Identitätsklau bei OpenID

Artikel von Dr. Datenschutz·10. Mai 2011

Der Identitätsklau im Internet und die Möglichkeiten von Datendieben für solche Angriffe nehmen immer mehr zu – dies zeigt der neueste Fall, bei dem es Angreifern im Rahmen von OpenID möglich war, eine fremde Identität anzunehmen und mit dieser auf Webseiten zuzugreifen. Dies berichtete heise online gestern.

Der Inhalt im Überblick

OpenID – ein Passwort für jede Lebenslage
Falsche Identität gegenüber bestimmten Webseiten
Webseiten haben Lücke geschlossen
OpenID – nicht so sicher, wie es scheint?

OpenID – ein Passwort für jede Lebenslage

OpenID ist ein dezentrales Authentifizierungssystem für Webseiten und andere webbasierte Dienste. Durch Single-Sign-On können Nutzer, die bei einem OpenID-Provider wie Google, Yahoo, WordPress, Blogger oder MySpace registriert sind, ihre Zugangsdaten zum Login bei allen Internetdiensten nutzen.

Gegründet wurde OpenID 2005 von einer Open-Source Community – inzwischen gibt es mehr als eine Milliarde OpenID-Accounts sowie 50.000 Webseiten, die OpenID für den Login zulassen.

Falsche Identität gegenüber bestimmten Webseiten

Ermöglicht wurde der jetzige Identitätsklau durch eine fehlerhafte Implementierung der OpenID-Erweiterung Attribute Exchange (AD). Durch diesen Fehler konnten Angreifer gegenüber Webseiten eine fremde Identität annehmen. Manche an OpenID teilnehmende Webseiten überprüften und bestätigten nicht, dass die übermittelten Informationen signiert waren – so war es den Angreifern möglich, die Informationen zu verändern und zu manipulieren.

Webseiten haben Lücke geschlossen

Die Foundation empfahl den Webseitenbetreibern, die Sicherheitslücke umgehend zu schließen, was laut der Foundation auch gleich geschehen sei.

Welche Webseiten von dem Problem betroffen waren, teilte die Foundation nicht mit. Laut der Foundation trat das Problem vor allem bei Anwendungen auf, die die Java-Bibliothek OpenID4Java nutzen.

OpenID – nicht so sicher, wie es scheint?

Der Vorfall zeigt, dass OpenID im Hinblick auf den Datenschutz nicht so sicher ist, wie es auf der Webseite von OpenID vermittelt wird. Die Anmeldung mit dem Zentralschlüssel, der OpenID-Kennung, birgt auch andere Risiken – wenn man zum Beispiel vergisst, sich aus einer Internetseite auszuloggen, sind die Daten nicht mehr sicher. Die Zugangsdaten werden dann gespeichert und der nächste Benutzer kann darauf zugreifen.

- Identitätsklau
  Die verheerenden Folgen von DatenmissbrauchFachbeitrag·6. Dezember 2023
- IT-Sicherheitsvorfall: So reagieren Sie im Notfall richtigFachbeitrag·28. Oktober 2022
- Erlaubt die DSGVO Gesichtserkennung zur Abwehr von Gefahren?Fachbeitrag·25. Juli 2018
Mehr zum Thema
- Webseite
  Third Party Cookies: Auch Google Chrome sagt TschüssNews·8. Januar 2024
- Was ist Website-Tracking und wie funktioniert es?Fachbeitrag·12. September 2023
- DSGVO-Auskunft: Geld her oder Aufsichtsbehörde!Urteil·14. August 2023
Mehr zum Thema
- Zugangsdaten
  Anforderungen an ein biometrisches AuthentifizierungssystemFachbeitrag·10. Januar 2020
- 2.000.000 Passwörter gestohlen – Tipps für mehr SicherheitNews·6. Dezember 2013
- Sicheres Passwort: Wie entscheidend ist die Länge?Fachbeitrag·26. Juli 2013
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.