All posts under PIN

Warum Emojis der nächste Passwort-Trend werden könnten

Emoji (adapted) (Image by TeroVesalainen [CC0 Public Domain] via pixabay

Würdest du dein Smartphone lieber mit einer simplen und klassischen 4-stelligen PIN oder mit einem Emoji entsperren? Wäre es einfacher und komfortabler, „🐱💦🎆🎌“ im Kopf zu behalten als beispielsweise „2476“?

Smartphone-Nutzer benutzen Emojis normalerweise, um Stimmungen, Gefühle und Gesprächsnuancen in E-Mails und Textnachrichten auszudrücken. Teilweise werden sogar ganze Nachrichten nur mit Emojis verschickt. 2015 hat eine britische Firma versucht, Emoji-Passwörter anstelle von PINs an Bankautomaten einzusetzen. Allerdings gibt es bis jetzt noch keine offizielle Studie darüber, wie einfach diese zu benutzen waren oder wie sicher die Emoji-Passwörter im Vergleich zu anderen Methoden wie PINS sind.

Um mehr darüber durch ein Experiment und in der echten Welt herauszufinden, hat ein Team von Wissenschaftern der Technischen Universität Berlin, der Universität Ulm und der University of Michigan unter der Leitung der Doktorandin Lydia Kraus von der TU Berlin den Dienst EmojiAuth entwickelt. EmojiAuth ist ein Emoji-basiertes Login-System für Android-Smartphones.

Wie gut würden Nutzer sich an ihre emojigesteuerten Passwörter erinnern können? Wären diese möglicherweise auch sicherer? Und könnten sie ebenfalls unterhaltsamer sein und das Entsperren des Smartphones für den Nutzer spaßiger gestalten?

Emoji-Passwörter kreieren

Die meisten Smartphone-Nutzer haben ihren Bildschirm gesperrt und müssen diesen dementsprechend mehrmals täglich entsperren. Viele Menschen nutzen numerische PINs, aber die Forschung hat gezeigt, das Bilder einfacher zu merken sind als Zahlen oder Buchstaben. PINs können aus einer geringeren Anzahl von Symbolen zusammengesetzt werden oder aus einer Kombination aus den Zahlen 0 bis 9. Passwörter hingegen können aus einer deutlich größeren Anzahl Ziffern bestehen, sind allerdings schwierig auf Smartphones zu tippen. Emojis dagegen erlauben es uns, von über 2.500 möglichen Emojis zu wählen, wodurch die Emoji-Passwörter viel resistenter gegen Hacking oder Spionage sind.

Im ersten Experiment gaben wir 53 Teilnehmern ein Android-Smartphone und teilten sie in zwei Gruppen ein. Die erste Gruppe von 27 Personen suchte sich ein Passwort aus, welches aus zwölf beliebigen Emojis bestand. Die zwölf beliebigen Emojis konnten aus einer Emoji-Tastatur ausgewählt werden, die aus allen möglichen Emojis individuell für jeden Nutzer generiert wurde. (Sobald die Tastatur eingestellt wurde, blieb es gleich). Die verbleibenden 26 Personen suchten sich eine numerische PIN aus.

In den meisten Fällen haben die Teilnehmer ihr Emoji-Passwort nach einer der drei folgenden Methoden ausgewählt:

  1. nach einem Muster des Emoji-Keyboards (beispielsweise von oben nach unten oder die Emojis, die sich in den Ecken befinden),
  2. nach persönlichen Vorlieben für bestimmte Emojis oder
  3. es wurden mit den Emoji-Mustern Geschichten kreiert.

Ein Teilnehmer hatte beispielsweise ein Lied im Kopf und suchte Emojis aus, die dem Text des Liedes entsprachen. Nachdem die Teilnehmer einige Male das neue Passwort eingegeben hatten, wurden sie eine Woche später gebeten, die Passworte für den Test in das Smartphone einzugeben.

