Der mobile Passwortmanager iMobileSitter des Fraunhofer SIT ist ein Alptraum für iPhone-Hacker. Er lässt sie einfach ins Leere laufen, indem er ihnen falsche Treffer vorgaukelt. Ab sofort gibt's die App auch für Android-Geräte im Play Store.

Wer auf Nummer sicher gehen möchte, nutzt für jedes E-Mail-Konto, jeden Internetdienst und jedes soziale Netzwerk ein eigenes Passwort. Zusammen mit PINs für SIM-Karten, Banking oder Smartphone-Sperre kommen so eine Menge Zugangsdaten zusammen, die man sich kaum noch merken kann. Viele Menschen nutzen deswegen Passwortmanager, um mit einem Master-Passwort Zugriff auf alle anderen Kennwörter zu haben. Besonders praktisch sind dabei Smartphone-Apps, weil man so Zugangsdaten immer griffbereit parat hat.

Vor allem zu kurze und einfache Master-Passwörter können aber durch spezielle Programme oder Cloud-Dienste geknackt werden. Dies kann über sogenannte Wörterbuchangriffe oder Brut-Force-Attacken geschehen, bei denen im Prinzip einfach nur sehr viele mögliche Kombinationen schnell ausprobiert werden. Das Fraunhofer SIT bietet mit dem iMobileSitter bereits seit einigen Jahren einen Passwortmanager für iPhone und iPad an, der dieses Problem durch einen raffinierten Ansatz löst. Jetzt gibt es die App als MobileSitter auch in Googles Play Store, das Fraunhofer SIT hat sie auf der CeBIT vorgestellt.

Der deutsche Passwortmanager lässt Hacker und ihre Werkzeuge ins Leere raten. Er akzeptiert jede Eingabe und liefert nie Fehlermeldungen. Stattdessen zeigt er stets Zugangscodes an, die so aussehen, als ob sie richtig sein könnten. Wird beispielsweise eine vierstellige PIN gespeichert, gibt die Software immer eine Zahlenkombination zwischen 0000 und 9999 aus. Hacker können so nicht erkennen, ob ihr Versuch erfolgreich war. Der rechtmäßige Nutzer hingegen erkennt anhand eines Bildes einfach und schnell, dass er sich nicht vertippt hat.

Warum können Hacker Daten löschen?

Etwas verwirrend ist auf den ersten Blick, dass MobileSitter nur das Passwort verschlüsselt, aber Benutzernamen und Verwendungszweck ungeschützt lässt - sie können mit einem falschen Master-Passwort verändert oder gelöscht werden. Doch auch das dient letztendlich der Sicherheit. Denn könnte der Angreifer nur mit dem richtigen Kennwort auf diese Daten zugreifen, wüsste er, wenn eine Kombination falsch ist und könnte die Trial-and-Error-Methode anwenden.

Um seine Zugangsdaten so nicht zu verlieren, kann man mit MobileSitter ein Backup auf einem externen Speicher ablegen. Auch hier nutzt die App zur AES-basierten Verschlüsselung Zufallszahlen, die der Anwender generiert, indem er das Smartphone schüttelt. MobileSitter für Android und iMobileSitter für iOS kosten jeweils 5,49 Euro, Nutzer können ihre Zugangsdaten von einem zum anderen System portieren.