All posts under Muster

Warum Emojis der nächste Passwort-Trend werden könnten

Emoji (adapted) (Image by TeroVesalainen [CC0 Public Domain] via pixabay

Würdest du dein Smartphone lieber mit einer simplen und klassischen 4-stelligen PIN oder mit einem Emoji entsperren? Wäre es einfacher und komfortabler, „🐱💦🎆🎌“ im Kopf zu behalten als beispielsweise „2476“?

Smartphone-Nutzer benutzen Emojis normalerweise, um Stimmungen, Gefühle und Gesprächsnuancen in E-Mails und Textnachrichten auszudrücken. Teilweise werden sogar ganze Nachrichten nur mit Emojis verschickt. 2015 hat eine britische Firma versucht, Emoji-Passwörter anstelle von PINs an Bankautomaten einzusetzen. Allerdings gibt es bis jetzt noch keine offizielle Studie darüber, wie einfach diese zu benutzen waren oder wie sicher die Emoji-Passwörter im Vergleich zu anderen Methoden wie PINS sind.

Um mehr darüber durch ein Experiment und in der echten Welt herauszufinden, hat ein Team von Wissenschaftern der Technischen Universität Berlin, der Universität Ulm und der University of Michigan unter der Leitung der Doktorandin Lydia Kraus von der TU Berlin den Dienst EmojiAuth entwickelt. EmojiAuth ist ein Emoji-basiertes Login-System für Android-Smartphones.

Wie gut würden Nutzer sich an ihre emojigesteuerten Passwörter erinnern können? Wären diese möglicherweise auch sicherer? Und könnten sie ebenfalls unterhaltsamer sein und das Entsperren des Smartphones für den Nutzer spaßiger gestalten?

Emoji-Passwörter kreieren

Die meisten Smartphone-Nutzer haben ihren Bildschirm gesperrt und müssen diesen dementsprechend mehrmals täglich entsperren. Viele Menschen nutzen numerische PINs, aber die Forschung hat gezeigt, das Bilder einfacher zu merken sind als Zahlen oder Buchstaben. PINs können aus einer geringeren Anzahl von Symbolen zusammengesetzt werden oder aus einer Kombination aus den Zahlen 0 bis 9. Passwörter hingegen können aus einer deutlich größeren Anzahl Ziffern bestehen, sind allerdings schwierig auf Smartphones zu tippen. Emojis dagegen erlauben es uns, von über 2.500 möglichen Emojis zu wählen, wodurch die Emoji-Passwörter viel resistenter gegen Hacking oder Spionage sind.

Im ersten Experiment gaben wir 53 Teilnehmern ein Android-Smartphone und teilten sie in zwei Gruppen ein. Die erste Gruppe von 27 Personen suchte sich ein Passwort aus, welches aus zwölf beliebigen Emojis bestand. Die zwölf beliebigen Emojis konnten aus einer Emoji-Tastatur ausgewählt werden, die aus allen möglichen Emojis individuell für jeden Nutzer generiert wurde. (Sobald die Tastatur eingestellt wurde, blieb es gleich). Die verbleibenden 26 Personen suchten sich eine numerische PIN aus.

In den meisten Fällen haben die Teilnehmer ihr Emoji-Passwort nach einer der drei folgenden Methoden ausgewählt:

  1. nach einem Muster des Emoji-Keyboards (beispielsweise von oben nach unten oder die Emojis, die sich in den Ecken befinden),
  2. nach persönlichen Vorlieben für bestimmte Emojis oder
  3. es wurden mit den Emoji-Mustern Geschichten kreiert.

Ein Teilnehmer hatte beispielsweise ein Lied im Kopf und suchte Emojis aus, die dem Text des Liedes entsprachen. Nachdem die Teilnehmer einige Male das neue Passwort eingegeben hatten, wurden sie eine Woche später gebeten, die Passworte für den Test in das Smartphone einzugeben.

Die Resultate ergaben, dass sowohl PINs als auch Emoji-Passworte leicht zu merken sind. Alles in Allem haben die PIN-Nutzer ihr Passwort im Schnitt ein paar Mal häufiger behalten. Das könnte allerdings auch daran liegen, dass Menschen in der Regel daran gewöhnt sind, PINs zu nutzen und sich diese zu merken. Die Teilnehmer mit den Emoji-Passworten berichteten allerdings von größerem Spaß bei der Eingabe ihrer Codes.

Emoji-Passworte im Alltag

Als nächstes wollten wir herausfinden, wie gut Emoji-Passworte dem Test im Alltag standhalten. Auf den Android-Smartphones von 41 Teilnehmern wurde ein spezieller Login-Screen für deren Email-App für etwa zwei Wochen installiert. Die eine Hälfte nutzte Emoji-Passworte, die andere Hälfte nutzte PINs.

Wie wir in dieser Studie herausfanden, haben die Nutzer, die Emoji-Passworte verwendeten, Emojis gewählt, die einem Muster auf der Tastatur entsprachen, nach persönlichen Vorlieben ausgesucht wurden oder eine Geschichten erzählten. Beide Teilnehmergruppen, sowohl die Gruppe mit den PINs als auch die mit den Emojis, berichteten, dass ihr Passwort leicht zu merken und zu nutzen war. Die Emoji-Testgruppe gab jedoch an, dass die Eingabe ihrer Passworte mehr Spaß machte als nur Zahlen einzugeben.

Zusätzliche Sicherheit

Am Ende der Studie haben wir die Sicherheit der Emoji-Passwörter getestet. Hierfür haben wir die Teilnehmer gebeten, den Leitern der Studie über die Schulter zu schauen, während diese ihr Passwort eingaben. Dabei fanden wir heraus, dass die Emoji-Passworte , die auf sechs zufällig gewählten Emojis basieren, bei dem „über-die-Schulter-schauen“ am schwierigsten zu „klauen“ beziehungsweise zu merken waren.

Andere Arten von Passwörtern, wie zum Beispiel vier oder sechs Emojis oder Zahlen, die nach einem Muster gewählt wurden, waren leichter zu beobachten und korrekt zu merken. Unsere Studien, die ein Mitglied unseres Forschungsteams am 30. Mai in Rom präsentieren wird, zeigen, dass eine Emoji-basierte mobile Identifikation nicht nur praktisch ist, sondern auch eine unterhaltsame Art, sich Passwörter leichter zu merken und diese zu schützen. Dies gilt nur, solange die Nutzer keine Emojis verwenden, die einem Muster der Tastatur entsprechen.

Dieser Artikel erschien zuerst auf „The Conversation“ unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image (adapted) „Emoji“ by TeroVesalainen (CC0 Public Domain)


The Conversation

Weiterlesen »

Wie Big Data vor Kreditkartenbetrug schützt

Kreditkarte (Image by jarmoluk [CC0 Public Domain], via Pixabay)

Machine Learning und Big Data wissen, dass du es nicht warst, der gerade deine Kreditkarte benutzt hat. Dies könnte Verbrauchern bald sehr viel nützen. Während du gerade zu Hause sitzt und dich um dein Zeug kümmerst, erhältst du einen Anruf der Abteilung für Betrugsermittlung deines Kreditkartenunternehmens, die dich fragt, ob du gerade in einem Kaufhaus in deiner Stadt etwas erworben hast. Du warst es jedenfalls nicht, der mit der Kreditkarte die teuren Elektrogeräte gekauft hat – die war nämlich den ganzen Nachmittag in deiner Tasche. Wie also konnte die Bank den Kauf als betrügerischen Akt identifizieren?

Kreditkartenunternehmen haben ein starkes Eigeninteresse daran, finanzielle Transaktionen zu identifizieren, die unautorisierter und krimineller Natur sind. Der Einsatz ist hoch. Der US-amerikanischen Studie zu Stornierungszahlen zufolge haben US-Amerikaner im Jahr 2012 insgesamt 26,2 Milliarden Transaktionen per Kreditkarte bezahlt. Der geschätzte Verlust durch illegale Buchungen betrug in jenem Jahr 6,1 Milliarden US-Dollar. Der staatliche Fair Credit Billing Act limitiert die Haftbarkeit der Eigentümer auf 50 US-Dollar bei unautorisierten Transaktionen, was dazu führt, dass Kreditkartenunternehmen die Verantwortung übernehmen müssen. Es ist offensichtlich, dass betrügerische Zahlungen große Auswirkungen auf die Bilanzen der Unternehmen haben können. Die Branche fordert von jedem Anbieter, der Kreditkarten vertreibt, eine jährliche Sicherheitsprüfung. Doch diese Maßnahme kann nicht jeden Betrug verhindern.

In der Bankenbranche sind Messrisiken eine gefährliche Angelegenheit. Das Hauptziel ist es, betrügerische Akten zu identifizieren, bevor ein zu großer finanzieller Schaden angerichtet wird. Aber wie funktioniert das? Und wer gewinnt das Wettrüsten zwischen den Dieben und den Finanzinstitutionen?

Die Truppen versammeln

Aus Verbraucherperspektive sieht die Aufdeckung von Betrugsfällen manchmal aus wie Zauberei. Der Prozess geschieht automatisch, ohne sichtbare Einwirkung eines Menschen. In das offenbar nahtlose und unverzügliche Vorgehen sind eine Reihe von ausgeklügelten Technologien verwickelt, die sich vom Finanzsektor über die Wirtschaft bis in den Rechts- und Informatikbereich ausweiten.

Natürlich gibt es einige recht einfache und direkte Feststellungsmechanismen, die keine umfassende Erklärung benötigen. Zum Beispiel kann das Unvermögen, die korrekte Postleitzahl anzugeben, die mit der Kreditkarte verbunden ist, wenn sie an einem ungewöhnlichen Ort eingesetzt wird, ein guter Indikator für einen Betrug sein. Aber Betrüger umgehen diesen Routinecheck geschickt – im Grunde ist das Auffinden der Postleitzahl des Opfers so einfach wie das Benutzen der Suchfunktion von Google.

Üblicherweise war die Betrugsauffindung auf Techniken der Datenanalyse angewiesen, die einen großen menschlichen Einsatz abverlangte. Ein Algorithmus entdeckte verdächtige Fälle, die letztendlich von menschlichen Prüfern bewertet werden mussten, die vielleicht auch die betroffenen Kartenbesitzer anriefen, um sie zu fragen, ob sie tatsächlich die Karten belastet hatten. Heutzutage stehen die Firmen einer konstanten Flut von so vielen Transaktionen gegenüber, dass sie auf Big-Data-Analysen als Hilfe angewiesen sind. Neu entstehende Technologien wie Machine Learning und das Cloud Computing tauchen im Feld der Betrugsaufdeckung auf.

Es gilt zu lernen, was echt und was fragwürdig ist

Einfach gesagt, bezieht sich das maschinelle Dazulernen auf sich selbst verbessernde Algorithmen, also vordefinierte Prozesse, die spezifischen Regeln folgen und von einem Computer ausgeführt werden. Ein Computer fängt mit einem Modell an und trainiert ihn dann mittels dem Trial- und Errorverfahren. So kann er dann Vorhersagen abgeben, beispielsweise zu dem Risiko, das mit einer finanziellen Transaktion verbunden ist.

Ein maschinell dazulernender Algorithmus muss jedoch erst trainiert werden, indem man ihm erst einmal Transaktionsdaten von eine sehr hohen Anzahl von Kartenbesitzern einführt. Die Abfolge von Transaktionen ist ein Beispiel dieser Art der Trainingsdaten. Beispielsweise tankt eine Person einmal pro Woche, sie kauft alle zwei Wochen Lebensmittel ein und so weiter. Der Algorithmus lernt, dass dies ein normaler Transaktionsablauf ist.

Nach der Durchführung dieser genauen Abstimmung werden Kreditkartentransaktionen möglichst in Echtzeit durch den Algorithmus geprüft. Dieser spuckt dann eine Einschätzung heraus, die die Wahrscheinlichkeit angibt, dass eine Transaktion betrügerisch war (beispielsweise hier: 97 Prozent). Angenommen, das Betrugsauffindungssystem ist so konfiguriert, dass es jede Transaktion blockiert, die eine Wahrscheinlichkeit von über 95 Prozent aufweist, könnte diese Beurteilung sofort eine Abweisung der Karte an dem jeweiligen Verkaufspunkt auslösen.

Der Algorithmus bezieht viele Faktoren ein, um eine Transaktion als betrügerisch einzuordnen: die Vertrauenswürdigkeit des Verkäufers, das Kaufverhalten des Karteninhaber bezogen auf Zeit und Ort, die IP-Adresse, und so weiter. Je mehr Anhaltspunkte es gibt, desto präziser ist die Entscheidung.

Dieser Prozess macht eine rechtzeitige – beziehungsweise eine Echtzeitaufdeckung von Betrug möglich. Kein Mensch kann tausende Daten simultan auswerten oder eine Entscheidung in einem Bruchteil einer Sekunde treffen.

Hier ist ein typisches Szenario. Wenn du zum Kassierer gehst, um im Supermarkt zu zahlen, ziehst du deine Karte durch. Die Transaktionsdetails wie die Zeitangabe, der Betrag, die Identität des Händlers und die Mitgliedsschafsinformationen werden zu dem Aussteller der Karte übermittelt. Diese Daten werden in den Algorithmus eingespeist, der die persönlichen Einkaufsmuster kennt. Passt diese bestimmte Transaktion in das Verhaltensprofil, das aus vielen vergangenen Kaufszenarien und Daten zusammengesetzt ist?

