iPhone weg? Passwörter weg!
Mitarbeitern des Fraunhofer-Institut SIT in Darmstadt ist es gelungen, die Geräteverschlüsselung des iPhone auszuhebeln und viele der auf dem Gerät gespeicherten Passwörter in sechs Minuten zu entschlüsseln. Die Schwachstelle im Sicherheitsdesign von iPhone und iPad betrifft alle Geräte mit der neuesten Firmware (iOS 4.2.1).
Wird das Gerät im Unternehmen eingesetzt, ist unter Umständen auch die Sicherheit des Firmennetzwerks bedroht: Sobald ein Angreifer im Besitz eines iPhones oder iPads gelangt und die SIM-Karte des Geräts entfernt hat, kann er sowohl an E-Mail-Passwörter als auch an Zugangscodes für VPN- und WLAN-Zugänge zum Firmennetzwerk gelangen. Durch die Kontrolle des E-Mail-Accounts lassen sich auch zahlreiche weitere Passwörter erbeuten: Bei vielen Webdiensten z. B. sozialen Netzwerken, muss der Angreifer ja einzig das Passwort zurücksetzen lassen. Sobald der jeweilige Dienst das geheime Passwort dann an den E-Mail-Account des Nutzers schickt, erfährt es auch der Angreifer.
Unternehmen, die sich vor den Folgen solcher Angriffe schützen möchten, sollten ihre Mitarbeiter entsprechend sensibilisieren und Notfall-Abläufe einführen. Wenn ein Mitarbeiter sein iPhone verliert, sollte nicht nur er alle seine Passwörter ändern, auch die Firma sollte die betreffenden Netzkennungen so schnell wie möglich erneuern.
Give-away: SplashID im Wert von 8 €
Aufgrund der starken Zielgruppen-Überlappung stellen die App-Spezialisten von SplashData freundlicherweise drei Promocodes (US-iTunes-Account erforderlich) von
SplashID for iPhone für unsere Leser zur Verfügung.
Die Software kostet normalerweise 7,99 Euro und dient als Daten-”Safe” der verschlüsselten, zugangsgeschützten Speicherung von Benutzernamen, Passwörtern, Kreditkarteninformationen, Kontonummern oder Registrierungs-Codes auf iPhone oder iPad. Give-away: Die ersten drei Einsendungen an klaus at glanzkinder dot com mit “SplashID” im Betreff gewinnen! Der Rechtsweg ist wie immer ausgeschlossen, Einsendeschluss ist Montag, der 03. Mai.
Inhalte auf iPhone u. iPad via App sichern
Die App-Spezialisten von SplashData sind überzeugt, dass das so wertvolle wie leicht wegnehmbare iPad ein besonders beliebtes Diebesgut sein wird – bzw. in den USA bereits ist… Daher wurde die als “Safe auf dem iPhone” beworbene App SplashID für die verschlüsselte, zugangsgeschützte Speicherung von Benutzernamen, Passwörtern, Kreditkarteninformationen, Kontonummern, Registrierungs-Codes etc. nun auch in einer iPad-Version vorgestellt. Die knapp 8 Euro kostende und besonders für iPhones im Unternehmenseinsatz empfehlenswerte Lösung liegt bereits in Version 5 vor, diese bietet Blowfish-Encryption mit 256 Bit Verschlüsselungstiefe, einen automatischen Passwortgenerator zur Erstellung von sicheren Passwörtern sowie Anti-Phishing URL-Symbole. Für Backup und kabelloses Synchronisieren mit Mac oder PC wird eine Desktop-Software benötigt, die hier herunter geladen werden kann. Sie kostet 19,95 US-Dollar und kann 30 Tage kostenlos getestet werden.
