PassSec+ - Add-On das Ihre Passwörter, Zahlungsdaten und Privatsphäre schützt
Das Eingeben von sensiblen Informationen wie z.B. Passwörtern und Zahlungsdaten gehört zum alltäglichen Leben von Internetbenutzern. Bei der Eingabe von solchen Informationen ist es zunächst wichtig, dass die Verbindung zur Webseite selbst gesichert ist (über HTTPS) und die Datenübertragung nach Eingabe der sensiblen Daten gesichert erfolgt (über HTTPS). Außerdem ist es wichtig, dass Sie überprüfen, ob Sie mit dem richtigen Web-Server verbunden sind und die sensiblen Informationen an den richtigen Web-Server (i.d.R. den gleichen Webserver) übertragen werden.
PassSec+ unterstützt Sie dabei Ihre Passwörter, Zahlungsdaten und andere sensible¬ Daten besser zur schützen. Die für Sie relevante Information wird so angezeigt, dass Sie diese einfach wahrnehmen können und bietet verständliche Handlungsempfehlungen. PassSec+ existiert aktuell als Browser Extension sowohl für Firefox als auch für Google Chrome.
Aktuell wird PassSec+ im Rahmen des Helmholtz-Topics Engineering Secure Systems erforscht. Eine erste Version der Browser Extension wurde im Rahmen des vom Bundesministerium für Justiz und Verbraucherschutz und der Bundesanstalt für Landwirtschaft und Ernährung geförderten InUse Projekts entwickelt.
Funktionsweise
Wenn PassSec+ erkennt, dass Eingabefelder auf einer Webseite sind und die Webseite zwar über eine gesicherte Verbindung vom Server übertragen wurde, aber von Ihnen noch nicht als sicher eingestuft wurde, dann wird der Rahmen in grau dargestellt. Das Risiko ist hier unbekannt.
Wenn Sie hier in das Eingabefenster klicken, dann wird Ihnen die URL (auch Webadresse genannt) angezeigt, von der die Webseite geladen wurde.
Wenn Sie den hervorgehobenen Bereich der URL - die Domain (auch Wer-Bereich genannt) - überprüft haben (z.B. dass dort kit-shop.de und nicht kít-shop.de steht), dann bestätigen Sie dies durch Klicken des Buttons ‚Ich habe die Angabe überprüft‘. Im Folgenden wird der Rahmen blau angezeigt. Das bedeutet, dass die Eingabe Ihrer Daten hier als geringes Risiko eingestuft wird, da Sie bereits angegeben haben, dass Sie die Website kennen.
Wird das Eingabefeld grün dargestellt, dann wurde die Domain der aufgerufenen Webseite von den Entwicklern bereits für Sie als niedriges Risiko eingestuft. Diese Liste wurde aus den Alexa Top 100 Webseiten, sowie Webseiten deutscher Banken, die über ein Extended Validation Zertifikat verfügen, zusammengestellt.
Hinweis: Sie können die voreingestellte Liste von den Entwicklern die die vertrauenswürdigen Webseiten enthält in den Einstellungen deaktivieren, wenn Sie diese Funktion nicht nutzen möchten.
Wenn die PassSec+ Browser Extension feststellt, dass zu einer Webseite, die nach sensiblen Daten fragt, ein hohes Risiko für diese besteht, dann versieht die Browser Extension die entsprechenden Eingabefelder mit einem roten Hintergrund und einem Warnsymbol. PassSec+ unterscheidet hierbei zwischen einem unsicheren Aufruf der Webseite (ohne HTTPS), einer Übertragung zu einer anderen Seite und einer unsicheren Übertragung der sensiblen Daten (ohne HTTPS) beim Abschicken des Formulars.
Wenn Sie in das rot hinterlegte Eingabefeld klicken, dann erscheint eine Warnung. Hier wird das Problem und mögliche Konsequenzen erklärt. Außerdem werden Handlungsoptionen aufgezeigt. Werden die sensiblen Daten an eine andere als die aufgerufene Webseite übertragen, so wird Ihnen die Möglichkeit gegeben die Empfängerdomain der Daten vorher zu prüfen. Werden die Daten unsicher übertragen (ohne HTTPS), so werden Sie hierauf hingewiesen und können darauf basierend entscheiden, ob Sie die sensiblen Daten eingeben möchten. Wird die Webseite unsicher aufgerufen und es steht eine sichere Verbindung (HTTPS) zur Verfügung, so wird mittels der Option ‚Zu „https“ wechseln‘ angeboten zu dieser zu wechseln. Beim nächsten Aufruf dieser Webseite wird automatisch zur sicheren Verbindung (HTTPS) gewechselt.
