PassSec+ - Ein Add-On das Ihre Passwörter, Zahlungsdaten und Privatsphäre schützt

PassSec+ ist eine Weiterentwicklung des ursprünglichen Add-Ons PassSec. Die Funktionalität des Add-Ons gliedert sich in zwei Bereiche, die im Folgenden näher erläutert werden:

  • Schutz von Passwörtern, Zahlungsdaten und weiteren sensiblen Daten
  • Änderung von Cookie-Einstellungen für mehr Privatsphäre

Die aktuellste Version für Firefox und Chrome Sie können Sie über die in den Browsern integrierte Funktion zum Installieren von Add-Ons installieren. Auf dieser Webseite finden Sie die FAQs und hier einen Flyer zu PassSec+. Bei Problemen oder ungewöhnlichen Situationen, schauen Sie bitte zunächst in die FAQ. Wenn Sie darüber hinaus Fragen haben, wenden Sie sich bitte an addons(a-t)secuso.org.

Falls Sie sich für den Quellcode dieses Add-Ons interessieren oder sich gerne an der Entwicklung beteiligen möchten finden Sie auf unserer GitHub website weitere Informationen.

Schutz von Passwörtern und Zahlungsdaten

Das Eingeben von sensiblen Informationen wie z.B. Passwörtern und Zahlungsdaten gehört zum alltäglichen Leben von Internetbenutzern. Bei der Eingabe von solchen Informationen ist es zunächst wichtig, dass die Webseite selbst gesichert ist und die Datenübertragung gesichert erfolgt (über HTTPS).

PassSec+ informiert Sie, wenn die entsprechenden Eingabefelder auf einer Webseite  in einem sicheren Modus aufgerufen wurden, d.h. über HTTPS. In diesem Fall werden sie mit einem grünem Rahmen versehen und in dem Feld wird ein Sicherheitssymbol angezeigt (siehe Abbildung 1 für den Fall eines Passwordfeldes).

Abbildung 1: Eingabefeld (hier Passwortfeld), wenn Eingabe sicher ist

Aus Sicherheitsgründen wählt PassSec+ zufällig eins der folgenden Sicherheitssymbole für Sie aus:

Sie können das vorausgewählte Symbol jederzeit in den Einstellungen austauschen. Wenn auf einer Webseite ein grüner Rahmen mit einem anderen Symbol erscheint, sollten Sie  hier auf keinen Fall sensible Daten wie Passwörter und Zahlungsdaten eingeben.

Wenn PassSec+ erkennt, dass Eingabefelder auf einer Webseite sind, die Webseite zwar über eine gesicherte Verbindung vom Server übertragen wurde aber von Ihnen noch nicht als sicher eingestuft wurde, dann wird der Rahmen in orange dargestellt (siehe Abbildung 2). In einer vorherigen Version wurde der grüne Rahmen durch die Überprüfung des Zertifikats beeinflusst. Dies ist leider aus technischen Gründen nicht mehr möglich.

Abbildung 2: Eingabefeld (hier Passwortfeld), wenn HTTPS Webseite, die kein Extended Validation Zertifikat einsetzt

Wenn Sie hier in das Eingabefenster klicken, dann wird Ihnen die Domain (z.B. amazon.de) des Servers angezeigt, von der die Webseite geladen wurde (siehe Abbildung 3). 

Abbildung 3: Warnung bei HTTPS ohne Extended Validation

Wenn Sie die Domain überprüft haben (z.B. dass dort paypal.com und nicht payyypall.com steht), dann bestätigen Sie dies durch Klicken des Buttons ‚Ich habe die Angabe überprüft‘. Im Folgenden wird der Rahmen auch grün angezeigt. Dies soll verhindern, dass Sie beispielsweise durch Phishing-Mails auf Webseiten wie payyypal1.com statt paypal.com Ihre Zugangsdaten eingeben. Außerdem wird so deutlich gemacht, welcher Teil der Webadresse (auch URL genannt) der wichtigste ist, d.h. der, auf den Sie achten sollten.

Wenn das PassSec+ Add-On feststellt, dass eine Webseite, die nach sensiblen Daten fragt, selbst nicht gesichert ist und die Datenübertragung nicht gesichert erfolgt (über HTTPS), dann versieht das Add-On die entsprechenden Eingabefelder mit einem roten Hintergrund und einem Warnsymbol (siehe Abbildung 4).

Abbildung 4: Passwortfeld mit rotem Rahmen und Symbol

Wenn Sie in das rot hinterlegte Eingabefeld klicken, um Ihr Passwort oder Ihre Zahlungsdaten einzugeben, dann erscheint eine Warnung (siehe Abbildung 5 und 6). Hier wird das Problem und mögliche Konsequenzen erklärt. Außerdem werden Handlungsoptionen aufgezeigt. Welche Handlungsoptionen dies sind, hängt davon ab, ob die Webseite auch über eine gesicherte Verbindung aufgerufen werden kann oder nicht. Wenn dies möglich ist, wird die Option ‚Sicherer Modus‘ angeboten wie die folgenden Abbildungen zeigen.

Abbildung 5: Warnung nach Klicken in ein Passwortfeld auf einer HTTP-Webseite, die einen sicheren Modus anbietet.
Abbildung 6: Warnung nach Klicken in ein Feld für Zahlungsdaten auf einer HTTP-Webseite, die einen sicheren Modus anbietet.

Wenn Sie die empfohlene Option "Sicherer Modus" auswählen, erscheint ein kurzer Dialog. Hier wird Ihnen die Domain (z.B. amazon.de) des Servers angezeigt, von der die Webseite geladen wurde.

