Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

RUB-Studenten knacken Microsofts "CardSpace"

28.05.2008
Identity-Management-System ist nicht sicher
Auch SSL und DNS-Pinning schützen nicht gegen Web 2.0 Angriffe

Als Hacker im Namen der IT-Sicherheit haben Xuan Chen und Christoph Löhr, zwei Studenten am Horst Görtz Institut für IT-Sicherheit (HGI) der Ruhr-Universität, einen erfolgreichen Angriff auf Microsofts neues Identity-Management-System "CardSpace" gestartet.

Sie konnten damit zeigen, dass ein Angreifer trotz der eingebauten Sicherheitsmaßnahmen auf die Identitätsdaten des Opfers zugreifen kann. Der Angriff und mögliche Gegenmaßnahmen sowie der Technische Bericht sind im Internet veröffentlicht: http://demo.nds.rub.de/cardspace

CardSpace: Potenzial zur Revolution der Nutzerauthentifikation im Internet

Seit Ausbruch der großen Phishing-Welle im Jahr 2004 ist Identitätsdiebstahl die am schnellsten wachsende Bedrohung im Internet. Um die unsichere Authentisierung durch Nutzername und Passwort abzulösen, hat die Industrie neuartige Web-basierte Identity-Management-Systeme entwickelt. Microsoft hat als Nachfolger von MS Passport ein System Namens CardSpace entwickelt.

CardSpace basiert auf offenen Standards, so dass es in verschiedene Applikationen eingebunden werden kann. Internet-Nutzer können CardSpace mit Hilfe des Internet Explorer 7 oder des Firefox 2 (mit speziellem Add-On) bereits heute schon als Alternative zur klassischen Passwort-basierten Authentifikation im Internet verwenden. Verschiedene große Internet-Firmen (z.B. Google, Yahoo, Verisign) haben eine Unterstützung für CardSpace in Aussicht gestellt. Somit hat CardSpace das Potenzial, in Zukunft zur Absicherung einer Vielzahl von Anwendungen von eCommerce über Online-Banking bis hin zur elektronischen Gesundheitskarte zu dienen.

Microsoft ist informiert

Die zukunftsweisende Idee von Cardspace besteht darin, die Identitätsinformation von Nutzern im Browser zu speichern und in visueller Form (InfoCard) anzuzeigen. Durch Klicken auf eine InfoCard wird ein Authentisierungsprozess angestoßen, bei dem der Nutzer nur noch die zu übertragenden Daten bestätigen muss. Das CardSpace-System und die zugrunde liegenden kryptographischen Protokolle müssen für die Sicherheit der Identifikation sorgen und den Nutzer vor der Preisgabe seiner Daten an Angreifer schützen. Dass das mögliche Hacker nicht davon abhält, vertrauliche Daten auszuspähen, zeigte nun der Angriff der HGI-Studenten. Sie haben sofort die Firma Microsoft informiert, die aktuell an dem Problem arbeitet.

IT-Sicherheitsforschung in Bochum

Der Lehrstuhl für Netz- und Datensicherheit von Prof. Dr. Jörg Schwenk, an dem der Angriff durchgeführt wurde, ist Teil des Horst Görtz Instituts für IT Sicherheit, einer der größten akademischen Forschungseinrichtungen dieser Art in Europa. Die Arbeitsgruppe ist international bekannt für ihre Arbeiten in Internetsicherheit und angewandte Kryptographie. Die Ruhr-Universität Bochum besitzt das europaweit umfangreichste Lehrangebot in IT-Sicherheit (Bachelor, Master und Master in Fernlehre).

