Forschung

Mehr Sicherheit für Passwörter dank der Cloud

15.02.2016

Entwickler der PrivaSphere AG haben in Zusammenarbeit mit Wissenschaftlern von IBM Research - Zürich ein neuartiges, kryptographisches Protokoll zum Schutz von Passwörtern in die PrivaSphere Secure Messaging Infrastruktur integriert (https://www.privasphere.com). Mit dem neuen hocheffizienten Verfahren erfolgt die Verifikation eines Passwortes über mehrere Server verteilt, so dass es selbst im Falle eines Serverhacks geschützt ist. Die neue Technologie kann ab sofort von registrierten PrivaSphere-Kunden im Rahmen einer Versuchsphase getestet werden.

Dazu ist Dr. Ralf Hauser, Technikverantwortlicher der PrivaSphere AG, überzeugt: "Mit der Einführung dieser neuen Technologie können wir den Kunden der PrivaSphere AG bei der gewohnten Benutzung des Services eine viel höhere Sicherheit bieten als bisher - ohne dass sie aktiv etwas dazu beitragen müssen."

 

Die wichtigsten Vorteile sind:

  • Sicherheit durch Zusammenarbeit: Mit dem verteilten Verifizierungs-Protokoll für Passwörter wird der verschlüsselte Passwort-Hash zentral in einer Datenbank beim Dienstleister gespeichert. Um die Passwort-Eingabe des Benutzers zu verifizieren, muss der Dienst durch mehrere andere Server unterstützt werden, die alle über geheime Schlüssel verfügen. Angreifer müssten daher alle beteiligten Server gleichzeitig übernehmen können um die Passwörter zu kompromittieren.
  • Schnelle Wiederherstellung bei Kompromittierung: Wenn ein Angriff auf einen Server vermutet oder erkannt wird, so können die Server-Schlüssel umgehend durch neue ersetzt werden. Damit wird wiederum ein sicherer Zustand erreicht - ohne die Passwörter zu gefährden. Auch ohne "Einbruchsverdachtsmomente" können diese Server proaktiv in regelmässigen Zeitabständen neu aufgesetzt werden.
  • Einfachere Passwörter werden sicherer: Da die Verschlüsselung der Passwort-Hashwerte von den geheimen Schlüsseln mehrerer Servern abhängt, sind Passwörter nicht mehr 'offline' angreifbar - auch dann nicht, wenn ein Angreifer den zentral gespeicherten Hash behändigen würde. Zusammen mit der Begrenzung der fehlgeschlagenen Login-Versuche erlaubt dies auch die Nutzung von einfacheren Passwörtern bei gleichbleibend hoher Sicherheit.


Detaillierte Informationen zur Technologie finden Sie hier:

 

Über PrivaSphere AG

Die PrivaSphere AG ist die führende Schweizer Plattform für sichere eMail. PrivaSphere wurde im Oktober 2002 gegründet. Mit PrivaSphere können Unternehmen aller Grössen und aus den verschiedensten Branchen spontan sicher via Internet kommunizieren ohne Installation von Software oder Hardware und ohne in eine eigene eMail-Sicherheits-Infrastruktur investieren zu müssen. PrivaSphere wurde im Jahr 2004 mit dem CTI Start-Up Label der schweizerischen Förderagentur für Innovation ausgezeichnet und ist Preisträger des Swiss Technology Awards sowie ISO 27'001:2013 zertifiziert. PrivaSphere ist die erste eidgenössisch anerkannte, sichere eMail-Zustellplattformtechnologie. Auf PrivaSphere Technologie basiert u.a. die SecureMail Lösung der BEKB, viele Bundesämter, der eGov E-Mail Service der IG Kommunikationsnetz Kanton St. Gallen (IG KOMSG), des AFI Thurgau, Kanton Tessin, die gesamte Kantonale Verwaltung und alle 21 Gemeinden des Kantons Appenzell Ausserrhoden, der Stadt Zürich (OIZ), des Kantons Schaffhausen (KSD), LafargeHolcim und diverse weitere.

 

Kontakt:

IBM Research - Zurich
Grit Abe

Media Relations
Säumerstrasse 4
8032 Rüschlikon

Email: gri@zurich.ibm.com

https://www.zurich.ibm.com

 

PrivaSphere AG
Dr. Ralf Hauser, CEO

Jupiterstrasse 49

8032 Zürich

Email: p4u.ch/mail

https://www.privasphere.com

 

Diese Medienmitteilung steht im Internet zur Verfügung:

https://p4u.ch/MM_IBM_PrivaSphere

 

Einige Pressestimmen:

weitere Forschungsprojekte

 Aktuelle Projekte

2010

  • Im SVoPI Projekt ist die Entwicklung eines Produktes für Anwender-freundliche, sichere Benützung von Voice over IP über public Internet geplant. Das Produkt soll nach offenen Standards arbeiten. Der Dienst soll benutzerfreundlich sein durch:
    • einfachste Installation/Konfiguration
    • Nutzung bestehender Trusts von Secure Mail Kontakten anstelle des Kaufs von kommerziellen Endbenutzer-Zertifikaten

    Die Industrie-Partner der fhnw sind e-fon und PrivaSphere.
    Weitere Firmen oder Studenten, die am Projekt teilnehmen möchten, melden sich bitte beim Forschungs-Verantwortlichen.

  

  • Zürcher Hochschule für Angewandte Wissenschaften (ZHAW): 
    Aut. Security Test. Framework (ASTF2) 
    In einer Zusammenarbeit zwischen der ZHAW und PrivaSphere AG wurde 2008 in einem von der KTI geförderten Projekt ein Testing-Framework namens ASTF (Automated Security Testing Framework) entwickelt, mit welchem Online-Applikationen weitgehend automatisiert bezüglich ihrer Sicherheit getestet werden können. ASTF deckt ein breites Spektrum von Sicherheitstests ab, das sich von Source-Code Analyse bis zum Testen applikatorischer, sicherheitskritischer Abläufe erstreckt.
    ASTF wird bereits von PrivaSphere AG und ausgesuchten Drittfirmen im Rahmen von Pilotprojekten seit einigen Monaten produktiv eingesetzt. Basierend auf den gesammelten Erfahrungen und Feedbacks soll nun ASTF2 entwickelt werden. ASTF2 soll sich einfacher und gezielter einsetzen lassen als ASTF. Dabei soll das Framework effizient Test-Resultate und Konfigurationen via relationale Datenbank über die Zeit managen können. ASTF2 wird die verschiedenen Rollen in der Software-Entwicklung berücksichtigen und deren Arbeit erleichtern, z.B. mittels verteilter Testläufe aus verschiedenen Zonen.
    Artikel im Magazin IT-Security, Dezember 08 
    Referat an der Security-Zone '08, Septemer 08

 Beispiele verfügbarer Themen


Abgeschlossene Projekte

2008

2007

  • HSR (Hochschule für Technik Rapperswil) VoIP integration into the Privasphere Secure Messaging Service, Diplomarbeit

 

 

In Zusammenarbeit mit

PrivaSphere begrüsst jede Initiative für weitere gemeinsame Projekte.
Bitte kontaktieren Sie uns. Sicheres Kontaktformular