Browser-Erweiterung verbessert Passwortsicherheit

Laut der Projektgruppe um die beiden Professoren Dan Boneh und John Mitchell, neigen Anwender dazu, dasselbe Passwort für verschiedene Webseiten zu benutzen [1]. Das Problem: Kommt ein Betrüger in den Besitz des Passworts, kann er dieses auch bei anderen Diensten verwenden. Betrüger klappern dazu einfach die bekanntesten kommerziellen Webseiten ab. Eine neue Software namens PwdHash macht dieser Methode einen Strich durch die Rechnung. Das Programm kreiert für jede Website ein spezifisches Passwort. Es verwendet dazu den Domain-Namen [2] der besuchten Seite, um bei der Eingabe automatisch mittels Hash-Funktion eine Zeichenfolge für die entsprechende Website zu erstellen. Der Benutzer muss sich diese nicht merken, da er sie mit dem Programm immer wieder rekonstruieren kann.

Dan Boneh und John Mitchell nennen noch einen weiteren Vorteil von PwdHash: Landet der Nutzer auf einer gefälschten Website, können Betrüger mit dem eingegebenen Passwort nichts anfangen. Da die falsche Seite nicht auf der gleichen Domain liegt, wird eine andere Zeichenfolge generiert.

PwdHash steht als Erweiterung für den Internet Explorer und Firefox zum Download bereit. Momentan ist die Software aber erst in einer Testversion verfügbar. Sie ist nicht für den produktiven Einsatz, sondern nur für Demonstrationszwecke gedacht.