Guten Morgen liebe*r Leser*in,

Nach wie vor schützen bei vielen Geräten und Diensten Passwörter den Zugang zu deinem Account oder deinen Daten. Doch Passwörter sind eigentlich denkbar ungeeignet. Computer sind viel besser darin, komplizierte Passwörter zu erraten, als Menschen darin, sie sich zu merken. Das geht mittels Brute-Force oder Wörterbuch Angriffen und steigender Rechenleistung immer schneller. Auch bei Phishing oder Einbrüchen in Server können deine Zugangsdaten gestohlen werden.
Mit Passkeys steht ein Nachfolger für Passwörter bereit, der die Zugänge nicht nur komfortable ermöglichen soll, sondern auch vor Man-in-the-Middle Angriffen und Phishing schützen. Der Clou an Passkeys ist, dass in den Passkeys die Domain des Dienstes mit integriert ist. D.h. wenn du einen Account bei example.com hast und eine Phishingmail dich auf axemple.com leiter, wird dein Passkey gar nicht übermittelt. Denn er passt nicht zu der Domain, für die er erstellt wurde.
Die großen Betriebssystemhersteller haben Passkeys integriert und wollen sie über ihre Cloud synchronisieren. Das ist je nach Konzept ein Problem. Sind die Passkeys nicht Ende-zu-Ende verschlüsselt, könnte Google oder Microsoft diese mitlesen bzw. würden Angreifer*innen in die Hände fallen, falls Lücken in diesen Diensten gefunden werden. Daher kann es je nach Misstrauen gegenüber den großen Technikkonzernen sinnvoll sein auf eine offene alternative wie KeePassXC zu setzen. Seit einigen Versionen unterstützt das OpenSource Programm auch Passkeys und kann diese über das Browserplugin zur Anmeldung an Webdiensten bereitstellen. Ganz sicher sind Passkeys auch auf Hardwaretokens. Von denen kann man aber kein Backup machen.
Wie bei 2FA solltest du prüfen, ob zwei Passkeys bei einem Dienst hinterlegt werden können oder wie der Prozess zur Wiederherstellung aussieht, wenn du deinen Passkey verlierst.
Nimm den heutigen Tag als Anlass und konfiguriere bei deinen Accounts Passkeys.

Habt einen guten Tag!

This dumb password rule is from Banque de Tahiti.

You have to enter your password using this *very* Frenchy keypad. You don't have lowercase letters, the blanks are not spaces but just non-clickable gaps, but as a compensation you have some weird symbols that your keyboard does not have a key for (e.g. `µ`).

No accessible version available.

https://dumbpasswordrules.com/sites/banque-de-tahiti/

ASN: AS41227
Location: Shiraz, IR
Added: 2025-04-18T20:26

Live alert! Focus: Signalgate 3.0 (More Leaks), 4Chan is still down | Schedule I | Tech & Chill: OSS, Linux Gaming, Radio, Cybersec. Join: https://twitch.tv/chiefgyk3d #Gaming #Infosec #Tech #Twitch #Streamer

Aside from blathering state secrets without knowing where the fuck you are...

If someone invites a user to your group chat, what are the chances that you notice, if neither party announces it? The whole group doesn't need to approve it. How is that encrypted as it is intended??

Just as a general rule, encrypted chats should be strictly one to one.

Full stop.

Keep your damn group chats to Facebook. That's where they belong.

ASN: AS24940
Location: Falkenstein, DE
Added: 2025-04-18T20:34

Le Fina cement de CVE finalement prolongé > https://next.ink/181206/la-base-de-donnees-de-vulnerabilites-cve-a-failli-perdre-son-financement-americain/
#infosec

Formation aux techniques offensives

Vous souhaitez acquérir une expérience pratique avec des laboratoires mis à jour dynamiquement sur AWS, Cobalt Strike et des stratégies de développement de charges utiles personnalisées ? Ce cours est fait pour vous !

En savoir plus : https://nsec.io/training/2025-offensive-development-practitioner-course/

Offensive techniques training

Interested in getting hands-on experience with dynamically updated labs in AWS, Cobalt Strike, and custom payload development strategies? That course is for you!

Learn more: https://nsec.io/training/2025-offensive-development-practitioner-course/

ASN: AS4808
Location: Beijing, CN
Added: 2025-04-18T08:05

bird.makeup/users/hackin... Pic of the Day #infosec #cybersecurity #cybersecuritytips #pentesting #cybersecurityawareness #informationsecurity

If you are with family today remind them they must click all the links #cybersecurity #infosec

AP: Countries shore up their digital defenses as global tensions raise the threat of cyberwarfare https://apnews.com/article/cybersecurity-trump-china-russia-iran-north-korea-9eceaf30ddc984ed482f067db5dee405 @AssociatedPress #cybersecurity #infosec

This dumb password rule is from ING Australia.

4 numeric digits.
"Added security" by randomising the positions on the keypad. Must be clicked.

https://dumbpasswordrules.com/sites/ing-australia/

This is a couple of days-old.

CSO: When AI moves beyond human oversight: The cybersecurity risks of self-sustaining systems https://www.csoonline.com/article/3852782/when-ai-moves-beyond-human-oversight-the-cybersecurity-risks-of-self-sustaining-systems.html #cybersecurity #AI #infosec

This article by me @Forbes has now been updated with further information about DKIM and commentary from Melissa Bischoping, head of security research at @Tanium.

#infosec

https://www.forbes.com/sites/daveywinder/2025/04/20/new-gmail-warning---do-not-open-this-email-from-google/

Meanwhile, in Windows

As part of April’s patch Tuesday updates, Microsoft released a patch to a link following flaw in the Windows Update Stack. Applying the patch creates a new %systemdrive%\inetpub folder on the device.

So Microsoft simply created an empty read-only folder on every user's drive C:\ to plug a security hole in Windows Update.

Seems like the actual vulnerability is harder to fix if the best they immediately could do is this.

P.S. I'm really curious how many users delete that folder...

Edit: source

Happy Easter to those who observe, and for those who don’t, Happy Spring Discount Candy Day tomorrow!

Speaking of discount candy, there are some of us for whom even that is currently a prohibitive expenditure. If you can, won’t you consider sending the cost of a pack of cheap Peeps to our good friend @catbailey via https://www.gofundme.com/f/aid-for-cat-and-her-kids-in-crisis?lang=en_US?

If you can manage more that’s well appreciated, as are any job opportunities or networking you may have. If you’re in the same boat, Cat understands the need to “put on your own mask first” as the airlines would say, but won’t you please boost or share, to help spread the request around?

Phishing attack impersonating Coinbase
#cybersecurity #infosec #scam/phishing #activephishing
https://beyondmachines.net/event_details/phishing-attack-impersonating-coinbase-4-c-o-s-s/gD2P6Ple2L