SP

Facebook-Login: Informatiker entdecken Sicherheitlücke

Man kennt es von vielen Webseiten: Immer öfter wird "Login mit Facebook" oder "Anmelden mit Google" angeboten. Bei diesem sogenannten Single-Sign-On (SSO) dient das vorhandene Facebook- oder Google-Konto als "Ausweis" gegenüber der Webseite - ein neues Passwort wird überflüssig. Auf technischer Seite liegt diesen Systemen meist OAuth zugrunde, ein wichtiger Standard für die Anmeldung im Internet. IT-Sicherheitsforscher der Uni Trier haben bei dem System eine gravierende Sicherheitslücke entdeckt.
Guido Schmitz, Daniel Fett und Ralf Küsters (von links) haben Sicherheitslücken im Login-System OAuth offengelegt. Foto: Uni Trier

Guido Schmitz, Daniel Fett und Ralf Küsters (von links) haben Sicherheitslücken im Login-System OAuth offengelegt. Foto: Uni Trier

Die Informatiker Daniel Fett, Ralf Küsters und Guido Schmitz haben das weitverbreitete Login-System OAuth analysiert und dabei die gravierende Sicherheitslücken entdeckt. Die Wissenschaftler fanden heraus, dass sich böswillige Hacker Zugriff auf die Benutzerkonten und Daten fremder Internetnutzer verschaffen können. "Wir haben in OAuth schwerwiegende Sicherheitsprobleme gefunden", sagt Professor Ralf Küsters. "Die zuständige Arbeitsgruppe bei der Internet Engineering Task Force (IETF) war entsprechend alarmiert und hat sofort ein Krisentreffen einberufen." Dabei diskutierten die Forscher zusammen mit den internationalen Entwicklern des Systems konkrete Maßnahmen zur Beseitigung der Sicherheitslücken. Unter anderem beschloss die Arbeitsgruppe, den Standard entsprechend den Empfehlungen der Forscher anzupassen.

Sicherheitslücke geschlossen

Die Wissenschaftler sind zuversichtlich, dass jetzt keine ähnlichen Sicherheitslücken in OAuth mehr existieren. Anlass dazu gibt ein mathematischer Beweis, den die Forscher um Professor Küsters aufgestellt haben. Die Informatiker entwickeln seit vielen Jahren Verfahren für die Sicherheitsanalyse von Internet-Anwendungen, die besonders zuverlässige Aussagen über die Sicherheit ermöglichen. Zukünftig ist eine engere Zusammenarbeit mit der IETF geplant, um Sicherheitslücken in Internet-Standards bereits frühzeitig auszuschließen. Weitere Infos gibt es hier.


Zurück zum Anfang der Seite Nach oben
Meistgelesen
Weitere Nachrichten aus Stadt Trier
Meistgelesen
E-Paper
Anzeige
aufgeben
Zusteller/in
werden
Trauerportal
Sonder-
produkte
Fridolin
Magazin
eff.-
Magazin
Genussregion
entdecken
Imagevideos
Video-Channel