Informatiker knacken verbreitetes Login-System

Guido Schmitz, Daniel Fett und Ralf Küsters (von links) haben Sicherheitslücken im Login-System OAuth offengelegt.

Gravierende Sicherheitslücken der technischen Basis für Login mit Google oder Facebook entdeckt

Daniel Fett, Ralf Küsters und Guido Schmitz, IT-Sicherheitsforscher an der Universität Trier, haben das weitverbreitete Login-System OAuth analysiert und dabei gravierende Sicherheitslücken entdeckt. Die Wissenschaftler fanden heraus, dass sich böswillige Hacker Zugriff auf die Benutzerkonten und Daten fremder Internetnutzer verschaffen können.

Man kennt es von vielen Webseiten: Immer öfter wird „Login mit Facebook“ oder „Anmelden mit Google“ angeboten. Bei diesem sogenannten Single-Sign-On (SSO) dient das vorhandene Facebook- oder Google-Konto als „Ausweis“ gegenüber der Webseite - ein neues Passwort wird überflüssig. Auf technischer Seite liegt diesen Systemen meist OAuth zugrunde, ein wichtiger Standard für die Anmeldung im Internet. „Wir haben in OAuth schwerwiegende Sicherheitsprobleme gefunden“, sagt Professor Ralf Küsters. „Die zuständige Arbeitsgruppe bei der Internet Engineering Task Force (IETF) war entsprechend alarmiert und hat sofort ein Krisentreffen einberufen.“ Dabei diskutierten die Forscher zusammen mit den internationalen Entwicklern des Systems konkrete Maßnahmen zur Beseitigung der Sicherheitslücken. Unter anderem beschloss die Arbeitsgruppe, den Standard entsprechend den Empfehlungen der Forscher anzupassen.

Die Wissenschaftler sind zuversichtlich, dass jetzt keine ähnlichen Sicherheitslücken in OAuth mehr existieren. Anlass dazu gibt ein mathematischer Beweis, den die Forscher um Professor Küsters aufgestellt haben. Die Informatiker entwickeln seit vielen Jahren Verfahren für die Sicherheitsanalyse von Internet-Anwendungen, die besonders zuverlässige Aussagen über die Sicherheit ermöglichen. Zukünftig ist eine engere Zusammenarbeit mit der IETF geplant, um Sicherheitslücken in Internet-Standards bereits frühzeitig auszuschließen.

Weitere Informationen:<link https: infsec.uni-trier.de> infsec.uni-trier.de

Kontakt:
Prof. Dr. Ralf Küsters
Tel. 0651/201-2852
E-Mail: kuesters@uni-trier.de