Verhaltensbiometrie: Die Zukunft des Passworts?

26 Oktober 2021

Am Forschungsinstitut CODE laufen derzeit über 20 drittmittelfinanzierte Projekte aus verschiedenen Forschungsgebieten in den Bereichen IT-Sicherheit, Quantentechnologien und Smart Data. Im Interview sprechen die beteiligten Forscherinnen und Forscher über ihre Arbeit sowie mögliche praktische Anwendungsfälle. Heute: Prof. Dr. Florian Alt über Systeme, die Nutzer anhand ihres Verhaltens erkennen können.

Herr Prof. Alt, liegt in der Verhaltensbiometrie die Zukunft des Passworts?

Biometrische Authentifizierungsverfahren ersetzen heute schon an vielen Stellen Passwörter. Wenn wir heute von Biometrie sprechen, beziehen wir uns in der Regel auf sogenannte physiologische Biometrie, also Verfahren, welche Benutzerinnen und Benutzer basierend auf einer physiologischen Eigenschaft identifizieren, zum Beispiel einem Fingerabdruck (TouchID) oder unserem Erscheinungsbild (FaceUnlock). Im Gegensatz dazu gibt es Verfahren, welche Personen basierend auf ihrem Verhalten erkennen, beispielsweise, wie Personen auf dem Smartphone tippen, wie sie die Maus bewegen, oder auch wie sie laufen – hierbei spricht man von Verhaltensbiometrie. Solche verhaltensbiometrischen Verfahren rücken immer stärker in den Fokus der Forschung und Industrie, da immer mehr Sensorik in unseren persönlichen Geräten (zum Beispiel Smartphones, Smartwatches) sowie Sensoren an unserem Arbeitsplatz und in unserer Umgebung es ermöglichen, unser Verhalten zu erfassen.

Der große Vorteil gegenüber klassischen, sogenannten wissensbasierten Verfahren (wie Passwörtern) ist, dass die Authentifizierung ohne Interaktion durch die Benutzer erfolgt. Das System beobachtet das Verhalten im Hintergrund und berechnet, etwas vereinfacht gesagt, eine Wahrscheinlichkeit dafür, dass es sich bei einem Benutzer oder einer Benutzerin um eine legitimierte Person handelt. Entsprechend entfällt bei verhaltensbiometrischen Verfahren die Notwendigkeit, sich ein Passwort (oder eine andere Art von Geheimnis) zu merken und dieses einzugeben. Der zweite Aspekt unterscheidet verhaltensbiometrische Verfahren auch von physiologischen Verfahren, bei denen Nutzende aktiv ihre Finger auf den Sensor legen oder das Telefon so halten müssen, dass das Gesicht für die Kamera sichtbar ist.

"Der große Vorteil gegenüber klassischen, sogenannten wissensbasierten Verfahren wie Passwörtern ist, dass die Authentifizierung ohne Interaktion durch die Benutzer erfolgt."

Ein weiterer Vorteil ist, dass im Gegensatz zu vielen anderen Sicherheitsmechanismen die Übertragung einer Berechtigung nicht ohne weiteres möglich ist. Beispielsweise kann ich ein Passwort weitersagen oder einen Schlüssel beziehungsweise ein Zugangstoken weitergeben. Dies funktioniert bei verhaltensbiometrischen Verfahren nicht.

Insofern besteht nach meiner Meinung die berechtigte Hoffnung, dass biometrische Verfahren in Zukunft Passwörter als einen der meistgenutzten Authentifizierungsmechanismen ablösen.

In welchen Bereichen kommt Verhaltensbiometrie schon jetzt zu Einsatz, und wo könnte sie in Zukunft besonders relevant sein?

Verhaltensbiometrische Mechanismen gibt es schon lange. Ein bekannter Anwendungsfall ist die Überwachung des Einkaufsverhaltens bei Kreditkarten, wo bei einer starken Abweichung des üblichen Einkaufsverhaltens die Kreditkarte gegebenenfalls gesperrt wird.

Ein anderes Beispiel dazu, wo verhaltensbiometrische Verfahren heute zum Einsatz kommen, ist zum Beispiel beim Proctoring, also dem Überwachen von Teilnehmenden an Online-Prüfungen. Hierbei müssen Prüflinge eine Schreibprobe abgeben (in der Regel ein Text von etwa 150 Wörtern Länge), wobei das Tippverhalten analysiert wird –  Tipprhythmus, Tippgeschwindigkeit, und so weiter. Anschließend kann während der Prüfung konstant die Identität des Prüflings verifiziert werden.