Steht für die aufgerufene Webseite keine sichere Verbindung zur Verfügung, so werden Sie auf diesen Umstand hingewiesen.
Wenn Sie die NICHT empfohlene Optionen ‚Ausnahme hinzufügen‘ auswählen, erscheint ein kurzer Dialog. Hierduch kann eine Ausnahme für die Kombination aus Domain der aufgerufenen Webseite, der Domain an welche die Daten geschickt werden (i.d.R. die selbe Domain) sowie deren Übertragungsart, also ob gesichtert (HTTPS) oder ungesichert (HTTP) hinterlegt werden. Zuvor müssen Sie dies jedoch in einem Dialog mit „Ja, ich weiß was ich tue“ bestätigen.
Im dargestellten Dialog wird eine Ausnahme für den Zugriff auf die Verwaltungsoberfläche (http://fritz.box/) des Internetrouters (hier: Fritzbox) im eigenen Heimnetzwerk mittels unsicherer Verbindung hinzugefügt. Nach Hinzufügen dieser Ausnahmeregel erscheint kein Dialog, sowie keine Eingabeverzögerung beim Login über http://fritz.box/ mehr, dennoch wird das Eingabefeld weiterhin rot hinterlegt dargestellt.
Einstellungen: Wenn Sie möchten, dass das PassSec+weitere Eingabefelder neben Passwortfeldern und Zahlungsdaten absichert, dann können Sie dies unter den Einstellungen und dort unter den erweiterten Optionen auswählen:
Aus Sicherheitsgründen wählt PassSec+ zufällig eins der folgenden Sicherheitssymbole für Sie aus, welches dann in entsprechender Farbe (grau, blau oder grün) neben dem Eingabefeld erscheint:
Durch das nur Ihnen und PassSec+ bekannte ausgewählte Sicherheitsymbol soll sichergestellt werden, dass die Einstufung von PassSec+, etwa als sicher, nicht von der aufgerufenen Webseite nachstellt (also gefälscht werden kann). Um das Symbol zu fälschen müsste der Webseite, das aktuell ausgewählte Symbol kennen.
Wenn Sie das ausgewählte Sicherheitssymbol nicht sehen, sollten Sie bei der Eingabe sensibler Daten vorsichtig sein. In diesem Fall konnte PassSec+ das Eingabefeld nicht erkennen und somit die Sicherheit der Dateneingabe nicht überprüfen.
Sie können das vorausgewählte Symbol jederzeit in den Einstellungen austauschen. Wenn auf einer Webseite ein grüner Rahmen mit einem anderen Symbol erscheint, sollten Sie hier auf keinen Fall sensible Daten wie Passwörter und Zahlungsdaten eingeben.
Download
- Sie können PassSec+ für Chrome hier herunterladen. Für Firefox nutzen Sie diesen Link.
- Falls Sie sich für den Quellcode dieses Add-Ons interessieren, finden Sie diesen bei GitHub.
An dem Add-On haben neben dem InUse-Team eine Reihe von Studenten der TU Darmstadt mitgewirkt: Kristoffer Braun, Kevin Kelpen, Joshua Ruf, Richard Stein, Hubert Strauß, Gildas Nya Tchabe und Simon Weiler. Johannes Wagener und Bettina Ballin haben PassSec+ komplett überarbeitet und somit für neuere Versionen von Firefox kompatibel gemacht. Weiterhin ist das Add-On dadurch für Chrome verfügbar. Die regulären Ausdrücke wurden teilweise vom Google Chromium Quellcode übernommen.
Veröffentlichungen
- Design and Field Evaluation of PassSec: Raising and Sustaining Web Surfer Risk Awareness: Melanie Volkamer, Karen Renaud, Kristoffer Braun, Gamze Canova, Benjamin Reinheimer. In: International Conference on Trust and Trustworthy Computing (TRUST), Springer, p. 104-121, August 2015
- Capturing Attention for Warnings about Insecure Password Fields - Systematic Development of a Passive Security Intervention: Nina Kolb, Steffen Bartsch, Melanie Volkamer, Joachim Vogt. In In: 16th International Conference on Human-Computer Interaction (HCII 2014), Springer, June 2014
Pressespiegel
Backpackers Guide, Polizei Hessen, Süddeutsche Zeitung, C'T Zeitschrift, Darmstädter Echo, Technische Universität Darmstadt, Linuxmintusers, XING, Gesellschaft für Informatik, Krone.at