Die Resultate ergaben, dass sowohl PINs als auch Emoji-Passworte leicht zu merken sind. Alles in Allem haben die PIN-Nutzer ihr Passwort im Schnitt ein paar Mal häufiger behalten. Das könnte allerdings auch daran liegen, dass Menschen in der Regel daran gewöhnt sind, PINs zu nutzen und sich diese zu merken. Die Teilnehmer mit den Emoji-Passworten berichteten allerdings von größerem Spaß bei der Eingabe ihrer Codes.

Emoji-Passworte im Alltag

Als nächstes wollten wir herausfinden, wie gut Emoji-Passworte dem Test im Alltag standhalten. Auf den Android-Smartphones von 41 Teilnehmern wurde ein spezieller Login-Screen für deren Email-App für etwa zwei Wochen installiert. Die eine Hälfte nutzte Emoji-Passworte, die andere Hälfte nutzte PINs.

Wie wir in dieser Studie herausfanden, haben die Nutzer, die Emoji-Passworte verwendeten, Emojis gewählt, die einem Muster auf der Tastatur entsprachen, nach persönlichen Vorlieben ausgesucht wurden oder eine Geschichten erzählten. Beide Teilnehmergruppen, sowohl die Gruppe mit den PINs als auch die mit den Emojis, berichteten, dass ihr Passwort leicht zu merken und zu nutzen war. Die Emoji-Testgruppe gab jedoch an, dass die Eingabe ihrer Passworte mehr Spaß machte als nur Zahlen einzugeben.

Zusätzliche Sicherheit

Am Ende der Studie haben wir die Sicherheit der Emoji-Passwörter getestet. Hierfür haben wir die Teilnehmer gebeten, den Leitern der Studie über die Schulter zu schauen, während diese ihr Passwort eingaben. Dabei fanden wir heraus, dass die Emoji-Passworte , die auf sechs zufällig gewählten Emojis basieren, bei dem „über-die-Schulter-schauen“ am schwierigsten zu „klauen“ beziehungsweise zu merken waren.

Andere Arten von Passwörtern, wie zum Beispiel vier oder sechs Emojis oder Zahlen, die nach einem Muster gewählt wurden, waren leichter zu beobachten und korrekt zu merken. Unsere Studien, die ein Mitglied unseres Forschungsteams am 30. Mai in Rom präsentieren wird, zeigen, dass eine Emoji-basierte mobile Identifikation nicht nur praktisch ist, sondern auch eine unterhaltsame Art, sich Passwörter leichter zu merken und diese zu schützen. Dies gilt nur, solange die Nutzer keine Emojis verwenden, die einem Muster der Tastatur entsprechen.

Dieser Artikel erschien zuerst auf „The Conversation“ unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image (adapted) „Emoji“ by TeroVesalainen (CC0 Public Domain)


The Conversation

Weiterlesen »

Sind Selfies die neuen Sicherheitspasswörter?

Selfie (image by JudaM [CC0 Public Domain] via Pixabay)

Bei dem nächsten Online-Einkauf oder Anruf bei der Bank könnte es schon sein, dass man nicht mehr versuchen muss, sich an sein Passwort zu erinnern. Immer mehr Banken bevorzugen Spracherkennungstechnologien, um die Identität von Kunden zu überprüfen. Mastercard kündigte sogar an, Fingerabdrücke oder Selfies als Identitätsnachweis bei Online-Einkäufen zu akzeptieren.

Aber heißt das automatisch, dass man bald alle seine Passwörter vergessen kann? Noch lautet die Antwort: “Nein”. Banken führen Spracherkennungstechnologien (in der Forschungsliteratur oft bekannt als “Sprecher-Identifikation”) und Gesichtserkennung primär zur Verifizierung durch, nicht zur alleinigen Identifikation. Diese Technologien sind ein sinnvolles Werkzeug zur Überprüfung, ob eine Person diejenige ist, für die sie sich ausgibt, denn Maschinen können lernen, wie eine Person in Normalfall aussieht oder spricht. Aber um einen einzelnen Kunden aus einer großen Gruppe von möglichen Stimmen oder Gesichtern in der Datenbank einer Bank zu identifizieren, stellen sie noch keine gute Methode dar.

