SP

Facebook-Login: Informatiker entdecken Sicherheitlücke

System wird für Login mit Google oder Facebook verwendet

Stadt Trier. Man kennt es von vielen Webseiten: Immer öfter wird "Login mit Facebook" oder "Anmelden mit Google" angeboten. Bei diesem sogenannten Single-Sign-On (SSO) dient das vorhandene Facebook- oder Google-Konto als "Ausweis" gegenüber der Webseite - ein neues Passwort wird überflüssig. Auf technischer Seite liegt diesen Systemen meist OAuth zugrunde, ein wichtiger Standard für die Anmeldung im Internet. IT-Sicherheitsforscher der Uni Trier haben bei dem System eine gravierende Sicherheitslücke entdeckt.

Die Informatiker Daniel Fett, Ralf Küsters und Guido Schmitz haben das weitverbreitete Login-System OAuth analysiert und dabei die gravierende Sicherheitslücken entdeckt. Die Wissenschaftler fanden heraus, dass sich böswillige Hacker Zugriff auf die Benutzerkonten und Daten fremder Internetnutzer verschaffen können. "Wir haben in OAuth schwerwiegende Sicherheitsprobleme gefunden", sagt Professor Ralf Küsters. "Die zuständige Arbeitsgruppe bei der Internet Engineering Task Force (IETF) war entsprechend alarmiert und hat sofort ein Krisentreffen einberufen." Dabei diskutierten die Forscher zusammen mit den internationalen Entwicklern des Systems konkrete Maßnahmen zur Beseitigung der Sicherheitslücken. Unter anderem beschloss die Arbeitsgruppe, den Standard entsprechend den Empfehlungen der Forscher anzupassen.

Sicherheitslücke geschlossen

Die Wissenschaftler sind zuversichtlich, dass jetzt keine ähnlichen Sicherheitslücken in OAuth mehr existieren. Anlass dazu gibt ein mathematischer Beweis, den die Forscher um Professor Küsters aufgestellt haben. Die Informatiker entwickeln seit vielen Jahren Verfahren für die Sicherheitsanalyse von Internet-Anwendungen, die besonders zuverlässige Aussagen über die Sicherheit ermöglichen. Zukünftig ist eine engere Zusammenarbeit mit der IETF geplant, um Sicherheitslücken in Internet-Standards bereits frühzeitig auszuschließen. Weitere Infos gibt es hier.

 

 

 

Artikel kommentieren

Bisher gibt es noch keinen Kommentar zu diesem Artikel.