In einer Welt mobiler Geräte erscheint es seltsam, dass ihre Nutzer an ein Passwortmodell gekettet sind, das für Computer mit vollausgestatteter Tastatur und Monitor entwickelt wurde. Sophos-Security-Spezialist John E. Dunn hat sich die neuesten Authentifizierungsideen aus den Entwicklerlaboren angesehen. [...]
Ist das gute alte Passwort also bald Geschichte? Es ist keine Überraschung, dass die Passworteingabe auf einem mobilen Gerät knifflig sein kann, völlig unabhängig von dem generellen Problem, unzählige Passwörter und PINs zu kreieren, geschweige denn, sie sich zu merken. Die alternative Verschlüsselung mit Mustern ist eine gute Idee, hat aber auch Nachteile: Neugierige Über-die-Schulter-Gucker haben die meist simplen Bilder schnell erkannt und die Muster lassen sich mithilfe einer „Smudge Attacke“ enttarnen. Fettrückstände der Fingerabdrücke auf dem Display machen das möglich.
Die aktuellen Forschungsergebnisse der Xi´an Jiaotong-Liverpool Universität in China zeigen, dass zwei Drittel der Nutzer mobiler Geräte mit diesen Unbequemlichkeiten nur zurechtkommen, indem sie von Passwörtern, PINs und sogar Mustern vollkommen absehen und hoffen, dass nichts Schlimmes geschieht.
Semantik statt Alphanumerik?
Doch die Forscher der Universität stellen eine interessante Alternative vor: SemanticLock. Die semantische Sperre ersetzt Passwörter, PINs und Muster durch eine Sequenz von grafischen Symbolen, die semantisch, also sinngebend, zusammenarbeiten.
Beispiel: Der Satz „Ich habe Frühstück mit Kaffee“ kann mit vier Symbolen abgebildet werden, die jeweils ein Wort oder eine Tätigkeit in dieser Sequenz repräsentieren. Das ist weitaus einfacher auf einem kleinen Bildschirm anzutippen, als das Äquivalent mit alphanumerischem Charakter.
Aus einer Palette von bis zu 20 Symbolen lassen sich die Icons schnell zu einer Sequenz arrangieren, so die Entwickler. Und zwar mit Zwei-Finger-Bewegungen. Die beiden wichtigen Punkte Geschwindigkeit und Einprägsamkeit sind erfüllt. Was sieht es mit der Sicherheit aus?
Muster und PINs werden häufiger vergessen als Sequenzen
Von der Sache her, sollte eine Abfolge von Symbolen genauso sicher sein wie eine Sequenz von Zahlen. Der Sicherheitsstatus ist damit der gleiche, solange die Palette an Icons die Nutzer nicht dazu verleitet, immer das gleiche Set an einprägsamen Sequenzen zu verwenden. Und die Position der Symbole auf dem Bildschirm rotiert mit der Zeit, damit „Smudge Attacken“ ausgehebelt werden.
Im Test mit 21 Anwendern war SemanticLock etwas langsamer im Gebrauch als die Nutzung von Mustern, aber schneller als PINs. Hinsichtlich der Einprägsamkeit, zeigte sich: eine ausgewählte Sequenz wurde im Laufe der Zeit nur in zehn Prozent vergessen, im Gegensatz zu 70 Prozent bei Mustern und 50 Prozent bei PINs. Im Vergleich überholt die semantische Sperre das PIN-System und kommt der Muster-Sicherung sowohl in der Geschwindigkeit als auch in der Erinnerungsfähigkeit, User-Akzeptanz und Anwenderfreundlichkeit gleich.
Bequemlichkeit erschwert die Veränderung
Auf der Grundlage dieser Ergebnisse müsste man annehmen, dass die Hersteller mobiler Geräte sich darin überschlagen, semantische Sperren einzubauen. Grafische und Bild-basierte Authentifikation-Designs unterschiedlichster Arten sind nicht neu. Dennoch basieren die heutigen Passwörter auf alphanumerischem Charakter, PINs und Mustern. Trotz aller Nachteile scheinen Neuerungen schwierig, da die alten Designs zuerst da waren und eine Gewohnheit besteht. Zudem ist es wahrscheinlich, dass die Mehrheit der Nutzer, die sich gar nicht um die heutigen Passwörter, PINs und Muster kümmert, auch keine Symbole einsetzen wird.
Mittlerweile, haben Smartphone-Entwickler stark in alternative Authentifikationssysteme investiert, wie zum Beispiel in die Gesichtskontrolle bei Apple. Diese ist nicht perfekt, aber zumindest so sicher als jedes andere System, das den Nutzer zu Dateneingabe oder Handlungen auffordert, um Zugang zum Gerät zu erlauben. Vielleicht werden Passwörter irgendwann dann nicht mehr durch Symbole ersetzt, sondern durch Gesichter.
* John E. Dunn ist Security-Spezialist bei Sophos.
Be the first to comment