Login per Mikrofon Mithören soll Computer sicherer machen

Nur mit dem richtigen Sound geht es ins Onlinekonto: Schweizer Forscher haben eine Software entwickelt, die Geräusche nutzt, um einen Benutzer zu bestätigen. Leider lässt sich auch dieses System austricksen.

Lautsprechertürme: Eine neue Software soll den Nutzer am Klang erkennen
DPA

Lautsprechertürme: Eine neue Software soll den Nutzer am Klang erkennen


Gute Passwörter sind gut. Wem aber Sicherheit wirklich wichtig ist, der verlässt sich beim Einloggen lieber auf einen zusätzlichen Schutz, die sogenannte Zwei-Faktor-Authentifizierung. Systeme, die dieses Prinzip nutzen, geben sich nicht mit einem Passwort zufrieden, bevor sie beispielsweise ein E-Mail-Konto freischalten. Stattdessen schicken sie etwa einen einmalig verwendbaren Sicherheitscode an das Handy des Nutzers. Nur wenn auch dieser Code korrekt eingegeben wird, wird der Zugang zum Konto gewährt.

Das Handy des Anwenders dient also als zusätzlicher Schutzmechanismus. Nur wer das Passwort kennt und auch noch das passende Gerät zur Hand hat, wird eingelassen.

Viele Onlinefirmen bieten solche Systeme an, um die Konten ihrer Kunden vor Missbrauch zu schützen. Microsoft, Google und Apple beispielsweise, aber auch Facebook, Dropbox und viele andere. Die Sicherheit wird dadurch deutlich erhöht, doch der Komfort leidet. Man muss zum Beispiel immer erst auf die Zusendung des Zugangscodes warten: Steckt man in einem Funkloch, hat man ein Problem.

Die Klangkulisse muss stimmen

Schweizer Forscher vom Institute of Information Security an der ETH Zürich wollen die Zwei-Faktor-Technik nun leichter bedienbar und schneller machen. Auf dem Usenix Security Symposium in Washington haben sie Sound-Proof vorgestellt, ein System, das Umgebungsgeräusche als zweites Identifizierungsmerkmal auswertet.

Die Funktionsweise ist denkbar einfach: Nachdem man auf seinem Computer das Passwort für eine Webseite eingegeben hat, startet auf dem Smartphone automatisch eine Sound-Proof-App. Zeitgleich werden dann die Mikrofone von PC und Handy aktiviert. Beide Geräte zeichnen die Umgebungsgeräusche auf.

Stimmt die Klangkulisse beider Geräte überein, geht das System davon aus, dass der Nutzer und sein Handy sich im selben Raum befinden, der Anwender also zugriffsberechtigt ist.

Anders als bei aktuellen Zwei-Faktor-Systemen muss man sein Handy also nicht in die Hand nehmen, keine Codes eingeben. Alles läuft automatisch, wie in einem Video der Forscher zu sehen ist. Sogar wenn das Mobiltelefon in einem Rucksack steckt, gelingt es, die Umgebungsgeräusche abzugleichen.

Austricksen möglich

Angst davor, auf diese Weise belauscht zu werden, müsse man nicht haben, sagen die Experten aus der Schweiz. Für den Abgleich würden nicht etwa die Tonaufnahmen selbst, sondern nur Klangsignaturen übermittelt.

Derzeit funktioniert Sound-Proof mit mehreren modernen Browsern, wie etwa Firefox und Chrome. Ihre Smartphone-App haben die Forscher mit den Betriebssystemen iOS und Android getestet.

Das Technikportal "Wired" glaubt trotzdem nicht an eine hundertprozentige Sicherheit von Sound-Proof: Ein gewiefter Hacker müsste seinem Opfer im Grunde nur lange genug folgen, nachdem er dessen Passwort erbeutet hat. Schließlich würde es ausreichen, sich im selben Raum wie die Zielperson zu befinden. Würde der Hacker dann das gestohlene Passwort in sein Notebook eintippen, würde dieses vom nahen Handy des Opfers bestätigt.

mak



insgesamt 15 Beiträge
Alle Kommentare öffnen
Seite 1
123ich456 17.08.2015
1. Was nützt es
die Eingangstür zu verrammeln wenn im Haus alle Fenster offen stehen?
wll 17.08.2015
2. Kein Titel
"Ein gewiefter Hacker müsste seinem Opfer im Grunde nur lange genug folgen, nachdem er dessen Passwort erbeutet hat." Ich denke doch, dass es mir auffallen würde, wenn mir jemand bis in meine Wohnung folgen möchte... ;-)
PeterPan95 17.08.2015
3.
Soso, ich stecke in einem Funkloch, aber möchte mir dringend einen neuen E-Mail-Account anlegen. Über welches Internet genau wird dann eigentlich die Soundsignatur übertragen, wenn da nicht mal eine SMS ankommt?
westerwäller 17.08.2015
4. Zählt zu den biometrischen Methoden ...
... die sind noch lange nicht ausgereizt, um die eigene Identität zu verifizieren. Handliche, billige und überlistungssichere Geräte zum Auswerten von Urin- oder Stuhlproben werden wohl auch bald angeboten oder gefordert werden ...
Tiananmen 17.08.2015
5.
Eine völlig bescheuerte Idee. Ich komme in relativ vielen Büros herum und muss dabei immer wieder feststellen, dass die Gebäude keinen Mobilempfang zulassen. Sei es, dass die Scheiben metallbedampft sind, sei es, dass konstruktionsbedingt die Fassade so viel Metall enthält, dass die Telekom völlig die Öhren anlegt. Die Idee ist so gaga, wie die Empfehlung sich einen Transaktionscode für Online-Banking auf das Handy schicken zu lassen. Unsere HP-Notebooks haben zum Teil Fringer Print Reader. Wenn man seine Finger mit dabei hat, dann ist das ein relativ sicherer Zugang. Und funktioniert auch in einem unterirdischen Industriestandort mit zahlreichen Maschinen und Abschirmungen. Bei den Schweizern ist das freilich anders. Die sitzen in hölzernen Bauernhäusern und draußen muht unaufhörlich die Milchkuh Anna. ;- )
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.