Mit Hashing-Tricks gegen Passwort-Phisher

Hash-Funktionen, die eine Art Fingerabdruck von digitalen Dokumenten erstellen, sind immer wieder für neue Anwendungen gut. Jüngstes Beispiel: eine Methode gegen den Passwort-Klau durch Phishing-Spam.

251

09.08.2004, 16:26 Uhr

Lesezeit: 2 Min.

Von

Sascha Mattke

Für die so genannten Hash-Funktionen gibt es immer neue Anwendungsideen. Neuestes Beispiel ist ein Browser-Plug-in, mit dem sich Nutzer gegen das "Phishing" ihrer Passwörter für das Online-Banking durch kriminelle Spammer wehren können. Das berichtet Technology Review aktuell.

Beim Phishing werden Nutzer durch täuschend echte E-Mails, die angeblich von ihrer Bank oder von Ebay stammen, auf gefälschte Webseiten gelockt, wo sie ihre Zugangsdaten eingeben sollen; diese landen dann in den Händen der Betrüger. Dieses Vorgehen wird noch erfolgversprechender durch die Tatsache, dass viele Nutzer überall dasselbe Passwort verwenden. Das macht es zugleich möglich, dass Kriminelle schlecht gesicherte Websites mit Registrierungspflicht knacken und die dort gefundenen Zugangsdaten auch für sensiblere Anwendungen wie Online-Banking nutzen können.

Hier kommt das neue Plug-in der Stanford-Forscher Blake Ross, Dan Boneh und John Mitchell ins Spiel: Es macht aus dem vom Nutzer gewählten Passwort automatisch ein Site-spezifisches. Das geschieht, indem dem Passwort der aktuelle Domain-Name angehängt und aus beidem der so genannte Hash-Wert gebildet wird; dieser entsteht durch eine Reihe von Berechnungen und hat die Eigenschaft, dass er zwar eindeutig ist, sich der Original-Text daraus aber nicht rekonstruieren lässt. Wenn Phisher nun jemanden dazu bringen, seine Daten auf einer gefälschten Site einzugeben, erhalten sie nur ein Passwort, dass für ihre eigene Site passt.

Zwanzig Jahre nach ihrer ersten Einführung sind, wie dieses Beispiel zeigt, Hash-Funktionen offenbar immer noch nicht ausgereizt -- sie werden unter anderem als Mittel auch gegen normalen Spam vorgeschlagen.

Siehe dazu in Technology Review aktuell: