Von kurios bis praktisch: Was folgt auf das Passwort?

Es gibt wieder eine neue Authentifizierungsmethode. Ein Team unter der Leitung von Experten der Rutgers University (USA) hat ein System namens „VitalID“ entwickelt, das auf einem neu vorgeschlagenen biometrischen Merkmal basiert – winzigen Vibrationen der Atmung und des Herzschlags, die durch den Schädel in Mustern schwingen, die für die Knochenstruktur und das Gesichtsgewebe jeder Person einzigartig sind.

Dies ist bei weitem nicht der erste Versuch, Passwörter und die Notwendigkeit, sich an sie zu erinnern, abzuschaffen. Von schluckbaren Mikrochip-Pillen und elektronischen Tattoos bis hin zur Anmeldung per Schädel-Echo – seit mehr als einem Jahrzehnt sucht die Tech-Branche nach einem Nachfolger für das Passwort. 

„Niemand mag Passwörter. Und wir alle haben zu viele davon – nach unseren Berechnungen durchschnittlich etwa 170. Da wir uns nicht alle merken können, verwenden viele Menschen immer die gleichen Passwörter, und genau diese wiederverwendeten Anmeldedaten werden oft zu einem gängigen Angriffsvektor. Es überrascht also nicht, dass es viele Versuche gab und gibt, uns von Passwörtern und damit verbundenen Problemen zu befreien. Auch wir bei NordPass arbeiten an passwortloser Authentifizierung. Doch bisher gibt es keine universell praktikable Möglichkeit, ganz ohne Passwörter auszukommen – vor allem, weil noch längst nicht alle Websites und Plattformen Passkeys unterstützen“, sagt Karolis Arbaciauskas, Head of Product beim Passwort-Manager NordPass.

Bizarre Experimente für eine passwortlose Zukunft 

Werfen wir einen Blick auf die kuriosesten und spannendsten Authentifizierungsmethoden, die bisher vorgeschlagen wurden. Die Passwort-Pille. Im Jahr 2013, ungefähr zu der Zeit, als Apple Touch ID auf den Markt brachte, stellte Motorola einen Prototyp vor – eine schluckbare Authentifizierungspille, die einen winzigen Chip enthält, der durch Magensäure betrieben wird. Der Chip erzeugte ein 18-Bit-EKG-ähnliches Signal, das den Körper der Person, die diese Pille geschluckt hat, effektiv in ein Authentifizierungs-Token verwandelte. Die Methode setzte sich nie über die Testphase hinaus durch, vor allem, weil sie sich eher wie eine Überwachung als eine Authentifizierung anfühlte und Touch ID eine einfachere und weitaus weniger invasive Alternative bot.

Das elektronische Tattoo. Auf derselben Konferenz 2013 stellte Motorola auch ein temporäres Passwort-Tattoo vor – ultradünne, flexible Schaltkreise, die zur Authentifizierung am Körper auf der Haut haften. Die Testläufe waren eindrücklich, aber das Konzept geriet ins Stocken aufgrund von Hürden bezüglich Praktikabilität, Privatsphäre und allgemeiner Akzeptanz – die Benutzer mussten das Tattoo wöchentlich ersetzen, sonst funktionierte es nicht mehr, was es umständlicher und kostspieliger als Passwörter machte. Obwohl sich dieses Konzept der Authentifizierung nicht durchsetzte, wird ähnlich flexible Elektronik heute bei Konsumgütern (zum Beispiel klebenden Babythermometern) eingesetzt.

.

KI im Job: Fast jeder Zweite nutzt sie bereits

Künstliche Intelligenz hat den Arbeitsalltag vieler Beschäftigter bereits verändert. Eine neue TÜV-Umfrage zeigt nun, wie stark KI im Job angekommen ist – und wo Unternehmen dringend nachsteuern müssen.

Redaktion Automation NEXT

Knochenschall-Signaturen des Schädels. Immer wieder haben Forschungsteams versucht, die Art und Weise, wie Schall durch den Schädel übertragen wird, als einzigartiges biometrisches Merkmal zu nutzen, angefangen bei der frühen „SkullConduct“-Arbeit bis hin zu neueren Systemen wie der VitalID von Rutgers. Die Grundidee ist einfach: Die akustische Reaktion des menschlichen Schädels kann so einzigartig sein wie ein Fingerabdruck. Es ist ein cleveres Konzept, das jedoch bislang größtenteils im Prototypenstadium stecken geblieben ist, da es nicht gerade praktisch ist, sich bei jeder Anmeldung auf ein am Kopf getragenes Gerät zu verlassen. VitalID könnte mit dem Konzept jedoch auf dem richtigen Weg sein, indem es sich auf Virtual- und Augmented-Reality-Umgebungen konzentriert, in denen die Nutzer ohnehin bereits ein Gerät am Kopf tragen. 

Herzschlagerkennung (EKG). Geräte wie das Nymi Band nutzen den einzigartigen Herzrhythmus einer Person als biometrische Signatur. Da keine zwei EKG-Muster identisch sind, können sich Träger authentifizieren, indem sie sich einfach in der Nähe von ihren autorisierten Geräten aufhalten. Es handelt sich dabei um eine der wenigen experimentellen Methoden, die tatsächlich auf den Markt gekommen sind. Sie ist jedoch eine Nische und wurde für B2B- und Forschungsszenarien entwickelt, in denen sich Mitarbeitende an Geräten authentifizieren müssen, die über Standardcomputer hinausgehen (es wird sowohl ein EKG-Armband als auch ein kompatibles Lesegerät benötigt, das an ein Gerät angeschlossen wird). Für die Mehrheit der Nutzer ist diese Methode daher immer noch zu teuer und unpraktisch.

