KeyIdentity Security-Breakfast 2018 – von Cyberhaftung und dem toten Pferd der Passwörter

Am 23.08.2018 fand das KeyIdentity Security-Breakfast im NH Hotel Airport West in Raunheim bei Frankfurt a.M. statt. Das Event stand ganz im Fokus des nachhaltigen Schutzes der IT-Infrastruktur sowie der Applikationen und der digitalen Identitäten und Transaktionen. So wurde mit insgesamt drei Vorträgen sowohl die rechtliche Lage, wirtschaftlichen Folgen als auch persönliche Auswirkungen eines Identitätsdiebstahls beleuchtet.

Continue reading KeyIdentity Security-Breakfast 2018 – von Cyberhaftung und dem toten Pferd der Passwörter

Kommentar zum „Change Your Password Day“: Warum Multi-Faktor-Authentifizierung (MFA) statt Passwortoptimierung nottut

Am 1. Februar findet wieder der „Change Your Password Day“ statt. Und wie jedes Jahr übertreffen sich selbsternannte Security-Experten mit Ratschlägen zum richtigen Umgang mit Passwörtern im Sinne eines umfassenden Identity- und Access-Managements (IAM): Möglichst komplex und lang sollten sie sein – im Idealfall zwischen zehn bis 15 Zeichen – und sie sollten regelmäßig erneuert werden. Doch das funktioniert im Alltag eher schlecht als recht. Denn laut Verizon sind gestohlene oder schwache Passwörter mittlerweile in 81 Prozent aller Fälle die Ursache für einen Hack – im Vorjahr waren es „nur“ 63 Prozent.

Komplexe und lange Passwörter überfordern Nutzer

Der Grund dafür: Die Nutzer können sich komplexe Passwörter aus Zeichen und Zahlen schlichtweg nicht merken. Daher notieren sie ihre Login-Daten oder bilden sie nach immer denselben Schemata nach. Doch moderne Hacker-Programme können Continue reading Kommentar zum „Change Your Password Day“: Warum Multi-Faktor-Authentifizierung (MFA) statt Passwortoptimierung nottut

Hacking Days 2017 – ein Rückblick

Ende letzten Jahres hatten wir zum ersten Mal in unseren Räumlichkeiten Hacking Days veranstaltet. Im Rahmen des Events entwickelte unser gesamtes Development Team gemeinsam persönliche Projekte oder realisierten eigene Ideen. Dabei stand die spielerische Weiterbildung im Mittelpunkt: egal, ob es darum ging, Hardware zu programmieren, neue Programmiersprachen und Entwicklungsumgebungen auszuprobieren oder kleine Tools und Helfer zu bauen, die den Alltag erleichtern sollen. Grundidee ist, dass jeder mal an einem Thema / an einer Idee arbeiten kann, zu der er sonst nicht kommt.

Programmieren, was der Zeilencode hergab

Es wurde zum Beispiel die Evidenztheorie von Dempster und Shafer getestet, mit der man die Unsicherheit von Aussagen quantitativ bestimmen kann. Dabei definierte eines der Teams eine Ober- und Untergrenze für die Wahrscheinlichkeit von Aussagen anhand mehrerer Beweisquellen. Die Ergebnisse lassen sich zum Beispiel nutzen, um die Notwendigkeit eines weiteren MFA-Schrittes anhand von Continue reading Hacking Days 2017 – ein Rückblick

KeyIdentity LinOTP 2.10 released

KeyIdentity LinOTP 2.10 ist released und bringt viele Verbesserungen, neue Features und Bugfixes! Die Changelogs finden Sie am Ende des Artikels; alle Highlights im Überblick:

  • Neues Feature: Voice Token

LinOTP 2.10 bringt nun die Unterstützung für Voice-Token mit. Damit steht neben den bereits bekannten Challenge-Response-Token (bspw. KeyIdentity Push Token, SMS Token) eine weitere, barrierefreie, Möglichkeit zur Verfügung, OTPs an ihre Verwender zu übermitteln. Aktuell wird Twilio als Voicetokenprovider unterstützt. Der für die Voicetokennutzung vorausgesetzte Voice Challenge Service wird allen Kunden zur Verfügung gestellt. Details zum Voice Challenge Service können von support@keyidentity.com bezogen werden.