Damit Spracherkennung funktionieren kann, muss der Unterschied zwischen der eigenen und anderen Stimmen (Inter-Sprecher-Varianz) immer größer sein als der Unterschied zwischen der eigenen Stimme jetzt und zu einem anderen Zeitpunkt (Intra-Sprecher-Varianz). Dasselbe gilt für die “Selfie-Erkennung”: Man muss dem normalen Ich mehr ähneln als irgendwer anders. In der Praxis ist das nicht immer der Fall. Je mehr Stimmen oder Gesichter ein System miteinander vergleicht, desto wahrscheinlicher ist es, dass es zwei Beispiele findet, die sich sehr ähnlich sind.

Man denke nur an all das, was die Stimme beim Gespräch am Telefon verändern kann: ein verdecktes oder kaputtes Mikrofon, Müdigkeit, Schmerzen in Mund oder Hals, wenn man Alkohol getrunken hat, wenn man gerade etwas isst, ein schlecht sitzendes Gebiss – all diese Faktoren lassen die Intra-Sprecher-Varianz riesig werden. Bei der Gesichtserkennung verändern Bartwuchs, Hautveränderungen, Make Up, Brillen, Beleuchtung oder Kopfbedeckungen das Erscheinungsbild.

Daraus ergibt sich, dass Banken mit einer relativ großen Wahrscheinlichkeit die Identität des Anrufers oder Selfie-Knipsers “überprüfen”, aber keine unbekannte Stimme oder Fotografie “identifizieren” können. Daher muss es auch in naher Zukunft noch Mittel geben, seine Identität zu beweisen – und die beste Methode bleibt nach wie vor eine  geheime PIN oder ein Passwort.

In Malaysia musste ein Fahrer, der die Fingerabdruck-Authentifizierung in seine neue Mercedes S-Klasse einbauen ließ, musste im Jahr 2005 auf sehr schmerzhafte Weise erfahren, dass biometrische Daten durchaus gestohlen werden können. Als Diebe entdeckten, dass sein Wagen nur mit einem Fingerabdruck gestartet werden kann, raubten sie nicht nur sein Auto, sondern auch seinen Finger.

Ein “Stimmabdruck” kann auf die gleiche Art gestohlen werden. Alles was man dazu braucht, ist eine gute Sprachaufnahme der Person. Dasselbe gilt auch für Systeme, die den Benutzer auffordern, einen bestimmten Ausdruck oder PIN auszusprechen. Interaktive Systeme, die Challenge-Response-Protokolle (die den Benutzer beispielsweise bitten, einen ungewöhnlichen Ausdruck zu wiederholen) verwenden, erhöhen die Schwierigkeitsstufe für den Angreifer, können aber bereits mit aktuellster Technik überwunden werden.

Gesichtserkennung (wie die, die dazu benutzt wird, um Selfies zu identifizieren), Lippen lesen und Iris-Scanner sind alles visuelle Methoden, die gestohlen oder mit Bildern und Videos vorgetäuscht werden können.

Mehr biometrische Daten

Die Lösung scheint entweder aus zusätzlichen,geheimen Informationen zu bestehen (was allerdings bedeutet, sich an noch mehr erinnern zu müssen), oder verschiedene Arten von biometrischen Informationen miteinander zu kombinieren. Leider sind Methoden, die eine Kamera benötigen, nur bedingt nützlich: der Nutzer muss zum Beispiel in eine Kamera schauen, er darf keine Brille tragen und auch keine Kleidung, die Gesicht und Augen verdecken könnten, man benötigt ausreichend Beleuchtung – und das System sollte wohl eher nicht in Badezimmern benutzt werden.

Andere Forscher untersuchen zurzeit das biometrische Potential, die individuellen und einmaligen Gehirnströme einer Person mit einem Headset oder Kopfhörern aufzunehmen. Diese Technologie steckt allerdings noch in den Kinderschuhen.

Eine für mobile Geräte entwickelte Technologie ist ein Ultraschall-Scanner, der Teile der Gesichtsform einer sprechenden Person aufzeichnet. Das beinhaltet nicht einfach nur eine Aufnahme des Gesichts, sondern eine Aufnahme der Mundbewegungen, während die Person redet. Der biometrische Aspekt ist nicht nur an den Klang der Stimme gebunden, sondern beinhaltet auch die Art, wie sich der Mund bei der Stimmerzeugung verändert. Die benötigte Hardware ist in den meisten Smartphones bereits integriert.