Der Algorithmus weiß sofort, wenn deine Karte in dem Restaurant benutzt wird, in das du jeden Samstagmorgen gehst – oder an der Tankstelle zwei Zeitzonen entfernt von dir zu einer eigenartigen Zeit um 3 Uhr morgens. Er prüft auch, ob die Nutzung deiner Transaktion von der gewöhnlichen abweicht. Wenn die Karte plötzlich zwei Mal an einem Tag für die Auszahlung eines Dispositionskredits verwendet wird, obwohl die vergangenen Daten keine solche Verwendung aufzeigen, wird dieses Verhalten die Betrugswahrscheinlichkeit steigern. Wenn die Betrugswahrscheinlichkeit der Transaktion eine gewisse Schwelle überschritten hat, wird – meist nach einer kurzen Prüfung durch eine reale Person – der Algorithmus mit dem Verkaufssystem kommunizieren und es auffordern, die Transaktion zu verwerfen. Onlinekäufe durchlaufen denselben Prozess.

Bei dieser Art des Systems werden erhebliche menschliche Eingriffe der Vergangenheit angehören. Tatsächlich könnten sie ganz abgeschafft werden, denn die Reaktionszeit ist viel länger, wenn ein menschliches Wesen zu sehr in den Kreislauf der Betrugsauffindung eingebunden ist. Nichtsdestotrotz können Menschen noch eine Rolle spielen – sowohl wenn es darum geht, einen Betrug zu bewerten als auch die Folgen einer verweigerten Transaktion abzuwickeln. Wenn eine Karte mehrmals abgelehnt wird, kann eine reale Person den Kartenbesitzer anrufen, bevor die Karte dauerhaft gesperrt wird.

Computerdetektive in der Cloud

Die reine Anzahl an Finanztransaktionen, die bearbeitet werden müssen, ist im Bereich von Big Data tatsächlich überwältigend. Aber das maschinelle Dazulernen gedeiht auf den Datenbergen – mehr Information lässt nämlich die Genauigkeit des Algorithmus steigen und hilft dabei, Falschmeldungen zu beseitigen. Das kann beispielsweise von verdächtigen Transaktionen ausgelöst werden, die eigentlich legitimiert sind (zum Beispiel durch die Nutzung einer Karte an einem unerwarteten Ort) – zu viele Warnsignale sind genauso schlecht wie gar keine.

Es benötigt eine Menge an Rechenleistung, um sich durch dieses Datenvolumen zu wühlen. Zum Beispiel produziert PayPal jederzeit mehr als 1,1 Petabytes an Daten für 169 Millionen Kundenaccounts. Dieser Überfluss an Daten – ein Petabyte entsprechen zum Beispiel mehr als 200.000 DVDs – hat einen positiven Einfluss auf das maschinelle Lernen des Algorithmus, aber er kann auch eine Hürde sein für die die EDV-Infrastruktur eines Unternehmens.

Und hier kommt das Cloud Computing ins Spiel: Ausgelagerte EDV-Ressourcen können eine wichtige Rolle spielen. Cloud Computing ist größenvariabel und nicht durch die eigene Rechenleistung des Unternehmens limitiert.

Betrugsaufdeckung ist ein Wettrüsten zwischen dem Guten und dem Bösen. Derzeit scheinen die Guten an Boden gutzumachen. Dies geschieht mittels neuer Innovationen der IT-Technologien wie Chip- und PIN-Technologien mit Verschlüsselungsfähigkeiten, Machine Learning, Big Data und natürlich dem Cloud Computing.

Sicherlich werden Betrüger weiterhin versuchen, die Guten auszutricksen und die Grenzen der Betrugsaufklärung herauszufordern. Drastische Änderungen innerhalb der Zahlungsmuster selbst sind eine andere Hürde. Dein Handy ist nun in der Lage, Kreditkarteninformation zu speichern und kann so genutzt werden, um kabellose Zahlungen zu tätigen – was wiederum neue Angriffspunkte liefert. Zum Glück steht die derzeitige Generation der Betrugsaufdeckung den Technologien des Zahlungssystems größtenteils neutral gegenüber.

Dieser Artikel erschien zuerst auf “The Conversation” unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image „Kreditkarte“ by jarmoluk (CC0 Public Domain)


The Conversation

Weiterlesen »