Usability of Risk-based Implicit Authentication
Passwörter sind bei der Benutzung von Online-Diensten nicht wegzudenken. Ihr Vorteil: Da sie ohne Zusatzhardware und -software auskommen, können sie leicht implementiert werden. Ihr Nachteil: Verwenden die Nutzerinnen und Nutzer lange und komplizierte Passwörter, ist die Benutzerfreundlichkeit gering; kurze und einfache Passwörter verringern die Sicherheit.
Das Forschungsprojekt „Usability of Risk-based Implicit Authentication” (URIA) soll die Sicherheit von passwortgeschützten Anwendungen im Internet verbessern, indem neben dem Passwort weitere Merkmale zur Authentifizierung herangezogen werden. Dies untersuchen Stephan Wiefling von der TH Köln und Philipp Markert von der Ruhr-Universität Bochum als Promotionstandem. Zum einen geht es um die Möglichkeiten einer risikobasierten Authentifizierung, bei der zusätzlich zum Passwort weitere Signale wie die IP-Adresse oder die Art des verwendeten Rechners oder Browsers zur Entscheidung herangezogen werden. Aus diesen Signalen errechnet das System das Risiko eines illegitimen Logins und fordert gegebenenfalls neben dem Passwort weitere Authentifizierungsmerkmale an.
Zum anderen soll dieses Verfahren mit Elementen einer impliziten Authentifizierung verknüpft werden. Dabei wird das Verhalten der Benutzerinnen und Benutzer kontinuierlich auf Auffälligkeiten untersucht, etwa durch die Auswertung des Beschleunigungssensors, des Telefonverhaltens oder der verwendeten Apps. Beide Techniken verfolgen das Ziel, die Sicherheit der Authentifizierung zu stärken, ohne dass weitere Benutzerinteraktionen nötig sind. Dies erhöht die Benutzerfreundlichkeit der Anwendungen und steigert zugleich die Sicherheit, ohne dass Passwörter länger und komplizierter werden müssen.
Die gewonnenen Erkenntnisse und entwickelten Lösungen möchten die Projektpartner mittelständischen Unternehmen kostenlos zur Verfügung stellen. Denn Authentifizierungsmethoden, die über die Passworteingabe hinausgehen, sind nur mit hohem technischem Aufwand einsetzbar und bleiben somit bislang großen Konzernen vorbehalten.
In einer der beiden Promotionen, die im Rahmen des Projekts umgesetzt werden, untersucht Philipp Markert (betreut von Prof. Dr. Markus Dürmuth von der Ruhr-Universität Bochum), wie sich risikobasierte Authentifizierung mit den Ideen der impliziten Authentifizierung kombinieren lassen. Dabei ist zum Beispiel von Interesse, ob Signale von Mobilgeräten sinnvoll zur Risikobewertung eingesetzt werden können. In der zweiten Promotion erforscht Stephan Wiefling (betreut von Prof. Dr. Luigi Lo Iacono von der TH Köln) die Gebrauchstauglichkeit der Anwendungen. Insbesondere das Nutzerverhalten im Umgang mit der Authentifizierung und die Kommunikation zwischen Nutzer und System werden dabei begutachtet.
URIA ist eines der sieben Forschungstandems des landesweiten Graduiertenkollegs NERD.NRW (North Rhine Westphalian Experts on Research in Digitalization) und wird vom Ministerium für Kultur und Wissenschaft des Landes Nordrhein-Westfalen gefördert. Mit NERD.NRW sollen Nachwuchsforscherinnen und -forscher im Bereich der IT-Sicherheit unterstützt und gleichzeitig die IT-Forschungsstandorte in NRW miteinander vernetzt werden.
September 2018