Man stelle sich vor, man kommt in eine Bäckerei und will ein knuspriges Bauernbrot erstehen. Man könnte es mit zur Theke nehmen und sagen: “Das würde ich gerne kaufen.” Der Bäcker würde antworten: “Das macht dann zwei Pfund. Möchten Sie mit dem Einkauf fortfahren?” – “Ja, bitte”, würde man antworten und auf das “Okay” warten, bevor man mit seinem neu erstandenen Brot aus dem Laden spaziert. Kein Bargeld, keine Zahlungskarte und keine persönlichen Details müssen preisgegeben werden.

Die Szene mag anmuten wie aus der guten alten Zeit, als man seinen Dorfbäcker noch persönlich kannte und alles anschreiben lassen konnte. Aber ambitionierte Forscher arbeiten hart an der Umsetzung, damit genau diese Zukunft möglich wird. Das Smartphone wird Sprachauthentifizierungs- und Spracherkennungs-Technologien verwenden, um die Bank zu bevollmächtigen, dass sie Zahlungen durchführen kann. Die Bank wird dem Bäcker elektronisch die Transaktion bestätigen. Währenddessen wird eine Videoaufnahme von dem Verkauf bei der Bank und dem Bäcker hinterlegt. Obwohl man sein Passwort noch nicht frühzeitig entsorgen sollte, kann man hier in den nächsten Jahren spannende Entwicklungen erwarten.

Dieser Artikel erschien zuerst auf “The Conversation” unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image „Selfie“ by JudaM (CC0 Public Domain)


The Conversation

Weiterlesen »

5 Lesetipps für den 28. August

In unseren Lesetipps geht es heute um ein neues Vine-Feature, Facebooks Meilenstein, ein nützliches Update von Instagram, Twitter und ein Interview über den heutigen Journalismus. Ergänzungen erwünscht.

  • FEATURED TRACKS The Verge: Vine can now put perfectly looping music over your videos: Vine bewegt sich in die Musik-Richtung: Mit einem neuen Update können User der App Musik zu ihren sechs-sekündigen Videos hinzufügen, die von Vine ausgewählt und lizenziert wird. Es ist noch nicht klar, ob man dabei Musik aus der eigenen Mediathek  oder nur aus bestimmten Tracks, die Vine ausgewählt hat, einen heraussuchen kann. Die ersten Künstler, die zu Vines “Featured Tracks” gehören, sind unter anderem Avicii, Migos und Odesza. Das neue Feature soll nicht nur für den eigenen Gebrauch nützlich sein, sondern auch helfen, neue Musik zu entdecken.

  • MEILENSTEIN STERN.de: Facebook: Zuckerberg meldet eine Milliarde User an einem Tag: Facebook hat einen neuen Meilenstein erreicht: Innerhalb von einem Tag wurde das soziale Netzwerk von einer Milliarde Menschen genutzt. Schon seit einiger Zeit bewegte sich Facebook auf diesen Meilenstein zu, erreichte ihn aber erst vergangenen Montag. Momentan arbeitet das Social Network daran, Milliarden weitere Nutzer zu gewinnen und da zwei Drittel der Weltbevölkerung keinen Internetzugang haben, will Facebook diesen Menschen günstigen oder sogar kostenlosen Zugang zu ausgewählten Online-Diensten organisieren. “Das ist erst der Anfang”, so Mark Zuckerberg.

  • UPDATE futurezone.at: Instagram hebt Fotoformat-Einschränkung auf: Instagram-User kennen es wohl zu gut: Man hat ein tolles Foto gemacht, das aber nicht quadratisch ist und jetzt muss man es zuschneiden oder in einer App so bearbeiten, dass es immer noch gut aussieht und vom Format her passt. Der Dienst hat dem jetzt ein Ende gesetzt: Mit dem neuen Update ist es auch möglich, Bilder im Quer- und Hochformat hochzuladen. In der App wird eine neue Schaltfläche eingeführt, mit der man einstellen kann, ob man ein Foto im Original- oder Quadrat-Format mit seinen Followern teilen möchte.

