Stanford-Professoren entwickeln Phishing-Schutz
- Ersteller Patmaniac
- Erstellt am
Patmaniac
Grand Admiral Special
- Mitglied seit
- 21.05.2001
- Beiträge
- 14.789
- Renomée
- 266
Zwei Stanford-Professoren haben zwei Tools <a href="http://news-service.stanford.edu/news/2005/july27/phish-072705.html" target="b">entwickelt</a>, welche vor Phishing-Attacken schützen sollen. Der <a href="http://crypto.stanford.edu/SpoofGuard/" target="b">SpoofGuard</a> ist ein Plugin für den Internet Explorer, der die aufgerufenen Web-Seiten nach verschiedenen Kriterien untersucht. So warnt er vor URLs, welche ähnlich geschrieben werden, wie solche, die ihm aus der History bekannt sind, wie z.B. "www.pastbank.de" als Kopie der Postbank-Webseite. Außerdem werden auch Links, Passworteingabefelder und Bilder ausgewertet, welche auf eine Fälschung hinweisen.
Das zweite Tool heißt <a href="http://crypto.stanford.edu/PwdHash/" target="b">PwdHash</a>. Hierbei wird von dem Benutzer eingegebenen Passwort und dem Domain-Namen der aktuellen Seite einen Hash-Wert berechnet, der dann als Passwort an den Server übertragen wird. So bekäme jeder Server ein anderes Passwort zugesagt, als der eigentliche User sich ausgedacht hat. Auf gefälschten Seiten gestohlende Passwörter wären damit folglich nutzlos, da diese nicht auf der original-Seite zu gebrauchen sind.
Der Knackpunkt hierbei ist aber, dass der Anwender das Passwort frei wählen muss. Beim PIN/TAN-Verfahren fürs Online-Banking ist dies aber oft nicht der Fall. Momentan sind die Plugins nur für Mozilla und den Internet Explorer verfügbar. Für die Opera-Portierung werden noch Freiwillige gesucht. Die Quellcodes sind frei verfügbar.
Das zweite Tool heißt <a href="http://crypto.stanford.edu/PwdHash/" target="b">PwdHash</a>. Hierbei wird von dem Benutzer eingegebenen Passwort und dem Domain-Namen der aktuellen Seite einen Hash-Wert berechnet, der dann als Passwort an den Server übertragen wird. So bekäme jeder Server ein anderes Passwort zugesagt, als der eigentliche User sich ausgedacht hat. Auf gefälschten Seiten gestohlende Passwörter wären damit folglich nutzlos, da diese nicht auf der original-Seite zu gebrauchen sind.
Der Knackpunkt hierbei ist aber, dass der Anwender das Passwort frei wählen muss. Beim PIN/TAN-Verfahren fürs Online-Banking ist dies aber oft nicht der Fall. Momentan sind die Plugins nur für Mozilla und den Internet Explorer verfügbar. Für die Opera-Portierung werden noch Freiwillige gesucht. Die Quellcodes sind frei verfügbar.
Hi
Habe den SpoofGuard mal ausprobiert. Sicherlich keine schlechte Idee das Teil, aber trotzdem nervt das irgendwie... Denn wenn man auf den Seiten der Telekom unterwegs ist mneint er, www.t-com.de wäre der Internet-Adresse www.lycos.de sehr ähnlich und deklariert www.t-com.de somit als Phishing-Risiko...
Klar, kann man sowas nicht ausschliessen, aber das würde z.B. unerfahrene Anwender verwirren...
Da müssen die Professoren also noch etwas feilen...
MfG
StefanV3
Habe den SpoofGuard mal ausprobiert. Sicherlich keine schlechte Idee das Teil, aber trotzdem nervt das irgendwie... Denn wenn man auf den Seiten der Telekom unterwegs ist mneint er, www.t-com.de wäre der Internet-Adresse www.lycos.de sehr ähnlich und deklariert www.t-com.de somit als Phishing-Risiko...
Klar, kann man sowas nicht ausschliessen, aber das würde z.B. unerfahrene Anwender verwirren...
Da müssen die Professoren also noch etwas feilen...
MfG
StefanV3
Gnome
Lieutnant
Yo, aber die idee is net schlecht und ausbaufähig.
mal schaun was rauskommt .-)
mal schaun was rauskommt .-)
