Zwei Professoren der Stanford Universität haben zwei Tools entwickelt, die Anwender vor dem Passwortklau auf Phishing-Sites schützen sollen. Der SpoofGuard arbeitet als Browser-Plugin für den Microsoft Internet Explorer und untersucht die aufgerufenen Web-Seiten nach verschiedenen Kriterien. So erkennt und warnt es unter anderem, wenn URLs ähnlich geschrieben werden, wie solche, die ihm aus der History bekannt sind. Das würde beispielsweise die aktuelle Phishing-Welle enttarnen, bei der Mails versuchen, die Anwender auf
www.pastbank.de zu locken. Außerdem wertet es Links, Passworteingabefelder und Bilder aus, um möglicherweise gefälschte Seiten zu erkennen.
Fast noch interessanter ist das zweite Tool PwdHash, das Site-spezifische Passwörter erzeugt, auch wenn der User nur ein einziges verwendet. Dazu errechnet es aus dem vom Benutzer eingegebenen Passwort und dem Domain-Namen der aktuellen Seite einen Hash-Wert, der dann als Passwort an den Server übertragen wird. So bekäme der Heise-Server ein anderes Passwort übermittelt als der eBay-Server. Nebenbei schützt dies auch vor Phishing-Versuchen, da sich aus dem Passwort, das beim pastbank-Server landet, weder das ursprüngliche Passwort des Anwenders errechnen lässt, noch das für einen anderen Server wie der eigentlich gemeinte unter postbank.de. Auf gefälschten Seiten abgephishte Passwörter wären für die Betrüger folglich nutzlos.
Allerdings lassen sich solche Verfahren nur dann einsetzen, wenn der Anwender das Passwort frei wählen kann, was beim PIN/TAN-Verfahren fürs Online-Banking meist nicht der Fall ist. Die Professoren stellen neben Demo-Plugins für Mozilla und Internet Explorer auch den Quellcode dieser Helfer zur Verfügung. Nach einem Freiwilligen für eine Opera-Portierung wird noch gesucht.
Quelle und Links :
http://www.heise.de/newsticker/meldung/62393
