"Passwort" Folge 21: Von Zug(p)ferden, Cyber-Gangstern und Passwort-Policies
Im Security-Podcast geht es um problematische Rechnungsformate, Darknet-Marktplätze, behördliches Vorgehen gegen deren Betreiber und einiges mehr.
Passwort, der Podcast von heise security, legt in Folge 21 mit ZUGFeRD los, einem Standard für die E-Rechnung. ZUGFeRD-Dokumente sind eine Kombination aus PDF und XML, die Rechnungsdaten mehrfach enthalten. Praktisch, wenn man eine Rechnung inspizieren will, ohne ein Tool für das XML-Format zur Hand zu haben. Einige Podcast-Hörer sehen allerdings ein Sicherheitsproblem darin, dass die Daten in den beiden Formaten voneinander abweichen können. Die Hosts diskutieren, warum das gefährlich sein kann und was man am besten dagegen tut.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Podcast (Podigee GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Außerdem geht es in dieser Episode um die Sicherheitsvorkehrungen von Marktplätzen im Darknet. Die haben im Grunde ähnliche Probleme wie legale E-Commerce-Seiten – aber in verschärfter Form. Cyber-Krähen hacken einander nämlich durchaus gerne die Augen aus und auch Strafverfolger versuchen, diese Marktplätze zu kompromittieren. Die resultierenden Schutzmaßnahmen sind technisch interessant und in Teilen durchaus auf das Clearweb übertragbar.
Außerdem diskutieren Christopher und Sylvester einige überraschende und einige weniger überraschende Festnahmen und Verurteilungen von russischen Cybergangstern; Aktionen russischer Behörden, wohlgemerkt. Auch europäische Behörden waren nicht untätig und haben den technischen Administrator eines illegalen Marktplatzes verhaftet und – mal wieder – einen an Kriminelle vermarkteten Messenger übernommen.
Gegen Ende der Episode erinnern die Hosts daran, dass Let's Encrypt das Online Certificate Status Protocol (OCSP) nicht mehr unterstützen will. Dazu gibt es nun konkrete Termine, los geht's schon im Januar 2025. Zum Schluss geht es dann noch um einen Essay zu Password-Policies. Der erläutert, woher diese Idee eigentlich stammt, und geht der Frage nach, warum die Policies jahrzehntelang empfohlen wurden, obwohl sie kontraproduktiv sind.
Die neueste Folge von "Passwort - der heise security Podcast" steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.
(syt)
