idw – Informationsdienst Wissenschaft

Nachrichten, Termine, Experten

Grafik: idw-Logo
1000. idw-Mitglied!
1000 Mitglieder
Medienpartner:
Wissenschaftsjahr


Teilen: 
11.01.2016 15:28

Informatiker der Uni Trier knacken weitverbreitetes Lo-gin-System OAuth

Peter Kuntz Presse- und Öffentlichkeitsarbeit
Universität Trier

    Daniel Fett, Ralf Küsters und Guido Schmitz, IT-Sicherheitsforscher an der Universität Trier, haben das weitverbreitete Login-System OAuth analysiert und dabei gravierende Sicherheitslücken entdeckt. Die Wissenschaftler fanden heraus, dass sich böswillige Hacker Zugriff auf die Benutzerkonten und Daten fremder Internetnutzer verschaffen können.

    Man kennt es von vielen Webseiten: Immer öfter wird „Login mit Facebook“ oder „Anmelden mit Google“ angeboten. Bei diesem sogenannten Single-Sign-On (SSO) dient das vorhandene Facebook- oder Google-Konto als „Ausweis“ gegenüber der Webseite - ein neues Passwort wird überflüssig. Auf technischer Seite liegt diesen Systemen meist OAuth zugrunde, ein wichtiger Standard für die Anmeldung im Internet.

    „Wir haben in OAuth schwerwiegende Sicherheitsprobleme gefunden“, sagt Professor Ralf Küsters. „Die zuständige Arbeitsgruppe bei der Internet Engineering Task Force (IETF) war entsprechend alarmiert und hat sofort ein Krisentreffen einberufen.“ Dabei diskutierten die Forscher zusammen mit den internationalen Entwicklern des Systems konkrete Maßnahmen zur Beseitigung der Sicherheitslücken. Unter anderem beschloss die Arbeitsgruppe, den Standard entsprechend den Empfehlungen der Forscher anzupassen.

    Die Wissenschaftler sind zuversichtlich, dass jetzt keine ähnlichen Sicherheitslücken in OAuth mehr existieren. Anlass dazu gibt ein mathematischer Beweis, den die Forscher um Professor Küsters aufgestellt haben. Die Informatiker entwickeln seit vielen Jahren Verfahren für die Sicherheitsanalyse von Internet-Anwendungen, die besonders zuverlässige Aussagen über die Sicherheit ermöglichen. Zukünftig ist eine engere Zusammenarbeit mit der IETF geplant, um Sicherheitslücken in Internet-Standards bereits frühzeitig auszuschließen.

    Kontakt:
    Prof. Dr. Ralf Küsters
    Universität Trier/Informatik
    Tel. 0651/201-2852
    E-Mail: kuesters@uni-trier.de


    Weitere Informationen:

    https://infsec.uni-trier.de


    Merkmale dieser Pressemitteilung:
    Journalisten, Studierende, Wissenschaftler
    Informationstechnik
    überregional
    Forschungsergebnisse
    Deutsch


    Guido Schmitz, Daniel Fett und Ralf Küsters (von links) haben Sicherheitslücken im Login-System OAuth offengelegt.


    Zum Download

    x

    Hilfe

    Die Suche / Erweiterte Suche im idw-Archiv
    Verknüpfungen

    Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.

    Klammern

    Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).

    Wortgruppen

    Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.

    Auswahlkriterien

    Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).

    Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).