Biometrie-Lösungen Teil 3 – Psylock Easy Password Reset

Neue Kennung via Keyboard

07.05.2007 | Autor / Redakteur: Lothar Lochmaier / Stephan Augsten

Daria Ganitcheva, ibi Research GmbH
Daria Ganitcheva, ibi Research GmbH

Nach den Vorstellungen von Daria Ganitcheva, zuständig für Sales und Marketing bei der ibi Research GmbH, hat der Passwortdschungel mit unzähligen Zugangskennungen vielerorts bald schon ausgedient. Auf der CeBIT stellte sie in etlichen Fachvorträgen „Psylock Easy Passwort Reset“ vor, eine sichere und automatisierte Form der Kennwort-Neuvergabe. Das System könnte nach Auffassung von ibi Research unter anderem das PIN/TAN-Verfahren beim Online-Banking ersetzen.

Da Psylock einen Benutzer an seinem Tippverhalten auf jeder handelsüblichen Tastatur erkennt, ist ein spezieller biometrischer Sensor nicht nötig. Durch die einmalige Hinterlegung einer Referenz zum eigenen Tippverhalten kann der Nutzer von jedem Ort auf der Welt aus selbständig ein neues Passwort für sich einrichten – unabhängig von den Öffnungszeiten seines Helpdesks, was letztlich Aufwand und Kosten sparen kann.

Die Authentifizierung geschieht auf der Basis einer gleichsam sicheren wie automatisierten Neuvergabe durch Eintippen eines festgelegten Textes. Das System analysiert sozusagen die „Melodie des Tippverhaltens“ und ordnet diese zweifelsfrei dem authentischen Nutzer zu. Dabei sind eindeutige Merkmale zum einen die reine Geschwindigkeit des Tippens und zum anderen der Rhythmus sowie die Gewandtheit der Finger. Da diese Merkmale aber stark von der Tagesform eines Menschen abhängen, zieht Psylock weitere unveränderliche Merkmale zur Analyse hinzu.

Dazu gehören zum Beispiel Rechts- oder Linkshändigkeit, typische Tippfehler oder auch das Korrekturverhalten eines Benutzers. „Dies alles geschieht vollautomatisch. Es erspart enorme Kosten und ist dennoch sicherer als vieles, was derzeit praktiziert wird“, sagt Daria Ganitcheva. An der Universität und Fachhochschule Regensburg kommt Psylock bereits seit dem Wintersemester 2006/07 bei etwa 32.000 Personen zum Einsatz.

Interview mit Daria Ganitcheva

Lothar Lochmaier: Wie sieht die Marktreife der biometrischen Lösungskonzepte mit Blick auf den Ersatz gängiger Passwortkonzepte aus?

Daria Ganitcheva: Passwörter werden in zwei Einsatzfeldern genutzt: Zum Zugang zu bestimmten Orten oder zum Zugriff auf Computer, Dateien etc. Die Biometrien, die beim Zugang am weitesten verbreitet sind, sind Fingerprint und Eyescan. Diese sind marktreif und werden vielerorts bereits eingesetzt, wenn auch der Preis bisher noch recht hoch ist.

Ganz so einfach ist es aber doch nicht?

Schwierig ist dies beim Zugriff auf Computer und Applikationen. Da sich die Mitarbeiter immer mehr mobil und dezentral einloggen, ist es wichtig, von überall auf der Welt jederzeit sicheren Zugriff zu haben. Die Tatsache, dass die meisten biometrischen Methoden mit Hardware-Sensoren arbeiten, macht es notwendig, dass der Mitarbeiter jederzeit seinen Scanner/Reader mit sich führt. Dies ist umständlich und unrealistisch, da nicht alle Computer mit solchen Geräten kompatibel sind.

Interessanter für den Einsatz mit Computern sind also solche Biometrien, die keine speziellen Sensoren benötigen, sondern die Geräte einsetzen, die standardmäßig an einem Computer vorhanden sind, wie die Maus oder die Tastatur.

Welche biometrischen Alternativen zum Passwort sind realistisch? Welche Konzepte favorisiert ibi research konkret, insbesondere mit Blick auf den Verzicht auf Hardwarelösungen?

Biometrische Methoden, die ohne spezielle Sensoren auskommen, sind selten. Meist sind es Methoden, die nicht ein bild gebendes Merkmal der Person analysieren, sondern ein Verhalten. Eine solche Methode analysiert erfolgreich das Tippverhalten einer Person an einer herkömmlichen Computertastatur. Dabei wird nicht nur hohe Sicherheit gewährleistet, sondern auch die Akzeptanz seitens der Benutzer ist höher als bei anderen Biometrien. Dies liegt daran, dass der Benutzer nichts an seinem Workflow ändern muss, um diese Biometrie einzusetzen. So wie er immer sein Passwort tippt, tippt er in diesem Falle einen Satz, den er sich allerdings nicht merken muss, sondern nur vom Bildschirm ablesen. Ebenso wird die Methode gut akzeptiert, weil der Benutzer aktiv etwas tun muss, um sich anzumelden, dies verringert die Angst vor Identitätsklau.

In welchen Branchen bzw. Unternehmen gibt es bereits spannende Anwendungen?

Größere Unternehmen und Hochschulen haben das Problem, dass die Benutzer viele unterschiedliche Passwörter benutzen, die strengen Sicherheitsrichtlinien entsprechen und oft gewechselt werden müssen. Solche Passwörter sind nicht benutzerfreundlich und werden oft vergessen. Das sichere Zurücksetzen dieser Passwörter ist dann häufig kostspielig. Gleichzeitig entstehen durch komplizierte Mechanismen des Zurücksetzens oft lange Wartezeiten und Unannehmlichkeiten für die Benutzer.

Haben Sie dafür ein praktisches Beispiel?

An der Universität Regensburg verbrachte ein Student ein Praxissemester in Südafrika und musste sich während dieser Zeit für einen Kurs anmelden. Als er versuchte, dies über die Universitätswebsite zu erledigen, stellte er fest, dass er sein Passwort vergessen hatte.

Da es aufgrund der Sicherheitsrichtlinien nicht möglich war, ihm sein Passwort per Telefon oder Fax mitzuteilen, war der Student gezwungen, sich an die deutsche Botschaft zu wenden. Diese stellte eine Bescheinigung über seine Identität aus, die dann mit diplomatischer Post nach Deutschland und mit einer Polizeieskorte zum Rechenzentrum befördert wurde.

Und was kam dann?

Dort wurde dann das Passwort zurückgesetzt und ging wieder den ganzen Weg zurück nach Südafrika. Die Kosten dieser Prozedur waren beträchtlich und der Student hat zudem die Anmeldefrist für seinen Kurs verpasst. Das Problem einer sicheren und einfachen Neuvergabe vergessener Passwörter nimmt mit der steigenden Dezentralisierung und Globalisierung immer mehr zu, es muss eine adäquate Lösung geschaffen werden.

Wo konkret findet denn Psylock bereits Anwendung?

An einigen Hochschulen in Deutschland wird seit neuestem das System Psylock Easy Password Reset eingesetzt. Dieses beruht auf der biometrischen Erkennung eines Benutzers anhand seines Tippverhaltens. Dabei wird eine herkömmliche Computertastatur zur Analyse als Sensor hergenommen. Die Studenten können, nach einer kurzen Trainingsphase, auf die Universitätswebsite gehen und sich dort sofort im Self-Service ein neues Passwort vergeben. Die Sicherheit wird durch die Biometrie Tippverhalten sowie eine „Social Knowledge“ Komponente gewährleistet, es ist also eine Zwei-Faktor Aunthentisierung.

Aber Passwörter sind trotzdem noch nicht ganz passé?

Durch Tippverhaltensbiometrie kann man nicht nur Passwörter erfolgreich zurücksetzen, sondern auch ganz ersetzen. Diese Anwendung ist vor allem im Internet interessant, wo der Benutzer mobil und auch anonym ist. Ein Beispiel: Auf einer Website werden kostenpflichtige Inhalte angeboten, wie etwa ein Newsletter-Abo oder ein Musikdownload. Die ersten drei Downloads sind jedoch kostenlos.

Oft kommt es vor, dass sich ein Nutzer im Internet anmeldet und das kostenlose Angebot nutzt, bis es abläuft. Anstatt dann weiterzumachen und zu zahlen, meldet sich derselbe Nutzer mit einer anderen Emailadresse nochmals an und nutzt wieder das kostenfreie Angebot. Dies verursacht dem Betreiber der Website Verluste, die er durch eine Analyse des Tippverhaltens seiner Abonnenten vermeiden könnte.

Wie marktreif ist die Biometrie insgesamt bei Business-Anwendungen, lassen sich damit bereits nennenswerte Umsätze erzielen? Wo also liegen sinnvolle Einsatzgebiete beim Enduser bzw. für die Unternehmen?

Nicht nur Unternehmen sind an sicheren Lösungen für ihre Computer interessiert. Auch die Endnutzer im privaten Bereich interessieren sich zunehmend für die Sicherheit ihrer Daten. Dies ist sicherlich auf die zunehmenden Bedrohungen durch Phishing, Spyware etc. zurückzuführen. Vorrangig werden diverse Schutzprogramme und Antivirenprogramme eingesetzt, aber auch die Biometrie gewinnt an Bedeutung. So sind zum Beispiel moderne Notebooks oft mit Fingerabdruckscannern ausgestattet, es sind Fingerabdruckmäuse und USB-Sticks im Handel.

Wie sieht es mit dem Fingerprint aus?

Vor allem hat sich der Fingerabdruck durchgesetzt, da der Sensor relativ klein ist und die Anwendung unauffällig. Sich im Zug einen Irisscanner vor das Gesicht zu halten, würde bei den meisten Menschen Hemmungen auslösen. Dennoch sind auch hier dieselben Probleme zu finden: der Scanner muss mitgeführt werden, um die Benutzung zu ermöglichen. Haben Sie also eine Fingerabdruckmaus und lassen sie die zu Hause, können Sie ihren Computer nicht mehr nutzen.

Das klingt für die Bedenkenträger etwa in den Unternehmen immer noch nicht sehr ermutigend?

Die Einsatzfelder sind bei Unternehmen breiter gestreut als bei Privatleuten. Während letztere meist daran interessiert sind, ihren lokalen Computer zu Hause sicherer zu machen, denken Unternehmen da an Computer im Unternehmensnetz, Internetanwendungen oder die biometrische Steuerung für das Aufrufen bestimmter Dateien oder Programme.

Auch die Beobachtung eines Benutzers am Computer und das zeitnahe Feststellen eines Benutzerwechsels sind ein wichtiges Thema. Während vor einigen Jahren biometrische Sicherheitskonzepte nicht im Geschäftsverkehr genutzt wurden, sondern nur in hoheitlichen Bereichen, so hat sich deren Nutzung mittlerweile auch im Unternehmens- und privaten Umfeld durchgesetzt – oder zumindest das Interesse dafür.

Aber die Firmenchefs zögern doch immer noch, größere Projekte aufzusetzen?

Auch größere oder mittelständische Unternehmen sind an IT-Sicherheit interessiert, um ihre Kunden oder Projektdaten zu schützen. Der große Hemmfaktor sind hierbei die Kosten. Sensorbedingte Biometrien mögen die Sicherheit gewährleisten, doch die Kosten für die Anschaffung und Installation der Geräte, sowie deren Wartung sind immer noch beträchtlich. Zudem müssen diese Geräte nach Ablauf ihres Lebenszyklus durch neue ersetzt werden, was alle drei bis vier Jahre geschieht. Eine reine Software-Lösung, die die bereits vorhandenen Geräte nutzt, würde eine beträchtliche Kostenersparnis bedeuten.

Was hat die CeBIT aus Ihrer Sicht an neuen Trends in der Biometrie gebracht?

Der Trend geht dahin, neue Felder zu erschließen, die sich für eine biometrische Erkennung eignen – wie der Puls, der Herzschlag etc. Wichtig ist es dabei, nicht nachvollziehbare, also nicht offenliegende Merkmale herzunehmen, da dies einem Identitätsraub entgegenwirkt. Die Fingerabdruckbiometrie hat sich gut etabliert und wird dort eingesetzt, wo die Geräte an einem Ort fixiert sind, wie etwa bei Durchgängen und Türen. Die Tippverhaltensbiometrie könnte in Zukunft einen ebenso wichtigen Stellenwert bei der Sicherung von Internet und Netzwerkanwendungen einnehmen.

Daria Ganitecheva ist bei dem an der Universität Regensburg angesiedelten Forschungsinstitut ibi Research GmbH für Sales und Marketing zuständig.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2004562 / Software)