Zum Inhalt springen

Header

Inhalt

Technische Neuheit Passwort und Lärm sorgen für Sicherheit

E-Banking ist mit einer 2-Faktor-Authentifizierung besonders geschützt: Wir geben nicht nur ein Passwort ein, sondern einen zweiten Code. Weil sich das Prinzip auch für andere besonders schützenswerte Internet-Konten eignet, hat es ein ETH-Spinoff vereinfacht – mit Akustik.

«Soundproof» heisst die Entwicklung des ETH-Spinoffs Futurae, frei übersetzt: Einen Nachweis mit Hilfe von Geräuschen erbringen.

Und so funktioniert's: Um sich auf einer Webseite anzumelden, gibt man zuerst wie gewohnt sein Passwort ein. Die Soundproof-App nimmt dann über das Smartphone und das Mikrophon im Notebook die Umgebungsgeräusche auf. Der Rechner von Soundproof vergleicht danach beide Aufzeichnungen. Stimmen die überein, so schickt es das OK für das Login und der Nutzer ist angemeldet.

Das neue Verfahren ist eine originelle Spielart der sogenannten 2-Faktor-Authentifizierung. Dabei muss eine Nutzerin zusätzlich zum Passwort noch weitere Information eingeben, die sie wenn möglich über eine zweite, unabhängige Verbindung erhält – einen Zahlencode etwa, den sie in einer SMS zugeschickt bekommt oder mit Hilfe eines Kartenlesers generiert. Das sorgt für zusätzliche Sicherheit, denn in diesem Szenario muss ein Angreifer nicht nur das Passwort abfangen, sondern zusätzlich auch noch den Code.

Hintergrundgeräusche sind nicht zu fälschen

Der Vorteil des Soundproof-Verfahrens liegt auf der Hand: Für diese Art der 2-Faktor-Authentifizierung benötigt der Anwender weder ein spezielles Kartenlesegerät noch eine altmodische Streichliste, er muss weder einen QR-Code am Bildschirmt (Foto-TAN) abfotografieren noch einen Code eingeben, den er mit einer SMS erhalten hat. Ihr Verfahren sei trotzdem absolut sicher, ist Samuel Berger von Futurae überzeugt.

Animiertes GIF vom Anmeldevorgang via Soundproof.
Legende: Wenn es funktioniert, dass ist Soundproof komfortabel. Aber es funktioniert nicht immer. SRF

Wer die App herunterlädt und zum ersten Mal die Demo ausprobiert, ist verblüfft. Sogar wenn das Smartphone in der Jackentasche bleibt, funktioniert der Anmeldevorgang innerhalb weniger Sekunden – allerdings nur, wenn man sich nicht gerade an einem ruhigen Ort aufhält.

Sonst muss man ein kurzes Selbstgespräch führen, damit Soundproof Geräusche zum Analysieren hat. Oder man schaltet die Lautsprecher eines der Geräte ein und Soundproof gibt Ultraschall-Geräusche aus. Trotzdem gibt es immer wieder Momente, bei denen Soundproof das Login verweigert, obwohl Geräusche – hörbare oder unhörbare – vorhanden sind.

Nachweis mit Lärm gelingt nicht immer

Im echten Einsatz würde Soundproof im Fall einer solchen Verweigerung auf eine alternative Authentifizierung zurückgreifen, die ein Login trotzdem möglich macht – dann aber ohne Miteinbezug von Hintergrundgeräuschen.

Bereits führe man Gespräche mit einigen Kunden, sagt Samuel Berger im Interview. Soundproof scheint also mehr als nur ein Gag zu sein, auch wenn es in der Demo noch etwas instabil wirkt und die Entwickler bis zu ernsten Einsätzen wohl noch etwas nachbessern müssen. Bestechend ist ihre Idee dennoch schon heute.

Jederzeit top informiert!
Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden.
Schliessen

Jederzeit top informiert!

Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden. Mehr

Push-Benachrichtigungen sind kurze Hinweise auf Ihrem Bildschirm mit den wichtigsten Nachrichten - unabhängig davon, ob srf.ch gerade geöffnet ist oder nicht. Klicken Sie auf einen der Hinweise, so gelangen Sie zum entsprechenden Artikel. Sie können diese Mitteilungen jederzeit wieder deaktivieren. Weniger

Sie haben diesen Hinweis zur Aktivierung von Browser-Push-Mitteilungen bereits mehrfach ausgeblendet. Wollen Sie diesen Hinweis permanent ausblenden oder in einigen Wochen nochmals daran erinnert werden?

Meistgelesene Artikel