 | | | Autor: | | merli (---.8.11.vie.surfer.at) | | | Datum: | | 18.09.08 | |
Das österreichische, auf IT-Sicherheit spezialisierte Unternehmen MERLINnovations hat ein neues Sicherheitssystem für Login und Authentifizierung entwickelt. Die patentierte und preisgekrönte Methode wird bereits mehrfach in Unternehmen eingesetzt. Nun ruft MERLINnovations in einem Wettbewerb zum Versuch auf, einen Schlüssel des Systems zu knacken. Unter allen Teilnehmern wird ein vertragsfreies Apple iPhone 3G verlost.
Das neue, patentierte Verfahren SecLookOn von MERLINnovations sorgt für Sicherheit bei Datenzugriff und Authentifizierung: Das System verlangt nicht die Eingabe eines bestehenden Passwortes, sondern erzeugt bei jedem Login einen neuen Code. Dieser kommt jedoch nur zustande, wenn man Bilder, die in der rechten Bildschirmhälfte erscheinen, richtig mit Farben und geometrischen Formen verknüpft, die links zu sehen sind.
MERLINnovations-Geschäftsführer Helmut Schluderbacher erläutert: „Welches Bild zu welcher Farbe oder geometrischen Form passt, weiß nur die berechtigte Person. Der angewandte Schlüssel ist daher für Außenstehende nicht erkennbar, obwohl SecLookOn den jeweiligen Code offen anzeigt. Selbst jemand, der bei der Eingabe der Ziffernfolge zusieht, kann das zugrunde liegende System nicht erkennen. Das wird dieser außergewöhnliche Wettbewerb neuerlich beweisen.“
333 offenbarte Bilder und Eingaben – der Schlüssel bleibt unerkannt
MERLINnovations stellt ab sofort bis 10. 10. um 10 Uhr 10 auf der Website www.seclookon.com 333 richtige Kombinationen von Bildern, Farben und Formen inkl. der jeweils dazugehörigen richtigen Eingabe zur Verfügung. Dies entspricht der Situation, wenn man einer Person 50 Mal hintereinander bei der Eingabe eines kompletten Codes zusehen könnte. Ein ganzer Code besteht in der Regel aus vier bis zu zehn Ziffern. Anhand dieser offengelegten Geheimnisse sollen die Teilnehmer versuchen, den Schlüssel zu knacken, der dem System zugrunde liegt.
Da es vermutlich keinen Sieger im Sinne einer erfolgreichen Entschlüsselung geben wird, verlost MERLINnovations unter allen Teilnehmern des Wettbewerbes ein vertragsfreies i-Phone 3G.
Scheinbare Quadratur des Kreises
Das System SecLookOn ist vergleichbar mit einem Wächter, der eine Zutritt verlangende Person nach dem Passwort fragt, ihr aber verbietet, es auszusprechen. Was wie die Quadratur des Kreises klingt, ist in der Anwendung ganz einfach: Der Nutzer bestimmt seine individuellen Assoziationen zwischen dem Erscheinen oder Nichterscheinen bestimmter Bilder einerseits und Formen bzw. Farben andererseits. Je nachdem, ob die ausgewählten Bilder in einem vorher definierten Segment des Bildschirms erscheinen oder nicht, gibt man jene Ziffer ein, die das System für die jeweilige Kombination vorgibt. Beispielsweise könnte man festlegen, dass man das Bild eines Baumes immer mit der Hintergrundfarbe Grün assoziieren will. Zur Authentifizierung erscheinen dann sehr viele unterschiedliche Bilder – manchmal auch ein Baum – und ebenso viele unterschiedliche Farben und Formen – darunter auch ein grüner Hintergrund. Falls der Baum erscheint, tippt man daher die Zahl ein, die sich vor dem grünen Hintergrund befindet. Auch für den Fall dass der Baum nicht erscheint, hat der Anwender eine bestimmte Form oder Farbe bestimmt – er tippt jene Zahl ein, die in dem jeweiligen Kästchen steht. Der Beweis für die Kenntnis des Geheimnisses ist erbracht, während dieses selbst verborgen bleibt. Niemand, der diesen Vorgang beobachtet, kann erkennen, warum gerade jene Zahl eingetippt wird – denn nur dem berechtigten Nutzer ist die Assoziation „Baum erscheint -> Zahl vor grünem Hintergrund“ bekannt. Diese Kombination generiert logischerweise beim nächsten Login irgendeine andere Ziffer. Zur Steigerung der Sicherheit sind nur jene Bilder relevant, die in einem bestimmten, vorher definierten Bildschirmbereich erscheinen – alle anderen dienen lediglich der „Tarnung“.
Bei zwei Bildern ergeben sich vier unterschiedliche Erscheinungs-Kombinationen (1.: A vorhanden, B nicht vorhanden, 2.: B vorhanden, A nicht vorhanden, 3.: beide vorhanden, 4.: beide nicht vorhanden). Je mehr Bilder dem System zugrunde liegen, desto höher ist die Sicherheit. Nimmt man alle Möglichkeiten zusammen erreicht SecLookOn einen Sicherheitsgrad von 366 Bit (10109 Möglichkeiten, entspricht einer 1 mit 109 Nullen).
Experte bestätigt Sicherheit
Ein vom international anerkannten Schweizer Security-Experten und Wissenschafter Dr. Thomas Dübendorfer[1] erstelltes Gutachten bestätigt die höhere Sicherheit von SecLookOn gegenüber Systemen, die auf statischen Zeichen- oder Zifferncodes. |
|
