Sicher dank Sound

Schweizer Forscher nutzen Hintergrundgeräusche als zusätzliches Schutzmerkmal zum Einloggen am PC.

Einfache Passwörter, da sind sich alle Sicherheitsexperten einig, reichen zur Absicherung eines PCs auf Dauer nicht aus – da mag ein Kennwort noch so lang und kompliziert sein. Fällt es durch Abhören der Daten oder einen Phishing-Angriff einem externen Angreifer in die Hände, hat der freie Fahrt.

Bei wichtigen Anwendungen wie etwa Online-Überweisungen oder E-Mail-Diensten ist deshalb mittlerweile zunehmend die sogenannte Zwei-Faktor-Authentifizierung (2FA) Standard – beziehungsweise wird dringend empfohlen.

Das heißt: Neben dem Passwort gibt es immer auch noch ein weiteres Sicherheitsmerkmal über ein zusätzliches Gerät, etwa eine per SMS an das Handy des Nutzers gesendete Transaktionsnummer oder eine Push-Nachricht an eine App. Sonderlich bequem ist das in der Praxis allerdings nicht, weshalb bei weitem nicht jeder Nutzer die 2FA-Absicherung auch verwendet, selbst wenn sie offiziell angeboten wird.

Ein Forscherteam der Eidgenössischen Technischen Hochschule (ETH) in Zürich bestehend aus Nikolaos Karapanos, Claudio Marforio, Claudio Soriente und Srdjan Capkun hat die Zwei-Faktoren-Authentifizierung deshalb nun radikal vereinfacht, um sie bei den Internet-Usern einfacher durchzusetzen. "Die meisten Nutzer bevorzugen derzeit reine Passwort-basierte Systeme", schreiben sie. Dazu wird vorhandene Technik in PC und Handy eines Nutzers verwendet: die in so gut wie jedem Gerät verbauten Mikrofone.

Sowohl PC als auch Handy mit einer speziellen Login-App, bei der sich der Nutzer zuvor registriert hat, nehmen während des Einloggens automatisch die Umgebungsgeräusche auf und gleichen sie gegeneinander ab. Empfangen beide Geräte dieselben Klänge, müssen sie folglich an einem gemeinsamen Ort sein – und derjenige, der über den Rechner ein Passwort eingibt, hat auch Zugriff auf das angemeldete Handy. Hätte ein Hacker einfach nur ein Passwort erbeutet, wäre das nicht der Fall. Der zweite Faktor ließe sich nicht korrekt authentifizieren.

In Nutzertests mit Googles Zwei-Faktor-Verfahren zeigte sich, dass Probanden die Technik als einfacher empfanden als die Standardmethode – und eine Mehrzahl entschied sich dafür, Sound-Proof auch dann einzusetzen, wenn die 2FA-Verwendung grundsätzlich optional ist.

"Sound-Proof verbessert die Usability und Umsetzbarkeit von 2FA-Verfahren und kann so zu einer großflächigen Annahme führen", hoffen die Wissenschaftler.

Das System soll nach Angaben von Karapanos & Co. sogar dann noch ausreichend zuverlässig funktionieren, wenn das Handy im Rucksack oder der Hosentasche seines Besitzers steckt, die Tonaufnahme also nur unterdrückt möglich ist. Dafür muss die Login-App allerdings im Hintergrund laufen beziehungsweise aufgeweckt werden. "Solange sich beide Geräte in der Nähe befinden, funktioniert das Verfahren", schreiben die Forscher. Sound-Proof funktioniert mit aktuellen Browsern wie Chrome, Firefox oder Opera und soll sich technisch rasch umsetzen lassen. Firmen können es serverseitig implementieren. (bsc)