Die aktuelle Version 5.3 enthält zusätzlich das Feature “Finger Pattern Login”, bei dem der Nutzer sich durch Fingergesten authentifiziert (vgl. Abbildung). Dies soll schnellen Zugriff für die Nutzer erleichtern, Unbefugten aber erschweren. Da es Millionen möglicher Bewegungskombinationen gibt, hält SplashData das System für besonders sicher. Laut Anbieter wird SplashID bereits von über 500.000 Anwendern für die Sicherung von Smartphones und PDAs genutzt.
Opera et labora – Safari-Alternative m. Update-Bedarf
Opera Mini ist weltweit der am meisten verbreitete mobile Browser. Seit vergangenem Dienstag setzt sich sein Siegeszug auch auf Apples iPhone fort, da der Browser inzwischen seitens des iTunes Review Team für den App Store freigegeben wurde. Prompt sicherte sich die kostenlose App Platz 1 der Download-Charts (heute noch auf Platz 6) und ist laut mobilfunk-talk.de inzwischen bereits auf über einer Million Endgeräte vertreten.
Bislang standen den Nutzern des iPhones oder iPod Touch über Security-Spezialisten wie Trend Micro wenig Alternativen zum Safari Browser von Apple zur Verfügung. Doch nun hat Apple sich zumindest hier dem offenen Wettbewerb gestellt. In einem Punkt hält mobilfunk-talk Opera Mini v5.0 sogar allen anderen Handybrowsern für überlegen – Geschwindigkeit. Denn die angeforderten Seiten werden zunächst vom Opera-Server komprimiert und dann an das Mobiltelefon geschickt und dort entpackt. Das soll bis zu 90% der Datenmenge und damit viel Zeit und Geld sparen können, und das ohne Datenverlust. Bis zu 6-mal schneller als vergleichbare Browser ist Opera Mini laut Hersteller. Außerdem punktet Opera deutlich, mit der Möglichkeit, mit mehreren Tabs gleichzeitig und einem Passwort-Manager zu arbeiten.
Bei einem ersten eigenen Test konnte die aktuelle Version mobileTicker aber weniger überzeugen: Die viel gepriesenen Ladezeiten waren deutlich schlechter als beim zum direkten Vergleich herangezogenen Safari. In Landscape-Betrachtung funktioniert der Zoom per Zweifingergeste nicht. Und dass beispielsweise Google AdWords-Inserate nicht dargestellt werden, mag dem einen oder anderen Nutzer ja egal sein oder gar erfreuen, ist aber kaum ein Beleg für das behauptete “ohne Datenverlust”. Eventuell spielt hier doch mit hinein, dass Opera mit der AdMarvel-Übernahme starkes Eigeninteresse am Thema mobile Werbung verraten hat.
Passwort Manager als Gratis-App einer Schweizer Bank
DataInherit – nach eigenen Angaben die weltweit führende Online-Bank für private Passwort- und Dokumentenspeicherung – hat mit DataInherit Password Safe eine kostenlose iPhone App vorgestellt. Sie soll Privatpersonen weltweit jederzeit dazu dienen, Passwörter abzufragen und zu verwalten. Mit der eingebauten “Datenvererbungsfunktion” will DataInherit laut Presseinfo “höchsten Schutz auch im Notfall bieten”.
Im Gegensatz zu anderen Passwort-Apps werden mit DataInherit die Passwörter zentral bei DataInherit in bankenkonformen Datencentern in der Schweiz gespeichert. Durch die zentrale Speicherung soll die Synchronisierung zwischen verschiedenen Geräten entfallen: Passwort einmal eingeben und dann von überall her nutzen. Das hochsichere Datencenter bietet darüber hinaus Schutz vor Verlust und die langfristige Aufbewahrung von Kundendaten.
