Go to Top

Was nach dem Passwort kommt

biometrisches Login

Über die Schwierigkeiten bei der Passwortwahl haben wir vor kurzem berichtet. Welche Alternativen existieren denn?

Sicherer als das althergebrachte Passwort ist die sogenannte Zwei-Faktor-Authentifizierung. Dazu wird neben Passwort und Benutzername ein weiterer Sicherheitsfaktor eingesetzt, meist ist es das Smartphone. Nach Eingabe der Zugangsdaten muss noch ein Code eingegeben werden, der per App abrufbar ist. Aber auch hierfür gilt: 100%ige Sicherheit ist so nicht erreichbar. Zwar muss ein Angreifer neben dem Wissen um die Zugangsdaten auch Kontrolle über das Smartphone haben, aber unmöglich ist das nicht. Sicherer ist dies Methode natürlich dennoch und sollte – sofern der Dienst sie anbietet – auch genutzt werden.

Welche Möglichkeiten stehen alternativ zur Verfügung? Da wären der Fingerabdruck- und Irisscanner zu nennen oder der Zugang mit Hilfe von Software für die Gesichtserkennung. Aber auch biometrischen Merkmale lassen sich fälschen. Ein Fingerabdruck auf Klarsichtfolie oder ein hochauflösendes Foto mit dem Porträt des Benutzers könnten die Sensoren überlisten.

Eine neuartige Methode erprobt Google momentan. Die vor zwei Jahren übernommene Firma SlickLogin arbeitet an der Identifizierung via Ultraschall. Bei dieser Login-Methode spielt der Computer einen Ton ab, der für menschliche Ohren nicht hörbar ist. Das Smartphone erkennt das Signal und meldet den Nutzer auf dem Computer an.

Eine Kombination aus Nutzerverhalten und biometrischen Daten nutzt ein anderes Google-Projekt namens Abacus. Dabei wird das Nutzerverhalten analysiert – zum Beispiel über die Tippweise, die Stimmerkennung oder die Nutzung von Apps – und mit biometrischen Daten kombiniert. Das Ergebnis der Analyse zeigt die Wahrscheinlichkeit, ob es sich um den richtigen Nutzer handelt.

Noch mehr gefällig? Die Schweizer Firma Biowatch nutzt die Venenlandkarte des Unterarm eines Nutzers zur Identifikation. Eine biometrische Armbanduhr dient als Sensor. Und das smarte Armband Nymi identifiziert den Nutzer an Hand seines Herzschlags.

Noch tiefer geht das genetische Login wie beim Project Genetic Access Control. Dazu wird eine Speichelprobe an die Biotechnologiefirma 23andMe geschickt, dort analysiert und ein genetischer Fingerabdruck erstellt. Um sich einzuloggen muss man allerdings nicht auf einen Sensor spucken, die Identifizierungsmöglichkeit ist für das Login bei Drittanbietern aus einer App gedacht – das sogenannte OAuth-Verfahren. Für Interessierte: Bei heise.de finden Sie eine dazu ausführliche Beschreibung.