Bild der Wissenschaft 01/13 Niemand merkt sich gerne komplizierte Passwörter, deshalb sind digitale Daten oft miserabel geschützt. Informatiker tüfteln an alternativen Techniken, die menschliche Stärken nutzen.
Starten wir mit einer Frage in die Runde: Verwenden Sie das Passwort „123456"? Oder „passwort1"? Ja? Sie brauchen sich nicht zu schämen: Sie befinden sich in guter Gesellschaft – der Mehrheit. „Der Mensch ist nicht dazu gemacht, sich komplizierte alphanumerische Passwörter zu merken", sagt Emanuel von Zezschwitz vom Institut für Informatik der Münchner Ludwig-Maximilians-Universität (LMU).
Passwörter sollen für digitale Sicherheit sorgen. Sie sollen Unbefugte daran hindern, Daten auf dem Smartphone auszuspionieren, sich von fremden Konten zu bedienen oder im Internet unter anderem Namen einzukaufen. Nur: Sichere Passwörter kann sich niemand merken. Deshalb nutzen die meisten Menschen Passwörter wie „12345", „iloveyou" oder „Passwort1" – und geben damit die Sicherheit ihrer Daten auf. Denn das sind die ersten Kombinationen, die Hacker testen, wenn sie ein Konto oder einen Online-Zugang knacken wollen.
Von Zezschwitz und seine Kollegen forschen daher an neuen Möglichkeiten für ein sicheres Login, die Nutzer nicht überfordern. Denn, auch das haben die Münchner Forscher herausgefunden: Die menschliche Toleranz für Sicherheitsmaßnahmen ist sehr gering.
Viele halten beim Geldabheben nicht einmal die Hand über das Eingabefeld des Geldautomaten, wie eine Studie von Alexander de Luca ergab. „Dabei ist der Geldautomat einer der unsichersten Plätze", sagt der Informatiker, der in der Arbeitsgruppe Medieninformatik und Mensch-Maschine-Interaktion der LMU forscht: Dort ist ein Konto 24 Stunden am Tag zugänglich, gesichert nur mit einer leicht zu knackenden vierstelligen PIN, die insgesamt gerade mal 10 000 mögliche Kombinationen zulässt.
De Luca beschäftigt sich seit Jahren mit der Authentifizierung – der Identifizierung eines Nutzers. Das betrifft nicht nur Geldautomaten, sondern auch mobile Endgeräte wie Smartphones oder Tablet-PCs. „Je heikler die Daten sind, desto schlechter sind sie oft geschützt", fand der Informatiker heraus. Denn weder die Bank noch Facebook wollen ihre Kunden vergraulen, weil die Vorgaben für Passwörter zu streng sind. Sie leben lieber mit miserabler Sicherheit.
Aber vielleicht ist das Fokussieren auf möglichst sichere Passwörter auch der falsche Ansatzpunkt. „Sicherheit wurde lange von Leuten entwickelt, die nur die mathematische Seite gesehen haben", sagt Albrecht Schmidt, Inhaber des Lehrstuhls für Mensch-Computer-Interaktion der Universität Stuttgart. „Man darf nicht ignorieren, dass der Mensch Teil des Systems ist: Absolute Sicherheit gibt es mit ihm nicht." Deshalb rückt er zunehmend ins Blickfeld der Wissenschaft: Informatiker erforschen die nutzerfreundliche Sicherheit.
Der Bedarf wächst mit der Zahl der Smartphones. Sie werden oft in der Öffentlichkeit entsperrt und sind dabei unzureichend geschützt: Eine PIN oder das Display-Muster der Android-Geräte, bei dem der Nutzer bis zu neun Punkte miteinander verbinden muss, können Diebe etwa in Bus oder Bahn mit einem einfachen Blick über die Schulter ausspähen. „Die Gefahr ist gewachsen, seit es in jedem Telefon eine kaum sichtbare Kamera gibt", sagt Schmidt. Interessant sind also Identifizierungsmethoden, die nicht mit einem Schulterblick oder per Kamera auszuspähen sind. Auf Druck und Tempo kommt es an
Der Münchner Informatiker de Luca hatte eine geniale Idee. Er lässt sich beim Entsperren über die Schulter schauen und übergibt sein Smartphone grinsend zum Test. Das Muster zum Anmelden ist denkbar einfach. „Zugriff verweigert", meldet das Gerät trotzdem, sobald ein Fremder das Muster eingibt. Das Gerät scheint auf rätselhafte Weise zu spüren, wen es vor sich hat. Der Trick: Für Außenstehende unsichtbar läuft im Hintergrund ein Algorithmus, der nicht nur das Muster vergleicht, sondern zudem prüft, wie das Muster gezeichnet wird, etwa Geschwindigkeit und Druck auf das Display misst. Dieser biometrische Faktor sorgt dafür, dass ein Angreifer auch mit dem richtigen Muster abgewiesen wird.