Die App wurde von den Spezialisten für Datensafes der DSwiss AG programmiert. Online-Safes haben laut Entwickler die “unwiderrufliche technische Eigenschaft”, dass selbst DSwiss – und dadurch auch externe Dritte – Kundenpasswörter oder Dokumente niemals einsehen können. Neukunden können laut Anbieter unter http://www.datainherit.com in weniger als einer Minute ein kostenloses Konto eröffnen und diese iPhone App aus dem Bereich Produktivität sofort einsetzen.
iTunes-Link
Mobile Endgeräte via Google Apps managen
Google unternimmt einen weiteren Schritt in Richtung Unternehmens-IT. Firmen und Bildungseinrichtungen, die die Premier- oder Education-Edition von Google Apps nutzen, können mit der Verwaltungskonsole Passwort-Regeln für einige Smartphones durchsetzen und den Inhalt der Endgeräte ggfs. aus der Ferne löschen.
Die neuen Funktionen erfordern keine Software-Installation auf den Mobilgeräten, da sie Microsofts ActiveSync-Technik verwenden. Sie lassen sich bislang mit iPhones, Nokias E-Serie sowie Windows Mobile-Smartphones nutzen. Administratoren können damit Benutzer zum Verwenden eines Passworts mit minimaler Länge zwingen sowie sicherstellen, dass es Sonderzeichen enthält.
Weitergehende Funktionen für Mobile Device Management, etwa zur Kontrolle von Netzverbindungen oder für die Softwareverwaltung, bietet Google noch nicht. Für den Unternehmenseinsatz von RIM-Smartphones wurde allerdings bereits der Connector for BlackBerry und für Android-Geräte Google Sync vorgestellt.
via heise.de
Passwort-geschützte Backups von iPhone und iPod “retten”
Die Lösung iPhone Password Breaker von Elcomsoft ist für Sicherheitsbehörden, Kriminaltechniker und Forensiker gedacht, könnte sich aber auch für IT-Abteilungen von Unternehmen mit iPhones im Flächeneinsatz als nützlich erweisen. Das Tool verspricht Zugang zu passwortgeschützten Backups von iPhone 2G, 3G und 3GS sowie iPod Touch aller drei bisherigen Generationen. Als nach eigenen Angaben erstes kommerzielles iPhone/iPodPasswort-Rettung-Tool nutzt Elcomsoft iPhone Password Breaker die Rechenleistung von Grafikchips. Die Software knackt somit Plaintext-Passwörter, die verschlüsselte Backups schützen und verschafft so Zugang zu Adressbüchern, Call-Logs, SMS-Archiven, Kalendern, Kamera-Schnappschüssen, Einstellungen der Voice-Mail- und E-Mail-Konten, Applikationen, Web Browsing History und Cache.
Die GPU-Technologie soll das Passwort-Brechen von iPhone-/iPod-Backups um das Tausendfache verkürzen. Elcomsoft iPhone Password Breaker führt eine Reihe komplexer Attacken über Wortlisten mit einstellbarer Mutationsfunktionalität durch. iPhone Password Breaker erfordert keine Installation von Apple iTunes und funktioniert völlig offline.
Eine kostenlose Beta-Version ist hier verfügbar.
Kobil: App generiert Einmal-Passworte für hochsichere Logins
Fürs iPhone hat Security-Spezialist Kobil eine kostenlos erhältliche App entwickelt, die mittels Zwei-Faktoren-Authentifizierung hochsichere Login ermöglichen soll. Grundlage ist Kobils Einmal-Passwort-Technologie SecOVID. Der Nutzer muss lediglich seine PIN kennen, das Passwort generiert die Applikation auf dem iPhone.
SecOVID generiert einen achtstelligen Nummerncode, der anhand des 3DES-Algorithmus zufällig errechnet wird und nur einmal gültig ist. Je nach Individualisierung durch den Anbieter kann der Nutzer auch direkt über das iPhone auf das gewünschte Portal, z.B. sein Bankportal zu greifen. Zu den KOBIL-Kunden gehören u.a.: DTAG, Deutscher Bundestag, Swisscom, Arcor/Vodafone, DATEV, Commerzbank.