Passwörter knacken mit Hirnwellen

Schon relativ einfache EEG-Geräte reichen aus, um die Treffsicherheit beim Erraten von PINs und Passwörtern deutlich zu erhöhen. Laut Forschern sollten sich die Anbieter solcher Technik dringend mit dem Problem beschäftigen.

In Pocket speichern vorlesen Druckansicht 2 Kommentare lesen
Lesezeit: 5 Min.
Von
  • Tom Simonite
Inhaltsverzeichnis

Der Epoc+ ist ein 800 Dollar teures Headset zur Erfassung von Hirnwellen, das emotionale Zustände wie Frustration oder Freude erkennen und sich einsetzen lassen soll, um mittels Gedanken Roboter zu steuern. Nitesh Saxena, Associate Professor an der University of Alabama in Birmingham, hat jetzt allerdings gezeigt, dass es sich noch für einen ganz anderen Zweck eignet: Er hat das Gerät genutzt, um Software dabei zu helfen, PINs und Passwörter zu erraten. Dies ist ein weiterer Beitrag zum Thema Sicherheit bei Hirnschnittstellen. Wie es aus der Forschung heißt, birgt die Technik selbst in ihrer heutigen begrenzten Form Risiken, die besser abgesichert werden müssten.

Mehr Infos

"Ich würde sagen, es ist schon heute ein Risiko, und mit verbesserter Technik ließe sich in Zukunft noch mehr damit machen", sagt Saxena zu der Möglichkeit, dass private Daten mittels Hirnschnittstellen gestohlen werden. "Die Leute müssen sich Datenschutz- und Sicherheitsmodelle für diese Geräte überlegen." Unter anderem Facebook und ein neues Start-up von Elon Musk arbeiten an neuen Hirnschnittstellen, die mehr Sicherheitsrisiken bringen würden.

Der von Emotiv angebotene Epoc+ ist eines von einer Handvoll Geräten auf dem Markt, bei denen Headsets mit Elektroden Spannungsveränderungen in der äußeren Schicht des Gehirns detektieren, was als Elektroenzephalografie (EEG) bezeichnet wird. Die Technik wird in Forschung und Medizin eingesetzt, um Roboter zu steuern oder Gehirnerschütterungen zu diagnostizieren; im Verbraucherbereich werden sie zur Steuerung von Spielen verkauft.

An den EEG-Signalen lässt sich nicht direkt erkennen, was eine Person denkt oder tut, und als Werkzeug zur Steuerung sind sie noch relativ grob. Doch die Experimente von Saxena sind ein weiterer Beleg dafür, dass sie durchaus private Informationen verraten können.

Bei der Studie wurde ein Szenario getestet, bei dem eine Person ihr PC-Spiel unterbricht, um sich in ein Online-Konto einzuloggen, wobei sie noch das EEG-Headset trägt. Als Erstes gaben die Probanden mit dem Headset auf dem Kopf zufällige PINs und Passwörter ein, so dass die Software die Verbindungen zwischen ihrem Tippen und den dabei entstehenden Hirnwellen lernen konnte. In der Realität ließe sich das laut Saxena erreichen, indem ein Spiel Nutzer im Rahmen der Handlung auffordert, Zahlenfolgen oder Text einzugeben.

Nachdem die Algorithmen die Eingabe von etwa 200 Zeichen beobachtet hatten, konnten sie allein anhand von EEG-Daten zielgenaue Schätzungen dazu abgeben, welche weiteren Zeichen jemand tippte. Ein in krimineller Absicht geschriebenes Spiel könnte also Nutzer ausspionieren, die zwischendurch im Web surfen. Das System dafür ist bislang alles andere als perfekt, doch es erhöht die Wahrscheinlichkeit dafür, eine PIN mit sechs Ziffern herauszufinden, von 1 zu 10.000 auf 1 zu 20; bei einem Passwort mit sechs Zeichen erhöht sich die Trefferwahrscheinlichkeit um den Faktor 500.000 auf etwa 1 zu 500.

Bereits zuvor hatten Forscher an der University of Washington eine andere Methode für das Abgreifen von Informationen über ein EEG-Headset gezeigt. Sie programmierten Spiele, bei denen extrem kurz Bilder wie zum Beispiel Bank-Logos gezeigt wurden, und registrierten die unbewusste Reaktion darauf in den Hirnwellen. Auf diese Weise könnten sich Daten herausfinden lassen, die von Wert für Phishing-Kampagnen oder Anzeigen sind, sagt Tamaro Bonaci, eine Forscherin, die an dieser Arbeit beteiligt war. Sogar Informationen über die sexuelle Orientierung seien mit dem Verfahren nicht mehr sicher.

Als Motivation für ihre Forschung gibt die Gruppe aus Washington die Tatsache an, dass Unternehmen aggressiv Daten über die Web- und Mobilgeräte-Nutzung von Kunden sammeln, zum Beispiel für zielgenaue Anzeigen.

Auch ohne Zugriff auf Daten vom Hirn versuchen Unternehmen bereits, den emotionalen Zustand von Menschen einzuschätzen. Zugleich zeigen Dokumente, die der Zeitung Australian zugespielt wurden, dass Facebook darüber nachgedacht hat, Teenagern auf ihre aktuellen Gefühle abgestimmte Anzeigen vorzusetzen. Im vergangenen Monat verlangte ein Jurist und Ethiker an der Universität Zürich die Entwicklung eines neuen Rechtsrahmens für Neurotechnologie einschließlich eines "Rechts auf Datenschutz für Gedanken".

Laut Bonaci sollten Unternehmen, die an EEG-Headsets arbeiten, sich jetzt mit diesen Themen beschäftigen. Denn es stehe immer mehr auf dem Spiel, weil Fortschritte bei Maschinenlernen Forschern dabei helfen, immer mehr Informationen aus EEG-Daten zu beziehen. "Die Fortschritte in den vergangenen Jahren waren enorm, und ich erwarte, dass es so weiter geht", sagt sie.

(sma)