Home | english  | Impressum | Datenschutz | Sitemap | KIT
Kontakt

KIT Campus Süd
Kollegiengebäude am Kronenplatz (Geb. 05.20)
Kaiserstr. 89
76133 Karlsruhe

   

Newsletter abbonieren
YouTube abonnieren

Externe Veranstaltungen
Dienstag, 08.Jan 2019
HICSS 2018
Sonntag, 24.Feb 2019
USEC 2019
Montag, 08.Apr 2019
SAC 2019

Weitere Veranstaltungen...

KASTEL

Karlsruher IT-Sicherheitsinitiative

PassSec+ - Add-On das Ihre Passwörter, Zahlungsdaten und Privatsphäre schützt

Das Eingeben von sensiblen Informationen wie z.B. Passwörtern und Zahlungsdaten gehört zum alltäglichen Leben von Internetbenutzern. Bei der Eingabe von solchen Informationen ist es zunächst wichtig, dass die Webseite selbst gesichert ist und die Datenübertragung gesichert erfolgt (über HTTPS). Außerdem ist es wichtig, dass Sie überprüfen, ob Sie mit dem richtigen Web-Sever verbunden sind. PassSec+ unterstützt Sie dabei Ihre Passwörtern, Zahlungsdaten und andere sensiblen Daten besser zur schützen. Die für Sie relevante Information wird so angezeigt, dass Sie diese einfach wahrnehmen und bietet verständliche Handlungsempfehlungen. Das Add-On existiert sowohl für Firefox als auch für Google Chrome.

Eine erste Version des Add-Ons wurde im Rahmen des vom Bundesministerium für Justiz und VerbraucherschutzExternal Link und der Bundesanstalt für Landwirtschaft und ErnährungExternal Link geförderten InUse Projekts entwickelt.

Funktionisweise

Wenn PassSec+ erkennt, dass Eingabefelder auf einer Webseite sind, die Webseite zwar über eine gesicherte Verbindung vom Server übertragen wurde aber von Ihnen noch nicht als sicher eingestuft wurde, dann wird der Rahmen in orange dargestellt.

 

Wenn Sie hier in das Eingabefenster klicken, dann wird Ihnen die Domain (z.B. google.com) des Servers angezeigt, von der die Webseite geladen wurde.

 

Wenn Sie die Domain (Wer-Bereich) überprüft haben (z.B. dass dort google.com und nicht googel.com steht), dann bestätigen Sie dies durch Klicken des Buttons ‚Ich habe die Angabe überprüft‘. Im Folgenden wird der Rahmen grün angezeigt.

 

Wenn das PassSec+ Add-On feststellt, dass zu einer Webseite, die nach sensiblen Daten fragt, keine sichere Verbindung augebaut wurde (über HTTPS), dann versieht das Add-On die entsprechenden Eingabefelder mit einem roten Hintergrund und einem Warnsymbol.

 

Wenn Sie in das rot hinterlegte Eingabefeld klicken, dann erscheint eine Warnung. Hier wird das Problem und mögliche Konsequenzen erklärt. Außerdem werden Handlungsoptionen aufgezeigt. Welche Handlungsoptionen dies sind, hängt davon ab, ob die Webseite auch über eine gesicherte Verbindung aufgerufen werden kann oder nicht. Wenn dies möglich ist, wird die Option ‚Sicherer Modus‘ angeboten.

 

Wenn Sie die empfohlene Option "Sicherer Modus" auswählen, erscheint ein kurzer Dialog. Hier wird Ihnen die Domain (hier gmx.net) des Servers angezeigt, von der die Webseite geladen wurde.

 

Wenn Sie die angezeigte Domain überprüft haben, dann bestätigen Sie dies durch Klicken des Buttons 'Fortfahren'. Im Folgenden wird der Rahmen auch grün angezeigt.

Bietet diese Webseite, die Option nicht an, dann wird empfohlen, ein anderes Passwort zu verwenden bzw. einen andere Dienst zu verwenden, da Zahlungsdaten nicht ungesichert übertragen werden sollten. 

 

Wenn Sie die NICHT empfohlene Optionen ‚Ausnahme hinzufügen‘ auswählen, erscheint ein kurzer Dialog. Hier wird Ihnen die Domain (z.B. amazon.de) des Servers angezeigt, von der die Webseite geladen wurde.  Sie sollten auch in diesem Fall die Domain überprüfen, bevor Sie auf dieser Webseite sensiblen Daten wie Passwörter und Zahlungsdaten eingeben.

Im Hintergrund wird bei jedem Eingabefeld auf einer Webseite, die nicht im sicheren Modus aufgerufen wird, eine Überprüfung der Domain durchgeführt. Hierbei wird einerseits mittels Suchmaschine (derzeit wird entweder Startpage oder Google verwendet) untersucht, ob die Domain (z.B. mircosoft.de; wobei hier das "r" und das "c" vertauscht wurden es also durchaus eine Phishing Seite sein könnte) unter den ersten Treffern bei der ausgewählten Suchanfrage nach der Domain ist.

Andererseits wird mittels Suchmaschine überprüft, ob die Anfrage durch die Suchmaschine korrigiert wird (z.B. zu microsoft.de). Wenn ein entsprechendes Problem erkannt wurde, dann enthält der Warnungsdialog entsprechende Informationen. Sie sollten die aktuelle Webseite verlassen und keine sensiblen Daten eingeben. Dennoch sollte der Benutzer die Domain  immer selbst überprüfen, da dies keinen hundertprozentigen Schutz bietet.

 

Einstellungen: Wenn Sie möchten, dass das Add-On weitere Eingabefelder hinsichtlich einer sicheren Verbindung  untersucht, dann können Sie dies unter den Einstellungen und dort unter den erweiterten Optionen auswählen.

Aus Sicherheitsgründen wählt PassSec+ zufällig eins der folgenden Sicherheitssymbole für Sie aus:

        

Sie können das vorausgewählte Symbol jederzeit in den Einstellungen austauschen. Wenn auf einer Webseite ein grüner Rahmen mit einem anderen Symbol erscheint, sollten Sie  hier auf keinen Fall sensible Daten wie Passwörter und Zahlungsdaten eingeben.

Die FAQs (Häufig gestellten Fragen) finden Sie hier.

Download

  • Sie können PassSec+ für Chrome hier herunterladen. Für Firefox nutzen Sie diesen Link.
  • Falls Sie sich für den Quellcode dieses Add-Ons interessieren, finden Sie diesen bei GitHub.

An dem Add-On haben neben dem InUse-Team eine Reihe von Studenten der TU Darmstadt mitgewirkt: Kristoffer Braun, Kevin Kelpen, Joshua Ruf, Richard Stein, Hubert Strauß, Gildas Nya Tchabe und Simon Weiler. Johannes Wagener und Bettina Ballin haben PassSec+ komplett überarbeitet und somit für neuere Versionen von Firefox kompatibel gemacht. Weiterhin ist das Add-On dadurch für Chrome verfügbar. Die regulären Ausdrücke wurden teilweise vom Google Chromium Quellcode übernommen.

Veröffentlichungen

Pressespiegel

Backpackers Guide, Polizei Hessen, Süddeutsche Zeitung, C'T Zeitschrift, Darmstädter Echo, Technische Universität Darmstadt, Linuxmintusers, XING, Gesellschaft für Informatik, Krone.at