Geheimnishüter für's Handy

Am Geldautomat, im Büro, im Online-Shop oder bei der Internet-Auktion, überall sichern Passwörter und PINs den Zugang, und ständig werden es mehr. Um Nutzer vor dem Vergessen von Geheimnissen zu bewahren und Zugangsdaten besser zu schützen, haben Entwickler am Fraunhofer-Institut SIT mit dem MobileSitter eine Software für Handy und PDA entwickelt, die Geheimnisse angriffssicher verschlüsselt und die Zugangsinformationen jederzeit auf dem Mobiltelefon zur Verfügung stellt. Mit dem MobileSitter muss der Nutzer sich nur noch ein Master-Passwort merken, um alle seine Passwörter, PINs und TANs sicher zu verwalten.

„Im Gegensatz zu anderen Produkten bietet der MobileSitter hohe Sicherheit und Benutzerfreundlichkeit“, sagt Projektleiter Ruben Wolf, „wir haben ein neues Verfahren entwickelt, das einen Angreifer, der an die abgespeicherten Geheimnisse gelangen möchte, zur Verzweiflung treibt“. Vom 23. bis zum 26. Oktober zeigen die Fraunhofer-Forscher die Neuentwicklung auf der Computermesse Systems in München (Halle B3, Stand 122/123).

Der MobileSitter liefert Hackern keinerlei Informationen bzgl. der sicher hinterlegten Passwörter, selbst wenn das Handy in die falschen Hände gelangt und Hacker versuchen, an das verwendete Master-Passwort bzw. die gespeicherten Geheimnisse zu gelangen. „Als Angreifer kann man die verschlüsselten Daten eines Handys leicht auf einen Rechner übertragen und dort mit speziellen Hackertools Millionen von Master-Passwörtern innerhalb einer Sekunde ausprobieren“, so Wolf. „Wenn der Angreifer feststellen kann, ob ein getestetes Master-Passwort falsch oder richtig ist, wie dies bei anderen Produkten oftmals der Fall ist, kann er unter Umständen das korrekte Master-Passwort ermitteln und somit an alle Geheimnisse gelangen.“

Anders beim MobileSitter: Bei Eingabe eines falschen Master-Passworts liefert der MobileSitter keine Fehlermeldungen, sondern generiert falsche Passwörter, die jedoch für einen Hacker nicht als solche zu erkennen sind. „Ein Angreifer, der das richtige Master-Passwort nicht kennt, weiß also nicht, dass es sich um falsche Passwörter, PINs und TANs handelt, da die Passwort-, PIN- und TAN-Regeln auch bei der Berechnung der falschen Geheimnisse berücksichtigt werden“, so Wolf. Mit den heutigen technischen Möglichkeiten haben Angreifer deshalb keine Chance, an die Geheimnisse des MobileSitters zu gelangen.

Darüber hinaus bietet der MobileSitter besonderen Benutzungskomfort, z.B. durch die Bereitstellung sicherer Im- und Exportfunktionen, mittels welcher sich die verschlüsselten Geheimnisse jederzeit sichern und auf andere Endgeräte übertragen lassen. Das neue Verfahren der Fraunhofer-Forscher nutzt die weltweit anerkannte AES-Verschlüsselung und ist bereits als Patent eingereicht. Die Software wurde speziell für mobile Endgeräte entwickelt und funktioniert auf Handys und PDAs, die Java ME unterstützen und mindestens eine Display-Breite von 160 Pixeln besitzen. Eine Version für den PC, die den MobileSitter noch benutzerfreundlicher macht, wird derzeit entwickelt.