Kaay eKaay
Hauptseite | Demo     En
SMART LOGIN

eKaay - Sicherheit

Anspruch. Der Sicherheitsanspruch von eKaay ist der, dass am PC das Passwort nicht mehr abgehört werden kann. Dieser Anspruch wird erfüllt, weil es kein Passwort mehr gibt, das eingetippt wird.

Diskussion. Anderseits entstehen mit eKaay die Gefahren Smartphone-Diebstahl und Smartphone-Trojaner, siehe unten.

Relativierung. Diese beiden Gefahren sind aber zu relativieren, denn mit zumeist automatisch eingeloggten Apps und Browser-Seiten auf dem Smartphone existieren sie für den Smartphone-Besitzer sowieso!

Kriterium. Es ergibt sich folgendes Kriterium, ob man eKaay für ein Portal einsetzen sollte: Wenn das Portal den Benutzer automatisch auf dem Smartphone eingeloggt lässt, dann ist eKaay sicher genug. Ansonsten ist eKaay nicht sicher genug, und das Portal sollte sich überlegen, eKaay PIN einzusetzen.

Detaillierter Vergleich

Im Folgenden werden das Passwort-Verfahren und das eKaay Verfahren hinsichtlich möglicher Angriffe verglichen. Ganz rechts steht zusätzlich noch die Bewertung für das eKaay PIN und das eKaay NFC Verfahren.

eKaay sicherer als Passwort: Passwort Verfahren eKaay Verfahren eKaay light Verfahren eKaay PIN Verfahren eKaay NFC Verfahren

Identitäts-Diebstahl durch PC-Trojaner. Der Ausgangspunkt für die Entwicklung von eKaay war es, das Abhören von Passwörtern durch PC-Trojaner (''keylogger'') zu verhindern. eKaay verhindert diesen Identitäts-Diebstahl, denn beim Login mit eKaay ist kein festes Passwort im Spiel.

rot gruen gruen gruen gruen

Identitäts-Diebstahl durch ''Shoulder Surfing''. eKaay verhindert, dass Beobachter oder Kameras das Passwort beim Eingeben ausspionieren können.

rot gruen gelb gelb gruen

Identitäts-Diebstahl durch ''Network Sniffing''. eKaay verhindert das Abhören des Passworts durch Internet-Viren - wobei das bei den meisten Portalen inzwischen schon durch eine https-Sitzung erreicht wird.

gelb gruen gruen gruen gruen

Identitäts-Diebstahl durch ''Dictionary Attack''. ekaay verhindert den Identitäts-Diebstahl durch automatisiertes Ausprobieren von vielen Passwörtern.

rot gruen gelb gruen gruen

Identitäts-Diebstahl durch ''Social Engineering''. Beim Passwort-Verfahren kann der Benutzer mit verschiedenen Tricks vom Betrüger dazu gebracht werden, sein Credential (Passwort) preiszugeben. Das ist beim eKaay-Credential (Schlüssel auf dem Handy) nicht möglich.

rot gruen gelb gruen gruen

Server-Datenleck. Mit eKaay können die beim Portalserver gehasht gespeicherten Passwörter sicher vor Server-Datenlecks gemacht werden, die durch Hacker oder korrupte oder fahrlässige Mitarbeiter entstehen. Das hört sich überraschend an, geht aber folgendermaßen: Die Benutzer, die eKaay als Zweitzugang aktiviert haben, können sich ein langes, schwieriges und nur für dieses eine Portal geltendes Passwort setzen (sagen wir ein 15-stelliges Zufallspasswort), denn sie müssen sich mit eKaay als Zweitzugang das Passwort ja nicht mehr merken oder es eintippen. Das Enthashen des Passworts nach einem Server-Einbruch wird damit für Diebe praktisch unmöglich. Und die beim Server abgespeicherten eKaay Schlüssel sind die öffentlichen, d.h., ein Server-Einbrecher kann mit denen ebenfalls nichts anfangen.