Grafik zum Prozess der Entwicklung eines verhaltensbiometrischen Systems

Prozess zur Erstellung eines verhaltensbiometrischen Systems: In einem ersten Schritt wird das natürliche Verhalten eines Benutzers beobachtet; Trainingsdaten werden gesammelt. Diese Trainingsdaten dienen im zweiten Schritt der Erstellung eines Vorhersagemodells. Anschließend können Nutzerdaten mit dem Modell verglichen werden und somit ein Benutzer aus einer Menge von Benutzern erkannt werden (Schritt 3). Zuletzt kann die Erkennungsgenauigkeit als eine Metrik für die Qualität eines verhaltensbiometrischen Systems berechnet werden. Grafik: © [1]


Anwendungsfälle entstehen überall dort, wo eine häufige Authentifizierung nötig ist und wo die Weitergabe einer Berechtigung verhindert werden soll. Außerdem eignet sich Verhaltensbiometrie als zweiter Authentifizierungsfaktor, zum Beispiel, wenn das Verhalten bei der Eingabe eines Passwortes überwacht wird.

Gibt es besondere Anwendungspotenziale gerade im militärischen Bereich?

Anwendungsfälle ergeben sich etwa für sensitive Bereiche mit Zutrittsbeschränkung, beispielsweise zu kritischen Infrastrukturen. Mittels Verhaltensbiometrie kann hier verhindert werden, dass sich Angreifer mittels Social Engineering Zutritt verschaffen, da ein verhaltensbiometrisches System in Echtzeit nicht-legitimierte Personen identifizieren kann. Zudem kann Verhaltensbiometrie für den Schutz von Computernetzwerken verwendet werden. Ein konkreter Anwendungsfall ist Intrusion Detection, wo nach auffälligem Verhalten von Nutzern im Netzwerk gesucht wird.

Was für Chancen, aber auch Risiken birgt Verhaltensbiometrie?

Eine große Herausforderung von Sicherheitsmechanismen heute ist es, dass höhere Sicherheit in der Regel mit einer Verringerung der Benutzbarkeit einhergeht. Um beim Beispiel der Passwörter zu bleiben: Je länger ein Passwort ist, umso sicherer ist es im Allgemeinen. Gleichzeitig leidet aber die Benutzbarkeit: Es wird schwieriger, sich zu erinnern, und die Eingabe dauert länger. Die Chance der Verhaltensbiometrie liegt darin, Sicherheit zu erhöhen, während gleichzeitig die Benutzbarkeit nicht darunter leidet.

"Die Chance der Verhaltensbiometrie liegt darin, Sicherheit zu erhöhen, während gleichzeitig die Benutzbarkeit nicht darunter leidet."

Gleichzeitig ist die technische Umsetzung eines verhaltensbiometrischen Systems deutlich komplexer und birgt Risiken hinsichtlich des Datenschutzes. Um beispielsweise einen Benutzer oder eine Benutzerin anhand von Tippverhalten identifizieren zu können, muss eine Beobachtung während der Eingabe von Text erfolgen. Abhängig von der technischen Umsetzung bedeutet dies aber, dass der durch die Benutzerin oder den Benutzer eingegebenen Text möglicherweise rekonstruiert werden kann. Mit meiner Gruppe erforsche ich unter anderem Ansätze, um dies zu verhindern. Zum Beispiel kann die Beobachtung des Tippverhaltens auf zufällig ausgewählte, kurze Buchstabensequenzen beschränkt werden, welche eine spätere Rekonstruktion sehr schwierig bis unmöglich machen. Unsere Arbeit zeigt, dass auch für solche kurzen Sequenzen eine Identifizierung mit hoher Genauigkeit möglich ist.

Wie sieht Ihre Forschung konkret aus? Ist sie stark empirisch orientiert?

In meiner Forschung beschäftige ich mich insbesondere mit dem Zusammenhang zwischen Verhaltensbiometrie und Benutzeroberflächen. Oder anders formuliert: Wie können wir Benutzerschnittstellen so gestalten, dass ein verhaltensbiometrisches System Benutzerinnen und Benutzer so schnell und so genau wie möglich identifizieren kann? Hierfür ist es notwendig, deren reales Verhalten zu beobachten und zu analysieren. Hierfür verwenden wir sehr unterschiedliche methodische Herangehensweisen. Oft untersuchen wir Verhalten in kontrollierten Laborumgebungen, um externe Einflüsse zu minimieren und den kausalen Zusammenhang zwischen dem Design einer Schnittstelle und dem Benutzerverhalten zu verstehen und zu quantifizieren. Hierfür laden wir Probanden zu uns ins Labor ein und lassen sie ein kontrolliertes Experiment durchführen, beispielsweise die Eingabe eines vorgegebenen Textes auf einem Smartphone mit unterschiedlichen Handhaltungen und unter Verwendung unterschiedlicher Benutzeroberflächen.

Gleichzeitig interessiert uns aber auch das Verhalten von Benutzerinnen und Benutzern in unkontrollierten Umgebungen, zum Beispiel, wenn jemand in der S-Bahn eine Nachricht über den Messengerdienst Signal schreibt. Hier wird das Verhalten möglicherweise durch die Fahrbewegung oder die Ablenkung durch andere Mitreisende beeinflusst. Diesen Einfluss der realen Welt untersuchen wir derzeit im Rahmen eines DFG-Projekts. Insofern ist unsere Forschung meist empirisch, aber uns interessieren auch qualitative Fragestellungen, beispielsweise hinsichtlich der Bedenken von Nutzenden beim Einsatz solcher Technologien.