Weitere Informationen

Sebastian Gajek, Lehrstuhl für Netz- und Datensicherheit, Ruhr-Universität Bochum, 44780 Bochum, Tel. 0234/32-26740, E-Mail: sebastian.gajek@nds.rub.de

Weitere Informationen:
http://www.nds.rub.de - Lehrstuhlwebseite
http://demo.nds.rub.de/cardspace - Erklärung des Angriffs
http://www.hgi.rub.de - Institutswebseite
http://msdn.microsoft.com/en-us/library/bb882216.aspx

Dr. Josef König | idw
Weitere Informationen:
http://www.ruhr-uni-bochum.de/

Weitere Berichte zu: CardSpace IT-Sicherheit Identity-Management-System

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Mehrkernprozessoren für Mobilität und Industrie 4.0
07.12.2016 | Karlsruher Institut für Technologie

nachricht Wenn das Handy heimlich zuhört: Abwehr ungewollten Audiotrackings durch akustische Cookies
07.12.2016 | Fachhochschule St. Pölten

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Rätsel um Mott-Isolatoren gelöst

Universelles Verhalten am Mott-Metall-Isolator-Übergang aufgedeckt

Die Ursache für den 1937 von Sir Nevill Francis Mott vorhergesagten Metall-Isolator-Übergang basiert auf der gegenseitigen Abstoßung der gleichnamig geladenen...

Im Focus: Poröse kristalline Materialien: TU Graz-Forscher zeigt Methode zum gezielten Wachstum

Mikroporöse Kristalle (MOFs) bergen große Potentiale für die funktionalen Materialien der Zukunft. Paolo Falcaro von der TU Graz et al zeigen in Nature Materials, wie man MOFs gezielt im großen Maßstab wachsen lässt.

„Metal-organic frameworks“ (MOFs) genannte poröse Kristalle bestehen aus metallischen Knotenpunkten mit organischen Molekülen als Verbindungselemente. Dank...

Im Focus: Gravitationswellen als Sensor für Dunkle Materie

Die mit der Entdeckung von Gravitationswellen entstandene neue Disziplin der Gravitationswellen-Astronomie bekommt eine weitere Aufgabe: die Suche nach Dunkler Materie. Diese könnte aus einem Bose-Einstein-Kondensat sehr leichter Teilchen bestehen. Wie Rechnungen zeigen, würden Gravitationswellen gebremst, wenn sie durch derartige Dunkle Materie laufen. Dies führt zu einer Verspätung von Gravitationswellen relativ zu Licht, die bereits mit den heutigen Detektoren messbar sein sollte.

Im Universum muss es gut fünfmal mehr unsichtbare als sichtbare Materie geben. Woraus diese Dunkle Materie besteht, ist immer noch unbekannt. Die...

Im Focus: Significantly more productivity in USP lasers

In recent years, lasers with ultrashort pulses (USP) down to the femtosecond range have become established on an industrial scale. They could advance some applications with the much-lauded “cold ablation” – if that meant they would then achieve more throughput. A new generation of process engineering that will address this issue in particular will be discussed at the “4th UKP Workshop – Ultrafast Laser Technology” in April 2017.

Even back in the 1990s, scientists were comparing materials processing with nanosecond, picosecond and femtosesecond pulses. The result was surprising:...

Im Focus: Wie sich Zellen gegen Salmonellen verteidigen

Bioinformatiker der Goethe-Universität haben das erste mathematische Modell für einen zentralen Verteidigungsmechanismus der Zelle gegen das Bakterium Salmonella entwickelt. Sie können ihren experimentell arbeitenden Kollegen damit wertvolle Anregungen zur Aufklärung der beteiligten Signalwege geben.

Jedes Jahr sind Salmonellen weltweit für Millionen von Infektionen und tausende Todesfälle verantwortlich. Die Körperzellen können sich aber gegen die...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics
Veranstaltungen

Firmen- und Forschungsnetzwerk Munitect tagt am IOW

08.12.2016 | Veranstaltungen

NRW Nano-Konferenz in Münster

07.12.2016 | Veranstaltungen

Wie aus reinen Daten ein verständliches Bild entsteht

05.12.2016 | Veranstaltungen

 
VideoLinks
B2B-VideoLinks
Weitere VideoLinks >>>
Aktuelle Beiträge

Einzelne Proteine bei der Arbeit beobachten

08.12.2016 | Biowissenschaften Chemie

Intelligente Filter für innovative Leichtbaukonstruktionen

08.12.2016 | Messenachrichten

Seminar: Ströme und Spannungen bedarfsgerecht schalten!

08.12.2016 | Seminare Workshops