Datenübermittlung mit HTTPS nicht mehr sicher

5 von 5 Sterne, 2 Bewertungen

Browser-Geplauder: Banking, Mailing und Shopping trotz HTTPS unsicher

https, Datenübermittlung, unsicher, businessheute

„Die Seite ist sicher, da werden Daten verschlüsselt übermittelt…da kannste ruhig Online-Banking mit machen!“ Wer bisher dachte, dass das der Fall ist, wurde nun von Sicherheitsforscher Guido Vranken eines besseren belehrt.

Der niederländische IT-Spezialist fand heraus, dass HTTPS-Verschlüsselung nicht zwangsläufig sicher ist.1 Potenzielle Hacker können Daten von TSL/SSL-verschlüsselten Seiten abgreifen, indem Sie HTTPS Bicycle Attack nutzen. Für Betreiber derart gesicherter Webseiten bedeutet dies eine Sicherheitslücke, die es zu schließen oder zu überwachen gilt. Denn sind bestimmte Voraussetzungen gegeben bzw. erfüllt, hat ein Hacker Zugriff auf den Benutzernamen des Opfers, die Login-URL und die zugehörigen Informationen. Das einzige Detail, das dem Datendieb nicht direkt vorliegt, ist die Länge des Passwortes. Aber auch hier erhält laut Vranken der Angreifer nach einer einfachen Subtraktion das nötige Wissen, um den Account mit einer Brute-Force-Attacke letztlich übernehmen zu können.

Was kann man dagegen tun?

Um sich gegen HTTPS Bicycle Attack zu schützen, empfiehlt Vranken TLS stream-ciphers nicht zu unterstützen. IT-Verantwortliche sollten die jüngste Version des TLS-Protokolls nutzen (aktuell wäre das 1.2). Eine weitere Absicherung bieten Fülldaten, um den vorhandenen Datenbestand zu erweitern. Außerdem rät er dazu, den Stream zu maskieren, um die tatsächliche Länge des Datensatzes zu verstecken.

HTTPS allein bietet nicht genügend Sicherheit

Webseitenbetreiber, die es Ihren Kunden für den Login und die Abwicklung von Geschäften mit kurzen PINs oder einstufigen Authentifizierungsverfahren so einfach wie möglich machen möchten, erleichtern auch Hackern das Handwerk. Hierzu schreibt die EU seit dem vergangenen Jahr entsprechende Sicherheitsrichtlinien vor, die mit dem 05. November 2015 bindend sind. Allerdings gelten diese nur für Bezahlvorgänge und nicht für „gewöhnliche“ Login-Daten, um einen User-Account zu verwalten. Mehrstufige Authentifizierungsverfahren sind nun Pflicht und sollen die Sicherheit erhöhen.

businessHEUTE bietet weitere Tipps aus den Europäischen Leitlinien zur Sicherheit von Internetzahlungen. Diese können Sie sich einfach hier herunterladen:

Pflichtfelder sind mit einem Stern (*) markiert.

Anrede

Benutzeranmeldung

Geben Sie Ihre E-Mail-Adresse und Ihr Passwort ein, um sich anzumelden. Pflichtfelder sind mit einem Stern (*) markiert.

(1) Guido Vranken, HTTPS Bicycle Attack, 2015
Bildquelle: (c) adrian_ilie825, Fotolia

Kommentare

5 von 5 Sterne, 2 Bewertungen

Es gibt noch keine Kommentare

Kommentar hinterlassen

Haben Sie Fragen oder Anregungen?

Schreiben Sie uns an
info@businessheute.de