Stuttgarter Forschergruppe sucht nach neuen Lösungen für Passwörter und Pins

Ob Scheckkarte, Handy, Webseiten oder der Computer im Büro – ohne Passwörter und Pins geht im modernen Leben fast nichts mehr. Doch was die Sicherheit gewährleistet, kann sich der Mensch meist nicht merken.

Die Arbeitsgruppe „Mensch-Computer-Interaktion“ am Institut für Visualisierung und Interaktive Systeme der Universität Stuttgart sucht nach Lösungen, bei denen sich Sicherheit und Benutzbarkeit nicht ausschließen. Die Authentisierung, also zum Beispiel das Anmelden auf einer Webseite, ist dabei das zentrale Thema. Ihre Forschungsarbeiten stellten die Stuttgarter Wissenschaftler jüngst auch auf der internationalen Konferenz für Mensch-Maschine Interaktion CHI 2012 in Austin/Texas vor.

Ein sicheres Passwort besteht idealerweise aus einer langen Kombination von Buchstaben, Zahlen sowie Sonderzeichen und sollte regelmäßig geändert werden. Doch diese aus technischer Sicht sinnvollen Hinweise sind für viele Menschen in der Umsetzung im Alltag zu aufwändig. Häufig schreiben sie sich die Passwörter daher auf und die eigentlich zur Erhöhung der Sicherheit gedachte Maßnahme führt genau zum Gegenteil.
Ein Verfahren, das die Stuttgarter Wissenschaftler in Kooperation mit der Universität Cambridge in Großbritannien entwickelt haben, verwendet daher Bilder statt Passwörter für den Anmeldevorgang. Ein System zeichnet die Blickbewegung des Benutzers auf und verwendet diese zur Authentisierung. Zur Registrierung betrachtet der Benutzer die Details eines Bildes in einer von ihm gewählten Reihenfolge. Indem eine vorberechnete Bildmaske einfach zu erratende Blickbewegungen ausschließt, wird das neue Verfahren sicher und ist zugleich einfach zu benutzen. Was bisher noch an Laborgeräten getestet wird, dürfte schon in fünf Jahren an jedem Display einsetzbar sein, das Augenbewegungen aufzeichnen kann, so zum Beispiel bei Laptops, Handys oder auch mit Hilfe der viel diskutierten neuen Google-Brillen.

Signatur aus der Luft
Problematisch ist auch die Sicherung von Mobiltelefonen, die meist eine Vielzahl sehr privater Informationen, wie das Adressbuch, SMS, E-Mails und offene Webseiten enthalten und in der Regel durch die Eingabe eines PINs oder von Gesten vor dem Zugriff Dritter geschützt werden sollen. Solche Gesten oder PIN-Eingaben sind aber mit einer Kamera sehr einfach zu beobachten. Mit Hilfe der Aufnahme ist der Entsperrvorgang reproduzierbar und daher recht unsicher. Gemeinsam mit den Telekom Innovations Labs in Berlin haben die Forscher aus Stuttgart die Sicherheit eines Verfahrens untersucht, bei dem der Benutzer seine Unterschrift mit einem Magneten in die Luft schreibt, um das Telefon zu entsperren. Zur Überprüfung der Sicherheit wurde ein Szenario durchgespielt, bei dem ein Angreifer mit vier Kameras versuchte, die Passwörter der Testpersonen zu knacken. Gelungen ist es ihm nicht: Sicherheit und Benutzbarkeit sind also durchaus vereinbar. Allerdings: „Die Grundvoraussetzung ist, dass der Mensch und seine Fähigkeiten in die Sicherheitsanalyse sowie in das Design einbezogen werden“, so der Leiter der Forschungsgruppe, Prof. Albrecht Schmidt vom Lehrstuhl Mensch-Computer-Interaktion innerhalb des Exzellenzcluster Simulation Technology der Universität Stuttgart. Damit eine Technologie angenommen wird und im Wettbewerb eine Chance hat, müsse sie einfach handhabbar und verständlich sein – „und sie muss Spaß machen.“

Weitere Informationen bei Prof. Albrecht Schmidt, SimTech Lehrstuhl Mensch-Computer-Interaktion, Institut für Visualisierung und Interaktive Systeme,
Tel. 0711/685-60048, e-mail: albrecht.schmidt@vis.uni-stuttgart.de.
Demonstration der Handy-Verschlüsselung auf YouTube: http://www.youtube.com/watch?v=vhwURyTp_jY