Betrugssichere Kennwörter aus Bildern

Informatiker entwickelt betrugssicheres Passwortsystem

Mit SecLookOn hat das österreichische Unternehmen Merlinnovations ein Passwortsystem entwickelt, das auf Basis von Bildassoziationen der User betrugssichere Kennwörter generiert.

Das Besondere an dem System ist, dass nicht, wie bisher üblich, ein bestimmtes Geheimnis wie Passwort oder PIN-Code zwischen Computer und Anwender ausgetauscht wird. "Der Anwender gibt bei SecLookOn den Code nicht direkt ein, sondern muss lediglich beweisen, dass er ihn kennt", erläutert Helmut Schluderbacher, Entwickler des Systems, im Gespräch mit pressetext. Dieser Beweis erfolgt durch eine zuvor festgelegte Bilder-Farben-Kombination.

Bei SecLookOn muss sich der Anwender merken, welche Farbe er mit einem Bild oder einem Bildpaar assoziiert. So könnte man beispielsweise das Bild eines Meeresstrandes je nach individueller Assoziation mit der Farbe blau kombinieren. In weiterer Folge wählt der Anwender eine Farbe, die mit dem gleichzeitigen Erscheinen beider Bilder assoziiert wird, sowie eine für jenen Fall, dass keines der beiden Bilder erscheint. Diese Farben-Bilder-Kombinationen sind der Schlüssel. In der praktischen Anwendung erscheinen nun Bilder auf der einen Bildschirmhälfte und bunte Farbfelder auf der anderen. Die Farbfelder beinhalten außerdem Zahlen. Erscheint das richtige Bild, so tippt der User jene Zahl ein, die im zugeordneten Farbfeld erscheint. Je nachdem, ob nun eines, keines oder beide der vom Benutzer gewählten Bilder erscheinen, wählt der User die entsprechende Zahl.

"Unsere Methode hat den Vorteil, dass selbst ein aufmerksamer Zuseher das System nicht begreifen kann. Zudem erscheinen beim nächsten Einloggen andere Bilder-Zahlen-Kombinationen, wodurch ein neuer Zahlencode entsteht", führt Schluderbacher aus. Dadurch, dass bei jedem Login ein neuer Code entsteht, ist das Ausspionieren unmöglich. Phishing-E-Mails gehen dadurch ebenfalls ins Leere. "Das System ist nicht nur abhörsicher, es kommt auch der spezifischen Arbeitsweise des Gehirns entgegen. Denn Menschen merken sich Bilder leichter als Zahlen", meint Schluderbacher.

Zum Einsatz kann die Passwort-Lösung praktisch bei jedem System kommen, wo ein Kennwort oder PIN-Code zur Authentifizierung verlangt wird, so der Entwickler. Die Anwendungsfälle reichen vom Online-Datenzugriff über Software bis zu Bankomaten. Das System sei zudem sehr flexibel, so Schluderbacher. Denn sowohl der Betreiber wie auch der Kunde könne festlegen, ob ein fixer oder dynamischer PIN-Code oder eine Kombination davon genutzt werden soll. SecLookOn wurde 2004 zum Patent angemeldet, seitdem verfeinerten die Programmierer die Software. Nun steht die finale Version zur Verfügung und kann von Interessierten online getestet werden. (pte/hal)