rot gruen gelb gruen gruen
eKaay weniger sicher als Passwort: Passwort Verfahren eKaay Verfahren eKaay light Verfahren eKaay PIN Verfahren eKaay NFC Verfahren

Identitäts-Diebstahl durch Handy-Dieb. Ein Handy-Dieb kann sich in die Accounts einloggen, die mit eKaay gesichert sind. Diese Gefahr wird dadurch abgemildert, dass die Handys oft schon nach ein paar Minuten Inaktivität eine Wiedereingabe der Handy-PIN verlangen. Ein darauf noch aufsetzender ähnlicher Schutz ist die eKaay App-PIN, die für jedes Portal wahlweise zusätzlich abgefragt werden kann. Die Handy-Dieb Gefahr ist zu relativieren, weil eKaay nur empfohlen wird für Accounts, die der Benutzer auf dem Handy sowieso offen hat oder offen hätte, per App oder per gemerkten Passwort auf dem Handy-Browser - wo also die Gefahr durch Handy-Diebe, die sich auf dem Handy einloggen können, sowieso schon besteht! Für Accounts, die der Benutzer oder der Server immer mit einer Passwort-Abfrage auf dem Handy absichert bzw. absichern würde, wird der Einsatz der App-PIN oder noch besser die unabhörbare eKaay PIN empfohlen.

gruen gelb gelb gelb gruen

Identitäts-Diebstahl durch Handy-Trojaner. Ein Handy-Trojaner kann die Identität stehlen, indem er den geheimen Schlüssel für den Account auf dem Handy ausspioniert. Das wird auch nicht verhindert durch die Technik, die Schlüssel verschlüsselt abzuspeichern, denn der Schlüssel für die Ver-/Entschlüsselung steht im App Programmcode und kann re-engineeered werden. Allerdings sind die Betriebsysteme Android und iOS (iPhone) im Auslieferungszustand, also ohne sogenannten Jailbreak, sehr sicher gegen das Ausspionieren der Daten der einen App durch eine andere App - beim iPhone ist das bislang nicht bekannt geworden und auch von Android ist sowas nur in Ausnahmefällen bekannt. Darüberhinaus ist die Handy-Trojaner Gefahr mit dem gleichen Argument zu relativieren wie die Handy-Diebstahl Gefahr, siehe oben.

gruen gelb gelb gelb gruen

Identitäts-Diebstahl durch Ausspionieren von Backups der eKaay App. Aktuell ist es für den Smartphone-Benutzer noch nicht möglich, Backups der Apps inklusive der App-Daten anzulegen. Es ist aber zu erwarten, dass das demnächst im Rahmen der ''Cloud'' Lösungen für iPhones und Andorid Smartphones möglich sein wird. Wenn das Backup der eKaay-App nicht mit einem Passwort verschlüsselt wird, sind die eKaay Schlüssel im Backup ein mögliches Opfer von Angreifern auf den Cloud-Rechner.

gruen gelb gruen gelb gruen
Angriffe auf eKaay und auch Password Passwort Verfahren eKaay Verfahren eKaay light Verfahren eKaay PIN Verfahren eKaay NFC Verfahren

Session-Diebstahl durch PC-Trojaner. Der Browser empfängt beim eKaay Login vom Portal-Server ein Kurzzeit-Einmal-Passwort, das von einem PC-Trojaner gestohlen werden kann und von ihm kurzfristig für eine eigene Session missbraucht werden kann. eKaay ist also zwar sicher gegen Identitäts-Diebstahl durch Trojaner, aber - wie das Passwort Verfahren - nicht sicher gegen Session-Diebstahl durch PC-Trojaner.

