Am Geldautomat, im Büro, im Online-Shop oder bei der Internet-Auktion, überall sichern Passwörter und PINs den Zugang und ständig werden es mehr. Nach einer aktuellen Umfrage müssen sich die meisten Menschen heute bereits rund 20 Zahlen- oder Zeichenkombinationen merken, manche sogar bis zu 60. Doch damit nicht genug: Viele dieser geheimen Codes müssen auch noch regelmäßig geändert werden. Um Nutzer vor dem Vergessen von Geheimnissen zu bewahren und Zugangsdaten zu schützen, haben Forscher eine Software für das Handy entwickelt, die Geheimnisse angriffssicher verschlüsselt und die Zugangsinformationen jederzeit zur Verfügung stellt.
{1l}
Mit dem MobileSitter muss der Nutzer sich nur noch ein Master-Passwort merken, um alle seine PINs und Passwörter, ja sogar TANs und i-TANs sowie Log- In-Informationen, sicher zur verwalten. "Im Gegensatz zu anderen Produkten bietet der MobileSitter hohe Sicherheit und Benutzerfreundlichkeit", sagt Projektleiter Ruben Wolf vom Fraunhofer-Institut SIT, "die Software wird einen Angreifer, der an die abgespeicherten Geheimnisse gelangen möchte, zur Verzweiflung treiben. Der rechtmäßige Nutzer wird hingegen bei der Eingabe des richtigen Master-Passworts durch eine Bildanzeige, einen so genannten optischen Rückkanal, unterstützt."
Um die wichtigen Informationen auch bei Verlust des Handys zu schützen, haben die Forscher ein neues Verfahren entwickelt, das auf dem weltweit anerkannten Verschlüsselungsverfahren AES 128 basiert und bereits zum Patent angemeldet wurde. "Als Angreifer kann man die verschlüsselten Daten eines Handys leicht von einem Mobiltelefon auf einen Rechner übertragen und dort mit speziellen Hackertools Hunderttausende Master-Passwörter innerhalb einer Sekunde ausprobieren", so Wolf. "Wenn der Angreifer feststellen kann, ob ein getestetes Master-Passwort falsch oder richtig war, wie dies bei anderen Produkten oftmals der Fall ist, kann er unter Umständen das korrekte Master-Passwort ermitteln und somit an alle Geheimkombinationen gelangen."
Anzahl von Master-Passwörtern unbegrenzt
Manche Lösungen zeigen zwar keine Fehlermeldungen, schränken die Menge der Möglichkeiten für das Master-Passwort jedoch stark ein oder bestätigen die richtige Eingabe des Master-Passworts durch Anzeige einer weiteren Zeichenfolge. "Das alles liefert einem Angreifer unter Umständen wichtige Informationen und erleichtert ihm die Arbeit", sagt Wolf. Beim MobileSitter hingegen ist die Anzahl möglicher Master-Passwörter praktisch unbegrenzt.
Bei Eingabe des richtigen Geheimnisses zeigt die Software eine Grafik, die der Benutzer problemlos wiedererkennt, aber dem Angreifer keinerlei Rückschlüsse auf das gewählte Master-Passwort erlaubt.
Bei Eingabe eines falschen Master-Passworts liefert der MobileSitter keine Fehlermeldungen, sondern generiert falsche Passwörter, die jedoch nicht als solche zu erkennen sind. "Ein Angreifer, der das richtige Geheimnis nicht kennt, kann also nicht erkennen, dass es falsche Codes sind", so Wolf, "ganz gleich, ob es sich um TANs, TAN- Listen, PINs oder Passwörter handelt."
Angreifer ohne Chance
Mit den heutigen technischen Möglichkeiten haben Angreifer deshalb keine Chance, an die Geheimnisse des MobileSitters zu gelangen. Nutzern hingegen bieten einstellbare Password-Policies, die Unterstützung von Passwort-Änderungen und Im- und Exportfunktionen nicht nur mehr Sicherheit, sondern auch besseren Komfort.
Im Gegensatz zu existierenden Produkten lassen sich mit dem MobileSitter beliebig viele Geheimnisse verwalten und diese auch von einem Gerät auf ein anderes übertragen. Der Nutzer kann PINs und TANs zum Beispiel auf dem Handy und dem heimischen PC nutzen. Bei Neukauf oder Verlust eines Handys oder Rechners lassen sich Zugangscodes einfach importieren. Die Software wurde speziell für mobile Endgeräte entwickelt und funktioniert auf PCs, Handys und PDAs, die Java ME unterstützen und mindestens eine Display-Breite von 160 Pixeln besitzen.
Die Fraunhofer-Forscher zeigen die Software erstmals vom 15. bis zum 21. März 2007 auf der Computermesse CeBIT in Hannover.
(idw – Fraunhofer-Institut für Sichere Informationstechnologie (SIT), 27.02.2007 – DLO)