Wenn Sie unsicher sind, ob Ihr Unternehmen von einer multifunktionalen ID-Lösung profitieren kann, kommen Sie zu cryptovision auf der it-sa und vereinbaren einen Termin. Wir analysieren zusammen die Anforderungen Ihres Unternehmens, Ihrer Mitarbeiter und Ihrer Kunden, und beraten Sie anschließend ausführlich.
Dazu laden wir Sie ein: mit der Registrierung des E-Codes B407821 erhalten sie im Ticketshop ein kostenfreies Tagesticket.
it-sa-Webseite: https://www.it-sa.de/