Psylock läßt dem Hacker keine Chance
Programm erkennt den Benutzer am Tippverhalten – Paßwort ist überflüssig
Von AP-Korrespondent Norbert Aschenbrenner

Wenn es nach Dieter Bartmann geht, kann jeder sein Paßwort oder seine persönliche Geheimzahl getrost vergessen – in Zukunft wird der Computer seinen Benutzer am Tastenanschlag erkennen. Der Professor für Wirtschaftsinformatik an der Universität Regensburg hat mit seinem Team ein Programm namens Psylock geschrieben, das buchstäblich neue Maßstäbe in der Sicherheitstechnik setzt.

Derzeit bitten die meisten Unternehmensterminals ihre Benutzer jeden Morgen: Enter Name, Enter Password. Künftig könnte das ganz anders laufen. „Sie setzen sich ran und dann erscheint nach dem Namen ein zufällig ausgewählter Satz“, erklärt Bartmann. „Den tippen sie ein und aus diesen Elementardaten filtert Psylock ihr Schreibverhalten heraus.“ Wenn es mit dem gespeicherten Muster übereinstimmt, das der Benutzer dem Programm beim Tippen eines Lerntextes zuvor geliefert hat, dann läßt Psylock den Benutzer ins System.

Im Gegensatz zu anderen Erkennungsverfahren wie dem Messen eines Fingerabdrucks oder des Augenhintergrunds beruht Psylock nicht auf biologisch vorgegebenen Faktoren, sondern auf physikalischen. Die Software vergleicht etwa, wieviel Zeit zwischen dem Anschlag eines A und dem danebenliegendem S vergeht, wie schnell die Wörter aufeinander folgen oder wie der Gesamtrhythmus des Tippens ist. „Psylock erkennt, ob sie Links- oder Rechtshänder sind und ob sie richtig Maschinenschreiben gelernt haben oder nur im Zwei-Finger-System herumhacken“, sagt Bartmann.

In etwa drei Prozent der Fälle reicht ein einziger Satz allerdings nicht aus, und der Benutzer muß weitertippen. Aber das sei gerade ein Vorteil des Programms, meint Bartmann. Die Sicherheit erhöhe sich mit jedem Satz, der geschrieben werde. Ein Unberechtigter entlarvt sich demnach mit jeden weiteren Wort nur noch mehr. Bei Versuchen am Lehrstuhl, bei denen sich Mitarbeiter unter falschem Namen anmeldeten, erkannte das Programm den Benutzer am Tippverhalten und begrüßte ihn mit richtigem Namen.

Noch keinen Vermarktungspartner gefunden

Die Wahrscheinlichkeit, daß ein Hacker Psylock durch Probieren überlisten kann, liegt im Promillebereich. Das entspricht einem Treffer auf rund tausend Versuche – und ist nach Angaben von Bartmann vergleichbar mit der Fehlermenge anderer Kotrollsysteme. Außerdem könne die Sicherheit bei Psylock durch Verlängern des Testsatzes oder ausgeklügeltere Programmeigenschaften oder in Verbindung mit Chipkarten und anderen Verfahren noch erhöht werden.

Allerdings hat der Wissenschaftler noch keinen Interessenten für Psylock gefunden. Das Programm läuft zur Zeit nur in Feldversuchen an zwei Lehrstühlen in Regensburg und bei der SchmidtBank im oberfränkischen Hof. Ulrich Hamberger von der EDV-Abteilung der Bank findet das Konzept des Programms sehr gut. Die Software sei vor allem für hohe Sicherheitsanforderungen geeignet, weise aber für den Einsatz in der Praxis noch Mängel auf. Er wünsche sich, daß Psylock den Benutzer bereits während seiner Arbeit analysiere und sein Tippverhalten erlerne.

Bartmann überlegt nun, Lizenzen zu vergeben oder ein Unternehmen zu gründen, um die Vermarktung in die eigenen Hände zu nehmen. Weitere Anwendungsmöglichkeiten für Psylock sind Homebanking, Teleshopping oder Pay-TV. „Praktisch immer dann, wenn sie beim Eintritt von Privatleuten in elektronische Medien Vertraulichkeit und Rechtsverbindlichkeit brauchen“, sagt der Wissenschaftler. Also auch im Internet, wo die potentiellen Kunden noch große Vorbehalte haben, einem beliebigen virtuellen Kaufhaus ihre Kreditkartennummer anzuvertrauen.

zurück

© Nordbayern Infonet