Tippbiometrie vereinfacht
Per Tippverhalten anmelden
Die sichere Authentifizierung von Benutzern stellt eine Herausforderung für Unternehmensnetze, aber auch für E?Commerce-Lösungen dar: Die Gefahr durch immer professionelleres Agieren von Cyber-Kriminellen gebietet heute höhere Sicherheit, als sie traditionelle Passwörter bieten. Biometrie - und damit Personenbindung - rückt verstärkt in den Fokus. Relativ einfach und flexibel lässt sich dabei die Tippbiometrie einsetzen, die auf der Individualität des menschlichen Tippverhaltens beim Schreiben von Texten basiert.Immer komplexere IT-Architekturen, Cloud Computing oder Home Office - jede technische Weiterentwicklung verlangt eine Antwort auf die Frage: Wie unterscheide ich Zugriffsberechtigte von Unbefugten? Doch auch heute noch erfolgt das Login überwiegend mittels Passwort. Dieses lässt sich zwar einfach und ohne großen technischen Aufwand einsetzen, und der Anwender kann es an jedem herkömmlichen Rechner benutzen. Sicher ist dieses Verfahren aber nicht. Die Praxis hat schon oft bewiesen: Passwörter lassen sich ausspähen, stehlen, hacken und missbrauchen. Für Kriminelle sind sie oft ein leichtes Spiel. Zudem vergessen Nutzer häufig ihr Passwort - Neuvergaben sind oft mit viel Verwaltungsaufwand oder mit wiederum sicherheitstechnisch fragwürdigen automatisierten Verfahren verbunden.
Zahlreiche Unternehmen haben daher umgerüstet auf Authentisierungshardware wie Token oder Smartcard. Dies erhöht die Sicherheit signifikant. Der Haken bei diesen Lösungen: Was geschieht, wenn der Anwender unterwegs ist und die Hardware zu Hause vergessen hat? Was, wenn er im Ausland dringend Zugang zum Netzwerk benötigt und ausgerechnet dann seine Hardware nicht funktioniert - etwa, weil sie beschädigt ist? Und wie steht es, wenn der Sensor zum Lesen defekt ist oder die Smartcard verloren ging? Der Einsatz von Authentisierungshardware erweist sich daher nicht für jeden Einsatzfall als praxisgerechte Lösung.
Personengebundene Authentifizierung
Schutz vor Verlust bietet einzig eine definitiv an die berechtigte Person gebundene Nutzererkennung. Dies kann nur Biometrie leisten. Seine Identität mittels eines individuellen Merkmals nachzuweisen, erfordert vom Benutzer eigentlich keine große Anstrengung. Dennoch stoßen die bekannten biometrischen Erkennungsverfahren wie Finger-Print, Stimmanalyse oder Iris-Scan bei Anwendern vielfach auf Ressentiments und werden oft nur widerwillig praktiziert. Als biometrische Alternative bietet sich das menschliche Tippverhalten an. Es ist bei jeder Person ganz individuell ausgeprägt - vergleichbar mit der Handschrift. Die Methode als solche ist langjährig erprobt und das Verfahren inzwischen patentiert. Die Tippbiometrie unterscheidet sich dabei von allen anderen Methoden sowohl in Hinblick auf Handhabung als auch bezüglich des Datenschutzes.
Was aber ist am menschlichen Tippverhalten so einzigartig, dass es sich zur Authentifizierung eignet? Zahlreiche Kriterien fließen in das individuelle Tippprofil ein: zum Beispiel Schreibrhythmus, Bedienung der Shift-Tasten, Links- und Rechtshändigkeit oder etwa die Handhabung schwer erreichbarer beziehungsweise selten genutzter Tasten. Im Millisekundenbereich findet beispielsweise der Wechsel von einer Taste zur nächsten statt. Allein dabei existieren bei jedem Übergang ganz unterschiedliche individuelle Verfahrensweisen: Sauberer Wechsel von einer Taste zur nächsten; eine Taste noch halten, während die nächste schon gedrückt wird; beide halten, bis der nächste Buchstabe geschrieben ist (Überschneidungen) etc. Manche dieser Spezifika lassen sich durch den Schreiber nicht beeinflussen, da sie im Unterbewusstsein ablaufen. Dies mag andeuten, wie individuell jedes menschliche Tippprofil ausfällt.
Authentisierung mit Tippverhalten
Die Anwendung von Tippbiometrie gestaltet sich in der Praxis denkbar einfach. Der Nutzer braucht sich - anders als beim Passwort-Login - nichts zu merken: Er tippt einen kurzen vorgegebenen Satz ab und erhält sofort Zugang zu seinen Daten. Jeder andere Benutzer wird abgewiesen, denn sein Profil stimmt nicht mit dem hinterlegten überein. Der zu tippende Text erscheint dabei offen auf der Login-Maske. Er muss nicht geheim gehalten werden. Entscheidend ist nicht, was der Benutzer tippt, sondern wie er tippt - und dies kann selbst ein aufmerksamer Beobachter nicht nachahmen.
Natürlich muss der Benutzer zuerst sein Profil trainieren, was in der Regel zwei bis drei Minuten Zeit benötigt. Er tippt den Login-Text ein paar Mal ab, und das Erkennungssystem generiert auf dieser Basis das Tippprofil des Nutzers. Anschließend kann sich dieser sofort mittels Tippbiometrie einloggen. Die intelligente Erkennungssoftware aktualisiert bei jedem erfolgreichen Login dieses Profil, um sich langfristigen Änderungen des Tippverhaltens anzupassen. Kurzfristige, alltägliche Schwankungen des Tippverhaltens - etwa wenn der Benutzer morgens etwas langsamer tippt - toleriert das Verfahren, ohne an Trennschärfe zu verlieren.
Der Tippbiometrie kommt dabei zugute, dass sie bereits auf eine lange Historie zurückblicken kann. Die Entdeckung des Tippverhaltens als Erkennungszeichen erfolgte bereits Ende des 19. Jahrhunderts zu Zeiten des Telegrafierens. Im ersten Weltkrieg wurden feindliche Truppenbewegungen am Morseverhalten der Funker identifiziert. Im zweiten Weltkrieg verifizierten sich englische Agenten mit ihrem hinterlegten Tippprofil. In den achtziger Jahren des letzten Jahrhunderts schließlich kam die Idee auf, auch Computerzugänge mit Tippbiometrie abzusichern. Allerdings sollte sich die Weiterentwicklung der Technik noch als langer Weg erweisen, bis das Verfahren die Einsatzreife für hohe Anforderungen erzielte.
Unabhängigkeit und Anwendungsaspekte
Augenfällig ist die neue Dimension der Unabhängigkeit: Wie beim Passwort kann auch die Methode der Tippbiometrie an jedem Rechner mit Tastatur zur sicheren Authentisierung dienen. Da die Software auf dem Web-Server des Anbieters (Unternehmen, Portal oder Institution) integriert ist, benötigt der Nutzer kein zusätzliches Modul wie Sensoren oder Hardware. Er loggt sich auf jedem beliebigen Rechner sekundenschnell mit seinem Tippverhalten ein: Die einzige Biometrie - die auch im Internet funktioniert.
Der Grad an Sicherheit einer solchen Lösung ist ohne weiteren Aufwand skalierbar: entweder durch die Länge des Textes oder mittels zweitem Faktor - etwa einem Passwort - oder hardwaregebundener Authentifizierung. So lassen sich auch hochsensible Transaktionen - etwa im Finanzbereich oder auf Vorstandsebene eines Unternehmens - einfach und angemessen schützen. Auch die Nachvollziehbarkeit bei kritischen Workflows ist auf diese Weise gewährleistet. Interessante Anwendungsaspekte für die Tippbiometrie ergeben sich beispielsweise auch für Online-Portale. Diese verzeichnen oft hohe Verluste, da Unberechtigte über "Account Sharing" Dienstleistungen nutzen oder einkaufen, ohne zu bezahlen. Mit der personengebundenen Authentisierung der Kunden ist es möglich, doppelt genutzte Accounts (oder Fake Accounts) zu entdecken und über eine Blacklist zu sperren.
Auch den Umgang mit Partnernetzen kann Tippbiometrie für Unternehmen erleichtern: Anders als bei gängigen Methoden sind hier weder teure Hardware noch aufwändige Logistik nötig. Der Partner muss lediglich die Registrierung auf dem Server des Unternehmens vollziehen, um dessen Angebote umgehend nutzen zu können.
Schließlich eignet sich die Tippbiometrie auch als kostengünstiger Passwort-Reset. Helpdesks kann dies signifikant entlastet. Gleichzeitig ist sichergestellt, dass die Person, die ihr Passwort vergessen hat, sich ohne die sonst notwendige Überprüfung persönlich einloggt, um dieses sofort selbstständig zurückzusetzen - und dies ohne Wartezeit und den damit verbundenen Produktivitätsausfall.
Datenschutzaspekte
Datenschutz entwickelt sich mehr und mehr zur wichtigen vertrauensbildenden Maßnahme gegenüber Mitarbeitern und Kunden. Auch die Authentisierung der Benutzer wirft entsprechende Fragen auf: Welche Daten werden wie lange gespeichert? Ist es nötig, diese Daten zu erheben? Erfolgt die Speicherung datenschutzkonform? Gerade bei Biometrien reagieren die Mitarbeiter und der Betriebsrat im Unternehmen sensibel. So ließen sich in der Vergangenheit solche Verfahren häufig nicht gegen Vorbehalte und Widerstände durchsetzen.
Beim Tippverhalten in der Festtextvariante, die hier beschrieben ist, handelt es sich um eine datenschutzfreundliche Biometrie. Das Verfahren erhebt und verarbeitet keine sensiblen Daten, die Rückschlüsse etwa auf die rassische und ethnische Herkunft des Nutzers zulassen und sich damit anderweitig missbrauchen lassen.
Das Tippverhalten als Authentifizierung verbindet den Komfort eines Passworts mit der hohen Sicherheit der Biometrie - insbesondere im Internet.
Lesen Sie mehr zum Thema
