Tipp-Dynamik erlaubt Authentifizierung
Tipp-Dynamik erlaubt Authentifizierung Mit der automatischen Erstellung eines neuen Passworts ohne Help-Desk-Belastung senkt die Uni Regensburg IT-Betriebskosten. Technische Grundlage der sicheren Selbstbedienung ist eine Biometrie-Lösung auf der Basis des individuellen Tippverhaltens
Wenn heute über den Einsatz biometrischer Verfahren diskutiert wird, geht es in der Regel um Methoden, die auf Körpermerkmalen des Menschen aufbauen. Stark im Vordergrund bei den Anwendungen steht – wohl aufgrund der langen Tradition in der Kriminalistik – der Fingerabdruck. Seltener werden Merkmale wie Stimme, Venen- oder Irismuster oder Gesichtsausdruck für die Authentisierung herangezogen. Eine noch geringere Rolle in der Diskussion und Anwendungsszene spielen die sogenannten aktiven biometrischen Merkmale des Menschen, also bestimmte Verhaltensmuster wie die speziellen Bewegungsdynamiken beim Unterschreiben, beim Gehen, beim Sprechen oder beim Tippen auf einer Tastatur. Wenige wissen, dass die personale Einmaligkeit gerade des zuletzt genannten verhaltenstypischen Merkmals mitnichten erst im Computerzeitalter erkannt worden ist, sondern schon seit den ersten Einsätzen der Tastfunk-Technik als Kommunikationsinstrument bekannt ist. Gute Tastfunker erkannten schon damals ohne Probleme, welche Gegenstelle aus dem Bekanntenkreis am anderen Ende gerade auf die Morsetaste drückte.
15 verschiedene Parameter
Der Tastaturanschlag jedes Menschen - egal, ob mit Zweifinger- oder Zehnfingersystem - ist zwar unverwechselbar für den Kenner, die technische Umsetzung zur zuverlässigen Authentifizierung von Personen an Systemen ist aber trotzdem nicht trivial. Der Teufel steckt auch hier im Detail. Viele dieser Details sind aber beispielsweise in dem System Psylock (»Psychometric Locking«), was die gleichnamige Regensburger Firma anbietet, gelöst. Nicht umsonst war der technische Kopf der Firma, Professor Dr. Dieter Bartmann, für die von ihm entwickelte Tippverhalten-Biometrie letztes Jahr unter den Preisträgern des renommierten Deutschen Sicherheitspreises der Horst-Görtz-Stiftung (siehe Information Week 11/2008). Bartmann und seine Mitarbeiter haben ein auf dem persönlichen Tippverhalten aufsetzendes Verfahren ohne Sensor entwickelt, das mit jeder gebräuchlichen Tastatur funktioniert. Es errechnet aus 15 verschiedenen Parametern ein stabiles Tipp-Profil, mit dem sich der Benutzer eindeutig authentisieren kann, nachdem er ein erstes Profil durch mehrmaliges Tippen eines Satzes erstellt hat. Bei der Anmeldung muss er den kurzen, auf dem Bildschirm sichtbaren Satz nur einmal tippen und erhält Zugang zum System. Jeder andere wird abgelehnt. Mit jeder erfolgreichen Anmeldung lernt die Software hinzu und passt das Benutzerprofil kontinuierlich an das Tippverhalten an, das sich ja verändern kann. Ein zusätzlicher erheblicher Vorteil: Die Sicherheit der Psylock-Methode kann sich nach den Bedürfnissen des jeweiligen Nutzers richten. Letzteres heißt nichts anderes, als dass die Sicherheit mit der Länge des zur Anmeldung eingetippten Textes steigt. Denn je mehr Text eingegeben wird, desto mehr Informationen gibt der Benutzer dem System. »Bei psychometrischen Verfahren lassen sich die Wahrscheinlichkeiten für eine Falschakzeptanz und eine Falschzurückweisung extrem reduzieren, wenn man nur lange genug tippt«, erläutert Psylock-Geschäftsführer Bartmann
Tippvorgang wird als Zufallsexperiment aufgefasst
In der Praxis reicht zur Authentifizierung aber eine kurze Tipp-Sequenz, um einen Nutzer zuverlässig identifizieren zu können. Das System erfasst zum einen die psychometrischen Merkmale des Tippverhaltens, Geschwindigkeit, Konstanz und Präzision, aber auch Rechts- oder Linkshändigkeit und Tipp-Technik (Zwei-Finger- oder Zehn-Finger-System).
Schwankungen im Tippverhalten
Die Erfassung der psychometrischen Merkmale ist aber nur die eine Seite des Verfahrens. Dazu kommen statistische Verfahren und mathematische Modellierungstechniken. Diese Verfahrenskomponenten sind nicht nur deshalb notwendig, um die beim Authentifizierungsvorgang zu tippende Textlänge im Akzeptanzrahmen zu halten, sondern auch, um die Schwankungen im Tippverhalten ein und derselben Person auszugleichen. »Der Vorgang des Tippens wird als Zufallsexperiment aufgefasst und mithilfe geeigneter Verteilungsfunktionen modelliert. Über die entsprechenden Schätzer für die Modellparameter und Ausreißertests kommt man zu den für die Bildung der Referenzmuster benötigten Größen«, skizziert Dieter Bartmann in kurzen Worten den komplexen mathematischen Hintergrund von Psylock. Aus den Modellannahmen würden dann Testgrößen hergeleitet, so der »Psylock-Erfinder« weiter, die sich für die Analyse des Anmelde-Textes eigneten. Ein sogenanntes Multi-Layer-Perzeptron sorge für die personenindividuell optimierte Gewichtung der beobachteten psychometrischen Einzelmerkmale. Psylock ist vielfach getestet und wird von Nutzer-Pionieren wie Martin Wimmer, Leiter des Rechenzentrums der Universität Regensburg, als sehr sicher bezeichnet (siehe Interview). An der Universität Regensburg wird Psylock als optionales Verfahren für die automatische Neuzuteilung eines Passworts verwendet, wenn der Nutzer sein bisheriges Kennwort vergessen hat. Der Service-Desk wird für den Passwort-Reset nicht mehr benötigt. Bis vor Kurzem war es so, dass jedes Mal nach den Semesterferien Hunderte von Studenten ihre Passwörter vergessen hatten. Das belastete den Service-Desk ganz gewaltig und erzeugte immense Kosten. Die Sache wurde noch weit schlimmer, als die Passwörter - um gesetzlichen Bestimmungen zu genügen - alle 90 Tage geändert wurden. Der Service-Desk war hoffnungslos überlastet.
Selbstbedienung bei der Passwort-Rücksetzung
Aber auch aus Nutzersicht kann die sichere und automatische Zuteilung von enormer Bedeutung sein. Hier sei ein durchaus sehr realitätsnaher Fall skizziert. Eine Geologie-Studentin macht gerade ein kartografisches Praktikum in einer Diamantenmine in der südafrikanischen Provinz, als ihr einfällt, dass sie vergessen hat, sich für ein Kernseminar des nächsten Semesters an der Universität einzutragen. Leider wurde inzwischen das Passwort geändert. Bei einem händischen oder halbautomatischen Passwort-Reset ist ohne zuverlässige Kommunikations- und Identifizierungsmöglichkeiten eine Authentifizierung nicht durchführbar. Das ginge nur bei der deutschen Botschaft und die ist 500 Kilometer entfernt. Aber selbst wenn die Authentifizierungsstelle näher läge, das Procedere wäre kompliziert und langwierig: Der Weg von der Deutschen Botschaft verliefe über Umwege zur Universität nach Deutschland, es käme dann ein vorläufiges Passwort über Umwege in das afrikanische Land zur Deutschen Botschaft. Diese würde die Studentin benachrichtigen. Inzwischen dürfte die Frist zur Einschreibung verstrichen sein. Heute gehört ein solches Szenario zumindest an der Universität Regensburg der Vergangenheit an. Jeder Nutzer kann sein Passwort selbst sicher und problemlos zurücksetzen und ist nicht auf einen Administrator angewiesen ist. Die Universität ihrerseits kann durch die deutliche Entlastung des Service-Desks ihre IT-Betriebskosten erheblich senken.
- 1. Seite: Tipp-Dynamik erlaubt Authentifizierung
- 2. Seite: 15 verschiedene Parameter
- 3. Seite: Tippvorgang wird als Zufallsexperiment aufgefasst
- 4. Seite: Schwankungen im Tippverhalten
- 5. Seite: Selbstbedienung bei der Passwort-Rücksetzung
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Acer rockt die Eifel
Rund um den Nürburgring dröhnten einmal nicht die Rennmotoren: Beim Acer Kick-off 2012 brachten stattdessen Bässe und Gitarrensoli die Eifel zum Wackeln. Über 600 Acer-Partner rockten zum Ausklang des Partner-Events im Eifel Stadl zu Live Musik oder ließen sich im Rockstar-Outfit fotografieren.
Die besten Multifunktions-Farblaser ab 300 Euro
Im Gegensatz zu den ultrabilligen Tintenstrahl-Einsteigerdruckern, die oft schon unter 100 Euro zu haben sind, sollte die Investition in einen Multifunktions-Laserdrucker schon etwas besser überlegt sein. Wir sagen Ihnen, welcher Laser sich besonders für welchen Zweck lohnt.
Cisco zurück auf Wachstumskurs
Cisco ist zurück auf der Überholspur. Nach einem radikalen Stellenabbau und einer stärkeren Fokussierung hat der Netzwerkriese im zurückliegenden Quartal sowohl Umsatz als auch Gewinn deutlich ausgebaut.
» Bilderstrecken
» Meistgelesene News
Ist Ihrer auch zu breit?
Die linke Fahrspur ist in vielen Autobahn-Baustellen nur für Fahrzeuge mit maximal zwei Meter Breite zugelassen. Jetzt warnt der ADAC: 67 Prozent der Neuwagenmodelle sind breiter als zwei Meter! Wer nicht nachmisst, riskiert ein Bußgeld.
Chefs versagen im zwischenmenschlichen Umgang
Vielen Führungskräften fehlt es an Empathie im Umgang mit ihren Mitarbeitern und sie erfüllen ihre Aufgaben nicht effektiv. Zu diesem ernüchternden Ergebnis kommt eine Studie des Beratungsunternehmens Development Dimensions International (DDI).
» Bundesliga-Tippspiel 2011
