idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
Daniel Fett, Ralf Küsters und Guido Schmitz, IT-Sicherheitsforscher an der Universität Trier, haben das weitverbreitete Login-System OAuth analysiert und dabei gravierende Sicherheitslücken entdeckt. Die Wissenschaftler fanden heraus, dass sich böswillige Hacker Zugriff auf die Benutzerkonten und Daten fremder Internetnutzer verschaffen können.
Man kennt es von vielen Webseiten: Immer öfter wird „Login mit Facebook“ oder „Anmelden mit Google“ angeboten. Bei diesem sogenannten Single-Sign-On (SSO) dient das vorhandene Facebook- oder Google-Konto als „Ausweis“ gegenüber der Webseite - ein neues Passwort wird überflüssig. Auf technischer Seite liegt diesen Systemen meist OAuth zugrunde, ein wichtiger Standard für die Anmeldung im Internet.
„Wir haben in OAuth schwerwiegende Sicherheitsprobleme gefunden“, sagt Professor Ralf Küsters. „Die zuständige Arbeitsgruppe bei der Internet Engineering Task Force (IETF) war entsprechend alarmiert und hat sofort ein Krisentreffen einberufen.“ Dabei diskutierten die Forscher zusammen mit den internationalen Entwicklern des Systems konkrete Maßnahmen zur Beseitigung der Sicherheitslücken. Unter anderem beschloss die Arbeitsgruppe, den Standard entsprechend den Empfehlungen der Forscher anzupassen.
Die Wissenschaftler sind zuversichtlich, dass jetzt keine ähnlichen Sicherheitslücken in OAuth mehr existieren. Anlass dazu gibt ein mathematischer Beweis, den die Forscher um Professor Küsters aufgestellt haben. Die Informatiker entwickeln seit vielen Jahren Verfahren für die Sicherheitsanalyse von Internet-Anwendungen, die besonders zuverlässige Aussagen über die Sicherheit ermöglichen. Zukünftig ist eine engere Zusammenarbeit mit der IETF geplant, um Sicherheitslücken in Internet-Standards bereits frühzeitig auszuschließen.
Kontakt:
Prof. Dr. Ralf Küsters
Universität Trier/Informatik
Tel. 0651/201-2852
E-Mail: kuesters@uni-trier.de
Guido Schmitz, Daniel Fett und Ralf Küsters (von links) haben Sicherheitslücken im Login-System OAut ...
Foto: Uni Trier
None
Criteria of this press release:
Journalists, Scientists and scholars, Students
Information technology
transregional, national
Research results
German
Guido Schmitz, Daniel Fett und Ralf Küsters (von links) haben Sicherheitslücken im Login-System OAut ...
Foto: Uni Trier
None
You can combine search terms with and, or and/or not, e.g. Philo not logy.
You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).
Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.
You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).
If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).
