Leichtere Zwei-Faktor-Authentifizierung per Handy
Schweizer Forscher wollen 2FA-Verfahren einfacher machen, indem die Anwesenheit von PC und Handy in einem Raum abgeprüft werden.
Ein Passwort mag noch so lang und kompliziert sein – fällt es einem externen Angreifer in die Hände, hat der freie Fahrt. Bei wichtigen Anwendungen wie etwa Online-Überweisungen oder E-Mail-Diensten ist deshalb mittlerweile zunehmend die sogenannte Zwei-Faktor-Authentifizierung (2FA) Standard – beziehungsweise wird empfohlen.
Das heißt bekanntermaßen: Neben dem Passwort gibt es immer auch noch ein weiteres Sicherheitsmerkmal über ein weiteres Gerät, etwa eine per SMS an das Handy des Nutzers gesendete Transaktionsnummer. Sonderlich bequem ist das in der Praxis allerdings nicht, weshalb bei weitem nicht jeder Nutzer die 2FA-Absicherung auch verwendet, selbst wenn sie offiziell angeboten wird.
Ein Forscherteam der Eidgenössischen Technischen Hochschule (ETH) in Zürich will die Zwei-Faktoren-Authentifizierung deshalb nun radikal vereinfachen, berichtet Technology Review in seiner Online-Ausgabe ("Sicher dank Sound"). Dazu wird vorhandene Technik in PC und Handy eines Nutzers verwendet: die verbauten Mikrofone.
Das Verfahren namens Sound-Proof, das sich derzeit noch im Prototypstadium befindet, setzt auf zwei Teile: Eine Browser-gestützte Software im PC und eine zuvor vom Nutzer zu registrierende Login-App auf dem Handy, die für iOS und Android angeboten werden soll. Beide nehmen beim Einloggen im Browser am PC (zum Einloggen auf dem Handy ist die Technik bislang nicht geeignet) automatisch die Umgebungsgeräusche auf und gleichen sie gegeneinander ab. Empfangen beide Geräte dieselben Klänge, müssen sie folglich an einem gemeinsamen Ort sein. Hätte ein Hacker einfach nur ein Passwort erbeutet, wäre das nicht der Fall, der zweite Faktor ließe sich nicht authentifizieren.
Das System soll nach Angaben der Forscher sogar dann noch ausreichend zuverlässig funktionieren, wenn das Handy im Rucksack seines Besitzers steckt, die Tonaufnahme also nur unterdrückt möglich ist. Dazu muss die App allerdings im Hintergrund laufen. Sound-Proof funktioniert mit aktuellen Browsern wie Chrome, Firefox oder Opera und soll sich technisch rasch umsetzen lassen. Firmen können es serverseitig implementieren.
Mehr dazu bei Technology Review Online:
(bsc)
