OpenID und Phishing 24. February 2007 um 22:21 Uhr / Censure

Eingestellt am 24. February 2007 um 22:21 Uhr » Censure

Vielleicht kennen einige von euch schon OpenID. Kurz beschrieben handelt es sich dabei um ein System um das Login auf verschiedenen Seiten möglichst zu vereinfachen und zentral zu verwalten. Man hat keine verschiedenen Usernamen und verschiedene Passworte für jedes Forum/Weblog/etc. sondern nur noch eine URL, die als Username dient. Mit deren Hilfe und der der offenen OpenID-Providern (oder wie man die noch mal nennt) kann man überall diese URL angeben um sich zu authentifizieren. Wie gesagt stark vereinfachte Darstellung.

Das ganze funktionier so, dass man, nachdem man zum Beispiel in meinem Blog seine OpenID-URL angegeben hat (die kann gleich mit der Homepage lauten) wird man von meinem Blog zu seinem OpenID-Provider geleitet, meldet sich dort an und sagt dort bescheid, ob dieses Blog nur für diese Session, die Bestätigung bekommt, immer oder gar nie.

Das Problem was jetzt dabei entsteht ist, dass man eine klassische "Man in the middle"-Atacke starten kann und anstatt der Login-Seite des OpenID-Providers, eine genau so aussehende zeigt um an das Passwort zu kommen.

Simon Wilson hatte jetzt die Idee, die Provider sollten allesamt nicht mehr sofort Username und Passwort eingeben lassen, sondern nur einen Text anzeigen:

Bitte tippen sie um Phishing zu vermeiden die richtige URL login.examplle.com in die Adresszeile ein.

Damit sollte vermieden werden, dass der User unwissentlich auf der falschen Seite sein Passwort preisgibt.

Ich weiß ja nicht wie ihr das macht, aber ich und wohl die meisten Nutzer würden da wohl einfach die URL kopieren und in der Adresszeile einfügen. Wenn ihr das mal mit der eben erwähnten fett marierten probiert werdet ihr beim aufmerksamen hinsehen das Problem erkennen.

Es wird noch ein versteckter zusätzlicher Buchstabe angefügt und somit wird zu einem komplett anderem Server geleitet der dem Phischer gehört. Dort gibt der User wie gehabt sein Passwort preis. Aber auch wenn man es abschreibt und der Phischer einen Bittet doch Statt login.openid.org lieber login.open-id.org einzugeben werden das wohl auch die meisten ohne böses zu denken machen.

Oder habe ich da etwas an der von Simon beschriebenen Vorgehensweise falsch verstanden? Mir erscheint das nur nervig für den User da jetzt noch mal eine kryptische URL abzutippen, aber eine Erhöhung der Sicherheit sehe ich da nicht wirklich.


Kommentare

Die Kommentare sind für diesen Eintrag geschlossen.