OpenID und Phishing 24. February 2007 um 23:21 Uhr / Censure
Vielleicht kennen einige von euch schon OpenID. Kurz beschrieben handelt es sich dabei um ein System um das Login auf verschiedenen Seiten möglichst zu vereinfachen und zentral zu verwalten. Man hat keine verschiedenen Usernamen und verschiedene Passworte für jedes Forum/Weblog/etc. sondern nur noch eine URL, die als Username dient. Mit deren Hilfe und der der offenen OpenID-Providern (oder wie man die noch mal nennt) kann man überall diese URL angeben um sich zu authentifizieren. Wie gesagt stark vereinfachte Darstellung.
Das ganze funktionier so, dass man, nachdem man zum Beispiel in meinem Blog seine OpenID-URL angegeben hat (die kann gleich mit der Homepage lauten) wird man von meinem Blog zu seinem OpenID-Provider geleitet, meldet sich dort an und sagt dort bescheid, ob dieses Blog nur für diese Session, die Bestätigung bekommt, immer oder gar nie.
Das Problem was jetzt dabei entsteht ist, dass man eine klassische "Man in the middle"-Atacke starten kann und anstatt der Login-Seite des OpenID-Providers, eine genau so aussehende zeigt um an das Passwort zu kommen.
Simon Wilson hatte jetzt die Idee, die Provider sollten allesamt nicht mehr sofort Username und Passwort eingeben lassen, sondern nur einen Text anzeigen:
Bitte tippen sie um Phishing zu vermeiden die richtige URL login.examplle.com in die Adresszeile ein.
Damit sollte vermieden werden, dass der User unwissentlich auf der falschen Seite sein Passwort preisgibt.
Ich weiß ja nicht wie ihr das macht, aber ich und wohl die meisten Nutzer würden da wohl einfach die URL kopieren und in der Adresszeile einfügen. Wenn ihr das mal mit der eben erwähnten fett marierten probiert werdet ihr beim aufmerksamen hinsehen das Problem erkennen.
Es wird noch ein versteckter zusätzlicher Buchstabe angefügt und somit wird zu einem komplett anderem Server geleitet der dem Phischer gehört. Dort gibt der User wie gehabt sein Passwort preis. Aber auch wenn man es abschreibt und der Phischer einen Bittet doch Statt login.openid.org lieber login.open-id.org einzugeben werden das wohl auch die meisten ohne böses zu denken machen.
Oder habe ich da etwas an der von Simon beschriebenen Vorgehensweise falsch verstanden? Mir erscheint das nur nervig für den User da jetzt noch mal eine kryptische URL abzutippen, aber eine Erhöhung der Sicherheit sehe ich da nicht wirklich.
Kommentare
Die Kommentare sind für diesen Eintrag geschlossen.
Weiße Kraft schrieb am 25.02.2007
Jep hast recht, seh ich genauso. Und da das Open ID Ding wohl die zentrale Anlaufstelle für zahlreiche Zugänge sein soll. Find ich das jetzt schon gescheitert.
Götz aus Karlsruhe schrieb am 25.02.2007
Ich frage mich ja auch bis heute, wie Phishing überhaupt wirklich funktionieren kann - und wenn der Benutzer einfach alles ohne zu lesen und zu denken anklickt und seine geheimsten Geheimpaßworte überall reinschreibt, dann bringt das beste System nichts ... insofern sehe ich das nicht als Argument gegen OpenID.
Und um auf Deine Frage zu antworten: Ich denke auch, daß das nicht mehr Sicherheit bringt sondern nur eine nervige hürde darstellen würde.
OpenID ist eine nette Idee, an sich. Nur bisher nahezu ungenutzt.
Wie wärs mit OpenID-Support für Jlog? ;)
Jeena Paradies aus Varberg schrieb am 25.02.2007
Götz aus Karlsruhe schrieb am 25.02.2007
Jeena Paradies aus Varberg schrieb am 25.02.2007
Hm ist mir noch nie aufgefallen dass man bei Google überall den gleichen Login hat. Muss ich doch mal ausprobieren, denn bisher hatte ich das Gefühl ich habe für jeden Pfurz bei denen einen extra Account. Regelmäßig nutze ich eigentlich nur diese Google Adwords.