»Zertifikate wertlos für sicheres Browsen«

BrowserSicherheitSicherheitsmanagementWorkspace

Norwegischer Professor sieht X.509-Zertifikte für SSL als jederzeit umgehbar. Phishing sei immer noch möglich.

Die Kollegen vom Nachrichtendienst »Pressetext Austria« finden immer wieder interessante Statements zu Sicherheitsthemen aus dem skandinavischen Raum. Diesmal sind sie auf eine Aussage von Professor Audun Jøsang vom UNIK Graduate Center der University of Oslo gestoßen. Der erklärt genau, wie einfach Phishing trotz SSL-Zertifizierung  noch immer ist: diese könne schließlich auch gefälscht oder gestohlen werden.

Die Lösung sei ein effizienteres Identitätsmanagement für Online-Angebote, damit Nutzer die Webseiten wirklich eindeutig identifizieren können. Im Rahmen der 3rd Summer School on Network and Information Security schlägt er dazu ein »offPAD« (offline Personal Authentication Device) vor. Damit könnten User beispielsweise die Webseite ihrer Bank durch einen Codenamen eindeutig erkennen – und gleichzeitig all ihre eigenen Identitäten für Webmail, soziale Netzwerke und mehr einfach verwalten.

Lösungen wie OpenID reichen seiner Meinung nach nicht für alle Zwecke aus. Eine lokale nutzerzentrische Lösung wie ein offPAD sei »ein Traum«.  Sehr viel anders als die ebenfalls schon gehackten Chipkarten verschiedener Banken scheint uns das aber auch nicht zu ein.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen