Phishing-Abwehr

abgelegt im Archiv IT-Security am 13.09.07

Das Ausspähen von Passwörtern wird "Phishing" genannt. Oft mit Hilfe gefälschter Webseiten, die denen eines vertrauenswürdigen Unternehmens nachempfunden sind (das heißt dann Spoofing..). Da erhalten Sie eine Mail von einer Bank in der sie aufgefordert werden, ihren Anmeldenamen und ihr kennwort für den Onlinezugang zu bestätigen. Die Adresse der Seite klingt zunächst auch nachvollziehbar z.B. http://.sicheronline.org. Wenn sie dann den Link in der Mail anklicken und zu der Seite wechseln, gibt es Eingabefelder in denen Sie Anmeldenamen und Kennwort eingeben können. Die eingegebenen Daten werden aufgezeichnet und können dann verwendet werden um unberechtigten Zugriff auf ihr Online-Konto zu erhalten.

Trotz zahlloser Hinweise Mails mit einem entsprechendem Inhalt nicht zu beantworten, kommt es immer wieder vor, dass auf diesem Wege Passwörter ausgespäht werden.

Das Browser-Plugin PwdHash, das von der Stanford University entwickelt wurde, hilft Passwörter sicherer zu machen, indem die Daten verschlüsselt werden.
Das Plugin ist für den Internet Explorer, Firefox und mit Einschränkungen auch für Opera verfügbar und kann unter http://crypto.stanford.edu/pwdhash/ heruntergeladen werden,. Hier findet sich auch eine kurze englische Dokumentation.

PwdHash erzeugt aus dem selbstgewählten Passwort und dem Domainnamen ein verschlüsseltes Kennwort. Das verschlüsselte Kennwort genügt den Anforderungen an sichere Kennwörter, weil es aus einer vollkommen sinnfreien Zeichenfolge besteht. Damit ist ein Knacken der Kennworts nach der Brute-Force-Methode (Computer probieren alle möglichen Zeichenkombinationen aus) sehr rechenintensiv und damit zeitaufwendig. Zudem erzeugt das Plugin für jede Webseite ein eigenes Passwort, kommen Sie nun auf eine gefälschte Seite wird eine andere Zeichenfolge generiert, da die URL der gefälschten Seite nicht der originalen entspricht. Das abgephishte Kennwort ist damit wertlos.

Anmerkung: Wenn sie das Plugin einsetzen, ist der Zugriff von einen PC ohne installiertes Plugin unmöglich (z.B. der Webmail-Account über der Büro-PC. In diesem Fall gibt es unter https://www.pwdhash.com/ eine Möglichkeit das Passwort online zu generieren. Wichtig dabei ist allerdings, dass sie die URL der Login-Seite kennen und entsprechend eingeben - sonst klappt der Zugriff nicht.
Ganz wichtig wenn es einmal Schwierigkeiten mit dem Plugin geben sollte: merken Sie sich Sicherheitsfrage und die dazugehörige Antwort, um im Zweifelsfall ihr Kennwort zurücksetzen lassen zu können.