Venenmuster-Mapping. Hierbei wird Infrarotlicht verwendet, um die einzigartigen Venenmuster unter der Haut abzubilden, typischerweise in der Handfläche oder den Fingern. Diese Methode wird bereits in Hochsicherheitsumgebungen wie Laboratorien und Rechenzentren sowie zur Patientenidentifizierung und für den sicheren Zugriff auf elektronische Krankenakten (z. B. Imprivata PatientSecure) eingesetzt. Wie auch bei den EKG-Armbändern bleibt es jedoch für den Einsatz auf dem massentauglichen Markt unbrauchbar, da es spezielle Sensoren oder zusätzliche Hardware für Smartphones und Computern erfordert.

Software zum Lippenlesen. Forschungsteams haben Systeme entwickelt, die Personen anhand der individuellen Art und Weise identifizieren, wie sie bestimmte Wörter oder Sätze formen. Diese Technologie ist zwar inzwischen relativ ausgereift, wird aber immer häufiger zur Unterstützung von Lösungen für Menschen mit Hörbeeinträchtigung und für forensische Analysen (z. B. zum Extrahieren von Sprachhinweisen aus stummen Überwachungskamera-Aufnahmen) eingesetzt. Sie ließe sich zwar für die Authentifizierung einsetzen, ist aber unpraktisch – die meisten Menschen werden nicht jedes Mal, wenn sie sich anmelden, Passphrasen in einen Computer oder ein Smartphone sprechen wollen.

Ohrform, Herzschlag, Gangart und Körpergeruch. Über die Jahre haben verschiedene akademische Teams vieles getestet, von der Ohrmorphologie und dem Gang bis hin zu Körpergeruch und Körperproportionen als Identitätssignale. Zwar können diese Merkmale unverwechselbar sein, doch gibt es Probleme hinsichtlich der Zuverlässigkeit, der Verfügbarkeit der Sensoren und der Akzeptanz durch die Nutzer. Deshalb scannt man im Büro auch nicht sein Ohr oder authentifiziert sich anhand des eigenen Geruchs an einer Tür.

Biometrie im Alltag

Die Suche nach einem Passwort-Nachfolger hat bisher nur wenige Gewinner für den alltäglichen Gebrauch hervorgebracht. Nur eine Handvoll biometrischer Verfahren (vor allem Gesicht und Fingerabdruck) sind inzwischen zu gängigen Tools geworden. Passkeys sind eine Anmeldemethode, die gegen Phishing-Angriffe schützt, auf biometrischen Merkmalen des Geräts basiert und von großen Technologiefirmen unterstützt wird. Ihre Akzeptanz schreitet jedoch langsamer voran als erwartet. 

„Die Anmeldung per Fingerabdruck wurde 2013 zum Mainstream, die Anmeldung per Gesichtsscan 2017 – vor allem dank der Einführung von Touch ID und Face ID durch Apple. Diese Technologien waren erfolgreich, weil sie einfach und schnell zu bedienen sind, in Smartphones sowie Laptops integriert werden können und auf dem Gerät auch offline funktionieren. Die Spracherkennung als biometrische Authentifizierung wurde vor einiger Zeit vorgestellt und war sogar eine Zeit lang verfügbar, hat sich aber nie wirklich durchgesetzt. Da die KI mittlerweile in der Lage ist, eine Stimme anhand von nur wenigen Sekunden an Audiomaterial zu klonen, ist das Ganze nicht zuverlässig. Eine weitere Variante ist die Tastenanschlagdynamik. Eine KI kann aus Tippmustern auf die Identität schließen, aber auch diese Technologie bleibt eine Nische. Darüber hinaus kann KI auch Handschriften erkennen, obwohl das eher für die forensische Analyse als für die Authentifizierung relevant ist“, soArbaciauskas. 

Der wahrscheinlichste Nachfolger 

Seiner Meinung nach haben Passkeys das Potenzial, die vorherrschende Form der Authentifizierung zu werden und das Passwortproblem zu lösen, da sie auf einer Technologie basieren, die bereits in fast allen modernen Geräten eingebaut ist. 

„Passkeys ersetzen Passwörter durch Public-Key-Kryptografie. Ein privater Schlüssel bleibt auf Ihrem Gerät, während eine Website den öffentlichen Schlüssel speichert. Bei der Anmeldung verifiziert Ihr Smartphone oder Laptop, dass Sie im Besitz des privaten Schlüssels sind – oft durch Entsperren per Fingerabdruck oder Gesichtserkennung –, ohne dabei Daten preiszugeben, die abgefangen oder wiederverwendet werden könnten. Dies macht Passkeys resistent gegen Phishing, Credential Stuffing und Brute-Force-Angriffe. Große Plattformen unterstützen sie mittlerweile, und moderne Passwort-Manager bieten Passkey-Funktionen, um Unternehmen und Nutzern die Umstellung zu erleichtern“, erklärt Arbaciauskas.

Er fügt jedoch hinzu, dass es selbst bei breiter Plattformunterstützung Jahre dauern werde, bis sich Websites, Apps und Unternehmen auf Passkeys standardisiert hätten. Während dieses Übergangs wird es zwei Lösungen geben – einige Konten unterstützen Passkeys, während viele noch auf Passwörter angewiesen sind. Daher verwenden wir vorerst beides.

„Nutzen Sie Passkeys, wo immer dies möglich ist. Für alle anderen Konten verwenden Sie lange, einzigartige und zufällig generierte Passwörter, die sicher in einem Passwort-Manager gespeichert sind. Da Sie sich diese dank des Tools nicht merken müssen, sind sie schwerer durch Phishing abzugreifen oder versehentlich preiszugeben. Aktivieren Sie außerdem stets die Multi-Faktor-Authentifizierung“, empfiehlt Arbaciauskas.