Forscher entwickeln angeblich idiotensicheres Anti-Phishing-System

Montag den 11.09.2006 um 14:49 Uhr

von Frank Ziemann

Amerikanische Wissenschaftler arbeiten an einer Methode, die den Anwender als Fehlerquelle ausschalten soll.

Viele Maßnahmen zum Schutz vor Phishing setzen darauf dem Anwender bei der Erkennung gefälschter Web-Seiten zu helfen. Forscher der Carnegie-Mellon Universität in Pittsburgh, Pennsylvania, wollen einen anderen Weg gehen und mobile Geräte wie Handys als Zertifikatsspeicher für berechtigte Nutzer einsetzen. Damit sollen Bankkunden von der Aufgabe entlastet werden echte von gefälschten Websites zu unterscheiden.

So soll ein Bankkunde offline ein persönliches digitales Zertifikat von seiner Bank erhalten und auf seinem Mobiltelefon oder PDA speichern. Geht er nun auf die Website seiner Bank, sendet diese ein Zertifikat, das die Website als die der echten Bank ausweist. Das übertragt der Browser des Kunden auf sein mobiles Gerät. Dieses verifiziert das Zertifikat und sendet das persönliche Zertifikat des Kunden an den Bank-Server.

Der Kunde kann sich nun wie gewohnt mit Benutzername und Passwort (oder PIN) bei der Website anmelden. Auf diese Weise wird das bekannte Prinzip der Zwei-Faktoren-Identifikation umgesetzt. Der Bankkunde braucht etwas, das er hat (das Zertifikat) und etwas, das er weiß (Passwort oder PIN). Zudem ist auch die Website der Bank gegenüber dem Kunden als echt ausgewiesen.

Bei Phishing-Websites kann dieses Prinzip, so die These der Forscher, nicht funktionieren. Auch wenn der Bankkunde sein Passwort dort eingibt oder es durch einen Keylogger ausspioniert wird, können die Betrüger nichts damit anfangen. Ihnen fehlt das persönliche Zertifikat, das auf dem Mobilgerät gespeichert ist und so kommen sie nicht an das Konto. Fällt jemandem das Mobiltelefon in die Hände, bekommt er zwar das Zertifikat, ihm fehlen jedoch Benutzername und Passwort.

Die Forscher um Professor Adrian Perrig haben bislang einen Prototypen ihres als "phoolproof" (abgeleitet von "foolproof" - idiotensicher) bezeichneten Konzepts realisiert und wollen in naher Zukunft eine weiter entwickelte Version vorstellen.

Montag den 11.09.2006 um 14:49 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
54418