Die Lösung
Der MobileSitter hilft einem als Benutzer, seine Geheimkombinationen —egal
ob Passwort, PIN oder TAN— auf dem eigenen Mobiltelefon zu managen. Diese werden
in einer speziellen Art und Weise verschlüsselt und das Verschlüsselungsergebnis wird
auf dem MobileSitter abgespeichert. Gelangt ein Unberechtigter an das eigene
Mobiltelefon und möchte dieser an die Geheimkombinationen gelangen, dann wird er schier
verzweifeln. Denn für jedes eingegebene Master-Passwort antwortet der MobileSitter mit
einem zu dem jeweiligen Master-Passwort gehörenden Entschlüsselungsergebnis. Das Problem
für den Angreifer besteht hierbei darin, dass er nicht erkennen und entscheiden kann, ob
es sich bei dem angebotenen Entschlüsselungsergebnis um das korrekte Ergebnis handelt
oder nicht. Im Fall der Suche nach einer PIN für eine ec-Karte berechnet der
MobileSitter ausschließlich solche Kombinationen, die man als Hacker nicht von einer
echten PIN unterscheiden kann. Alles was ihm bleibt, ist mit der gestohlenen Karte zu
einem Bankautomaten zu gehen, der ihm maximal 3 Versuche gibt. Der Hacker erhält sogar
keinen Vorteil, selbst wenn man sich als Benutzer ein schlechtes Master-Passwort
ausgewählt hat. Aus Sicht des Hackers ist jeder andere Kandidat für ein gutes oder
schlechtes Master-Passwort gleich wahrscheinlich.
Ähnlich verhält es sich bei der Sicherung von Passwörtern. Der MobileSitter bietet die Möglichkeit, seine Passwörter mit den jeweiligen Passwortregeln zu hinterlegen. Versucht ein Hacker durch Eingabe von Master-Passwörtern das hinterlegte Passwort zu finden, dann antwortet der MobileSitter jedes Mal mit einer Zeichenkombination, die den Passwortregeln des hinterlegten Passworts entspricht. Auch hier bleibt dem Hacker nichts anderes übrig, als jedes vom MobileSitter berechnete Passwort bei der jeweiligen Anwendung einzugeben. Die Situation für den Hacker ist praktisch so, als würde er direkt ein Anwendungspasswort über Trial and Error suchen. Das bedeutet, dass der Hacker durch versuchte Angriffe auf den MobileSitter keinen zusätzlichen Nutzen ziehen kann.
Darüber hinaus ist die Anzahl der Master-Passwörter, in denen ein Angreifer die richtige Kombination finden muss, praktisch unbegrenzt. Und für alle diese Master-Passwörter liefert der MobileSitter aus Sicht des Hackers Kandidaten für Anwendungspasswörter, PINs und TANs, die von der korrekten Geheimkombination nicht unterschieden werden können. Der rechtmäßige Nutzer hingegen erkennt sofort, dass es sich bei den Entschlüsselungsergebnissen um seine korrekten Passwörter handelt. Hierfür sorgt ein Symbol, welches der MobileSitter nach Eingabe des Master-Passworts anzeigt.
