Fraunhofer SIT: Passwort-App zum Hacker ärgern

Viele Menschen setzten auf Passwort-Tools, um alle Zugangsdaten an einem zentralen Ort zu speichern. Jetzt wurde eine App für Android präsentiert, die Passwörter und Pins besser als die Konkurrenz vor Hackern schützen soll. mehr... Android, App, Mobile Sitter, Frauenhofer SIT Bildquelle: Frauenhofer SIT Android, App, Mobile Sitter, Frauenhofer SIT Android, App, Mobile Sitter, Frauenhofer SIT Frauenhofer SIT

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Da gab es vor einiger Zeit doch schon mal so einen Ansatz. Im Prinzip nicht schlecht die Geschichte. Einzig dass man einen Teil der Daten (Benutzername o.ä.) offenlegen muss, bietet halt wieder eine Angriffsfläche. Blöd nur, wenn man selbst nicht weiss, wie die Kennwörter aussehen. Dann merkt man selbst den Vertipper beim Einloggen nicht ;D
 
@dodnet: Honeywords: Making Password-Cracking Detectable (http://people.csail.mit.edu/rivest/pubs/JR13.pdf)
 
Eigentlich eine fast genial einfache Idee, aber solange die App nicht OpenSource ist, ist sie für solche sicherheitsrelevanten Angelegenheiten wie das Speichern von Zugangsdaten alles andere als geeignet. Bei Zugangsdaten für z.B. Foren, Blogs oder z.B. hier bei WinFuture kann man sich aber sicherlich streiten. Für solche Zwecke kann man (durchaus) auch ClosedSource-Tools nutzen.
 
Zweifaktorauthentifizierung tuts auch. Etwas was man weiß (Passwort), und etwas was man besitzt (Smartphone). Bzw. bei Keepass eine Schlüsseldatei.
 
@krusty: Im Idealfall mit einem auf dem Smartphone gespeichertem Masterpasswort.
 
Diese Funktion ist schon älter, wenn auch die Verschlüsselungsalgorithmen variieren werden. In meinem K850i existiert dies schon und das ist einige Jahre alt.
Praktisch finde ich, dass so theoretisch mehrere oder einfach unter verschiedenen Zugangsdaten verschiedene Daten gesichert werden können
 
Die Funktion ist doch recht simpel auszuhebeln, falls dem Hacker zufallsgenerierte Daten präsentiert werden. Er muss den Bructe-Force Ansatz nur dahingehend anpassen, dass er sich die Daten aus dem vorherigen Login-Versuch merkt. Falls die App bei jedem Login-Versuch andere Daten liefert, dann muss der Hacker jedes Passwort zweimal testen und überprüfen ob die zurückgelieferten Daten gleich sind => richtiges PW. Falls die App bei falschen Login-Versuchen zwar zufallsgenerierte, aber sich nicht ändernde Daten anzeigt, dann muss der Hacker solange probieren, bis sich die Daten ändern => richtiges PW.
 
@mlodin84: Die App sollte zufallsgenerierte Daten anzeigen und für den Zufallsfaktor genau nur die Logindaten verwenden. Dann bekommst du bei gleichen Logindaten die gleichen "Zufallsdaten" generiert und bei anderen Logindaten andere Zufallsdaten.
 
@andy01q: Ist selbst dann keine große Hürde. Die App liefert ja Passwörter zu Diensten. Dann probiert der Hacker nach jedem Login-Versuch das Passwort bei einem der Dienste aus.
 
@mlodin84: So lange das Script 1-2 Dienste identifizieren kann (z.B: GApps) würde das so klappen, ja.
 
@[Elite-|-K... : der war gut :) >>Im Idealfall mit einem auf dem Smartphone gespeichertem Masterpasswort.<< Wo man als Besitzer nur das Recht hat den Akku Aufzuladen, jedes App hat mehr Rechte als der Besitzer ;)
Kommentar abgeben Netiquette beachten!