  • Neues Feature: MFA Absicherung des Selfservice-Portals

Das Selfservice-Portal kann nun zusätzlich durch MFA abgesichert werden. Dies ist insbesondere nützlich für Umgebungen Continue reading KeyIdentity LinOTP 2.10 released

Identity- & Access Management Studie 2017 – Aufholbedarf bei sicherer Authentifizierung

Trotz massiver Vorfälle von Datendiebstahl und Hacks tun sich viele Unternehmen noch immer schwer bei der Umsetzung von sicheren Logins und Transaktionen. Dies hat die Identity- & Access Management Studie 2017 von IDG Research Services in Zusammenarbeit mit KeyIdentity ergeben.

Passwörter nicht mehr ausreichend für sichere Authentifizierung

Für 61,6 Prozent der befragten Unternehmen ist das klassische Passwort noch immer die wichtigste Methode zur Authentifizierung, gefolgt von PINs (39,2 Prozent) und E-Mails (35,3 Prozent). Continue reading Identity- & Access Management Studie 2017 – Aufholbedarf bei sicherer Authentifizierung

KeyIdentity-Rückblick zur itsa 2017: Warum man keine toten Pferde reiten sollte

Vom 10. bis 12. Oktober  2017 fand wieder eines der Highlights der IT-Security-Branche in Nürnberg statt. Die itsa – Europas größte IT-Security-Messe – brachte auch dieses Jahr Sicherheitsexperten und Anwender zusammen, um sich bei Expertenvorträgen, Diskussionsrunden sowie an zahlreichen Ständen über die neuesten Entwicklungen und Trends im IT-Sicherheitsbereich auszutauschen. Continue reading KeyIdentity-Rückblick zur itsa 2017: Warum man keine toten Pferde reiten sollte

The basics of multi-factor authentication: What is a push token and how can businesses benefit of it?

A Push Token is an advanced technology for an easy-to-use and secure multifactor authentication (MFA): When a user tries to access protected content or initiates a transaction, a push notification is sent to the users registered mobile device, for instance a smartphone. Continue reading The basics of multi-factor authentication: What is a push token and how can businesses benefit of it?

The basics of multi-factor authentication: How to pick the right token

Multi-factor authentication (MFA) is based on the idea that a user possesses several unique pieces of evidence which cannot be provided or accessed by a third party. This can be either knowledge like a password, biometric features like a fingerprint or a physical object like a hardware token.

Modern MFA solutions like LinOTP and the KeyIdentity MFA platform support a wide range of tokens to accommodate different use cases, risk levels and cost considerations in B2B and B2C scenarios. Here is a short overview on most common token types: hardware and software tokens, SMS and biometrics as well as QR and push tokens.

Hardware tokens: independent of the device running the application

Hardware tokens are available in various designs ranging from portable USB authenticators to keychain devices to flexible display panels embedded in identification cards. They all have one advantage in common: Since hardware tokens come with their own display and battery, they can operate independently of the device running the application.

A special type of hardware token is the standardized FIDO U2F supervised by the open-authentication industry consortium FIDO Alliance. Based on the Universal Second Factor standard U2F, users can “bring their own token” (BYOT). This means that tokens already owned can be reused at a consistent level of security Continue reading The basics of multi-factor authentication: How to pick the right token

The Automation of Web Security Assessments in 2017

Like in most professional sectors, penetration testers ask themselves whether machines are capable of taking over their job. In many sales speechs, customers are saying that you no longer need manual web security assessments because automated tools will the same job cheaper. Customers refer to so-called Web Application Security Scanners. These are programs that automatically scan web applications for security vulnerabilities. In the post, we will review the effectiveness and accuracy of web application scanner.

Continue reading The Automation of Web Security Assessments in 2017