Investoren/Spender für das Anti-Phishing- und Anti-Pharming-Projekt

Passwortmanager mit zero-day-sicherem Anti-Phishing und -Pharming

Abstract zum Projekt.

Abstract

Software, die dem User auf verschiedenen Endgeräten unter verschiedenen Browsern einen Passwortmanager bereitstellt, der zusätzlich ein Protokoll unterstützt, dass Phishing-, Pharming- und Man-In-The-Middel-Angriffe bei Verbindungen zu sicherheitskritischen Diensten (z. B. Bank, Bezahlsysteme) schützt. Die Software ist eine modulare, interoperable, portable Desktop-Applikation. Das Verfahren wirkt auch bei bisher unbekannten Angriffsmustern (keine Blacklist erforderlich, keine Zertifikate und keine E-Mailanalysen).

Was sind die Folgen des Phishing und Pharming?

Phishing und Pharming

Als Phishing wird ein Angriff, meist zum Ausspähen von Zugangsdaten und Transaktionsnummern (TAN) von Geldkonten oder Industrieanlagen, bezeichnet, bei dem gefälschte Nachrichten (e-Mail) auffordern einem Link zu folgen, um auf einer gefälschten Seite die Daten preiszugeben.

Als Pharming wird ein Angriff bezeichnet, der mittels Schadsoftware, trotz richtiger URL-Eingabe im Browser, auf eine gefälschte Seite weiterleitet. Ziel ist wie beim Phishing, die Daten für Geldtransaktionen auf das eigene Konto zu erlangen.

Die Folgen können Existenzbedrohend sein.

Stand der Technik im Kampf gegen Phishing und Pharming

Stand der Technik

Anti-Phishing-Systeme sind eingeschränkt wirksam (ähnlich dem Virenscanner). Sicher abwehren können diese Systeme grundsätzlich nur Angriffe, die bereits bekannt sind und deren Signatur in einer schwarzen Liste im System verfügbar ist (UpDateproblem). Bis ein System neue Angriffsvarianten kennt, kann es bereits eine große Opferzahl geben.

Eine andere Methode analysiert den Inhalt einer Phishingmail und versucht anhand von bekannten Kriterien den Angriff zu erkennen. Gut gemachte Angriffe sind nicht dedektierbar. Auch andere Angriffe (Phishing SMS, Social Engeneering) sind nicht sicher abzuwehren.

Anwender, die mehrere Endgerät (PC, Tablet, Smartphone) nutzen, müssen ggf. auch mehrere verschiedene oder ähnliche Abwehrtools einsetzen und warten.

Projektbeschreibung: Anti-Phishing und -Pharming

Was soll entstehen?

Ziel

Unser Ziel Sicherheittssoftware für das Internet zu entwickeln. Funktionale Herausforderung ist eine portable personalisierte Surfumgebung mit Privatsphäre. Dabei sind die Grundsätze Security and Privacy by Design Basis unseres Handelns.

Der Anwender erhält einen funktionell und technisch neuartigen Passwortmanager, der die Anmeldung zu passwortgeschützten Bereichen insbesondere von sicherheitskritischen Diensten (z. B. Bank, Bezahlsysteme, Industrie 4.0) über eine http-Protokollerweiterung sicher durchführt. Das Konzept beinhaltet auch softwaregestützte leicht zu merkende Passwörter beliebiger Komplexität und Länge.

Auswahl von geplanten Eigenschaften:

  • Anti-Phishing (zero-day-sicher)
  • Passwortmanager (sichere Authentifizierung bei der Accountanmeldung)
  • Sichere End-to-End-Kommunikation (unverschlüsselte Daten existieren nur an der Stelle, an der sie unumgänglich sind.)
  • Schutz der Privatsphäre
  • Brute Force-Angriffe auf (Bank-)Server und Passwortmanager praktisch nicht mehr erfolgreich.
  • Garantiert keine Hintertüren (NSA-Einfallstor, wird häufig von Anbietern aus USA, Kanada und England vorgesehen).
  • Schutzniveau unabhängig von Cipher Suiten. Diese sind ein Satz von Verschlüsselungsmethoden, von denen sich Browser und Server auf eine einigen. Schlecht gewartete Systeme einigen sich dann ggf. auf eine schwache Suite.

Das System wird portabel und interoperabel sein (Lauffähig auf verschiedenen Endgeräten).

Wesentliche Schutzfunktionen

Schutz der Authentifizierung und der Kommunikationsverbindung

Passwortmanager verwalten unter einem Masterpasswort alle weiteren Passwörter. Je länger und komplizierter ein Passwort aufgebaut ist, desto sicherer ist es. Sichere Passwörter zu mehreren persönlichen Accounts lassen sich aber kaum merken. Ohne Software Anti-Phishing und -Pharming nahezu aussichtslos. Viele Nutzer verwenden leicht zu knackende Passwörter, weil alle anderen Lösungen, teuer oder nicht funktional sind.

Die Lösung sieht ein Konzept mit relativ sicheren Passwörtern (Passwortgenerator) und automatischem LogIn vor. Dies erhöht die Sicherheit bei gleichzeitigem Komfortgewinn. Ferner werden Methoden gezeigt, wie komplexe Masterpasswörter zu merken sind.

Schutz (Protokoll): Das Protokoll stellt sicher, dass einander bekannte Systeme auch die sind, die tatsächlich miteinander kommunizieren sollten. Somit schützt es vor Phishing-, Pharming- und Man-In-The-Middel-Angriffen. Ferner ist Browserspoofing erkennbar. Es sollte bereits eine sichere Verbindung etabliert sein (z. B. https). Kryptografisch kommen u. A. Schlüssel (private und public) zum Einsatz. Das Protokoll belastet Client, Server und Netzwerk kaum.

Preise und Nutzer verdienen Geld

Lizenskosten und Einnahmen für unsere Nutzer

Die Software wird kostenlos und kostenpflichtig, aber in letzterer Version werbefrei, erhältlich sein.

Von den Werbeeinnahmen partizipieren unsere Kunden.

Investieren und Spenden

Investoren können gerne über diese Seite mit uns in Kontakt treten.

Spender nutzen bitte den folgenden Button.