Anmeldemethoden wie die de Lucas erkennen den legitimen Nutzer an seinem Verhalten. Das ist einer der chancenreichsten Ansätze in der Sicherheitsforschung, was auch an der modernen Technik liegt: Weil Smartphones integrierte Bewegungssensoren haben, können sie mit Algorithmen ausgestattet werden, die den Besitzer an seiner Bewegung erkennen. Zudem können sie den Ort identifizieren und feststellen, ob das ein typischer Aufenthaltsort des Nutzers ist. Darüber hinaus ist es recht einfach zu berechnen, ob dieser die üblichen Programme, Apps und Kontakte nutzt.
Werden diese Faktoren kombiniert, kann ein Smartphone ungewöhnliche Situationen erkennen und sich selbst sperren. Eine aktive Authentifizierung wäre überflüssig. Das einzige, aber doch zentrale Problem dabei: Das System funktioniert nicht sofort. Das Gerät braucht Zeit, um zu erkennen, dass sich der Dieb anders bewegt und andere Orte aufsucht als der legitime Nutzer. Alexander de Luca befürchtet: „Der Datenräuber hat zu viel Zeit, in den Daten zu stöbern." Likebility: Musterzeichnen macht Spaß
Daher hat der Informatiker den Verhaltensansatz mit der Android-Mustererkennung kombiniert und die Praxistauglichkeit in einer Studie überprüft. Viele Testpersonen bemerkten den biometrischen Faktor gar nicht, da sie nie abgewiesen wurden, und die übrigen waren bei einem Fehlversuch recht geduldig. Bloß in der Straßenbahn zeigte das System Schwächen: Das Gerüttel veränderte die Wisch-Geschwindigkeit so sehr, dass die Nutzer nicht akzeptiert wurden. Das habe sie aber nicht gestört, berichtet de Luca – eine Erkenntnis, die ihn zunächst verwunderte: Das Musterzeichnen dauert ohnehin länger als die Eingabe einer PIN. Wer beim ersten Versuch abgewiesen wird, braucht noch länger. Wie passt das zu der Erkenntnis der geringen Toleranz gegenüber Sicherheitsmaßnahmen? „Das Musterzeichnen macht den Menschen Spaß, sie mögen es", erklärt de Luca das Phänomen.
Und was den Menschen Spaß macht, erhöht ihre Akzeptanz gegenüber Sicherheitsmaßnahmen. „Es muss leicht sein, komplexe Passwörter zu erstellen", meint Emanuel von Zezschwitz. Zwei zentrale Erkenntnisse sollen ihm bei der Lösung helfen: Menschen können sich Bilder gut merken, und sie haben ein motorisches Gedächtnis – ein Gedächtnis für Bewegungen, das etwa dazu führt, dass man Fahrradfahren nicht verlernt. Nutzer von PINs merken sich oft nicht die Zahlen, sondern die Bewegung, die ihr Finger beim Eingeben vollzieht. Viele bekommen das zu spüren, wenn sie im Ausland Geld abheben wollen und dort am Automaten die Zahlen anders angeordnet sind: Sie wissen plötzlich ihre PIN nicht mehr. Das motorische Gedächtnis ist der Grund, wieso die Muster der Android-Geräte so beliebt sind. Nur: Auch Diebe können sich solche Muster gut merken. De Luca untersucht deshalb auch, inwiefern sich die Rückseite eines Smartphones zum Entsperren einsetzen lässt. Die Idee: Auf einem zusätzlichen Display dort kann man das Muster „blind" zeichnen und ist vor fremden Blicken geschützt. Erste Laborversuche zeigen, dass sich ein solches Muster auch ohne hinzuschauen gut zeichnen lässt.
