Legitime Nutzer am Verhalten erkennen

Die vielen Nachteile von Passwörtern bei der sicheren Identifizierung von Benutzern sind hinlänglich bekannt: So werden die geheimen Losungen von Online-Diensteanbietern und Nutzern oft nicht ausreichend geschützt und gerne gestohlen. Darüber hinaus sind sie entweder zu einfach aufgebaut und für Hacker kein wirkliches Hindernis. Oder aber sie sind so komplex, dass man sich nur schwer für jeden Dienst ein anderes merken kann.

Eine Alternative erforschen derzeit Wissenschaftler am Hasso-Plattner-Institut (HPI) in Potsdam. Sie tüfteln nämlich an einer verhaltensbasierten Authentifizierung. Dafür eignen sich ganz unterschiedliche Verhaltensmuster, wie etwa das Tippen auf der Tastatur, die Bewegung, mit der Nutzer ihr Smartphone aus der Tasche holen, oder der individuelle Gang. Auch Umwelteinflüsse auf den Gang, wie unterschiedliche Kleidung oder Aktivitäten wie Telefonieren, werden in diesem Zusammenhang untersucht.

Ein spezieller Forschungsansatz nutzt zur sicheren Verifikation von Identitäten Sensoren in mobilen Geräten wie Smartphones oder Wearables. Sie errechnen aus dem individuellen Verhalten einen prozentualen Wert, den Trust Level. Dieser Trust Level wird anstatt eines Passwortes an den entsprechenden Online-Dienst verschickt, der selber festlegt, wie hoch dieser Wert für die Nutzung seines Angebotes sein muss. Wird ein Smartphone gestohlen, sinkt der Trust Level und alle Zugänge sind verschlossen.

«Dieser Ansatz hat viele Vorteile: Er ist sicher, sehr benutzerfreundlich und sogar kostengünstig, da die meisten Menschen ein Smartphone besitzen und keine zusätzliche Hardware benötigt wird», kommentiert HPI-Direktor Christoph Meinel und Leiter des Fachgebiets Internet-Technologien und -Systeme die Entwicklung des Instituts. «Ein weiterer grosser Vorteil ist ausserdem, dass die biometrischen Daten der Nutzer auf ihren Geräten bleiben und nicht an externe Diensteanbieter weitergeleitet werden.» Nur der errechnete Trust Level werde übermittelt. Der sei für Kriminelle im Gegensatz zu Passwörtern aber uninteressant.

Erste Anwendungsfälle für die verhaltensbasierte Authentifizierung werden derzeit vom HPI-Startup neXenio in der Praxis getestet. So öffnen sich tausenden von Mitarbeitern beispielsweise morgens automatisch die Türen eines New Yorker Hochhauses, wenn der entsprechend vorausgesetzte Trust Level vom Endgerät an die Tür übermittelt wurde. Bei einem anderen Grossunternehmen wird der Zugang und die Nutzung ausgewählter Maschinen über die entwickelte App gesteuert.