Passwörter clever geschützt

Ein Passwort für Amazon oder Ebay, die PIN der neuen EC-Karte – Zugangsdaten sind aus dem Alltag nicht mehr wegzudenken, aber oft hat man ein neues Passwort oder eine neue PIN schnell wieder vergessen, gerade wenn man diese nicht täglich braucht.

Hat man schon mal Passwörter vergessen, dann greift man zu Hilfsmitteln, damit dies nicht nochmal geschieht. Doch diese Hilfsmittel müssen sehr sicher sein, denn viele Kriminelle haben es auf Zugangsdaten abgesehen. Abhilfe schafft hier eine App des Fraunhofer SIT: Der iMobileSitter ist ein Passwortmanager, der sämtliche Zugangscodes auf dem iPhone gespeichert hat und diese verwaltet und vor Angreifern schützt. Die App wird auf der CeBIT am Stand des BMBF in Halle 26 gezeigt.

Mit einem Masterpasswort kommt man an sämtliche geheimen Zugangsdaten, die im iMobileSitter gespeichert sind, und dieser Zugang muss natürlich besonders gut geschützt werden. Fraunhofer SIT hat hier ein besonders sicheres Verfahren entwickelt, das Angreifer in die Irre führt: Bei jeder Eingabe eines Masterpassworts, ob richtig oder falsch, öffnet sich der iMobileSitter und zeigt Zugangsdaten an – jedoch bekommt man bei einem falschen Masterpasswort auch falsche Zugangsdaten angezeigt. Die Kombinationen sehen so aus, als könnten sie tatsächlich korrekt sein. Doch ob es die richtigen sind, weiß ein Angreifer nicht – er erhält keinen Hinweis darauf, ob der Versuch, den Passwortcontainer zu knacken, erfolgreich war oder nicht. Der Hacker muss erst die einzelnen Zugänge ausprobieren, zum EC-Automaten laufen oder sich versuchen, bei Amazon einzuloggen und so weiter. Und hier greifen dann die normalen Sicherheitsvorkehrungen, die Karte wird eingezogen oder der Zugang gesperrt. So laufen auch sogenannte Wörterbuch-Angriffe oder Brute-Force-Angriffe auf den Passwortcontainer ins Leere – selbst wenn Hunderttausende von Masterpasswörtern mittels einer Hackersoftware innerhalb von Minuten ausprobiert werden, bekommt der Angreifer immer dieselbe, nicht zu deutende Reaktion des iMobileSitters. Nur der rechtmäßige Besitzer kann an einer kleinen Grafik sehen, ob er sein Masterpasswort richtig eingegeben oder sich eventuell vertippt hat. Diese Grafik hat für den Angreifer wiederum keine Bedeutung, denn jedem Masterpasswort ist eine von vielen verschiedenen Grafiken zugeordnet. Dem Angreifer ist die zu dem Masterpasswort eines Benutzers passende Grafik jedoch nicht bekannt und so lassen sich für ihn keine Rückschlüsse auf das richtige Masterpasswort ziehen.

Der iMobileSitter als App für das iPhone wird auf der CeBIT erstmals öffentlich präsentiert. Es gibt ihn ab sofort auch im Appstore für 4,99 Euro zu kaufen.