  • TWITTER The Next Web: Twitter now lets you pin tweets to the top of your profile on iOS and Android: Twitter ermöglicht es nun, einen Tweet an sein Profil zu pinnen. Das bedeutet, dass dieser Tweet immer ganz oben auf dem eigenen Profil zu sehen ist, was praktisch ist, wenn man zum Beispiel einen wichtigen Tweet gepostet hat, aber nicht möchte, dass dieser unter all den anderen eigenen Tweets untergeht. Das neue Feature soll heute für alle iOS und Android-Geräte verfügbar gemacht werden.

  • INTERVIEW SRF.ch: Wider den Zynismus – jetzt wird Journalismus konstruktiv: Ulrik Haagerup, Nachrichtenchef des Dänischen Rundfunks plädiert für einen Kulturwandel bei den Nachrichten: Reporter sollten ihre Fragestellung und Rolle etwas verändern. Sie sollten sich nicht immer so stark auf Konflikte fokussieren, sondern auch versuchen, Lösungen zu ermöglichen. Menschen wenden sich von den Nachrichten ab, weil sie “zu deprimierend sind” und sie nicht wollen, dass ihre Kinder so etwas sehen, was sehr schlecht ist, da gerade die traditionellen Nachrichten den Menschen wichtige Fragen vermitteln und ermutigen sollten, sich zu engagieren.

CHIEF-EDITOR’S NOTE: Wenn Ihnen unsere Arbeit etwas wert ist, zeigen Sie es uns bitte auf Flattr oder indem Sie unsere Reichweite auf Twitter, Facebook, Google+, Soundcloud, Slideshare, YouTube und/oder Instagram erhöhen. Vielen Dank. – Tobias Schwarz

Nutze Netzpiloten 1-Klick: Mit nur einem Klick werden dir bequem alle 40 Sekunden die hier besprochenen Seiten „vorgeblättert“ START.

Weiterlesen »

5 Lesetipps für den 18. August

In unseren Lesetipps geht es heute um die Markteinführung von Googles Smartphone Project Ara, neue Canon-Printer zum Ausdrucken von Instagram Bildern, einen Patentantrag von Apple, vereinfachte Zwei-Faktor-Authentifizierung und ein Interview mit Frank Thelen. Ergänzungen erwünscht.

  • PROJECT ARA Mashable: Google delays its modular smartphone until 2016: Eigentlich sollte das modulare Smartphone Project Ara von Google dieses Jahr eingeführt werden, doch der Konzern muss den Termin für die Veröffentlichung wieder verschieben. Google spricht momentan davon, dass der Verkaufsstart irgendwann im nächsten Jahr stattfinden wird und die ersten Project-Ara-Smartphones doch nicht in Puerto Rico verkauft werden. Also hat die Suche nach einem Testmarkt nochmal von neuem begonnen – momentan wird nach einer Region innerhalb der USA gesucht, das ist alles, was bisher bekannt ist. Wann das Smartphone nun wirklich erscheint, liegt wohl in den Sternen.

  • CANON CNET: Three new Canon inkjets print Instagram pics directly from feed, comments included: Für diejenigen, die ihre Bilder von sozialen Diensten wie Instagram gerne direkt ausdrucken möchten, hat Canon neue Drucker geschaffen, mit denen dies möglich ist. Wenn man einfach mal durch ein paar Instagram-Bilder guckt und sich denkt “Das Bild würde ich mir gerne in meinem Zimmer aufhängen, oder in ein Fotoalbum kleben“, muss nicht mehr großartig einen Screenshot machen, alles zurecht schneiden und dann an einen Drucker anschließen. Das ist nicht nur bei Instagram möglich, sondern auch beispielweise bei Facebook, Twitter oder Dropbox.

