Identitätsdiebstal verhindern mit GnuPG

Entwurf eines einfachen Systems um Identitätsdiebstahl durch Übernahme von Login-Accounts zu verhindern: Lade beim Anmelden deinen öffentlichen GnuPG Schlüssel hoch. Wird dein Acount übernommen, weist du deine Identität mit einer signierten E-Mail nach.

Durch OpenID wird es Stück für Stück unnötig, sich hunderte Passwörter und Nutzernahmen zu merken.

Gleichzeitig wird aber auch ein einzelner Login immer wichtiger, und ich kann schon mit der Übernahme eines einzelnen OpenID Accounts auf hunderten anderer Seiten die Identität des bestohlenen Nutzers annehmen.

Ganz verhindern können wir die Account-Übernahme nicht, denn im allgemeinen gilt, dass die Sicherheit eines Systems nur um den Preis geringerer Bequemlichkeit gesteigert werden kann.

Also konzentrieren wir uns auf den nächsten Schritt: Der Account wurde übernommen und das Passwort geändert. Jetzt will ich dem Anbieter nachweisen, dass ich derjenige bin, der den Account erstellt hat.

Statt nun irgendein neues System aufzusetzen, nutzen wir einfach ein bekanntes und sicheres: GnuPG: Gnu Privacy Guard.

Dabei hat jeder einen privaten und einen öffentlichen Schlüssel. Der öffentliche Schlüssel kann, wie der Name schon sagt, einfach veröffentlicht werden, ohne dass die Sicherheit des Nutzers leidet. Wer den öffentlichen Schlüssel hat, kann verschlüsselte E-Mails an den Besitzer des privaten Schlüssels schicken, und er kann digitale Unterschriften des Besitzers des privaten Schlüssels prüfen.

Wenn nun mein Account gestohlen wurde, kann ich einfach eine mit meinem privaten Schlüssel unterschriebene Mail an den Seitenbetreiber schicken und sagen "mein Account ist kompromittiert. Bitte geben sie mir neue Login-Informationen." Der Seitenbetreiber prüft dann meine digitale Unterschrift mit dem öffentlichen Schlüssel, den ich hinterlegt habe. Wenn sie gültig ist, erstellt er neue Login-Infos (und schickt sie mit meinem öffentlichen Schlüssel verschlüsselt an mich).

Die Abfrage kann problemlos automatisiert werden, so dass nichtmal ein Mensch auf der Seite des Anbieters sitzen muss, das System also gut hochskaliert.

Da der private Schlüssel mit einem Passwort geschützt ist, gibt auch die kurzzeitige Übernahme des Computers nicht direkt die Möglichkeit, Accounts zu übernehmen.

Dazu kommt, dass GnuPG seit Jahrzehnten im Einsatz ist und von den verschiedensten Sicherheitsexperten geprüft wurde - von anonymen Hackern bis zum Bundesamt für Sicherheit in der Informationstechnik (das GnuPG sogar eine Weile lang unterstützt hat). Und auch das BKA hat letztens herausgefunden, dass GnuPG wirklich sicher sind, als sie sich an GnuPG verschlüsselten Dateien die Zähne ausgebissen haben.

Wir sollten es nutzen, um unsere elektronische Identität zu schützen.

Schau es dir doch mal an. Vielleicht hast du ja Lust das System zu erstellen :)

Inhalt abgleichen
Willkommen im Weltenwald!
((λ()'Dr.ArneBab))



Beliebte Inhalte

sn.1w6.org news