Trier | 06. Mai 2014

Trierer entdecken Lücke in Login-System

Einen einfachen Weg, das Login-System Persona zu knacken, haben Trierer Informatiker entdeckt. Sie fanden eine Sicherheitslücke und stellen ihre Ergebnisse nun bei einer internationalen Konferenz in Kalifornien vor.
Trier. Daniel Fett, Ralf Küsters und Guido Schmitz von der Universität Trier haben das von Mozilla entwickelte Login-System Persona analysiert und dabei gravierende Sicherheitslücken entdeckt.
Die Forscher fanden heraus, dass sich Hacker mit beliebigen E-Mail-Adressen von Google- oder Yahoo-Benutzern bei einer Webseite anmelden können. Über diese Zugänge ist es den Hackern möglich, Daten aus fremden Benutzerkonten auszuspähen und zu verändern.
Webseiten bieten immer öfter Möglichkeiten wie "Login mit Facebook" oder "Anmelden mit Google". Bei diesem sogenannten Single-Sign-On (SSO) dient das vorhandene Facebook- oder Google-Konto als "Ausweis" gegenüber der Webseite. Ein neues Passwort wird überflüssig.
Der Nachteil: Google und Facebook haben Kontrolle darüber, wann und wo sich ihre Benutzer einloggen. Mozilla, die Entwickler des Firefox-Browsers, verfolgen mit dem SSO-System Persona einen neuen Ansatz, bei dem Datenschutz im Vordergrund steht. Bevor die Wissenschaftler auf die Mängel öffentlich hinwiesen, haben sie Mozilla darauf aufmerksam gemacht. Mittlerweile ist diese Sicherheitslücke geschlossen.

Campus & Co.



Dem Grundkonzept von Persona stellen die Trierer Forscher hingegen ein gutes Zeugnis aus: "Es hebt sich, neben einigen technischen Vorteilen, durch seinen datenschutzfreundlichen Ansatz wohltuend von anderen Systemen ab", sagt Ralf Küsters. Er warnt aber davor, Anwendungen blind zu vertrauen: "Sicherheitslücken verstecken sich meist in subtilen Details und sind oft nicht auf einen Blick auszumachen." Deshalb entwickeln die Informatiker um Ralf Küsters seit vielen Jahren Verfahren für die Sicherheitsanalyse von Internet-Anwendungen.
Die Trierer Forscher von der Professur für Informationssicherheit und Kryptographie stellen ihre Ergebnisse Mitte Mai auf der IT-Sicherheitskonferenz "Security and Privacy 2014" in San Jose (Kalifornien) vor. red
Weitere Informationen:
http://infsec.uni-trier.de/