MobileSitter

Der MobileSitter passt auf Passwörter im Handy auf

Unbefugten werden zum Schein falsche Passwörter generiert
Von Anja Zimmermann

"MobileSitter" heißt eine neue Software, mit der Passwörter und PINs sicher auf dem Handy gespeichert werden können. Entwickelt wurde das Programm vom Fraunhofer-Institut für Sichere Informations-Technologie SIT in Darmstadt. Der Anwender speichert seine Passwörter für den Zugriff auf den Computer, den E-Mail-Account, den Zugang zum Online-Shopping oder aber auch seine PIN für die Nutzung der EC-Karte im Handy ab. Geschützt wird die Ablage durch ein Masterpasswort. Gerät das Handy zum Beispiel durch Diebstahl in falsche Hände, wird der MobileSitter aktiv: Das Programm akzeptiert jede als Masterpasswort eingegebene Zahlen- und Buchstabenkombination des nicht rechtmäßige Eigentümer. Darraufhin werden ihm PIN-Codes und Passwörter generiert, die wie die echten aussehen aber nicht den Zugang zum Bankkonto oder Computer wirklich schützen. Der MobileSitter funktioniert auf Java-fähigen Handys
Quelle: Fraunhofer Institut Versucht ein Betrüger mit dem falsch generierten PIN-Codes Geld vom Bankkonto des Geschädigten abzuheben, wird beim dritten Versuch die Bankkarte eingezogen

„Damit jedoch der Eigentümer des Passworts nicht in die gleiche Falle tappt, wenn er sich bei der Eingabe seines Masterpassworts vertippt, haben wir noch einen Sicherungsmechanismus eingebaut", sagt Dr. Markus Schneider vom Fraunhofer SIT. "Wer sein Masterpasswort richtig eingegeben hat, bekommt zur Bestätigung ein Bild gezeigt. Er muss sich merken, was sein richtiges Bild ist, dann kann er erkennen, dass ein Tippfehler vorliegt und das Masterpasswort neu eingeben." Auch der Dieb bekommt ein Bildchen angezeigt – aber ob es das Richtige ist, weiß er natürlich nicht.

Vorsicht vor frei herunterladbaren Programmen

Bei anderen Passwortspeichern, die Passwörter verschlüsselt auf Computern speichern und bei denen man sich als Benutzer nur noch ein Master-Passwort zur Ver- und Entschlüsselung merken muss, rät das Fraunhofer Institut zur Vorsicht, "da es im Internet frei herunterladbare Hackerwerkzeuge gibt, mit denen Wörterbuchangriffe durchgeführt werden können", so Schneider. Bei Wörterbuchangriffen werden einfach Millionen von Master-Passwörtern ausprobiert, was bei der heutigen Rechenleistung normaler PCs in sehr kurzer Zeit möglich ist. Bei falschen Kandidaten wird der Zugriff verwehrt. Wird jedoch das richtige Master-Passwort gefunden, ist sofort der Weg zu allen gespeicherten Geheimkombinationen frei. Hackerprogramme und auch Hacker erkennen sofort, wenn sie fündig geworden sind. "Mit Wörterbuchangriffen", so Schneider, "lassen sich auch in der Praxis andere Passwortspeicher aufbrechen, selbst wenn diese starke Verschlüsselungsverfahren verwenden". Im Unterschied dazu bekommt der Hacker beim MobileSitter ein Passwort von dem er glaubt das es richtig sei.

Der MobileSitter setzt bei der Verschlüsselung auf weltweit anerkannten Standards wie AES 128, PKCS#5 und ISO/IEC 9797-1. Da der MobileSitter auf Basis von Java ME entwickelt wurde kann er betriebssystemunabhängig auf verschiedenen Endgeräten installiert und benutzt werden. Zur Verwendung auf Mobiltelefonen wurden die Standards CLDC 1.1 und MIDP 2.0 eingesetzt. Der Dateizugriff basiert auf dem Standard JSR 75. Diese Standards sollten also von dem jeweiligen Mobiltelefon unterstützt werden.

Der MobileSitter kann unter www.mobilesitter.de heruntergeladen werden. Wenn man den MobileSitter ersteht, bekommt man zeitlich befristete Lizenzen. Ein Jahr Nutzung kostet zum Beispiel 9,90 Euro Eine Version der Software für den PC mit der man seine Geheimdaten zwischen PC und Mobilgerät synchronisieren kann ist angekündigt.