MobileSitter schützt Passwörter durch Lügen
Der ursprünglich vom Fraunhofer SIT entwickelte Passwort-Manager gaukelt Angreifern vor, sie hätten das richtige Masterpasswort eingegeben. Neben der iOS-Version gibt es jetzt auch eine für Android.
Der Passwort-Manager MobileSitter versucht Angriffe auf den Passwort-Container abzuwehren, indem er immer plausible Ergebnisse anzeigt – unabhängig davon, ob das korrekte Masterpasswort eingegeben wurde. Das jetzt auch für Android verfügbare Tool soll so Wörterbuch- und Bruteforce-Attacken erschweren. Der Angreifer weiß demnach nicht, ob etwa die angezeigte EC-Karten-PIN 4711 tatsächlich diejenige des Nutzers ist oder ob sie von der App nach Fehleingabe des Passworts erfunden wurde.
Der Nutzer kann allerdings sehr wohl verifizieren, ob sein Passwort stimmt: Die App zeigt nach dem Start ein Symbol an. Entspricht dieses dem Symbol, das bei der Einrichtung festgelegt wurde, ist das Passwort korrekt. Zur Verschlüsselung gibt das Unternehmen an, dass anerkannte kryptographische Standards zum Einsatz kommen, nämlich AES, PBKDF2 und ISO/IEC9797-1.
Erstmals vorgestellt hat das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) den MobileSitter auf der CeBIT 2007. Seitdem gab es das Programm für verschiedene Plattformen wie etwa als Java-Applet für Handys sowie für Windows. Seit rund zwei Jahren ist eine Version für iOS erhältlich und anlässlich der CeBIT wurde jetzt auch die Android-Version veröffentlicht. Beide kosten jeweils 5,49 Euro. (rei)