Martins key.matiq-Blog

>> Zurück zum Artikelverzeichnis >>


Phishing-Apps greifen Passwortmanager an

Geschrieben: 16.10.2018
Letzte Überarbeitung: 22.04.2021
Stichwörter: Angriffe

Wir haben Phishing von Anfang an auf dem Radar gehabt

Seit der Entwicklung starker Verschlüsselungsalgorithmen wie AES und RSA ist die eigentliche Verschlüsselung kein wirkliches Problem mehr. Also war uns schon früh klar, dass Angreifer*innen andere Wege gehen werden. Die Schwächen, die am schwersten abzustellen sind, und daher für Angreifer*innen am leichtesten auszunutzen sind, sind menschliche Schwächen: Unaufmerksamkeit, endliches Gedächtnis, Emotionalität. (Im menschlichen Zusammenleben haben diese Schwächen durchaus auch Vorteile und können sehr liebenswert sein, aber hier geht es um digitale Sicherheit, und da bieten sie eben Angriffspunkte.)

Wir haben bei der Entwicklung von key.matiq genau diese Probleme im Auge gehabt, wollten mit key.matiq den Menschen ein Werkzeug an die Hand geben, das diese Schwächen kompensieren hilft. Das war unser Grundgedanke. Deshalb hatte auch Phishing unser höchstes Augenmerk.

Was kann man als Passwortmanager gegen Phishing tun?

Aufklärung, Verzicht auf Links in E-mails, Personalisierung der Anmeldeseite, Verzicht auf Android™*-Apps und Browser-Plugins.

Aufklärung

Ein Passwortmanager sollte die Nutzer*in auf das Problem hinweisen. Auf der Anmelde-Seite von key.matiq erklären wir, wie Phishing funktioniert und worauf man achten sollte, um diese Angriffs-Strategie zu durchkreuzen.

Verzicht auf Links in E-Mails

Vor allem in automatisch generierten E-Mails sollte man auf Links verzichten und das auch deutlich sagen: Da jede Nutzer*in weiß, dass es in solchen E-Mails von key.matiq keine Hyperlinks gibt (Ausnahme bei schwacher Zwei-Faktor-Authentifizierung und dann auch immer ohne jede Abfrage von Daten) kann eine gefälschte E-Mail, die vorgibt, von key.matiq zu stammen, nicht echt erscheinen, wenn sie einen Link enthält der zu einer Seite führt, bei der ein Kennwort eingegeben werden soll.

Man sollte auch auf URLs in Textform (also zum Abschreiben) verzichten. Das verführt sonst leicht zum Copy/Paste und ist dann auch nicht besser als ein Hyperlink.

Die Domain eine Passwortmanagers lässt sich zum Einen von der Benutzer*in als Lesezeichen abspeichern und, wenn das nicht geschehen ist, auch über eine Suchmaschine ermitteln. Suchmaschinen zeigen in der Regel keine Phishing-URLs an, zumindest nicht unter den ersten zehn Ergebnissen.

Es ist also ein sehr kleiner Aufwand, den man der Benutzer*in zumutet, um ihr großen Ärger zu ersparen.

Personalisierung der Anmeldeseite

Zum Dritten sollte man die Personalisierung der Anmeldeseite anbieten. Bei key.matiq ist das die Willkommensmeldung. Das ist zwar kein 100-prozentiger Schutz und lässt auch False-Positives zu, aber reduziert die Gefahr auf wenige Ausnahmefälle, in denen dann eine erhöhte Aufmerksamkeit der Benutzer*in greift:

Nur wenn ein Unberechtigte*r Zugriff auf das Gerät hatte, könnte das Cookie, das nötig ist, die personalisierte Seite darzustellen, gestohlen worden sein. Und: Wenn man einer Freund*in erlaubt, sich von dem eigenen Computer aus an key.matiq anzumelden, wir dieser zunächst die Willkommensmeldung von eine*r selbst (der Computerbesitzer*in) sehen, während man selbst später die Willkommensmeldung der Freund*in sehen wird.

Verzicht auf Eingriff in Android-Apps und Browser-Plugins

Der Artikel von Heise.de ("Android: Phishing-Apps können Passwortmanager ausspionieren", vom 2.10.2018) zeigt auf, dass das Problem dann auftritt, wenn Passwortmanager anbieten, Anmelde-Felder in Android-Apps automatisch auszufüllen. Der einzige Passwortmanager, der das kann und dabei gegen Phishish-Angriffe resistent ist, stammt vom Hersteller des Betriebssystems.

key.matiq verzichtet auf solche tiefen Eingriffe in Apps oder auch Browser. Das automatische Füllen von Anmeldefeldern ist zwar eine wichtige Angelegenheit, weil es erlaubt, starke und unterschiedliche Kennworte bequem anzuwenden, aber man braucht es vor allem beim Browser:

Browser haben aber eigene Passwortmanager, die das Autofill sehr gut selbst erledigen. key.matiq und der Passwortmanager des Browsers können also in Kombination nahezu alles Wünschenswerte erledigen. Der Browser das Autofill, key.matiq den Rest (Ordnung halten, Weitergabe, Hinterlegung, digitale Vererbung, Backups, ...)

Bleibt der Autofill bei Android-Apps (aber auch bei Programmen unter Windows®*). Hier bleibt als Mittel der Wahl (man könnte es auch als Krücke betrachten) immer noch Copy/Paste. Und die sollte vorerst reichen. Denn vermutlich werden in Zukunft Web-Apps weiter an Terrain gewinnen, so dass lokale Apps, die Anmeldungen über das Internet benötigen, nicht unbedingt zunehmen werden.

Es ist natürlich grundsätzlich denkbar, key.matiq mit einem betriebssystemnahen Passwortmanager zu kombinieren, der die Autofill-Funktion für die Apps ausführt, ähnlich wie wir die Kombination mit dem Passwortmanager des Browsers vorschlagen:

Unter Windows gibt es z. B. für Remote-Desktop-Anmeldungen die Möglichkeit, die Anmeldedaten lokal zu speichern, so dass sie nicht jedesmal eingegeben werden müssen. Diese würden dann mit dem lokalen Anmelde-Kennwort an Windows verschlüsselt gespeichert. key.matiq hätte dann weiterhin die Aufgabe, die systemübergreifende Verwaltung sämtlicher Geheimnisse zu übernehmen und damit u. a. die Sicherheit zu bieten, dass man auch beim Vergessen des lokalen Windows-Kennworts oder beim Plattencrash über ein anderes internetfähiges Gerät wieder an alle Kennworte herankommt.

*) Hinweise zu Marken Drit­ter:

"Android" ist eine Marke der Google LLC.

"Windows" ist eine eingetragene Marke der Microsoft Corporation in den USA und/oder anderen Ländern.


>> Zurück zum Artikelverzeichnis >>