Identitätsdiebstal verhindern mit GnuPG

Entwurf eines einfachen Systems um Identitätsdiebstahl durch Übernahme von Login-Accounts zu verhindern: Lade beim Anmelden deinen öffentlichen GnuPG Schlüssel hoch. Wird dein Acount übernommen, weist du deine Identität mit einer signierten E-Mail nach.

Durch OpenID wird es Stück für Stück unnötig, sich hunderte Passwörter und Nutzernahmen zu merken.

Gleichzeitig wird aber auch ein einzelner Login immer wichtiger, und ich kann schon mit der Übernahme eines einzelnen OpenID Accounts auf hunderten anderer Seiten die Identität des bestohlenen Nutzers annehmen.

Ganz verhindern können wir die Account-Übernahme nicht, denn im allgemeinen gilt, dass die Sicherheit eines Systems nur um den Preis geringerer Bequemlichkeit gesteigert werden kann.

Also konzentrieren wir uns auf den nächsten Schritt: Der Account wurde übernommen und das Passwort geändert. Jetzt will ich dem Anbieter nachweisen, dass ich derjenige bin, der den Account erstellt hat.

Statt nun irgendein neues System aufzusetzen, nutzen wir einfach ein bekanntes und sicheres: GnuPG: Gnu Privacy Guard.

Dabei hat jeder einen privaten und einen öffentlichen Schlüssel. Der öffentliche Schlüssel kann, wie der Name schon sagt, einfach veröffentlicht werden, ohne dass die Sicherheit des Nutzers leidet. Wer den öffentlichen Schlüssel hat, kann verschlüsselte E-Mails an den Besitzer des privaten Schlüssels schicken, und er kann digitale Unterschriften des Besitzers des privaten Schlüssels prüfen.

Wenn nun mein Account gestohlen wurde, kann ich einfach eine mit meinem privaten Schlüssel unterschriebene Mail an den Seitenbetreiber schicken und sagen "mein Account ist kompromittiert. Bitte geben sie mir neue Login-Informationen." Der Seitenbetreiber prüft dann meine digitale Unterschrift mit dem öffentlichen Schlüssel, den ich hinterlegt habe. Wenn sie gültig ist, erstellt er neue Login-Infos (und schickt sie mit meinem öffentlichen Schlüssel verschlüsselt an mich).

Die Abfrage kann problemlos automatisiert werden, so dass nichtmal ein Mensch auf der Seite des Anbieters sitzen muss, das System also gut hochskaliert.

Da der private Schlüssel mit einem Passwort geschützt ist, gibt auch die kurzzeitige Übernahme des Computers nicht direkt die Möglichkeit, Accounts zu übernehmen.

Dazu kommt, dass GnuPG seit Jahrzehnten im Einsatz ist und von den verschiedensten Sicherheitsexperten geprüft wurde - von anonymen Hackern bis zum Bundesamt für Sicherheit in der Informationstechnik (das GnuPG sogar eine Weile lang unterstützt hat). Und auch das BKA hat letztens herausgefunden, dass GnuPG wirklich sicher sind, als sie sich an GnuPG verschlüsselten Dateien die Zähne ausgebissen haben.

Wir sollten es nutzen, um unsere elektronische Identität zu schützen.

Schau es dir doch mal an. Vielleicht hast du ja Lust das System zu erstellen :)

Use Node:

⚙ Babcom is trying to load the comments ⚙

This textbox will disappear when the comments have been loaded.

If the box below shows an error-page, you need to install Freenet with the Sone-Plugin or set the node-path to your freenet node and click the Reload Comments button (or return).

If you see something like Invalid key: java.net.MalformedURLException: There is no @ in that URI! (Sone/search.html), you need to setup Sone and the Web of Trust

If you had Javascript enabled, you would see comments for this page instead of the Sone page of the sites author.

Note: To make a comment which isn’t a reply visible to others here, include a link to this site somewhere in the text of your comment. It will then show up here. To ensure that I get notified of your comment, also include my Sone-ID.

Link to this site and my Sone ID: sone://6~ZDYdvAgMoUfG6M5Kwi7SQqyS-gTcyFeaNN1Pf3FvY

This spam-resistant comment-field is made with babcom.

Inhalt abgleichen
Willkommen im Weltenwald!
((λ()'Dr.ArneBab))



Beliebte Inhalte

Draketo neu: Beiträge

Ein Würfel System

sn.1w6.org news