Open Sesame

Login per App und Foto-Handy

Wer sich Benutzernamen und Passwörter für Online-Accounts nicht merken kann oder will, könnte bald Hilfe von seinem Handy bekommen. Informatiker aus Tübingen haben mit "Open Sesame" ein Verfahren entwickelt, das am Computer einen Login mithilfe eines 2D-Codes und der Smartphone-Kamera ermöglicht.

Die Handy-App erlaubt dem User also auf seine Accounts zuzugreifen, ohne auf dem Computer Passwörter einzugeben oder zu speichern. Dadurch können diese auch nicht von Hackern ausgespäht werden. Für den Fall von Geräteverlust oder -diebstahl ist vorgesorgt. "Mit einem Sperrcode, der auf der Account-Login-Seite eingegeben werden kann, kann der User seinen Account schützen", erklärt Projektleiter Bernd Borchert vom Wilhelm-Schickard-Institut für Informatik der Universität Tübingen gegenüber pressetext.

Der Ansatz bei Open Sesame ist einfach. Der User installiert auf seinem Handy die zum System gehörigen App, die bislang für das iPhone und Android realisiert wurde. Nach einer Initialisierung eines Online-Accounts auf dem Smartphone kann er dieses dann als Zugangslösung nutzen. Dazu wird mit der Handy-Kamera ein 2D-Code auf der Login-Seite aufgenommen. Das Gerät kontaktiert dann per Internet den Account-Server, der die Daten verifiziert und dann den Account im Browser zugänglich macht.

Dadurch kann der User nicht zuletzt auf öffentlichen Computern gefahrlos auf seine Accounts zugreifen, ohne sich dem Risiko auszusetzen, dass Passwörter von Malware geklaut werden. Zwar könnten theoretisch Handy-Schädlinge die übertragenen Daten klauen, doch wäre es etwa beim iPhone kaum möglich, dass sich Malware einschleicht. "Wir werden das Verfahren wohl nicht für Handy-Typen anbieten, bei denen die Sicherheit eines Marktplatz-Prinzips nicht gegeben ist", meint Borchert.

Bei Verlust oder Diebstahl des Handys greift die Sperr-Funktionalität, durch die auf die jeweiligen Webangebote zunächst nicht mehr zugegriffen werden kann. Der User selbst muss seine Accounts wieder entsperren. Dabei wird ein neuer Schlüssel für Open Sesame auf einem neuen Smartphone generiert. Das ist vergleichbar mit einem Passwortwechsel, sodass der alte Schlüssel und somit das alte Handy aus Accounts ausgesperrt bleiben.

Noch gibt es keine Webangebote, die Open Sesame nutzen. Borchert und sein Team suchen derzeit Partner, die das ändern wollen. Die Integration des Angebots würde laut Borchert je nach Servergröße wenige Manntage bis zu einige Mannmonate dauern. "Der neue Zugang via Handy kann nur ein zusätzlicher sein", betont dabei der Informatiker. Denn für User ohne geeignete Handys muss ein normales Login per Benutzername und Passwort freilich weiterhin angeboten werden. (pte/mje)