Wie sind Sie zu dem Forschungsgebiet Verhaltensbiometrie gekommen? Was fasziniert Sie daran?

In meiner Zeit als Professor für Mensch-Maschine-Interaktion an der Ludwig-Maximilians-Universität München habe ich mit einem meiner Doktoranden an adaptiven Konzepten für Smartphones gearbeitet. Hierbei hat uns der Sicherheits-Aspekt sehr interessiert. Ich habe dann im Rahmen des Zentrum Digitalisierung.Bayern vom Bayerischen Staatministerium für Wissenschaft und Kunst die Bewilligung für eine Forschungsgruppe zum Thema Verhaltensbiometrie bekommen, welche es meiner Gruppe und mir erlaubt hat, das Thema tiefgehender zu erforschen.

Die Verhaltensbiometrie ist faszinierend, da das Thema nicht nur technisch anspruchsvoll ist, sondern auch immer wieder neue, spannende Fragestellungen bietet. In einer unserer Forschungsarbeiten haben wir zum Beispiel nutzerzentrierte Angriffe auf verhaltensbiometrische Systeme erforscht und uns insbesondere mit der Frage beschäftigt, wie einfach ein Angreifer das Verhalten einer anderen Person imitieren kann. 

"Die Verhaltensbiometrie ist faszinierend, da das Thema nicht nur technisch anspruchsvoll ist, sondern auch immer wieder neue, spannende Fragestellungen bietet."

Ist die Arbeit in diesem Bereich interdisziplinär? Woran zeigt sich das konkret?

Mein Forschungsfeld – die Benutzbare Sicherheit – bewegt sich an der Schnittstelle zwischen der Informatik, der IT-Sicherheit und der Mensch-Computer-Interaktion. Zum einen sind viele Fragestellungen technischer Natur, zum anderen interessiert uns aber insbesondere die Sicht der Benutzerinnen und Benutzer. Deswegen spielen sozialwissenschaftliche Methoden eine zentrale Rolle und wir arbeiten eng mit Psychologen zusammen, um die Implikationen der von uns entwickelten Konzepte und Technologien besser zu verstehen. 

Was schätzen Sie an Ihrer Arbeit am FI CODE bzw. der Universität der Bundeswehr München?

Die Hauptmotivation für meinen Wechsel an die Universität der Bundeswehr war die Möglichkeit, in einem Forschungsinstitut mit Experten auf verschiedenen Gebieten der IT-Sicherheit zusammenarbeiten. Eine derartige Umgebung findet man an Universitäten in der Regel selten, da hier IT-Sicherheit meist nur eines von zahlreichen anderen Fachgebieten ist. Unsere hervorragend ausgestatteten Labore ermöglichen es uns, Forschung auf internationalem Spitzenniveau durchzuführen und unsere Ergebnisse regelmäßig auf führenden Tagungen im Bereich der Mensch-Maschine-Interaktion und der Benutzbaren Sicherheit zu publizieren.

"Unsere hervorragend ausgestatteten Labore ermöglichen es uns, Forschung auf internationalem Spitzenniveau durchzuführen."


Prof. Dr. Florian Alt leitet die Forschungsgruppe für Usable Security and Privacy am Forschungsinstitut CODE. Er interessiert sich für das Design sicherer Systeme, die sich an die Art und Weise anpassen, wie Benutzer mit Computergeräten interagieren. Insbesondere erforscht er das Nutzerverhalten in sicherheitskritischen Kontexten, die Entwicklung von Sicherheitsmechanismen auf Grundlage des Nutzerverhaltens (Verhaltensbiometrie), die Nutzung der Physiologie des Nutzers sowie Bedrohungen, die von neuen allgegenwärtigen Technologien ausgehen. Spezifische Anwendungsgebiete seiner Forschung sind Smart Homes, Virtuelle Realität, Social Engineering und Authentifizierung.


Titelbild: Bei verhaltensbiometrischen Verfahren entfällt die Notwendigkeit, sich ein Passwort oder eine andere Art von Geheimnis zu merken und dieses einzugeben. Daher könnten sie in Zukunft die etablierten Authentifizierungsverfahren ablösen. Foto: © UniBw M / Siebold

Grafik [1]: © Daniel Buschek, Alexander De Luca, and Florian Alt. 2015. Improving Accuracy, Applicability and Usability of Keystroke Biometrics on Mobile Touchscreen Devices. In: Proceedings of the 33rd Annual ACM Conference on Human Factors in Computing Systems (CHI '15). Association for Computing Machinery, New York, NY, USA, 1393–1402. DOI: https://doi.org/10.1145/2702123.2702252