Cryptography Reference
In-Depth Information
Browsers ablegt. Der Speicher kann dann von einem weiteren Trojanerprogramm
kopiert und an einen entfernten Server versendet werden.
2
Ebenso wie Trojaner bedrohen auch Phishing-Seiten die Sicherheit dieser
Authentifikationsmethode. Dabei werden gefälschte Seiten von existierenden
Webseiten erstellt, auf die der Nutzer dann zum Beispiel mittels eines ebenfalls
gefälschten Links in einer eMail gelenkt wird. Gibt er das Passwort in dem falschen
Glauben ein, sich auf der realen Webseite des Diensteanbieters zu befinden, so
kann das Passwort auf dem gefälschten Server mitgeschnitten werden.
Ein weiteres Angriffspotenzial ist durch die Vielzahl unterschiedlicher Anmelde-
seiten gegeben. Dies führt dazu, dass der Benutzer das gleiche Passwort für unter-
schiedliche Dienste nutzt. Ist dann nur einer dieser Dienste unzureichend
geschützt oder sogar ein Trojaner, so sind alle weiteren Dienste für die dasselbe
Passwort genutzt wurde angreifbar. Eine Möglichkeit, dieser Problematik ent-
gegenzuwirken ist die Nutzung von Passwortmanagern, die zum Teil sogar die
Möglichkeit bieten, „gute“ Passwörter zu generieren. Diese muss sich der Nutzer
dann nicht alle merken, sondern er benötigt nur ein Passwort, um den Passwort-
container des Passwortmanagers zu öffnen. Die Nutzung eines Passwortmanagers
obliegt jedoch dem Nutzer selbst.
Da das Sicherheitsniveau einer Anmeldung mittels Benutzername und Passwort
nur schwer einzuschätzen ist, geht ein Trend dahin, dass der Diensteanbieter selbst
nach Methoden sucht, um das Sicherheitslevel von Authentifikationsmethoden
und somit das Vertrauen in eine erfolgte Anmeldung zu erhöhen. In diesem
Beitrag werden verschiedene innovative Methoden vorgestellt, deren Entwicklung
und Nutzung bei den Deutsche Telekom Laboratories vorangetrieben wurde und
wird.
Der elektronische Personalausweis
Eine Lösung, um eine sichere Authentifikation und sogar Identifikation von
Benutzern im Web zu ermöglichen, bietet der neu eingeführte deutsche Personal-
ausweis (Bild 1).
Der Personalausweis unterstützt dabei verschiedene Formen der Authentifikation.
Zum einen wird ermöglicht, dass der Benutzer die Daten des Personalausweises
nutzt, um sich gesichert gegenüber einem Dienst zu registrieren. Dabei wird
zunächst ein gesicherter Kanal zwischen dem Personalausweis und dem
Diensteanbieter aufgebaut. Über diesen Kanal ist es dann möglich, dass der
2
„Trojaner zwingt Firefox zum heimlichen Speichern von Passwörtern“, heise news, 2010,
http://www.heise.de/newsticker/meldung/Trojaner-zwingt-Firefox-zum-heimlichen-
Speichern-von-Passwoertern-Update-1105911.html
Search WWH ::
Custom Search