Eingabe-Muster als besserer Passwortschutz

77 Millionen PlayStation-Kunden sind Opfer von Sonys fahrlässigem Umgang mit Kundendaten geworden. Das Problem stellen neben den entwendeten Kreditkarten die gestohlenen Passwörter dar, die Sony unverschlüsselt gespeichert hatte. In Verbindung mit dem Namen und der E-Mail-Adresse des Kunden, können sich Kriminelle so Zugriff auf Dienste und Informationen verschaffen, die weit über das Sony-Netzwerk hinausgehen. Denn der Großteil der Nutzer verwendet für die verschiedenste Dienste ein und dasselbe Passwort. So

Tipp-Muster als biometrische Signatur
„Das größte Problem ist die Bequemlichkeit der Nutzer“, sagt Niklas Kirschnik im Gespräch mit der futurezone. Der Doktorand forscht in den T-Labs der TU Berlin an Authentifizierungsmethoden, die über das herkömmliche Passwort hinausgehen. Gemeinsam mit Kollegen der israelischen Ben-Gurion Universität – auch dort hat die deutsche Telekom ein Forschungslabor installiert – werden Methoden entwickelt, wie Bewegungsmuster für Sicherheitszwecke eingesetzt werden können. Eine Lösung, die demnächst Marktreife erlangt und Firmen angeboten werden soll, bezieht das Tipp-Muster bei der Passwort-Eingabe ein. „Jeder Mensch hat ein ganz eigenes Tipp-Verhalten. Dieses kann, quasi wie ein Fingerabdruck, einer Person eindeutig zugeordnet werden“, sagt Kirschnik. Kommt etwa ein Fremder in den Besitz des eigenen Passworts und versucht sich auf einer Plattform einzuloggen, erkennt die Software anhand der Tastenanschläge bei der Eingabe von Benutzername und Passwort, dass es sich um einen Unbefugten handelt.

Feine Details machen den Unterschied
„Die Unterschiede spielen sich im Millisekundenbereich ab. Mit freiem Auge merkt man die feinen Differenzen kaum, aber sie sind vorhanden“, sagt der Forscher. Analysiert werden alle Tastaturanschläge, wann welche Taste wie lange gedrückt wird. Damit die Software unterscheiden kann, muss sie zuvor auf den Berechtigten trainiert werden. Laut Kirschnik genügen dafür jedoch lediglich zehn Eingaben, danach sind genügend Alleinstellungsmerkmale gesammelt. Aktuell ist die Software als Plug-In für Web-Browser konzipiert, eine Stand-Alone-Lösung für Unternehmen sei jedoch kein Problem.

Gedacht ist die Software, die als Produkt der Telekom von T-Systems oder einem Spin-Off angeboten werden könnte, vor allem für Hochsicherheitsbereiche als zusätzliche Absicherung; also Anwendungsgebiete mit qualifizierten Nutzern im professionellen Bereich, wo kein Passwort-Speichern erlaubt ist. Aus diesem Grund hat man in der Software auch Szenarien wie eine gebrochene Hand oder Drogeneinfluss – beides würde zu Abweichungen im Tipp-Muster führen – nicht berücksichtigt. Dafür funktioniert die Methode im Großteil der Fälle auch auf anderen Rechnern, solange deren Tastaturen annährend gleich sind. Auf Touchscreen-Tastaturen sind die Muster hingegen nicht übertragbar, da die Charakteristika zwischen realer und virtueller Tastatur zu groß sind.

Ist die Software zur Passwort-Kontrolle bereits im finalen Stadium, wird bereits an nächsten Ausbaustufen gearbeitet. So wird überlegt, das Passwort komplett abzuschaffen. Stattdessen könne der Nutzer einfach Wörter einer vorgebenden Liste abtippen, um seine Identität festzustellen. Dadurch entfällt auf Nutzer-Seite das Merken des Codeworts – und somit eine der größten Schwachstellen. In weiterer Folge soll es schließlich möglich werden, Eingaben  im laufenden Betrieb zu prüfen. So kann festgestellt werden, ob der gerade aktive Nutzer auch jener ist, der den Code eingeben hat.

Sicher und unkompliziert
Die Forschung beschränkt sich jedoch nicht nur auf das Keyboard. Dem Forscher zufolge sei es auch möglich, Nutzer anhand ihrer Maus-Nutzung zu unterscheiden. Wobei dies jedoch nicht so präzise sei, wie die Tasten-Muster. Der Vorteil in dieser „acivity-based verification“ sehen die Wissenschaftler jedenfalls darin, dass Nutzer ihr Verhalten nicht ändern oder neue Konzepte lernen müssen. Es funktioniert alles wie gehabt, nur dass im Hintergrund eben eine Software läuft, die Eingaben auf bestimmte Muster überprüft. Zudem wäre ein Tipp-Muster nicht so leicht zu fälschen.