Identitätsklau bei OpenID

anonym 01
News

Der Identitätsklau im Internet und die Möglichkeiten von Datendieben für solche Angriffe nehmen immer mehr zu – dies zeigt der neueste Fall, bei dem es Angreifern im Rahmen von OpenID möglich war, eine fremde Identität anzunehmen und mit dieser auf Webseiten zuzugreifen. Dies berichtete heise online gestern.

OpenID – ein Passwort für jede Lebenslage

OpenID ist ein dezentrales Authentifizierungssystem für Webseiten und andere webbasierte Dienste. Durch Single-Sign-On können Nutzer, die bei einem OpenID-Provider wie Google, Yahoo, WordPress, Blogger oder MySpace registriert sind, ihre Zugangsdaten zum Login bei allen Internetdiensten nutzen.

Gegründet wurde OpenID 2005 von einer Open-Source Community – inzwischen gibt es mehr als eine Milliarde OpenID-Accounts sowie 50.000 Webseiten, die OpenID für den Login zulassen.

Falsche Identität gegenüber bestimmten Webseiten

Ermöglicht wurde der jetzige Identitätsklau durch eine fehlerhafte Implementierung der OpenID-Erweiterung Attribute Exchange (AD). Durch diesen Fehler konnten Angreifer gegenüber Webseiten eine fremde Identität annehmen. Manche an OpenID teilnehmende Webseiten überprüften und bestätigten nicht, dass die übermittelten Informationen signiert waren – so war es den Angreifern möglich, die Informationen zu verändern und zu manipulieren.

Webseiten haben Lücke geschlossen

Die Foundation empfahl den Webseitenbetreibern, die Sicherheitslücke umgehend zu schließen, was laut der Foundation auch gleich geschehen sei.

Welche Webseiten von dem Problem betroffen waren, teilte die Foundation nicht mit. Laut der Foundation trat das Problem vor allem bei Anwendungen auf, die die Java-Bibliothek OpenID4Java nutzen.

OpenID – nicht so sicher, wie es scheint?

Der Vorfall zeigt, dass OpenID im Hinblick auf den Datenschutz nicht so sicher ist, wie es auf der Webseite von OpenID vermittelt wird. Die Anmeldung mit dem Zentralschlüssel, der OpenID-Kennung, birgt auch andere Risiken – wenn man zum Beispiel vergisst, sich aus einer Internetseite auszuloggen, sind die Daten nicht mehr sicher. Die Zugangsdaten werden dann gespeichert und der nächste Benutzer kann darauf zugreifen.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.