idw – Informationsdienst Wissenschaft

Nachrichten, Termine, Experten

Grafik: idw-Logo
Grafik: idw-Logo

idw - Informationsdienst
Wissenschaft

Erweiterte Suche ?
Science Video Project
idw-Abo
idw-News App:

AppStore

Google Play Store

Instanz:
Teilen: 
28.05.2008 14:30

RUB-Studenten knacken Microsofts "CardSpace"

Dr. Josef König Pressestelle
Ruhr-Universität Bochum

    Nr. 165

    Identity-Management-System ist nicht sicher
    Auch SSL und DNS-Pinning schützen nicht gegen Web 2.0 Angriffe

    Als Hacker im Namen der IT-Sicherheit haben Xuan Chen und Christoph Löhr, zwei Studenten am Horst Görtz Institut für IT-Sicherheit (HGI) der Ruhr-Universität, einen erfolgreichen Angriff auf Microsofts neues Identity-Management-System "CardSpace" gestartet. Sie konnten damit zeigen, dass ein Angreifer trotz der eingebauten Sicherheitsmaßnahmen auf die Identitätsdaten des Opfers zugreifen kann. Der Angriff und mögliche Gegenmaßnahmen sowie der Technische Bericht sind im Internet veröffentlicht: http://demo.nds.rub.de/cardspace

    CardSpace: Potenzial zur Revolution der Nutzerauthentifikation im Internet

    Seit Ausbruch der großen Phishing-Welle im Jahr 2004 ist Identitätsdiebstahl die am schnellsten wachsende Bedrohung im Internet. Um die unsichere Authentisierung durch Nutzername und Passwort abzulösen, hat die Industrie neuartige Web-basierte Identity-Management-Systeme entwickelt. Microsoft hat als Nachfolger von MS Passport ein System Namens CardSpace entwickelt. CardSpace basiert auf offenen Standards, so dass es in verschiedene Applikationen eingebunden werden kann. Internet-Nutzer können CardSpace mit Hilfe des Internet Explorer 7 oder des Firefox 2 (mit speziellem Add-On) bereits heute schon als Alternative zur klassischen Passwort-basierten Authentifikation im Internet verwenden. Verschiedene große Internet-Firmen (z.B. Google, Yahoo, Verisign) haben eine Unterstützung für CardSpace in Aussicht gestellt. Somit hat CardSpace das Potenzial, in Zukunft zur Absicherung einer Vielzahl von Anwendungen von eCommerce über Online-Banking bis hin zur elektronischen Gesundheitskarte zu dienen.

    Microsoft ist informiert

    Die zukunftsweisende Idee von Cardspace besteht darin, die Identitätsinformation von Nutzern im Browser zu speichern und in visueller Form (InfoCard) anzuzeigen. Durch Klicken auf eine InfoCard wird ein Authentisierungsprozess angestoßen, bei dem der Nutzer nur noch die zu übertragenden Daten bestätigen muss. Das CardSpace-System und die zugrunde liegenden kryptographischen Protokolle müssen für die Sicherheit der Identifikation sorgen und den Nutzer vor der Preisgabe seiner Daten an Angreifer schützen. Dass das mögliche Hacker nicht davon abhält, vertrauliche Daten auszuspähen, zeigte nun der Angriff der HGI-Studenten. Sie haben sofort die Firma Microsoft informiert, die aktuell an dem Problem arbeitet.

    IT-Sicherheitsforschung in Bochum

    Der Lehrstuhl für Netz- und Datensicherheit von Prof. Dr. Jörg Schwenk, an dem der Angriff durchgeführt wurde, ist Teil des Horst Görtz Instituts für IT Sicherheit, einer der größten akademischen Forschungseinrichtungen dieser Art in Europa. Die Arbeitsgruppe ist international bekannt für ihre Arbeiten in Internetsicherheit und angewandte Kryptographie. Die Ruhr-Universität Bochum besitzt das europaweit umfangreichste Lehrangebot in IT-Sicherheit (Bachelor, Master und Master in Fernlehre).

    Weitere Informationen

    Sebastian Gajek, Lehrstuhl für Netz- und Datensicherheit, Ruhr-Universität Bochum, 44780 Bochum, Tel. 0234/32-26740, E-Mail: sebastian.gajek@nds.rub.de

    Weitere Informationen:

    http://www.nds.rub.de - Lehrstuhlwebseite
    http://demo.nds.rub.de/cardspace - Erklärung des Angriffs
    http://www.hgi.rub.de - Institutswebseite
    http://msdn.microsoft.com/en-us/library/bb882216.aspx

    Bilder

    Merkmale dieser Pressemitteilung:
    Informationstechnik
    überregional
    Forschungsergebnisse
    Deutsch

     

    Hilfe

    Die Suche / Erweiterte Suche im idw-Archiv
    Verknüpfungen

    Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.

    Klammern

    Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).

    Wortgruppen

    Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.

    Auswahlkriterien

    Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).

    Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).