Abbildung 7: Bestätigung, dass die Adresse der besuchten Webseite korrekt ist.

Wenn Sie die angezeigte Domain überprüft haben (z.B. dass dort paypal.com und nicht paypa1.com steht), dann bestätigen Sie dies durch Klicken des Buttons 'OK'. Im Folgenden wird der Rahmen auch grün angezeigt. Auch hier dient die Überprüfung dazu, zu verhindern, dass Sie auf einer Phishing Webseite Ihr Passwort oder Ihre Zahlungsdaten eingegeben.

Bietet diese Webseite, die Option nicht an, dann wird empfohlen, ein anderes Passwort zu verwenden bzw. einen andere Dienst zu verwenden, da Zahlungsdaten nicht ungesichert übertragen werden sollten (siehe Abbildung 8). 

Abbildung 8: Warnung nach Klicken in ein Passwortfeld auf einer HTTP-Webseite, die keinen sicheren Modus anbietet.

Wenn Sie die NICHT empfohlene Optionen ‚Ausnahme hinzufügen‘ auswählen, erscheint ein kurzer Dialog. Hier wird Ihnen die Domain (z.B. amazon.de) des Servers angezeigt, von der die Webseite geladen wurde.  Sie sollten auch in diesem Fall die Domain überprüfen, bevor Sie auf dieser Webseite sensiblen Daten wie Passwörter und Zahlungsdaten eingeben.

Im Hintergrund wird bei jedem Eingabefeld auf einer Webseite, die nicht im sicheren Modus aufgerufen wird, eine Überprüfung der Domain durchgeführt. Hierbei wird einerseits mittels Suchmaschine (derzeit wird entweder Startpage oder Google verwendet) untersucht, ob die Domain (z.B. mircosoft.de; wobei hier das "r" und das "c" vertauscht wurden es also durchaus eine Phishing Seite sein könnte) unter den ersten Treffern bei der ausgewählten Suchanfrage nach der Domain ist.

Andererseits wird mittels Suchmaschine überprüft, ob die Anfrage durch die Suchmaschine korrigiert wird (z.B. zu microsoft.de). Wenn ein entsprechendes Problem erkannt wurde, dann enthält der Warnungsdialog entsprechende Informationen (siehe Abbildung 9). Sie sollten die aktuelle Webseite verlassen und keine sensiblen Daten eingeben. Dennoch sollte der Benutzer die Domain  immer selbst überprüfen, da dies keinen hundertprozentigen Schutz bietet.

Abbildung 9: Warnung, wenn Phishing-Versuch vermutet wird

Wenn Sie möchten, dass das Add-On weitere Eingabefelder hinsichtlich einer sicheren Verbindung  untersucht, dann können Sie dies unter den Einstellungen und dort unter den erweiterten Optionen auswählen.

Cookie-Einstellungen für mehr Privatsphäre

Die zweite neue Funktionalität in PassSec+ sind die Cookie-Einstellungen. Durch Cookies haben Webseitenbetreiber die Möglichkeit das Nutzungsverhalten umfassend zu speichern und eventuell für Werbezwecke auszuwerten. Außerdem können fremde Unternehmen durch sogenannte Drittanbieter Cookies den Benutzer über mehrere Webseiten hinweg verfolgen und somit ein Profil anlegen.

Es besteht die Möglichkeit Dritt-Anbieter Cookies einmalig oder automatisch wiederkehrend zu löschen beim Beenden des Browsers. So ist keine Profilbildung über mehrere Tage möglich ist. Sofern der Benutzer zustimmt werden beide Einstellungen automatisch gesetzt.

Download

Das Add-On funktioniert bei Verwendung des Firefox oder des Chrome Browsers auf einem Windows, Mac oder Linux-System. Es ist nicht für Android oder iOS-Systeme geeignet.

Die ursprüngliche Version wurde im Rahmen des vom Bundesministerium für Justiz und Verbraucherschutz und der Bundesanstalt für Landwirtschaft und Ernährung geförderten InUse Projekts, entwickelt.

An dem Add-On haben neben dem InUse-Team eine Reihe von Studenten der TU Darmstadt mitgewirkt: Kristoffer Braun, Kevin Kelpen, Joshua Ruf, Richard Stein, Hubert Strauß, Gildas Nya Tchabe und Simon Weiler.

Die regulären Ausdrücke wurden teilweise vom Google Chromium Quellcode übernommen.

Johannes Wagener und Bettina Ballin haben PassSec+ komplett überarbeitet und somit für neuere Versionen von Firefox kompatibel gemacht. Weiterhin ist das Add-On dadurch für Chrome verfügbar.

Veröffentlichungen

Design and Field Evaluation of PassSec: Raising and Sustaining Web Surfer Risk Awareness
Melanie Volkamer, Karen Renaud, Kristoffer Braun, Gamze Canova, Benjamin Reinheimer
In: International Conference on Trust and Trustworthy Computing (TRUST), p. 104-121, August 2015
Springer 

Capturing Attention for Warnings about Insecure Password Fields - Systematic Development of a Passive Security Intervention
Nina Kolb, Steffen Bartsch, Melanie Volkamer, Joachim Vogt
In: 16th International Conference on Human-Computer Interaction (HCII 2014), June 2014
Springer 

FAQs

Die FAQs (Häufig gestellten Fragen) finden Sie hier.

A A A | Drucken Print | Impressum Impressum | Sitemap Sitemap | Suche Search | Kontakt Contact | Webseitenanalyse: Mehr Informationen
zum Seitenanfangzum Seitenanfang