Einen anderen Ansatz für ein sicheres Login beim Smartphone der Zukunft verfolgen Albrecht Schmidt und sein Mitarbeiter Alireza Sahami in Stuttgart. Die Software „MagiSign", von den Wissenschaftlern gemeinsam mit den Telekom Innovation Labs entwickelt, verwendet den Kompass der Geräte. Der Nutzer identifiziert sich, indem er seine Unterschrift mit einem Magneten in die Luft schreibt. Die dadurch entstandenen Bewegungen der Kompassnadel nutzt der programmierte Algorithmus, um die Unterschrift mit dem Original zu vergleichen. Dafür braucht es keine neue Hardware, die Handhabung ist einfach. Aber ist sie auch sicher? Sahami hat in einer Studie vier Probanden in der Luft signieren lassen und diese von vier Seiten gefilmt. 22 andere Probanden sichteten das Videomaterial und versuchten, die Unterschrift nachzuahmen. Das Ergebnis: Keiner der „Hacker" konnte den Code knacken. Der legitime Benutzer hingegen wurde nie abgewiesen. Unverwechselbare Blicke
Unsichtbar für Schulterblicke sind auch die Augen des Nutzers. Ein weiteres Modell der Stuttgarter Forscher basiert daher auf „ Eyetracking" – dem Verfolgen von Augenbewegungen: Der Computernutzer betrachtet ein Bild auf dem Monitor und fixiert – von einer Kamera gefilmt – nacheinander vier Punkte, die wie vier Ziffern einer PIN als Login dienen. „Allerdings neigen Menschen zu trivialen Kombinationen", sagt Schmidt: Sie betrachten vorhersehbare Punkte wie Gesichter oder Turmspitzen. Deshalb berechnet ein Algorithmus im Vorfeld für jedes Bild dessen „ beliebte" Punkte, die bei der Wahl der PIN ausgespart bleiben müssen. Der Vorteil nebenbei: „Die meisten Menschen können sich Bilder besser merken als Zahlen oder Buchstaben", sagt Schmidt. In einer Laborstudie konnte niemand das Passwort knacken, legitime Nutzer wurden stets akzeptiert.
Informatiker von Zezschwitz glaubt, dass es mit den klassischen Passwörtern aus Buchstaben und Zahlen bald vorbei ist. Alexander de Luca ist sogar überzeugt, dass die neuen Entwicklungen der Mensch-Maschine-Interaktion in fünf bis zehn Jahren auf dem Markt sein könnten. Das ist dann hoffentlich das Aus für Hacker.
Info: Leichtes Spiel für Datendiebe
Manchmal freuen sich Informatiker über Hacker – zum Beispiel 2009, als ein Hacker die Datenbank der Spiele-Plattform „Rockyou" knackte und 32 Millionen Passwörter ins Internet stellte. Sicherheitsforscher nutzten diesen bisher größten Passwortdiebstahl der Geschichte als Datenbasis, um den alltäglichen Umgang der Internet-Nutzer mit ihren Passwörtern zu erforschen – und waren mehr als ernüchtert. Ihre Befürchtungen bestätigten sich: Fast 300 000 Nutzer verwendeten das Passwort „ 123456", jeweils rund 80 000 „12345" und „123456789", 60 000 hatten „password", 50 000 „iloveyou" gewählt. Hätte ein Hacker die Top-100 Passwörter dieser Liste durch einfaches Ausprobieren gefunden, so wäre er in der Lage gewesen, fast 1,5 Millionen Konten zu knacken.
Das macht deutlich: Wenn ein Anbieter seine Nutzer schützen möchte, sollten seine Richtlinien nicht möglichst lange Passwörter mit Ziffern, Buchstaben und Sonderzeichen vorschreiben – wichtiger ist eine einfache Liste unzulässiger PINs. Die RockYou Top 100 zu ver- bieten, wäre ein guter Anfang. Eine ähnliche Verbotsliste führt unter anderem der Nachrichtendienst Twitter. Wer beispielsweise „123456" als Passwort wählt, wird abgewiesen. Auch „password" und „twitter" sind nicht erlaubt. Das rettet rein rechnerisch einige Millionen Twitter-Nutzer vor Hackerangriffen.