Technische Neuheit Passwort und Lärm sorgen für Sicherheit

E-Banking ist mit einer 2-Faktor-Authentifizierung besonders geschützt: Wir geben nicht nur ein Passwort ein, sondern einen zweiten Code. Weil sich das Prinzip auch für andere besonders schützenswerte Internet-Konten eignet, hat es ein ETH-Spinoff vereinfacht – mit Akustik.

Ein Gesicht, über den Augen ein Formularfeld "Email" und "Password" - und links und rechts zwei riesige Ohren.

Bildlegende: Eingeloggt über beide Ohren: Soundproof bietet 2-Faktor-Authentifizierung über die Analyse von Hintergrundgeräuschen. SRF

«Soundproof» heisst die Entwicklung des ETH-Spinoffs Futurae, frei übersetzt: Einen Nachweis mit Hilfe von Geräuschen erbringen.

Und so funktioniert's: Um sich auf einer Webseite anzumelden, gibt man zuerst wie gewohnt sein Passwort ein. Die Soundproof-App nimmt dann über das Smartphone und das Mikrophon im Notebook die Umgebungsgeräusche auf. Der Rechner von Soundproof vergleicht danach beide Aufzeichnungen. Stimmen die überein, so schickt es das OK für das Login und der Nutzer ist angemeldet.

Das neue Verfahren ist eine originelle Spielart der sogenannten 2-Faktor-Authentifizierung. Dabei muss eine Nutzerin zusätzlich zum Passwort noch weitere Information eingeben, die sie wenn möglich über eine zweite, unabhängige Verbindung erhält – einen Zahlencode etwa, den sie in einer SMS zugeschickt bekommt oder mit Hilfe eines Kartenlesers generiert. Das sorgt für zusätzliche Sicherheit, denn in diesem Szenario muss ein Angreifer nicht nur das Passwort abfangen, sondern zusätzlich auch noch den Code.

Hintergrundgeräusche sind nicht zu fälschen

Der Vorteil des Soundproof-Verfahrens liegt auf der Hand: Für diese Art der 2-Faktor-Authentifizierung benötigt der Anwender weder ein spezielles Kartenlesegerät noch eine altmodische Streichliste, er muss weder einen QR-Code am Bildschirmt (Foto-TAN) abfotografieren noch einen Code eingeben, den er mit einer SMS erhalten hat. Ihr Verfahren sei trotzdem absolut sicher, ist Samuel Berger von Futurae überzeugt.

Animiertes GIF vom Anmeldevorgang via Soundproof.

Bildlegende: Wenn es funktioniert, dass ist Soundproof komfortabel. Aber es funktioniert nicht immer. SRF

Wer die App herunterlädt und zum ersten Mal die Demo ausprobiert, ist verblüfft. Sogar wenn das Smartphone in der Jackentasche bleibt, funktioniert der Anmeldevorgang innerhalb weniger Sekunden – allerdings nur, wenn man sich nicht gerade an einem ruhigen Ort aufhält.

Sonst muss man ein kurzes Selbstgespräch führen, damit Soundproof Geräusche zum Analysieren hat. Oder man schaltet die Lautsprecher eines der Geräte ein und Soundproof gibt Ultraschall-Geräusche aus. Trotzdem gibt es immer wieder Momente, bei denen Soundproof das Login verweigert, obwohl Geräusche – hörbare oder unhörbare – vorhanden sind.

Nachweis mit Lärm gelingt nicht immer

Im echten Einsatz würde Soundproof im Fall einer solchen Verweigerung auf eine alternative Authentifizierung zurückgreifen, die ein Login trotzdem möglich macht – dann aber ohne Miteinbezug von Hintergrundgeräuschen.

Bereits führe man Gespräche mit einigen Kunden, sagt Samuel Berger im Interview. Soundproof scheint also mehr als nur ein Gag zu sein, auch wenn es in der Demo noch etwas instabil wirkt und die Entwickler bis zu ernsten Einsätzen wohl noch etwas nachbessern müssen. Bestechend ist ihre Idee dennoch schon heute.