Sind Selfies die neuen Sicherheitspasswörter?

Bei dem nächsten Online-Einkauf oder Anruf bei der Bank könnte es schon sein, dass man nicht mehr versuchen muss, sich an sein Passwort zu erinnern. Immer mehr Banken bevorzugen Spracherkennungstechnologien, um die Identität von Kunden zu überprüfen. Mastercard kündigte sogar an, Fingerabdrücke oder Selfies als Identitätsnachweis bei Online-Einkäufen zu akzeptieren.

Aber heißt das automatisch, dass man bald alle seine Passwörter vergessen kann? Noch lautet die Antwort: “Nein”. Banken führen Spracherkennungstechnologien (in der Forschungsliteratur oft bekannt als “Sprecher-Identifikation”) und Gesichtserkennung primär zur Verifizierung durch, nicht zur alleinigen Identifikation. Diese Technologien sind ein sinnvolles Werkzeug zur Überprüfung, ob eine Person diejenige ist, für die sie sich ausgibt, denn Maschinen können lernen, wie eine Person in Normalfall aussieht oder spricht. Aber um einen einzelnen Kunden aus einer großen Gruppe von möglichen Stimmen oder Gesichtern in der Datenbank einer Bank zu identifizieren, stellen sie noch keine gute Methode dar.

Damit Spracherkennung funktionieren kann, muss der Unterschied zwischen der eigenen und anderen Stimmen (Inter-Sprecher-Varianz) immer größer sein als der Unterschied zwischen der eigenen Stimme jetzt und zu einem anderen Zeitpunkt (Intra-Sprecher-Varianz). Dasselbe gilt für die “Selfie-Erkennung”: Man muss dem normalen Ich mehr ähneln als irgendwer anders. In der Praxis ist das nicht immer der Fall. Je mehr Stimmen oder Gesichter ein System miteinander vergleicht, desto wahrscheinlicher ist es, dass es zwei Beispiele findet, die sich sehr ähnlich sind.

Man denke nur an all das, was die Stimme beim Gespräch am Telefon verändern kann: ein verdecktes oder kaputtes Mikrofon, Müdigkeit, Schmerzen in Mund oder Hals, wenn man Alkohol getrunken hat, wenn man gerade etwas isst, ein schlecht sitzendes Gebiss – all diese Faktoren lassen die Intra-Sprecher-Varianz riesig werden. Bei der Gesichtserkennung verändern Bartwuchs, Hautveränderungen, Make Up, Brillen, Beleuchtung oder Kopfbedeckungen das Erscheinungsbild.

Daraus ergibt sich, dass Banken mit einer relativ großen Wahrscheinlichkeit die Identität des Anrufers oder Selfie-Knipsers “überprüfen”, aber keine unbekannte Stimme oder Fotografie “identifizieren” können. Daher muss es auch in naher Zukunft noch Mittel geben, seine Identität zu beweisen – und die beste Methode bleibt nach wie vor eine  geheime PIN oder ein Passwort.

In Malaysia musste ein Fahrer, der die Fingerabdruck-Authentifizierung in seine neue Mercedes S-Klasse einbauen ließ, musste im Jahr 2005 auf sehr schmerzhafte Weise erfahren, dass biometrische Daten durchaus gestohlen werden können. Als Diebe entdeckten, dass sein Wagen nur mit einem Fingerabdruck gestartet werden kann, raubten sie nicht nur sein Auto, sondern auch seinen Finger.

Ein “Stimmabdruck” kann auf die gleiche Art gestohlen werden. Alles was man dazu braucht, ist eine gute Sprachaufnahme der Person. Dasselbe gilt auch für Systeme, die den Benutzer auffordern, einen bestimmten Ausdruck oder PIN auszusprechen. Interaktive Systeme, die Challenge-Response-Protokolle (die den Benutzer beispielsweise bitten, einen ungewöhnlichen Ausdruck zu wiederholen) verwenden, erhöhen die Schwierigkeitsstufe für den Angreifer, können aber bereits mit aktuellster Technik überwunden werden.