  • PATENTANTRAG Golem.de: Edge: Apple will iPhone mit gewölbtem Display patentieren: Wie vor kurzem bekannt wurde, hat Apple im April 2015, kurz nachdem das Samsung Galaxy S6 Edge einen Monat davor vorgestellt wurde, einen Patentantrag eingereicht, der ein iPhone mit gewölbtem Glas beschreibt. Apple will dies jedoch anders nutzen, als Samsung: Der Konzern will den gewölbten Teil des Displays gar nicht zeigen, die Abrundung soll von außen nicht zu sehen sein. Das Gehäuse soll eckig sein, am Rand des Displays werden Symbole wie die Lautstärkeregelung eingeblendet und wie über einen normalen Touch-Screen bedient. Auch der Homebutton soll als ein virtueller Knopf auf der Displayoberfläche dienen, der, je nachdem, wie das iPhone gehalten wird, sogar mitwandert.

  • SOUND-PROOF t3n: Zwei-Faktor-Authentifizierung könnte deutlich einfacher werden: Forscher wollen Umgebungsgeräusche statt PINs verwenden: Schweizer Forscher haben sich überlegt, wie sie die Zwei-Faktor-Authentifizierung, bei der normalerweise zusätzlich zu einem Passwort noch eine PIN eingegeben werden muss, vereinfachen können – ihre Lösung: Beim Einloggen zeichnen der Rechner und das Smartphone die Umgebungsgeräusche auf, woraufhin im Anschluss beide Aufnahmen abgeglichen werden. Damit soll sichergestellt werden, dass sich beide Geräte tatsächlich an dem gleichen Ort befinden. Doch auch dieses System mit dem Namen “Sound-Proof” hat seine Schwächen – beispielsweise wenn sich ein Angreifer in der Nähe befindet, der sich somit ganz einfach Zugriff auf die Nutzerkonten verschaffen kann. Wer auf Nummer sicher gehen will, sollte aber wohl einfach bei der PIN bleiben.

  • INTERVIEW BASIC thinking: Interview mit “Die Höhle der Löwen”-Investor Frank Thelen: “Gründen ist ein arschharter Trip”: Frank Thelen, der vor der Sendung “Die Höhle der Löwen” für Investments in Wunderlist, Scanbot oder myTaxi bekannt wurde, erzählt im Interview mit BASIC thinking von seinem persönlichen Scheitern, wie hart es eigentlich ist, ein Unternehmen zu gründen und was hinter den Kameras der VOX-Serie stattfindet. Außerdem redet er über die “Gründer-DNA” – wer sollte ein Unternehmen gründen oder wer lieber nicht, was sollte man dabei beachten und riskieren?

CHIEF-EDITOR’S NOTE: Wenn Ihnen unsere Arbeit etwas wert ist, zeigen Sie es uns bitte auf Flattr oder indem Sie unsere Reichweite auf Twitter, Facebook, Google+, Soundcloud, Slideshare, YouTube und/oder Instagram erhöhen. Vielen Dank. – Tobias Schwarz

Nutze Netzpiloten 1-Klick: Mit nur einem Klick werden dir bequem alle 40 Sekunden die hier besprochenen Seiten „vorgeblättert“ START.

Weiterlesen »

Die 25 häufigsten Passwörter und PINs

Dass Passwörter regelmäßig geknackt werden ist gang und gäbe. Wir erinnern uns zuletzt beispielsweise an den LinkedIn-Hack, der 6.5 Millionen Kennwörter abgegriffen und veröffentlicht hat. Was man dann oftmals in den Medien liest, sind Tipps wie man sichere Kennwörter generiert, welche Attribute das Passwort haben und welche Begiffe und Zahlenkombinationen man besser nicht wählen sollte.

Mindestens genauso wichtige Tipps gibt es auch für den Umgang mit PINs. Menschen neigen dazu oftmals Sicherheitsschlüssel zu wählen, die leicht eingänglich sind. Ein zweiter Fehler besteht auch darin, dass man für viele verschiedene Dienste immer die gleichen Anmeldedaten nutzt. Da kommt es schon mal vor, dass das Facebook-Passwort identisch mit dem vom E-Mail-Client ist oder dass die Smartphone-PIN aus der gleichen Zahlenfolge besteht, wie die des Girokontos.

Weiterlesen »

Weiterlesen »