rot rot rot rot rot

Session-Beobachtung durch PC-Trojaner. eKaay ist - wie das Passwort-Verfahren - nicht sicher gegen das Abhören der Sitzungsdaten durch PC-Trojaner: Alles, was der Server dem Benutzer auf den Bildschirm schickt, kann abgehört werden, ebenso alles, was der Benutzer eingibt.

rot rot rot rot rot

Spoofing-Server. Ein betrügerischer Server A könnte sich von der URL und Webseiten-Aussehen her so darstellen wie ein bekannter Server B und dabei einen 2D-Code anzeigen, den er sich kurz vorher per Internet beim Server B geholt hat. Der Benutzer wird zur Seite von Server B gelockt und versucht sich dort mit eKaay bei Server B einzuloggen. In dem Moment, wenn der Account sich dann öffnet, wird die Session vom Betrüger übernommen. Dieser Angriff auf das eKaay Verfahren ist deshalb nicht relevant, weil der Angreifer auf die gleiche Weise besser gleich das Passwort stehlen könnte - so hätte er die Identität und nicht nur eine Session.

rot gelb rot gelb gelb

Lock-Server. Ein betrügerischer Lock-Server A (''1000 Euro zu gewinnen!'') könnte viele Benutzer anlocken und dazu bringen, sich bei ihm regelmäßig mit eKaay einzuloggen. Der Lock-Server könnte dann aber ab und zu einem Benutzer einen 2D-Code darstellen, der gar nicht für den Login an diesem Server A gemacht ist, sondern kurz vorher von einem anderen Server B abgeholt worden worden ist - in der Hoffnung, dass der Benutzer auch beim Server B einen eKaay Login hat. Denn in dem Fall könnte der Lock-Server die sich nach dem Abscannen auf dem Browser öffnende Session beim Server B stehlen. Dieser Angriff ist gefährlich für das eKaay Verfahren, kann aber durch Techniken wie ''Ask before Login'' (schon implementiert) und ''what-you-see-is-where-you-log-in'' (geplant) abgemildert werden. Ein ähnlicher Angriff eines Lock-Servers, der darauf setzt, dass viele Benutzer an verschiedenen Portalen die gleiche Benutzername/Passwort Kombination benutzen, ist auch auf das Passwort-Verfahren möglich - wobei der Schaden dort größer ist, denn es wird nicht nur eine Session, sondern die Identität gestohlen.

gelb gelb gelb gelb gelb

DoS Angriff. eKaay ist kein Schutz gegen Denial-of-Service Attacks (Überlastungsangriffe aus dem Internet).

rot rot rot rot rot


Zertifizierung. Es gibt keine Zertifizierung der eKaay Software und sie ist vorerst nicht in Planung. Die Gründe dafür sind der interne Aufwand, die externen Kosten und die lange Prüfungszeit. Außerdem verlangen einige Zertifizierungen das Einfrieren der Software-Entwicklung - das ist nicht möglich angesichts der sich kontinuierlich weiterentwickelnden eKaay Software (SDK-, Android- und iPhone-Quellcode).

Backdoor-Überprüfung. Mitarbeiter von eKaay könnten Backdoors in die Software eingebaut haben. Die beim Portal installierte eKaay Server Software (''SDK'') wird im Quellcode geliefert - sie kann also vom Portal geprüft werden. Bei der Handy-Software ist das nicht möglich, d.h., auf deren Backdoor-Freiheit muss das Portal vertrauen. An dieser Stelle bestätigen wir, dass keinerlei Backdoors in die eKaay Software eingebaut sind. Es werden auch keine Benutzungs-Logdateien versendet, weder von der Server Software, noch von den eKaay Apps.

Über eKaayeKaay VariantenSicherheitLizenzImplementierungKontakt
Über uns
Entwicklung Smart Login
Aktuelles
eKaay original
eKaay PIN
eKaay NFC
eKaay light
eKaay PIN light
eKaay Sign
SicherheitsvergleichLizenz
Preisliste
Referenzen
Integration
Implementierung
Kontakt
Impressum