Sichere Authentifizierung mit Tippbiometrie: Wann hat die Welt genug von Passwörtern?
Warum nicht die Methoden der Geheimdienste zum Schutz sensibler Daten nutzen?
In der Arbeit, beim Onlinebanking, zur Anmeldung am Onlineportal: Überall benötigt man Passwörter. Möglichst lauter verschiedene. Umfang mindestens 12-15 Buchstaben, kombiniert mit Sonderzeichen und Zahlen, spätestens alle 90 Tage zu ändern… - Wer kann sich das alles merken? Und wie unzuverlässig sind sie trotz alledem noch? Dabei gibt es einen "Schlüssel", den man immer bei sich trägt, der sicher ist und nicht verlorengehen kann: Das persönliche Tippverhalten als Login.
Erst dieser Tage veröffentlichte das Bundesinnenministerium den Vorabdruck des Verfassungsschutzberichtes 2009, in dem auch aktuelle Erkenntnisse hinsichtlich Identitätsdiebstahl und –missbrauch dokumentiert wurden. Wo früher nur Passwörter "gephisht" wurden, um Geld mit fremden Kreditkarten zu ergattern, tritt nun ein relativ neues Phänomen auf. Danach ist der Missbrauch der kompletten digitalen Identität auf dem Vormarsch: Für Onlineeinkäufe in großem Stil, Missbrauch "sozialer" Netzwerke, aber vor allem für Industriespionage. Das geistige Eigentum – Kapital jedes Unternehmen - ist latent bedroht.
Passwörter - immer noch erste Wahl als Zugangshürde. Wie einfach, damit Unfug zu treiben …
Passwörter werden für kriminelle Zwecke missbraucht. Daher ist eine personengebundene Methode notwendig, mit der sich jeder Nutzer nur persönlich einloggen kann. Und das möglichst schnell, bequem und unabhängig. Dafür kommt nur eine Biometrie infrage. Vollkommen unabhängig ist der Nutzer nur mit einer Biometrie, die an jedem PC mit dem vorhandenen Equipment funktioniert. Eine reine Softwarelösung also. Eine Methode hat sich für das Internet als ideal erwiesen: Die Tippbiometrie.
Der Clou: Nicht was, sondern wie man tippt, ist entscheidend! Das Tippverhalten ist der Schlüssel. Kein Passwort. Keine Hardware. Nur Sie und Ihr Rechner…
Die Erkennung des Berechtigten erfolgt über das Abtippen des auf dem Bildschirm angezeigten, kurzen Textes. Das System ist auf jedem Computer weltweit bequem nutzbar. Die Installation beschränkt sich auf den Webserver des Unternehmens bzw. Anbieters. Das Verfahren wurde bereits mit dem "Deutschen IT-Sicherheitspreis" ausgezeichnet. Ein Replayfilter ist entscheidend für die Sicherheit des Gesamtsystems.
Exakte Wissenschaft garantiert hohe Sicherheit beim Login
Die Methode ist nicht ganz neu, wurde aber lange Zeit nur von Geheimdiensten genutzt: Bereits Ende des 19. Jahrhunderts fanden Wissenschaftler heraus, dass man einen Funker aufgrund seines ganz individuellen Morseverhaltens identifizieren konnte. Dies machten sich Geheimdienste zunutze, um eingehende Nachrichten ihrer Agenten zu verifizieren – zusätzlich zu den Codes, die ja entschlüsselt werden konnten.
Forscher beschäftigten sich gegen Ende des 20. Jahrhunderts erneut mit diesem Verfahren, um Alternativen zur Erkennung von Computernutzern zu entwickeln. Dabei bestätigte sich wieder: Das Tippverhalten jedes Menschen ist so individuell wie seine Handschrift. Die Tippbiometrie ist keine Zauberei, wenngleich sie nicht einer gewissen Magie entbehrt!
Sie beruht auf exakten mathematischen Berechnungen. Zahlreiche Kriterien wie Schreibrhythmus, Korrekturverhalten, Umschaltung, Zehn- oder Zweifinger-Schreibsystem etc. werden erfasst und mit dem hinterlegten Profil verglichen.
High-Tech im Millisekundenbereich
Heute wird mit wesentlich verfeinerten Methoden gearbeitet. Es wurde das Tippverhalten Abertausender von Probanden in akribisch dokumentierten Messreihen ausgewertet, Templates verglichen, Parameter festgelegt und immer wieder verfeinert. So erzeugt man eine klare Abgrenzung auch ähnlicher Profile, wie sie für eine sichere Authentisierung nötig ist. Dabei musste die Bandbreite individuellen Tippverhaltens berücksichtigt werden – eine Herkulesaufgabe, die über fünfzehn Jahre der Forschung an der Universität Regensburg in Anspruch nahm.
