"Zertifikate sind wertlos für sicheres Browsen"

Gegen Phishing-Attacken bieten Zertifikate wenig Schutz - gefälschte Webseiten können auch falsche Zertifikate nutzen und somit User in die Irre führen.

Zertifikate nach dem X.509-Standard sind eine gängige Methode, wie Webseiten ihre Fähigkeiten zur sicheren Datenübertragung per SSL nachweisen. Audun Jøsang, Professor am UNIK Graduate Center der University of Oslo, ist kritisiert das System aber: ”X.509-Zertifikate sind wertlos für SSL”, Phishingseiten könnten auch einfach ein falsches Zertifikat nutzen.

Die Lösung ist ein effizienteres Identitätsmanagement für Online-Angebote, sodass Nutzer Webseiten eindeutig identifizieren können. Dazu schlägt Jøsang ein “offPAD” (offline Personal Authentication Device) vor. Damit könnten User beispielsweise die Webseite ihrer Bank durch einen “Petname” eindeutig erkennen – und gleichzeitig all ihre eigenen Identitäten für Webmail, soziale Netzwerke und mehr einfach verwalten.

Login-Namen und Passwörter speichern

Diverse Online-Dienste wie Facebook, Hotmail, die Hausbank oder auch Internetforen geben Usern einen Login-Namen und ein Passwort. Das Problem: Die Menge der digitalen Identitäten wird für User unüberschaubar. 

Professor Jøsangs „Traum“ – ein offPAD. “Es sollte sich um ein grundsätzlich nicht vernetztes Gerät handeln”, so der Informatiker. Das Konzept ist praktisch ein Schlüsselbund mit alle Online-Identitäten des Nutzers, das beispielsweise durch einen einzelnen PIN geschützt werden könnte.


Für jedes Zertifikat ein persönlicher Erkennungsnamen

Ob sich ein Nutzer wirklich auf der Website befindet, von der er es glaubt, kann er am ehesten an der URL erkennen. Doch das ist für Durchschnittsanwender nicht immer leicht. “Wir müssen für User nicht aussagekräftige Pointer – die URLs – durch sinnvolle Petnames ersetzen”, meint daher Jøsang.


Wenn sich ein Nutzer beispielsweise erstmals für das Online-Banking seines Geldinstituts anmeldet, kann das Sicherheitszertifikat der Seite auf dem offPAD gespeichert werden, so die Idee. Der User hätte dann die Möglichkeit, dem Zertifikat und somit der Webseite einen persönlichen Namen zuzuordnen – einen Petname eben. Besucht der Nutzer in Zukunft die Webseite, würde das offPAD sie mit eben diesem Namen identifizieren. Eine Phishing-Seite dagegen könnte das System sicher nicht täuschen, da ihr das Original-Zertifikat der Bank fehlt.

  • VIENNA.AT
  • Multimedia & Technik
  • "Zertifikate sind wertlos für sicheres Browsen"
  • Kommentare
    Kommentare
    Grund der Meldung
    • Werbung
    • Verstoß gegen Nutzungsbedingungen
    • Persönliche Daten veröffentlicht
    Noch 1000 Zeichen