Archive for the ‘Sesam’ tag
Sesam öffne dich: Sicher einloggen im Internetcafe
Stell dir folgende Situation vor: Du bist im Ausland, beispielsweise Peru, und möchtest dich auf deiner Webseite als Administrator einloggen. Da der mobile Datentransfer im Ausland sehr teuer ist kommt es leider nicht in Frage das Handy zu nutzen, denn bereits wenige Megabyte kosten viel Geld. Also ab ins Internetcafe. Doch dort muss man davon ausgehen dass Keylogger/Trojaner installiert sind, die jeden Tastaturanschlag mitprotokollieren. Die Angreifer kommen also sehr leicht an Username und Passwort, da hilft es auch nicht wenn die Webseite SSL oder sonstige andere Sicherheitsmaßnahmen nutzt.
Wie kann man nun seine Webseite sicher besuchen, ohne sich einzuloggen und ohne viel teuren Datentraffic zu verursachen?
Eine mögliche Lösung
Auf der Loginseite der Webseite ist zusätzlich zum Loginformular ein QR-Code eingeblendet. Dieser QR-Code muss mit dem Handy gescannt und die dahinter steckende Webseite besucht werden. Es erscheint ein kleines Loginformular auf dem Handy, in das man gefahrlos seine Logindaten eingeben kann, denn das Handy ist ja unseres und beheimatet hoffentlich keinen Keylogger. Sobald der Login auf dem Handy erfolgreich war wird man auch auf dem Internetcafe-Computer eingeloggt, völlig ohne eine Taste gedrückt zu haben. Sesam öffne dich!
Ich habe das Verfahren mal umgesetzt, es bedarf lediglich 75 Zeilen HTML und PHP-Code, sowie die Einbindung einer freien PHP-QR-Code-Bibliothek. Mein Code liegt auf Github, und ich habe auch eine kleine Demo-Seite online gestellt.
Diese Methode ist übrigens nicht neu, Google hat damit experimentiert und es, als es publik geworden ist, eingestellt mit der Meldung „Danke, das war nur ein Experiment, bald kommt etwas viel besseres“. Leider wissen wir bis heute nicht was die bessere Lösung sein könnte.
Was haltet ihr davon, überflüssig oder eine nützliche Alternative?