"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

RSA-hack

HaBa 18.03.2011 - 09:49 1143 5
Posts

HaBa

Legend
Dr. Funkenstein
Avatar
Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19725
http://orf.at/#/stories/2048228/

Zitat
Gegenüber der „New York Times“ sagte der US-Verschlüsselungstechnikpionier Whitfield Diffie, dass möglicherweise der Master-Schlüssel des SecureID-Systems gestohlen worden sei. Dieser kann dazu genutzt werden, gültige Schlüssel für das System herzustellen, und dem Angreifer damit Zugang zu Rechnern der RSA-Kunden verschaffen. Zu diesen wiederum gehören wichtige Unternehmen der US-Verteidigungsindustrie, Banken, Spitäler und Krankenversicherungen.

Ins networking dürfts am besten passen.

userohnenamen

leider kein name
Avatar
Registered: Feb 2004
Location: -
Posts: 15857
oh, sollte sich das bewahrheiten wird in nächster zeit wohl viel passieren müssen

Neo-=IuE=-

Here to stay
Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3232
Open Letter to RSA Customers: http://www.rsa.com/node.aspx?id=3872
und noch ein guter Blog-Eintrag: http://securosis.com/blog/rsa-breac...cureid-affected

COLOSSUS

Administrator
GNUltra
Avatar
Registered: Dec 2000
Location: ~
Posts: 12070
Wtf, wenn das stimmt und deren "erster" Private Key wirklich weniger gut gesichert ist als bspw. der von CACert.org - dann ludl ich mich an! Das muss naemlich der Fall sein, wenn da wirklich eine "Email/Phishing/Malware"-Attacke erfolgreich dagegen gefahren werden konnte.

grond

---------
Registered: Aug 2004
Location: 8401
Posts: 3193
was genau können die jetzt mit "kopierten" Zugangsschlüsseln anstellen? zb. in Banken?

Neo-=IuE=-

Here to stay
Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3232
so ohne weiteres nix

RSA Secur-ID wird für 2-Faktorauthentifizierung verwendet.
Du hast zum Beispiel einen Schlüsselanhänger (Token) von RSA und dort drauf wechselt jede Minute ein Code, den Plus einen selbstgewählten Pin verwendest du wo als Passwort. Somit braucht einer der deinen Account verwenden will deinen Pin (Gedächtnis -> hoffentlich) und deinen Token (hast du bei dir).
Mit dem Mastercode der gestohlen sein "könnte" (ist ja nicht bestätigt, sondern nur eine Vermutung), könnt man den Code der am Token angezeigt wird selber erstellen.
Den Pin braucht man trotzdem.

Was du damit anstellen kannst, hängt davon ab, wofür diese Authentifizierung als Passwort verwendet wird.
Typischerweise zb. ein VPN-Zugang einer Firma
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz