Zugangsdaten:
KeyTrac identifiziert Nutzer anhand ihres Tippverhaltens

Die zahlreichen Hackerangriffe auf bekannte Webdienste zeigen: Absolute Sicherheit gibt es nicht. Ein Regensburger Startup will mit KeyTrac aber einen Beitrag leisten, um einem solchen Zustand zumindest so nahe wie möglich zu kommen: Es identifiziert Nutzer anhand ihres Tippverhaltens.

Kaum eine Woche vergeht, ohne dass nicht ein bekanntes Internetunternehmen Opfer einer größeren Hackerattacke wird. Häufig verschaffen sich die Angreifer Zugang zu den Benutzerdaten von Anwendern. Erst kürzlich sah sich der bekannte Notizbuchdienst Evernote deshalb gezwungen, die Passwörter aller Nutzer zurückzusetzen. Kurz zuvor mussten 250.000 Twitter-Anwender aufgrund einer Attacke ebenfalls ihre Zugangsdaten erneuern. Das ist nicht nur für User ärgerlich, sondern natürlich auch für die betroffenen Dienste, die Vertrauen aufs Spiel setzen und zusätzlichen Aufwand haben. Da verwundert es nicht, dass Onlineservices verstärktes Interesse an zusätzlichen Sicherheitsvorkehrungen wie etwa der Zwei-Faktor-Authentifizierung zeigen, deren Implementation nun auch bei Evernote auf der Roadmap steht.

Ein Regensburger Startup hat in dieser Woche einen neuen Service lanciert, der ganz gut in das Arsenal von Security-Werkzeugen großer und kleiner Onlineangebote passen würde. KeyTrac heißt das Angebot von TM3 Software, ein 2008 gegründetes Spin-Off der Universität Regensburg, das sich bisher auf Warenwirtschaftssysteme für mittelständische Handelsbetriebe, Fullfilment-Provider und Online-Händler im deutschsprachigen Markt fokussierte. Mit KeyTrac betreten die Bayern nun neues Terrain und wollen auch international durchstarten.

Tippverhalten entlarvt Unbefugte

Bei KeyTrac handelt es sich um einen Service für Entwickler und Betreiber von Webplattformen und -anwendungen jeglicher Dimension, mit dem sich Zugangsdaten und Passwörter von Anwendern biometrisch absichern lassen. Die von dem Unternehmen entwickelte Technologie erfordert lediglich eine handelsübliche Tastatur auf Seiten des Nutzers, zusätzliche Hardware ist nicht erforderlich. KeyTracs Verfahren identifiziert User allein anhand ihres individuellen Tippverhaltens und zeichnet sich laut Firmenangaben durch eine nahezu hundertprozentige Treffsicherheit aus.

Die Integration von KeyTrac in ein Webangebot wird über das Einbetten eines JavaScript-Codes in die Website realisiert. Betritt daraufhin ein Nutzer eine Site und trägt seine Benutzername-Passwort-Kombination in ein Login-Formular ein, analysiert KeyTrac im Hintergrund das Tippverhalten zum jeweils verwendeten Benutzernamen und beurteilt auf dieser Basis, ob es sich bei dem Initiator des Zugangsversuchs tatsächlich um eine autorisierte Person oder aber um einen Eindringling handelt, der sich fremde Benutzerdaten unter den Nagel gerissen hat.

Keine Übermittlung sensibler Daten

KeyTrac betont, dass beim Analyseprozess keine sensiblen Daten wie etwa Passwörter an die Server des Unternehmens übertragen werden. Durch die nahtlose Integration in die bestehenden Login-Prozesse merken Anwender in der Regel nichts von der zusätzlichen Sicherheitsmaßnahme – es sei denn, es handelt sich bei ihnen um Unbefugte, die aufgrund ihres Tippverhaltens trotz der korrekten Zugangsdaten am Einloggen gehindert werden.

JavaScript muss aktiviert sein

Eine Einschränkung von KeyTrac liegt in der Verwendung von JavaScript. Ist die Skriptsprache im Browser deaktiviert, kann KeyTrac keine Analyse des Tippverhaltens durchführen. Der Login-Prozess wird dadurch zwar nicht beeinträchtigt, allerdings entfällt der von KeyTrac versprochene Sicherheitsaspekt. Onlinegauner müssten also lediglich JavaScript in ihrem Browser abschalten, um sich erfolgreich bei einem fremden Konto anzumelden. Für maximale Sicherheit raten die Regensburger deshalb, Login-Versuche ohne JavaScript generell nicht zuzulassen. Eine Option wäre auch, Usern die Entscheidung darüber zu überlassen, ob sie für ihren Account einen “sicheren Login” mit JavaScript-Zwang aktivieren möchten oder nicht.

Tablets werden nicht unterstützt

Pausieren muss der KeyTrac-Algorithmus auch bei Logins, die über berührungsempfindliche Bildschirme erfolgen, da sich das Tippverhalten auf diesen stark von der Eingabe auf herkömmlichen Tastaturen unterscheidet. Einen endgültigen Schutz vor individuellen Zugriffen durch nicht autorisierte Personen kann KeyTrac deshalb letztlich nicht bieten, es erschwert allerdings systematische, massenhafte Logins in fremde Konten auf Basis von gestohlenen und entschlüsselten Benutzername-Passwort-Listen.

Dashboard

Kunden innerhalb der von KeyTrac definierten Zielgruppe von Entwicklern, Shopbetreibern, Paymentprovidern und Unternehmen mit Intranet, welche die Technologie ausprobieren möchten, wählen ein kostenpflichtiges Paket abhängig von der Zahl der aktiven, einen Login praktizierenden Nutzer. Das günstigste Paket ist für 39 Dollar monatlich zu haben und unterstützt 200 aktive User – hiervon gibt es auch eine kostenfreie 30-tägige Testversion. Ein Dashboard liefert Statistiken über die Zugriffsversuche. In einer Simulation zeigen die Bayern die Treffgenauigkeit ihrer Technologie.

KeyTrac präsentiert sein Produkt in einem eleganten, zeitgemäßen Äußeren und folgt mit den Konditionen einer Reihe von anderen modernen Onlinedienstleistern, die auf Verträge mit Sternchentexten und viel Kleingedrucktem verzichten: Einrichtungsgebühren, Vertragswechselgebühren, Mindestvertragslaufzeiten oder Kündigungsfristen existieren nicht. Einen ersten Erfolg kann das Startup laut Aussage des KeyTrac-Presseverantwortlichen Matthias Kalb bereits verzeichnen: Zwei große E-Learning-Plattformen in den USA probieren das System derzeit aus, dürfen allerdings noch nicht genannt werden. /mw

Link: KeyTrac

 

Martin Weigert

Martin Weigert ist der leitende Redakteur von netzwertig.com.

Mehr lesen

Authentifizierung im Web: Warum ich die Passwort-vergessen-Funktion liebe

20.11.2013, 15 KommentareAuthentifizierung im Web:
Warum ich die Passwort-vergessen-Funktion liebe

Wer viel im Web aktiv ist, hat gewöhnlich haufenweise Passwörter, die sicher verwaltet werden möchten. Das nervt. Zumal Kennwörter eigentlich ohnehin überflüssig sind.

Ende des Passwort-Chaos\' in Sicht: Warum Apples Touch ID einen genauen Blick wert ist

11.9.2013, 12 KommentareEnde des Passwort-Chaos' in Sicht:
Warum Apples Touch ID einen genauen Blick wert ist

Der Fingerabdrucksensor Touch ID in Apples neuem iPhone 5C könnte der Anfang vom Ende von Passwörtern sein. Und das ist gut so.

Logins in der Cloud: Unser Experiment mit Onelogin

1.10.2012, 0 KommentareLogins in der Cloud:
Unser Experiment mit Onelogin

Mit Onelogin haben wir bei Blogwerk ein Single Sign On-System, mit dem wir Passwörter und Logins für alle Mitarbeiter verwalten können. Die Einführung und Nutzung eines solchen Tools ist aber nicht ganz trivial.

Benutzerfreundliche Datensicherheit im Netz: Der Traum von der perfekten Security-Lösung für die Masse

25.11.2013, 5 KommentareBenutzerfreundliche Datensicherheit im Netz:
Der Traum von der perfekten Security-Lösung für die Masse

Die meisten User wollen sie, nur wenige bekommen sie: Sicherheit im Netz. Anbieter, die Security und den Schutz der Privatsphäre mit einer hohen Benutzerfreundlichkeit kombinieren, sehen ihre Chance.

Ohne Sorge im Netz: Secucloud verspricht einzigartige Sicherheit für Privatnutzer und Firmen

5.11.2013, 5 KommentareOhne Sorge im Netz:
Secucloud verspricht einzigartige Sicherheit für Privatnutzer und Firmen

Das aus Hamburg stammende Startup Secucloud will den Zugriff auf das Netz für Privatpersonen und kleine Firmen sicherer machen. Dazu lagert es entsprechende Prozesse mit Hilfe eines speziellen Routers und einer VPN-Verbindung in die Cloud aus.

Trend-Thema Verschlüsselung: Wie es Boxcryptor seit den Snowden-Enthüllungen erging

30.9.2013, 0 KommentareTrend-Thema Verschlüsselung:
Wie es Boxcryptor seit den Snowden-Enthüllungen erging

Auch wenn vielen Bürger das Interesse fehlt, sich intensiv mit dem Überwachungsskandal zu befassen - Verschlüsselungssoftware steht stärker im Rampenlicht als je zuvor. Die Gründer von Boxcryptor berichten, welche Folgen dies hat.

6 Kommentare

  1. Hm, ja, lustig, aber beim Ausprobieren des Live-Tests erreiche ich keinen Übereinstimmungswert jenseits der 51% – und ich habe nicht geschummelt, extra langsam oder anders getippt, sondern tatsächlich so, wie ich das immer tue.

    Ein solcher Wert ist allerdings völlig inakzeptabel.

    Vermutlich verbessert sich die Erkennungsrate rein statistisch bei häufigerer Benutzung, aber dennoch bin ich überrascht von diesem mäßigen Ergebnis.

  2. @Andreas

    Du hast vollkommen recht, die Erkennungsrate verbessert sich je öfter man sich anmeldet. Das “Problem” Deiner niedrigen Übereinstimmungsrate ist die hohe Genauigkeit des Systems. Konzentriert man sich wirklich darauf gleichmäßig zu tippen, hatte ich schon sehr häufig 99% – 100%.

    Von der anderen Seite betrachtet: Die 51% identifizieren den echten User immer noch besser als beispielsweise die 5% eines “Hackers”. Deshalb senden wir als Antwort der API auch die Prozentzahl und nicht nur einen Ja/Nein Wert mit. So kann jeder Anwender selbst entscheiden ab wann er einem Benutzer misstraut. Liegt die Genauigkeit aller Deiner Anwender bei über 50%, kannst Du das als Einstellung verwenden…

  3. An der Uni Regensburg wird ein ähnliches Verfahren zur Passwortwiederherstellung des Uni Accounts angeboten. Wahrscheinlich stecken da die gleichen Verantwortlichen dahinter wie bei KeyTrac.
    Habe bis jetzt nur positive Erfahrung damit gesammelt. Einen fremden Account habe ich noch nicht versucht zu hacken.

  4. Als Regensburger musste ich es natürlich ausprobieren. Bei meinem ersten Log-In kam ich auf 70 %, danach grundsätzlich über 90%. Bei Eingabe der “Übungsdaten” mit nur einem Finger waren es nur noch 40 %. So gehört sich das dann wohl.

  5. Man muss sich nur in den Finger schneiden oder die Fingernägel geschnitten haben – schon tippt man anders. Und was ist mit Nutzern, die über Smartphones reinwollen? Zusätzlich zur Unsicherheit und dem extrem leichten Umgehen also einfach nur eine unbrauchbare Grundidee aufgrund heutiger Technik. Wer dafür etwas zahlt ist schon ziemlich leichtgläubig!

3 Pingbacks

  1. [...] KeyTrac KeyTrac identifiziert Nutzer anhand ihres Tippverhaltens Die zahlreichen Hackerangriffe auf bekannte Webdienste zeigen: Absolute Sicherheit gibt es nicht. Ein Regensburger Startup will mit KeyTrac aber einen Beitrag leisten, um einem solchen Zustand zumindest so nahe wie möglich zu kommen: Es identifiziert Nutzer anhand ihres Tippverhaltens. Netzwertig.com [...]

  2. [...] Zugangsdaten: KeyTrac identifiziert Nutzer anhand ihres Tippverhaltens | netzwertig.com I Internetwi… [...]

  3. [...] Zugangsdaten: KeyTrac identifiziert Nutzer anhand ihres Tippverhaltens | netzwertig.com I Internetwi… [...]

vgwort