Biometrische Authentifizierung über den Herzschlag

Passwörter, die überall zur Authentifizierung eingesetzt werden, sind im Grunde eine Sicherheistlücke – und das aus verschiedenen Gründen. Der wichtigste Grund ist, dass Menschen dazu tendieren, schlechte Passwörter zu verwenden,

Passwörter, die überall zur Authentifizierung eingesetzt werden, sind im Grunde eine Sicherheistlücke – und das aus verschiedenen Gründen. Der wichtigste Grund ist, dass Menschen dazu tendieren, schlechte Passwörter zu verwenden, um sich diese leichter merken zu können. Darin liegt das Problem: Gute Passwörter sind schwer zu knacken, aber auch schwer zu merken; schlechte Passwörter sind leichter zu merken, aber auch leichter zu knacken. Seit Jahren arbeitet die Sicherheitsindustrie daran, Passwörter mit etwas Einfacherem und gleichzeitig Sichererem zu ersetzen. Doch abgesehen von einer Menge seltsamer biometrischer Verfahren sowie anderer Science-Fiction-inspirierter Ideen, nutzt fast jeder nach wie vor Passwörter, um sich bei verschiedenen Geräten und Online-Diensten anzumelden.

Authentifizierung_Herzschlag

Doch jetzt kommt etwas Neues: Das menschliche Herz enthält in seinem rechten Vorhof einige Nervenzellen und Synapsen, die als Herzschrittmacher bezeichnet werden. Dieser Schrittmacher sendet elektrische Impulse, die das Herz zum Schlagen bringen. Diese Impulse und der von ihnen erzeugte Herzrhythmus können mit einem Elektrokardiogramm (EKG) gemessen werden. Wenn solche EKGs mit entsprechender Präzision gemessen werden, können sie einzigartig identifiziert werden. Wie ein Fingerabdruck, sind auch die EKGs aller Menschen unterschiedlich – und das ist für die biometrische Authentifizierung vielversprechend.

Eine Firma namens Bionym ist der neueste Teilnehmer im Wettbewerb um die Passwort-Nachfolgetechnologie: Das Unternehmen arbeitet an einem neuen tragbaren Gerät, das das EKG des Trägers misst. Bionym behauptet, das Gerät könne zuverlässig zwischen den verschiedenen EKGs unterscheiden, selbst wenn das Herz schneller oder langsamer als normalerweise schlägt.

Das Gerät nennt sich Nymi und wird wie eine Armbanduhr getragen, enthält allerdings zwei Elektroden: Eine, die am Handgelenk anliegt, und eine auf der anderen Seite.Wenn ein Anwender seinen Finger auf die zweite, äußere Elektrode legt, wird dadurch ein Stromkreis geschlossen, der Herzrythmus gemessen und ein EKG erzeugt.Dieses EKG wird dann von einer Software von Bionym analysiert, die mit Nymi mitgeliefert wird.

„Wir verarbeiten das Signal, um einzigartige Eigenschaften herauszufiltern, die in der generellen Wellenform enthalten sind,“ so ein Bionym-Sprecherin einem E-Mail-Interview mit unseren Freunden von Threatpost. „Wir vergleichen diese Eigenschaften, nicht das Signal an sich.“

Die Software authentifiziert dann den Anwender für jedes Gerät, mit dem Nymi arbeiten kann. Bionym plant, das Gerät im kommenden Jahr zu veröffentlichen. Derzeit arbeitet das Unternehmen mit Entwicklern zusammen, so dass das Gerät beim Verkaufsstart mit möglichst vielen Geräten kompatibel sein wird.

Karl Martin und Foteini Agrafioti, beides Forscher und Biometrie-Experten an der University of Toronto, haben Bionym gegründet. Sie sind wahrscheinlich unter den ersten, die ein tragbares Gerät produzieren, das biometrische Indikatoren für die Authentifizierung messen kann, doch sie sind nicht die ersten, die diese Idee zumindest theoretisch hatten.

Bruce Tognazzini, Ingenieur im Bereich der Nutzerfreundlichkeit und Experte der Mensch-Computer-Interaktion, hat Anfang dieses Jahres einen langen Artikel in seinem persönlichen Blog veröffentlicht, in dem er argumentiert, dass Apples iWatch neben allen anderen Funktionen ein Authentifizierungsmechanismus sei. Er hält biometrische Messwerte für grundlegende Authentifizierungen am besten.

Darüber hinaus scheint kein Monat zu vergehen, in dem man nicht über etwas neues Biomterisches hört, das Passwörter vielleicht ersetzen könnte. Am beachtenswertesten ist dabei natürlich der Touch-ID-Sensor beim Apple iPhone 5S. Doch innerhalb einer Woche nach der Ankündigung, dass das neue iPhone mit einem eingebauten Fingerabdruck-Scanner ausgeliefert werden wird, haben Hobby- und professionelle Sicherheitsforscher Geld gesammelt und eine Belohnung für den Hacker ausgesetzt, der Touch ID als erster umgehen kann. Vier Tage nachdem der Wettbewerb ausgerufen wurde, scheint der renommierte deutsche Chaos Computer Club bereits gewonnen zu haben. Ob die Belohnung wirklich ausgezahlt wird, ist im Grunde nicht so wichtig, denn die Forschung des CCC wirft eine viel wichtiger Frage auf: Sind biometrische Daten wirklich das Mittel, um Passwörter zu ersetzen?

Es ist natürlich zu früh, biometrische Authentifizierung schon zu verdammen, doch der CCC wollte zeigen – und hat das wahrscheinlich auch geschafft –, dass Fingerabdruck-Scanner, die schon seit Jahren als Fehleranfällig bekannt sind, nicht die ideale Lösung sind.

„Wir hoffen, dass dies endlich die Illusionen der Menschen zur Fingerabdruck-Authentifizierung zerstört. Es ist einfach komplett dumm, etwas das man nicht ändern kann und das man laufend überall hinterlässt, als Sicherheits-Merkmal zu nutzen,“ so Frank Rieger, ein Sprecher des CCC. „Die Öffentlichkeit sollte sich nicht länger von der Biometrie-Industrie mit falschen Behauptungen blenden lassen. Biometrie ist vor allem eine Technologie, die geschaffen wurde, um zu unterdrücken und zu kontrollieren, und nicht, um den Zugriff auf alltägliche Geräte zu schützen.“

Der CCC hat die klare Meinung, dass Biometrie schlecht ist. Doch nur die Zeit wird zeigen, ob diese Meinung generell richtig ist. Bisher haben wir auf jeden Fall noch keine dieser Methoden im bedeutsamen Einsatz bei Authentifizierungen gesehen, doch in einem hat der CCC auf jeden Fall recht: Fingerabdruck-Scanner sind keine tolle Idee, denn unsere Fingerabdrücke können nicht verändert werden und wir lassen sie überall und auf allem, das wir berühren, zurück. Die Authentifizierung über den Herzschlag ist etwas besser, denn den Herzschlag lassen wir nicht überall zurück. Doch wie alle biometrischen Möglichkeiten ist auch diese fragwürdig, denn auch sie kann nicht verändert werden. Eine der wenigen Stärken von Passwörtern ist schließlich, dass man sie – wenn nötig – ganz einfach ändern kann.

Tipps