Gesichtserkennung (wie die, die dazu benutzt wird, um Selfies zu identifizieren), Lippen lesen und Iris-Scanner sind alles visuelle Methoden, die gestohlen oder mit Bildern und Videos vorgetäuscht werden können.

Mehr biometrische Daten

Die Lösung scheint entweder aus zusätzlichen,geheimen Informationen zu bestehen (was allerdings bedeutet, sich an noch mehr erinnern zu müssen), oder verschiedene Arten von biometrischen Informationen miteinander zu kombinieren. Leider sind Methoden, die eine Kamera benötigen, nur bedingt nützlich: der Nutzer muss zum Beispiel in eine Kamera schauen, er darf keine Brille tragen und auch keine Kleidung, die Gesicht und Augen verdecken könnten, man benötigt ausreichend Beleuchtung – und das System sollte wohl eher nicht in Badezimmern benutzt werden.

Andere Forscher untersuchen zurzeit das biometrische Potential, die individuellen und einmaligen Gehirnströme einer Person mit einem Headset oder Kopfhörern aufzunehmen. Diese Technologie steckt allerdings noch in den Kinderschuhen.

Eine für mobile Geräte entwickelte Technologie ist ein Ultraschall-Scanner, der Teile der Gesichtsform einer sprechenden Person aufzeichnet. Das beinhaltet nicht einfach nur eine Aufnahme des Gesichts, sondern eine Aufnahme der Mundbewegungen, während die Person redet. Der biometrische Aspekt ist nicht nur an den Klang der Stimme gebunden, sondern beinhaltet auch die Art, wie sich der Mund bei der Stimmerzeugung verändert. Die benötigte Hardware ist in den meisten Smartphones bereits integriert.

Man stelle sich vor, man kommt in eine Bäckerei und will ein knuspriges Bauernbrot erstehen. Man könnte es mit zur Theke nehmen und sagen: “Das würde ich gerne kaufen.” Der Bäcker würde antworten: “Das macht dann zwei Pfund. Möchten Sie mit dem Einkauf fortfahren?” – “Ja, bitte”, würde man antworten und auf das “Okay” warten, bevor man mit seinem neu erstandenen Brot aus dem Laden spaziert. Kein Bargeld, keine Zahlungskarte und keine persönlichen Details müssen preisgegeben werden.

Die Szene mag anmuten wie aus der guten alten Zeit, als man seinen Dorfbäcker noch persönlich kannte und alles anschreiben lassen konnte. Aber ambitionierte Forscher arbeiten hart an der Umsetzung, damit genau diese Zukunft möglich wird. Das Smartphone wird Sprachauthentifizierungs- und Spracherkennungs-Technologien verwenden, um die Bank zu bevollmächtigen, dass sie Zahlungen durchführen kann. Die Bank wird dem Bäcker elektronisch die Transaktion bestätigen. Währenddessen wird eine Videoaufnahme von dem Verkauf bei der Bank und dem Bäcker hinterlegt. Obwohl man sein Passwort noch nicht frühzeitig entsorgen sollte, kann man hier in den nächsten Jahren spannende Entwicklungen erwarten.

Dieser Artikel erschien zuerst auf “The Conversation” unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image „Selfie“ by JudaM (CC0 Public Domain)


The Conversation

Schlagwörter: , , , , , , , , , , , ,
Ian McLoughlin

Ian McLoughlin

ist Professor an der Universität von Kent, Medway in England. Er arbeitete bereits für unterschiedliche Unternehmen im Bereich Forschung & Entwicklung sowie an mehreren Universitäten in China, Singapur, Neuseeland und Großbritannien. Er ist außerdem als Autor tätig und interessiert sich aufgrund seiner Auslandserfahrung insbesondere für internationale Themen und die chinesische Kultur.

More Posts - Website