Malen statt Passwörter tippen

Gerade auf Smartphones kann das Eingeben von Passwörtern lästig sein, doch ihre Touchscreens ermöglichen auch eine andere Art der Zugangskontrolle: Nutzer könnten einfach eine beliebige Form als Pass-Geste festlegen.

Bislang muss man für Anwendungen wie Online-Banking oder mobiles Shopping umständlich ein Passwort auf dem Smartphone eintippen. In nicht allzu ferner Zukunft aber könnte es möglich sein, stattdessen einfach eine Form oder ein anderes Muster auf den Touchscreen zu zeichnen.

Forscher der Rutgers University und der finnischen Aalto-Universität haben jetzt die Nutzerfreundlichkeit der so genannten „Authentifizierung mit freien Gesten“ untersucht, bei der Nutzer zum Nachweis ihrer Identität mit einem oder mehreren Fingern eine Form auf den Bildschirm zeichnen. Nach Tests mit zwei Gruppen, von denen eine ihre Smartphone-Apps mit derartigen Gesten-Passwörtern entsperren sollte und die andere mit normalen Text-Passwörtern, kommen sie zu dem Ergebnis: Mit dem Finger auf dem Touchscreen zu malen, geht schneller und lässt sich genau so leicht merken wie ein konventionelles Passwort.

„Gesten sind eine echte Alternative für die Authentifizierung auf Smartphones, weil sie sich schnell festlegen lassen und auch schnell zu benutzen sind“, sagt Janne Lindqvist, Professor für Elektrotechnik und Informatik an der Rutgers University. Er ist einer der Autoren eines Fachaufsatzes über die Arbeit, die im Mai auf der Konferenz ACM-CHI im kalifornischen San Jose vorgestellt werden soll.

Lindqvist und Kollegen haben vor etwa zwei Jahren begonnen, sich mit Gesten-Authentifizierung auf Touchscreens zu beschäftigen. Jetzt wollten sie sehen, was passiert, wenn Nutzer diese Variante auf ihren Telefonen konkret ausprobieren, während sie ihrem normalen Alltag nachgehen. Also ließen sie eine Gruppe von 91 Probanden zwei Wochen lang die eigenen Smartphones nutzen, wobei aber eine spezielle App dafür sorgte, dass sie sich gelegentlich bei Pseudo-Konten anmelden mussten (zwei verschiedene in der ersten Woche, sechs in der zweiten).

Wie sich zeigte, brauchten die Personen, die statt Passwörtern Gesten verwendeten, für das Einloggen 22 Prozent weniger Zeit. Außerdem waren sie 42 Prozent schneller darin, sich beim ersten Anmelden statt eines Passworts eine Geste zu überlegen. Am häufigsten kamen sie dabei auf Formen von Quadraten und Herzen bis zu Sternen und Umschlägen.

Allerdings machten die Probanden mit den Gesten-Passwörtern bei der Eingabe fast doppelt so häufig Fehler wie die Kontrollgruppe. Ein großer Teil davon unterlief ihnen jedoch kurz nach dem Anlegen dieser Passwörter, und mit der Zeit nahm die Fehlerrate ab. Die Forscher gehen deshalb davon aus, dass es eine gewisse Zeit dauert, bis man sich an diese Art der Authentifizierung gewöhnt hat.

Laut Lindqvist können die Gestern aber sicherer sein als Text-Passwörter, denn sie haben stärkeren Zufallscharakter, und mit einem Computer lassen sich leicht massenweise textbasierte Passwörter generieren und ausprobieren, um in ein fremdes Konto einzudringen. Nicht klar ist bislang allerdings, ob Gesten-Passwörter nicht doch einfacher zu knacken wären, wenn sie weitere Verbreitung finden.

Eine Möglichkeit dagegen wäre ein Schwellenwert dafür, wie genau eine Geste auf dem Touchscreen gezeichnet werden muss. Bei realen Anwendungen, so Lindqvist, könnte man die Anforderung davon abhängig machen, wie gut ein Zugang gesichert werden soll (was die Angelegenheit für Nutzer mit Wurstfinger etwas frustrierend machen könnte).

Nasir Memon, Professor für Computertechnik an der New York University, hat in seinem Labor ähnliche Versuche vorgenommen. Nach seinen Worten wird ein System zur Passwort-Eingabe zwar leichter angreifbar, wenn man Toleranzen für das einzugebende Muster zulässt. Andererseits könne man dabei auch feine Unterschiede bei Tempo und Druck berücksichtigen, was von einem Hacker schwieriger nachzuahmen ist.

„Selbst wenn man beobachtet wird, liegt der Vorteil bei Gesten darin, dass ein Angreifer Zeit und Übung bräuchte, um die Eingabe zu replizieren“, sagt er.

(sma)