«Soundproof» heisst die Entwicklung des ETH-Spinoffs Futurae, frei übersetzt: Einen Nachweis mit Hilfe von Geräuschen erbringen.
Und so funktioniert's: Um sich auf einer Webseite anzumelden, gibt man zuerst wie gewohnt sein Passwort ein. Die Soundproof-App nimmt dann über das Smartphone und das Mikrophon im Notebook die Umgebungsgeräusche auf. Der Rechner von Soundproof vergleicht danach beide Aufzeichnungen. Stimmen die überein, so schickt es das OK für das Login und der Nutzer ist angemeldet.
Das neue Verfahren ist eine originelle Spielart der sogenannten 2-Faktor-Authentifizierung. Dabei muss eine Nutzerin zusätzlich zum Passwort noch weitere Information eingeben, die sie wenn möglich über eine zweite, unabhängige Verbindung erhält – einen Zahlencode etwa, den sie in einer SMS zugeschickt bekommt oder mit Hilfe eines Kartenlesers generiert. Das sorgt für zusätzliche Sicherheit, denn in diesem Szenario muss ein Angreifer nicht nur das Passwort abfangen, sondern zusätzlich auch noch den Code.
Hintergrundgeräusche sind nicht zu fälschen
Der Vorteil des Soundproof-Verfahrens liegt auf der Hand: Für diese Art der 2-Faktor-Authentifizierung benötigt der Anwender weder ein spezielles Kartenlesegerät noch eine altmodische Streichliste, er muss weder einen QR-Code am Bildschirmt (Foto-TAN) abfotografieren noch einen Code eingeben, den er mit einer SMS erhalten hat. Ihr Verfahren sei trotzdem absolut sicher, ist Samuel Berger von Futurae überzeugt.
Wer die App herunterlädt und zum ersten Mal die Demo ausprobiert, ist verblüfft. Sogar wenn das Smartphone in der Jackentasche bleibt, funktioniert der Anmeldevorgang innerhalb weniger Sekunden – allerdings nur, wenn man sich nicht gerade an einem ruhigen Ort aufhält.
Sonst muss man ein kurzes Selbstgespräch führen, damit Soundproof Geräusche zum Analysieren hat. Oder man schaltet die Lautsprecher eines der Geräte ein und Soundproof gibt Ultraschall-Geräusche aus. Trotzdem gibt es immer wieder Momente, bei denen Soundproof das Login verweigert, obwohl Geräusche – hörbare oder unhörbare – vorhanden sind.
Nachweis mit Lärm gelingt nicht immer
Im echten Einsatz würde Soundproof im Fall einer solchen Verweigerung auf eine alternative Authentifizierung zurückgreifen, die ein Login trotzdem möglich macht – dann aber ohne Miteinbezug von Hintergrundgeräuschen.
Bereits führe man Gespräche mit einigen Kunden, sagt Samuel Berger im Interview. Soundproof scheint also mehr als nur ein Gag zu sein, auch wenn es in der Demo noch etwas instabil wirkt und die Entwickler bis zu ernsten Einsätzen wohl noch etwas nachbessern müssen. Bestechend ist ihre Idee dennoch schon heute.