Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

RUB-Studenten knacken Microsofts "CardSpace"

28.05.2008
Identity-Management-System ist nicht sicher
Auch SSL und DNS-Pinning schützen nicht gegen Web 2.0 Angriffe

Als Hacker im Namen der IT-Sicherheit haben Xuan Chen und Christoph Löhr, zwei Studenten am Horst Görtz Institut für IT-Sicherheit (HGI) der Ruhr-Universität, einen erfolgreichen Angriff auf Microsofts neues Identity-Management-System "CardSpace" gestartet.

Sie konnten damit zeigen, dass ein Angreifer trotz der eingebauten Sicherheitsmaßnahmen auf die Identitätsdaten des Opfers zugreifen kann. Der Angriff und mögliche Gegenmaßnahmen sowie der Technische Bericht sind im Internet veröffentlicht: http://demo.nds.rub.de/cardspace

CardSpace: Potenzial zur Revolution der Nutzerauthentifikation im Internet

Seit Ausbruch der großen Phishing-Welle im Jahr 2004 ist Identitätsdiebstahl die am schnellsten wachsende Bedrohung im Internet. Um die unsichere Authentisierung durch Nutzername und Passwort abzulösen, hat die Industrie neuartige Web-basierte Identity-Management-Systeme entwickelt. Microsoft hat als Nachfolger von MS Passport ein System Namens CardSpace entwickelt.

CardSpace basiert auf offenen Standards, so dass es in verschiedene Applikationen eingebunden werden kann. Internet-Nutzer können CardSpace mit Hilfe des Internet Explorer 7 oder des Firefox 2 (mit speziellem Add-On) bereits heute schon als Alternative zur klassischen Passwort-basierten Authentifikation im Internet verwenden. Verschiedene große Internet-Firmen (z.B. Google, Yahoo, Verisign) haben eine Unterstützung für CardSpace in Aussicht gestellt. Somit hat CardSpace das Potenzial, in Zukunft zur Absicherung einer Vielzahl von Anwendungen von eCommerce über Online-Banking bis hin zur elektronischen Gesundheitskarte zu dienen.

Microsoft ist informiert

Die zukunftsweisende Idee von Cardspace besteht darin, die Identitätsinformation von Nutzern im Browser zu speichern und in visueller Form (InfoCard) anzuzeigen. Durch Klicken auf eine InfoCard wird ein Authentisierungsprozess angestoßen, bei dem der Nutzer nur noch die zu übertragenden Daten bestätigen muss. Das CardSpace-System und die zugrunde liegenden kryptographischen Protokolle müssen für die Sicherheit der Identifikation sorgen und den Nutzer vor der Preisgabe seiner Daten an Angreifer schützen. Dass das mögliche Hacker nicht davon abhält, vertrauliche Daten auszuspähen, zeigte nun der Angriff der HGI-Studenten. Sie haben sofort die Firma Microsoft informiert, die aktuell an dem Problem arbeitet.

IT-Sicherheitsforschung in Bochum

Der Lehrstuhl für Netz- und Datensicherheit von Prof. Dr. Jörg Schwenk, an dem der Angriff durchgeführt wurde, ist Teil des Horst Görtz Instituts für IT Sicherheit, einer der größten akademischen Forschungseinrichtungen dieser Art in Europa. Die Arbeitsgruppe ist international bekannt für ihre Arbeiten in Internetsicherheit und angewandte Kryptographie. Die Ruhr-Universität Bochum besitzt das europaweit umfangreichste Lehrangebot in IT-Sicherheit (Bachelor, Master und Master in Fernlehre).

Weitere Informationen

Sebastian Gajek, Lehrstuhl für Netz- und Datensicherheit, Ruhr-Universität Bochum, 44780 Bochum, Tel. 0234/32-26740, E-Mail: sebastian.gajek@nds.rub.de

Weitere Informationen:
http://www.nds.rub.de - Lehrstuhlwebseite
http://demo.nds.rub.de/cardspace - Erklärung des Angriffs
http://www.hgi.rub.de - Institutswebseite
http://msdn.microsoft.com/en-us/library/bb882216.aspx

Dr. Josef König | idw
Weitere Informationen:
http://www.ruhr-uni-bochum.de/

Weitere Berichte zu: CardSpace IT-Sicherheit Identity-Management-System

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Keine Chance mehr für Datenkraken
16.05.2019 | Karlsruher Institut für Technologie

nachricht Nach Meltdown und Spectre: TU Graz-Forscher entdecken neue Sicherheitslücken
15.05.2019 | Technische Universität Graz

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Wasserstoff – Energieträger der Zukunft?

Fraunhofer-Allianz Energie auf Berliner Energietagen

Im Pariser Klimaabkommen beschloss die Weltgemeinschaft, dass die weltweite Wirtschaft zwischen 2050 und 2100 treibhausgasneutral werden soll. Um die...

Im Focus: Quanten-Cloud-Computing mit Selbstcheck

Mit einem Quanten-Coprozessor in der Cloud stoßen Innsbrucker Physiker die Tür zur Simulation von bisher kaum lösbaren Fragestellungen in der Chemie, Materialforschung oder Hochenergiephysik weit auf. Die Forschungsgruppen um Rainer Blatt und Peter Zoller berichten in der Fachzeitschrift Nature, wie sie Phänomene der Teilchenphysik auf 20 Quantenbits simuliert haben und wie der Quantensimulator das Ergebnis erstmals selbständig überprüft hat.

Aktuell beschäftigen sich viele Wissenschaftler mit der Frage, wie die „Quantenüberlegenheit“ auf heute schon verfügbarer Hardware genutzt werden kann.

Im Focus: Self-repairing batteries

UTokyo engineers develop a way to create high-capacity long-life batteries

Engineers at the University of Tokyo continually pioneer new ways to improve battery technology. Professor Atsuo Yamada and his team recently developed a...

Im Focus: Quantum Cloud Computing with Self-Check

With a quantum coprocessor in the cloud, physicists from Innsbruck, Austria, open the door to the simulation of previously unsolvable problems in chemistry, materials research or high-energy physics. The research groups led by Rainer Blatt and Peter Zoller report in the journal Nature how they simulated particle physics phenomena on 20 quantum bits and how the quantum simulator self-verified the result for the first time.

Many scientists are currently working on investigating how quantum advantage can be exploited on hardware already available today. Three years ago, physicists...

Im Focus: Accelerating quantum technologies with materials processing at the atomic scale

'Quantum technologies' utilise the unique phenomena of quantum superposition and entanglement to encode and process information, with potentially profound benefits to a wide range of information technologies from communications to sensing and computing.

However a major challenge in developing these technologies is that the quantum phenomena are very fragile, and only a handful of physical systems have been...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Nachwuchskräfte aufgepasst! „Traumjobs live“ bei der Friedhelm Loh Group

20.05.2019 | Veranstaltungen

MS Wissenschaft startet Deutschlandtour mit Fraunhofer-KI an Bord

17.05.2019 | Veranstaltungen

Wie sicher ist autonomes Fahren?

16.05.2019 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Nachwuchskräfte aufgepasst! „Traumjobs live“ bei der Friedhelm Loh Group

20.05.2019 | Veranstaltungsnachrichten

3D-Technologie ermöglicht Blick in die Vergangenheit

20.05.2019 | Biowissenschaften Chemie

DGHNO-KHC: Immuntherapie mit Checkpoint-Inhibitoren setzt sich bei Kopf-Hals-Tumoren durch

20.05.2019 | Medizin Gesundheit

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics