SPIEGEL ONLINE

SPIEGEL ONLINE

17. August 2015, 12:26 Uhr

Login per Mikrofon

Mithören soll Computer sicherer machen

Nur mit dem richtigen Sound geht es ins Onlinekonto: Schweizer Forscher haben eine Software entwickelt, die Geräusche nutzt, um einen Benutzer zu bestätigen. Leider lässt sich auch dieses System austricksen.

Gute Passwörter sind gut. Wem aber Sicherheit wirklich wichtig ist, der verlässt sich beim Einloggen lieber auf einen zusätzlichen Schutz, die sogenannte Zwei-Faktor-Authentifizierung. Systeme, die dieses Prinzip nutzen, geben sich nicht mit einem Passwort zufrieden, bevor sie beispielsweise ein E-Mail-Konto freischalten. Stattdessen schicken sie etwa einen einmalig verwendbaren Sicherheitscode an das Handy des Nutzers. Nur wenn auch dieser Code korrekt eingegeben wird, wird der Zugang zum Konto gewährt.

Das Handy des Anwenders dient also als zusätzlicher Schutzmechanismus. Nur wer das Passwort kennt und auch noch das passende Gerät zur Hand hat, wird eingelassen.

Viele Onlinefirmen bieten solche Systeme an, um die Konten ihrer Kunden vor Missbrauch zu schützen. Microsoft, Google und Apple beispielsweise, aber auch Facebook, Dropbox und viele andere. Die Sicherheit wird dadurch deutlich erhöht, doch der Komfort leidet. Man muss zum Beispiel immer erst auf die Zusendung des Zugangscodes warten: Steckt man in einem Funkloch, hat man ein Problem.

Die Klangkulisse muss stimmen

Schweizer Forscher vom Institute of Information Security an der ETH Zürich wollen die Zwei-Faktor-Technik nun leichter bedienbar und schneller machen. Auf dem Usenix Security Symposium in Washington haben sie Sound-Proof vorgestellt, ein System, das Umgebungsgeräusche als zweites Identifizierungsmerkmal auswertet.

Die Funktionsweise ist denkbar einfach: Nachdem man auf seinem Computer das Passwort für eine Webseite eingegeben hat, startet auf dem Smartphone automatisch eine Sound-Proof-App. Zeitgleich werden dann die Mikrofone von PC und Handy aktiviert. Beide Geräte zeichnen die Umgebungsgeräusche auf.

Stimmt die Klangkulisse beider Geräte überein, geht das System davon aus, dass der Nutzer und sein Handy sich im selben Raum befinden, der Anwender also zugriffsberechtigt ist.

Anders als bei aktuellen Zwei-Faktor-Systemen muss man sein Handy also nicht in die Hand nehmen, keine Codes eingeben. Alles läuft automatisch, wie in einem Video der Forscher zu sehen ist. Sogar wenn das Mobiltelefon in einem Rucksack steckt, gelingt es, die Umgebungsgeräusche abzugleichen.

Austricksen möglich

Angst davor, auf diese Weise belauscht zu werden, müsse man nicht haben, sagen die Experten aus der Schweiz. Für den Abgleich würden nicht etwa die Tonaufnahmen selbst, sondern nur Klangsignaturen übermittelt.

Derzeit funktioniert Sound-Proof mit mehreren modernen Browsern, wie etwa Firefox und Chrome. Ihre Smartphone-App haben die Forscher mit den Betriebssystemen iOS und Android getestet.

Das Technikportal "Wired" glaubt trotzdem nicht an eine hundertprozentige Sicherheit von Sound-Proof: Ein gewiefter Hacker müsste seinem Opfer im Grunde nur lange genug folgen, nachdem er dessen Passwort erbeutet hat. Schließlich würde es ausreichen, sich im selben Raum wie die Zielperson zu befinden. Würde der Hacker dann das gestohlene Passwort in sein Notebook eintippen, würde dieses vom nahen Handy des Opfers bestätigt.

mak

URL:


© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung