Zwei-Faktor-Authentifizierung: Sound statt Code

Seit im vergangenen Herbst Nacktfotos von Prominenten in Umlauf gerieten, ist sie auch bei Apples iCloud im Einsatz, die Zwei-Faktor-Authentifizierung. Vielen Nutzern ist die Methode zur Zugangssicherung jedoch zu aufwendig, da man dabei das Telefon entsperren und den per SMS zugesandten Authentifizierungscode eintippen muss. Schweizer Forscher haben nun eine Methode entwickelt, die das Prozedere vereinfachen soll, berichtet Wired. Am Donnerstag wollen Sie sie auf der Sicherheitskonferenz Usenix vorstellen.

Umgebungsgeräusche

Bei Sound Proof, so der Name des von den Forschern entwickelten Tools, werden Umgebungsgeräusche genutzt, um den Nutzer zu authentifizieren. Versucht man sich bei einer Website, die Sound Proof installiert hat, anzumelden, verständigt der Server ein App am Smartphone. Daraufhin werden die Mikrofone am Handy und am PC aktiviert und nehmen einige Sekunden lang Umgebungsgeräusche auf. Die Software kreiert auf Basis der Geräusche eine digitale Signatur und lädt sie auf den Server, der die beiden Signaturen vergleicht. Stimmen sie überein, geht das Programm davon aus, dass sich das Handy im selben Raum befindet wie der Computer und gibt den Zugang frei. Der Nutzer muss dazu nicht einmal das Telefon aus der Hosentasche nehmen. Ein paar Sekunden Umgebungsgeräusch genügen, um ihn zu authentifizieren.

Schwachstellen

Die Software hat aber auch Schwachstellen. Befinden sich etwa Angreifer im selben Raum, beispielsweise in einem Kaffeehaus, und haben das Passwort bereits geknackt, könnten sie einfach Zugang zu Nutzerkonten erhalten. Die Forscher halten solche Attacken aber für eher ungewöhnlich, schreibt Wired. Sie überlegen nach Verbesserungen der Methode ein Start-up zu gründen, um das Forschungsprojekt zu vermarkten.