Das Problem
Geheimkombinationen überall
Ob am Computer zu Hause oder im Büro, am Geldautomaten, beim Bezahlen an der
Kasse — ständig braucht man Geheimkombinationen wie Passwörter, PINs oder TANs.
Dabei ist das gar nicht so einfach, sich immer an diese eigentlich bedeutungslosen
Zeichenketten mit all ihren Klein- und Großbuchstaben, Ziffern, Sonderzeichen zu
erinnern. Dies wird zunehmend durch die stetig steigende Anzahl von solchen
Geheimkombinationen erschwert. Und dabei scheitern manche gelegentlich schon daran, sich
an den Login-Namen zu erinnern, der im Gegensatz zu den Passwörtern, PINs und TANs noch
nicht einmal geheim ist.
Nutzer versuchen gelegentlich, diesen Fluch des digitalen Zeitalters dadurch los zu werden, indem sie für verschiedene Zwecke das gleiche Passwort wählen. Das hilft zwar beim Erinnern, jedoch ist vielen nicht bewusst, auf welch große Sicherheitslücken sie sich dabei einlassen. Wenn einem als Nutzer tatsächlich an der Sicherheit seiner Geheimkombinationen gelegen ist und man dennoch jederzeit Zugriff zu seinen Passwörtern haben möchte, kommt man an der Verwendung von entsprechenden technischen Hilfsmitteln nicht vorbei.
Kleine Helferlein
Heute steht eine breite Palette von Hilfsmitteln zum Management von Geheimkombinationen zur Verfügung, die einem als Nutzer das Leben etwas leichter machen. Jedoch ist hier Vorsicht angebracht, da nicht jedes Hilfsmittel für alle Situationen und Anwendungen geeignet ist. So können beispielsweise solche Tools, welche starke Passwörter generieren, nicht mit vorgegebenen Passwörtern, PINs oder TANs umgehen. Passwort-Tools, die auf PCs installiert sind —und auch für diese entwickelt wurden— sind dann nutzlos, wenn man seine PIN am Geldautomaten oder an der Kasse braucht. Mobile Datenträger, wie USB-Sticks, auf denen Geheimkombinationen gesichert abgelegt wurden, helfen einem am Geldautomaten oder an der Kasse auch nicht weiter, da man den Speicher nicht auslesen kann.
So bleibt für viele nur der alte berühmte Zettel, auf dem man sich seine Geheimkombinationen notiert und diesen in der Brieftasche oder im Portemonnaie mit sich herumträgt. Oder man verwendet das Mobiltelefon als allgegenwärtigen Begleiter, auf dem man seine Geheimnisse hinterlegt.
Leichtes Spiel für Angreifer
Gerät ein Zettel mit all den notierten Passwörtern in die falschen Hände, kann
man als Benutzer echte Probleme bekommen. Man muss dann schnell reagieren und die
jeweiligen Zugänge oder Konten sperren lassen und die Geheimkombinationen ändern
—in der Hoffnung, dass man schneller ist als der Angreifer. Gleiches gilt bei
gestohlenen oder verlorenen Mobiltelefonen.
Sind auf einem solchen Gerät Geheimkombinationen hinterlegt, kann es für den Besitzer kritisch werden. Dies kann auch dann gelten, wenn der Benutzer seine Geheimnisse durch Anwendung eines Master-Passworts verschlüsselt auf dem Mobiltelefon hinterlegt hat. Ein großes Problem —wie eine Reihe von Untersuchungen belegt— besteht darin, dass Benutzer sich zur Sicherung schwache Master-Passwörter auswählen, d.h. solche, die mit Hacker-Tools relativ einfach gefunden werden können.
Als Angreifer kann man die verschlüsselten Daten von einem Mobiltelefon auf einen viel leistungsfähigeren Computer übertragen und dort mit speziellen Hacker-Tools Hunderttausende von Master-Passwörtern innerhalb von einer Sekunde ausprobieren und das richtige Master-Passwort innerhalb einer vertretbar kurzen Zeit finden. Diese Möglichkeit des Angriffs basiert darauf, dass man bei der Anwendung gängiger Verschlüsselungstechnologie erfährt, ob ein Entschlüsselungsversuch mit einem willkürlich gewählten Master-Passwort erfolgreich war oder nicht. Lässt sich also auf diese Weise das richtige Master-Passwort finden, dann hat ein Hacker Zugriff auf alle Zugangscodes. Hat ein Unberechtigter neben einem gestohlenen oder verlorenen Mobiltelefon auch noch Zugriff auf die ec-Karte, so ist der Weg für direkten Missbrauch frei.
Womit wäre Nutzern geholfen?
Wenn man sich als Nutzer dazu entschließt, seine Passwörter, PINs und TANs auf dem Mobiltelefon zu hinterlegen, dann wäre es wünschenswert, wenn eine solch konzentrierte Ansammlung von besonders schützenswerter Information auch entsprechend gesichert werden könnte. Darüber hinaus wäre es für Nutzer von Vorteil, wenn die Auswahl von Master-Passwörtern einfacher wäre, d.h. man sich nicht so viele Gedanken wegen guter Master-Passwörter machen müsste, die man sich schlussendlich doch wieder nicht merken kann. Im besten Fall sollte ein Benutzer in der Wahl seines Master-Passworts möglichst frei sein, d.h. selbst wenn er ein Master-Passwort gewählt hat, welches in den riesigen Listen der Hacker-Tools enthalten ist, sollte sich daraus für ihn kein Nachteil ergeben.
Illusion oder Realität?
Lässt sich dieses Problem überhaupt lösen? Und ist eine Realisierung einer solchen Lösung überhaupt technisch machbar? Kann die Software zur Lösung dieses Problems auch von einem OttoNormalverbraucher bedient werden?
Das glauben Sie nicht? Probieren Sie den MobileSitter aus! Er löst das Problem. Sie brauchen nicht mehr als ein Java-fähiges Mobiltelefon —und den MobileSitter.