Die Vielfalt der Kriterien, die Sorgfalt und Komplexität der mathematischen Auswertung gewährleisten nun die gewünschte Zuverlässigkeit beim Vergleich mit dem hinterlegten Profil (Template).
Die Software des deutschen Herstellers von Tippbiometrie wurde vom TÜV SÜD geprüft. Ein Schwerpunkt der Prüfung war die Herausforderung des Psylock Authentication Servers bei Angriffen und Überwindungsversuchen in realistischen Einsatzszenarien. Bei der Datensicherheit wurden die Empfehlungen des BSI zum IT-Grundschutz sowie die gesetzlichen Vorgaben zum Datenschutz berücksichtigt. Das Ergebnis der aufwändigen Untersuchung: Das Kernprodukt, der Psylock Authentication Server, hat als erste biometrische Lösung, die als Basis das Tippverhalten anwendet, den harten Prüfkriterien des TÜV SÜD standgehalten.
Dabei bezieht sich die Biometrie-Software nicht auf den direkten Mustervergleich, der z.B. bei bildgebender Biometrie angewandt wird, sondern fußt auf der oben beschriebenen Testtheorie, bei der auch tiefer liegende Merkmale, die im Unbewussten ablaufen und nicht steuerbar sind, einbezogen werden.
Die Tippbiometrie stellt eine "digitale Graphologie" dar: Wie die Handschrift ist das Tippverhalten jedes Menschen unterschiedlich. Es weist sehr sicher auf den autorisierten Benutzer hin. Mithilfe seines Tippens kann er sich ebenso sicher wie bequem, aber auch zeitgemäß ausweisen und ist dabei nicht auf Passwörter oder Hardwarekomponenten angewiesen.
Wo ist es unerlässlich, den Zugang zu Daten biometrisch zu schützen?
Überall, wo heute Passwörter verwendet werden, empfiehlt es sich darüber nachzudenken, ob diese Absicherung noch zeitgemäß ist. Bei dramatisch steigender Kriminalität und dem beliebten, aber bedrohungsanfälligen "Social Networking" sind Internetportale oft nur der Einstieg für gezielt betriebenen Identitätsdiebstahl.
Firmennetze und -Umgebungen sicherer machen
Mit der Tippbiometrie kann natürlich der Zugang zum Intra- oder Extranet (für Partner oder Kunden und Zulieferer) geschützt werden.
Ebenso ist jedoch auch die Steuerung sensibler, betriebsinterner Prozesse denkbar: So kann sich nur der autorisierte Mitarbeiter in die Applikation einloggen; kann nur der, dessen Profil passt, einen Zahlungsvorgang initiieren – egal, wo er sich befindet.
Komfortables Login für mobile oder am Heimarbeitsplatz tätige Mitarbeiter
Sie erhalten ohne aufwändige Installation sicheren Zugang zum Firmennetz, der Arbeitgeber kann sicher sein, dass sich wirklich der berechtigte Mitarbeiter am Computer einloggt.
Password Reset: Ganz einfach im Self-Service-Verfahren
Vergessene Passwörter oder Einhaltung der Passwort-Richtlinien – in Unternehmen häufig ein beträchtlicher Kostenfaktor. Mit biometrischer Erkennung funktioniert Password Reset sicher und einfach: Der Mitarbeiter tippt einen kurzen Text vom Bildschirm ab – wenn seine Tippprobe mit dem hinterlegten Profil übereinstimmt, kann er sofort ohne Arbeitszeitverlust sein Passwort eigenständig ändern.
Effektiver Schutz für e-Commerce
Für Onlineshops, Bankkunden und Portale, die für einen zahlenden Kundenkreis Premiumangebote zur Verfügung stellen, ist es gleichermaßen wichtig zu wissen, wer am PC sitzt bzw. dass kein anderer in der Lage ist, mit gestohlenen oder gefälschten Daten Schaden anzurichten.
Einfach und komfortabel das Login - komplex und umfangreich das, was dahintersteckt. Unverzichtbare Kriterien für eine Alternative zum Passwort, die sich auch für das Internet eignet:
- Hohe Sicherheit bei vertretbarem Aufwand und Preis
- Vergleichbarer Komfort
- Zeitliche und örtliche Ungebundenheit
- Unabhängigkeit von Hardware (Sensoren, Token etc.)
Die Tippbiometrie erfüllt jede dieser Forderungen in vollem Umfang. Gleichwohl steckt jahrelange, intensive Forschungsarbeit dahinter, so dass man sie heute als Alternative zum Passwort – und als Standardauthentisierung der Zukunft betrachten kann.
Biometrie ohne Kompromisse
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by Disqus
© 2012 FEiG & PARTNER