"Zertifikate sind wertlos für sicheres Browsen"

Status
Nicht offen für weitere Antworten.

Vangelis

Administrator
#1
Usability ist Kernproblem für effizientes Identitätsmanagement

Zertifikate nach dem X.509-Standard sind eine gängige Methode, wie Webseiten ihre Fähigkeiten zur sicheren Datenübertragung per SSL nachweisen. "X.509-Zertifikate sind wertlos für SSL", meint aber Audun Jøsang, Professor am UNIK Graduate Center Unik.no der University of Oslo. Denn gegen Phishing-Attacken bieten Zertifikate wenig Schutz - gefälschte Webseiten können auch falsche Zertifikate nutzen und somit User in die Irre führen.


Die Lösung ist ein effizienteres Identitätsmanagement für Online-Angebote, sodass Nutzer Webseiten eindeutig identifizieren können. Dazu schlägt Jøsang im Rahmen der 3rd Summer School on Network and Information Security 3rd Summer School on NIS'10 - Home page ein "offPAD" (offline Personal Authentication Device) vor. Damit könnten User beispielsweise die Webseite ihrer Bank durch einen "Petname" eindeutig erkennen - und gleichzeitig all ihre eigenen Identitäten für Webmail, soziale Netzwerke und mehr einfach verwalten.

Identitätsdilemma

Diverse Online-Dienste wie Facebook, Hotmail, die Hausbank oder auch Internetforen geben Usern einen Login-Namen und ein Passwort. Das Problem: Die Menge der digitalen Identitäten wird für User unüberschaubar. Zwar gibt es Erleichterungen wie die Tatsache, dass alle Google-Dienste nur ein Login erfordern. Einen relativ universellen Ansatz stellt auch eine OpenID dar. "Die würde ich aber nicht für Angebote wie soziale Netzwerke nutzen, wo viele private Daten zu finden sind", meint Jøsang im Gespräch mit pressetext. Denn das System ist anfällig für Phishing-Attacken. Für Kommentarfunktionen oder Bewertungsportale sei OpenID aber ein sehr praktischer Ansatz.

"Ein Traum" ist nach Ansicht des Experten aber eine lokale nutzerzentrische Lösung zum Identitätsmanagement - ein offPAD. "Es sollte sich um ein grundsätzlich nicht vernetztes Gerät handeln", so der Informatiker. Das Konzept ist praktisch ein Schlüsselbund mit alle Online-Identitäten des Nutzers, das beispielsweise durch einen einzelnen PIN geschützt werden könnte. Zur einfachen Nutzung wäre denkbar, dass das offPAD auf Knopfdruck eine benötigte Identität per Near Field Communication überträgt. Das gleiche Geräte böte dem User zudem die Möglichkeit, die Identitäten von Online-Diensten zu verwalten.

Meine Bank, mein Name

Ob sich ein Nutzer wirklich auf der Website befindet, von der er es glaubt, kann er am ehesten an der URL erkennen. Doch das ist für Durchschnittsanwender nicht immer leicht. SSL-Zertifikate sind hier keine Hilfe, da beispielsweise eine Bank-Phishingseite einfach auch ein falsches Zertifikat nutzen kann. "Wir müssen für User nicht aussagekräftige Pointer - die URLs - durch sinnvolle Petnames ersetzen", meint daher Jøsang. Auch diese Idee verfolgt der Forscher beim offPAD.

Im Prinzip sollen dazu Zertifikate zur eindeutigen Identifikation von Online-Diensten genutzt werden. Wenn sich ein Nutzer beispielsweise erstmals für das Online-Banking seines Geldinstituts anmeldet, kann das Sicherheitszertifikat der Seite auf dem offPAD gespeichert werden, so die Idee. Der User hätte dann die Möglichkeit, dem Zertifikat und somit der Webseite einen persönlichen Namen zuzordenen - einen Petname eben. Besucht der Nutzer in Zukunft die Webseite, würde das offPAD sie mit eben diesem Namen identifizieren. Eine Phisihing-Seite dagegen könnte das System sicher nicht täuschen, da ihr das Original-Zertifikat der Bank fehlt. (pte)
 
Status
Nicht offen für weitere Antworten.
Oben