Research

Mehr Sicherheit für Passwörter dank der Cloud

15.02.2016

Entwickler der PrivaSphere AG haben in Zusammenarbeit mit Wissenschaftlern von IBM Research - Zürich ein neuartiges, kryptographisches Protokoll zum Schutz von Passwörtern in die PrivaSphere Secure Messaging Infrastruktur integriert (https://www.privasphere.com). Mit dem neuen hocheffizienten Verfahren erfolgt die Verifikation eines Passwortes über mehrere Server verteilt, so dass es selbst im Falle eines Serverhacks geschützt ist. Die neue Technologie kann ab sofort von registrierten PrivaSphere-Kunden im Rahmen einer Versuchsphase getestet werden.

Dazu ist Dr. Ralf Hauser, Technikverantwortlicher der PrivaSphere AG, überzeugt: "Mit der Einführung dieser neuen Technologie können wir den Kunden der PrivaSphere AG bei der gewohnten Benutzung des Services eine viel höhere Sicherheit bieten als bisher - ohne dass sie aktiv etwas dazu beitragen müssen."

 

Die wichtigsten Vorteile sind:

  • Sicherheit durch Zusammenarbeit: Mit dem verteilten Verifizierungs-Protokoll für Passwörter wird der verschlüsselte Passwort-Hash zentral in einer Datenbank beim Dienstleister gespeichert. Um die Passwort-Eingabe des Benutzers zu verifizieren, muss der Dienst durch mehrere andere Server unterstützt werden, die alle über geheime Schlüssel verfügen. Angreifer müssten daher alle beteiligten Server gleichzeitig übernehmen können um die Passwörter zu kompromittieren.
  • Schnelle Wiederherstellung bei Kompromittierung: Wenn ein Angriff auf einen Server vermutet oder erkannt wird, so können die Server-Schlüssel umgehend durch neue ersetzt werden. Damit wird wiederum ein sicherer Zustand erreicht - ohne die Passwörter zu gefährden. Auch ohne "Einbruchsverdachtsmomente" können diese Server proaktiv in regelmässigen Zeitabständen neu aufgesetzt werden.
  • Einfachere Passwörter werden sicherer: Da die Verschlüsselung der Passwort-Hashwerte von den geheimen Schlüsseln mehrerer Servern abhängt, sind Passwörter nicht mehr 'offline' angreifbar - auch dann nicht, wenn ein Angreifer den zentral gespeicherten Hash behändigen würde. Zusammen mit der Begrenzung der fehlgeschlagenen Login-Versuche erlaubt dies auch die Nutzung von einfacheren Passwörtern bei gleichbleibend hoher Sicherheit.


Detaillierte Informationen zur Technologie finden Sie hier:

 

Über PrivaSphere AG

Die PrivaSphere AG ist die führende Schweizer Plattform für sichere eMail. PrivaSphere wurde im Oktober 2002 gegründet. Mit PrivaSphere können Unternehmen aller Grössen und aus den verschiedensten Branchen spontan sicher via Internet kommunizieren ohne Installation von Software oder Hardware und ohne in eine eigene eMail-Sicherheits-Infrastruktur investieren zu müssen. PrivaSphere wurde im Jahr 2004 mit dem CTI Start-Up Label der schweizerischen Förderagentur für Innovation ausgezeichnet und ist Preisträger des Swiss Technology Awards sowie ISO 27'001:2013 zertifiziert. PrivaSphere ist die erste eidgenössisch anerkannte, sichere eMail-Zustellplattformtechnologie. Auf PrivaSphere Technologie basiert u.a. die SecureMail Lösung der BEKB, viele Bundesämter, der eGov E-Mail Service der IG Kommunikationsnetz Kanton St. Gallen (IG KOMSG), des AFI Thurgau, Kanton Tessin, die gesamte Kantonale Verwaltung und alle 21 Gemeinden des Kantons Appenzell Ausserrhoden, der Stadt Zürich (OIZ), des Kantons Schaffhausen (KSD), LafargeHolcim und diverse weitere.

 

Kontakt:

IBM Research - Zurich
Grit Abe

Media Relations
Säumerstrasse 4
8032 Rüschlikon

Email: gri@zurich.ibm.com

https://www.zurich.ibm.com

 

PrivaSphere AG
Dr. Ralf Hauser, CEO

Jupiterstrasse 49

8032 Zürich

Email: p4u.ch/mail

https://www.privasphere.com

 

Diese Medienmitteilung steht im Internet zur Verfügung:

https://p4u.ch/MM_IBM_PrivaSphere

 

Einige Pressestimmen:

Research Projects

 

Current projects

2010

  • The SVoPI project aims at the design and development of a product for user-friendly, secure use of Voice over IP via the public Internet. The product shall use open standards. It must maximize usability by means:
    • installation/configuration that is as simple as possible
    • using existing peer-trusts of Secure eMail contacts instead of being forced to buy commercial end-user-certificates

    The industry partners of the fhnw are e-fon and PrivaSphere. 
    Companies or students, who would like to participate in the project, please contact us: responsable for research.
  • Zurich University of Applied Sciences (ZHAW):
    Aut. Security Test. Framework (ASTF2) 
    In 2008 a new security testing framework was deveoped within a project supported by KTI in collaboration with ZHAW and PrivaSphere AG. The Automated Security Testing Framework (ASTF) allows testing online web-applications with respect to security in an automated manner. ASTF covers a wide range of security related tests, reaching from source-code analysis to the testing of application-level, security-critical processes.

    ASTF is successfully used by PrivaSphere AG and other selected companies for several month.
    Based on the gained experiences and feedbacks a successor of ASTF, namely ASTF2 is being deveolped. ASTF2 should be easier to use and be more efficient and convenient in managing the test-results and configurations over time through a relational database. Furthermore, ASTF2 will support the different roles in the software developing process and ease their work, e.g. through distributed tests in different zones.

 

 Examples of available topics

 


 

Realized projects

 

2008

 

2007

  • HSR (Hochschule für Technik Rapperswil) VoIP integration into the Privasphere Secure Messaging Service

 

 

 

In collaboration with

 

Privasphere welcomes initiatives for joint research projects – Contact us directly with any suggestions for potential topics. We look forward to hearing from you. Secure contact