Menü
Cebit

MobileSitter schützt Passwörter durch Lügen

Der ursprünglich vom Fraunhofer SIT entwickelte Passwort-Manager gaukelt Angreifern vor, sie hätten das richtige Masterpasswort eingegeben. Neben der iOS-Version gibt es jetzt auch eine für Android.

Von
vorlesen Drucken Kommentare lesen 112 Beiträge

Bei der Einrichtung einigt man sich mit der App auf ein Symbol, durch das man später verifizieren kann, dass man das richtige Passwort eingetippt hat.

(Bild: Google Play)

Der Passwort-Manager MobileSitter versucht Angriffe auf den Passwort-Container abzuwehren, indem er immer plausible Ergebnisse anzeigt – unabhängig davon, ob das korrekte Masterpasswort eingegeben wurde. Das jetzt auch für Android verfügbare Tool soll so Wörterbuch- und Bruteforce-Attacken erschweren. Der Angreifer weiß demnach nicht, ob etwa die angezeigte EC-Karten-PIN 4711 tatsächlich diejenige des Nutzers ist oder ob sie von der App nach Fehleingabe des Passworts erfunden wurde.

Erscheinungsbild und Funktionsumfang entsprechen in weiten Teilen den Mitbewerbern.

(Bild: Google Play)

Der Nutzer kann allerdings sehr wohl verifizieren, ob sein Passwort stimmt: Die App zeigt nach dem Start ein Symbol an. Entspricht dieses dem Symbol, das bei der Einrichtung festgelegt wurde, ist das Passwort korrekt. Zur Verschlüsselung gibt das Unternehmen an, dass anerkannte kryptographische Standards zum Einsatz kommen, nämlich AES, PBKDF2 und ISO/IEC9797-1.

Erstmals vorgestellt hat das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) den MobileSitter auf der CeBIT 2007. Seitdem gab es das Programm für verschiedene Plattformen wie etwa als Java-Applet für Handys sowie für Windows. Seit rund zwei Jahren ist eine Version für iOS erhältlich und anlässlich der CeBIT wurde jetzt auch die Android-Version veröffentlicht. Beide kosten jeweils 5,49 Euro. (rei)

Anzeige
Anzeige