Geheimnishüter für mobile Endgeräte

Der „MobileSitter“ soll es ermöglichen, Passwörter angriffssicher zu verschlüsseln und die Zugangsinformationen jederzeit auf dem Mobilgerät zur Verfügung zu stellen. Der Nutzer muss sich nur noch ein Master-Passwort merken, um alle seine Passwörter, PINs und TANs sicher zu verwalten.

„Im Gegensatz zu anderen Produkten bietet der MobileSitter hohe Sicherheit und Benutzerfreundlichkeit“, sagt Projektleiter Ruben Wolf vom Fraunhofer SIT. „Wir haben ein neues Verfahren entwickelt, das einen Angreifer, der an die abgespeicherten Geheimnisse gelangen möchte, zur Verzweiflung treibt“.

Auch wenn das Handy in die falschen Hände gelangt und Hacker versuchen, an das verwendete Master-Passwort bzw. die gespeicherten Geheimnisse zu gelangen, bestehe keine Gefahr „Als Angreifer kann man die verschlüsselten Daten eines Handys leicht auf einen Rechner übertragen und dort mit speziellen Hackertools Millionen von Master-Passwörtern innerhalb einer Sekunde ausprobieren“, so Wolf weiter.

„Wenn der Angreifer feststellen kann, ob ein getestetes Master-Passwort falsch oder richtig ist, wie dies bei anderen Produkten oftmals der Fall ist, kann er unter Umständen das korrekte Master-Passwort ermitteln und somit an alle Geheimnisse gelangen.“ Anders beim MobileSitter: Bei Eingabe eines falschen Master-Passworts liefert der MobileSitter keine Fehlermeldungen. Stattdessen ignoriert er falsche Passwörter, die jedoch für einen Hacker nicht als solche zu erkennen sind. Wolf: „Ein Angreifer, der das richtige Master-Passwort nicht kennt, weiß also nicht, dass es sich um falsche Passwörter, PINs und TANs handelt, da die Passwort-, PIN- und TAN-Regeln auch bei der Berechnung der falschen Geheimnisse berücksichtigt werden.“

Mit den heutigen technischen Möglichkeiten hätten Angreifer deshalb keine Chance, an die Geheimnisse des MobileSitters zu gelangen.

Die Fraunhofer-Forscher präsentieren die Neuentwicklung auf der Systems (23. – 26.10.07) in München (Halle B3, Stand 122/123). (dsc)