Unter netzwertig veröffentlichen wir in unserem Blog Einschätzungen zu aktuellen digitalen Geschäftsmodellen und IT-Trends, Meldungen, Analysen, Reviews und Specials.
 
 
21.03.13 08:00, von Martin Weigert

Zugangsdaten: KeyTrac identifiziert Nutzer anhand ihres Tippverhaltens

Die zahlreichen Hackerangriffe auf bekannte Webdienste zeigen: Absolute Sicherheit gibt es nicht. Ein Regensburger Startup will mit KeyTrac aber einen Beitrag leisten, um einem solchen Zustand zumindest so nahe wie möglich zu kommen: Es identifiziert Nutzer anhand ihres Tippverhaltens.


Kaum eine Woche vergeht, ohne dass nicht ein bekanntes Internetunternehmen Opfer einer größeren Hackerattacke wird. Häufig verschaffen sich die Angreifer Zugang zu den Benutzerdaten von Anwendern. Erst kürzlich sah sich der bekannte Notizbuchdienst Evernote deshalb gezwungen, die Passwörter aller Nutzer zurückzusetzen. Kurz zuvor mussten 250.000 Twitter-Anwender aufgrund einer Attacke ebenfalls ihre Zugangsdaten erneuern. Das ist nicht nur für User ärgerlich, sondern natürlich auch für die betroffenen Dienste, die Vertrauen aufs Spiel setzen und zusätzlichen Aufwand haben. Da verwundert es nicht, dass Onlineservices verstärktes Interesse an zusätzlichen Sicherheitsvorkehrungen wie etwa der Zwei-Faktor-Authentifizierung zeigen, deren Implementation nun auch bei Evernote auf der Roadmap steht.

Ein Regensburger Startup hat in dieser Woche einen neuen Service lanciert, der ganz gut in das Arsenal von Security-Werkzeugen großer und kleiner Onlineangebote passen würde. KeyTrac heißt das Angebot von TM3 Software, ein 2008 gegründetes Spin-Off der Universität Regensburg, das sich bisher auf Warenwirtschaftssysteme für mittelständische Handelsbetriebe, Fullfilment-Provider und Online-Händler im deutschsprachigen Markt fokussierte. Mit KeyTrac betreten die Bayern nun neues Terrain und wollen auch international durchstarten. Tippverhalten entlarvt Unbefugte

Bei KeyTrac handelt es sich um einen Service für Entwickler und Betreiber von Webplattformen und -anwendungen jeglicher Dimension, mit dem sich Zugangsdaten und Passwörter von Anwendern biometrisch absichern lassen. Die von dem Unternehmen entwickelte Technologie erfordert lediglich eine handelsübliche Tastatur auf Seiten des Nutzers, zusätzliche Hardware ist nicht erforderlich. KeyTracs Verfahren identifiziert User allein anhand ihres individuellen Tippverhaltens und zeichnet sich laut Firmenangaben durch eine nahezu hundertprozentige Treffsicherheit aus.

Die Integration von KeyTrac in ein Webangebot wird über das Einbetten eines JavaScript-Codes in die Website realisiert. Betritt daraufhin ein Nutzer eine Site und trägt seine Benutzername-Passwort-Kombination in ein Login-Formular ein, analysiert KeyTrac im Hintergrund das Tippverhalten zum jeweils verwendeten Benutzernamen und beurteilt auf dieser Basis, ob es sich bei dem Initiator des Zugangsversuchs tatsächlich um eine autorisierte Person oder aber um einen Eindringling handelt, der sich fremde Benutzerdaten unter den Nagel gerissen hat.

Keine Übermittlung sensibler Daten

KeyTrac betont, dass beim Analyseprozess keine sensiblen Daten wie etwa Passwörter an die Server des Unternehmens übertragen werden. Durch die nahtlose Integration in die bestehenden Login-Prozesse merken Anwender in der Regel nichts von der zusätzlichen Sicherheitsmaßnahme - es sei denn, es handelt sich bei ihnen um Unbefugte, die aufgrund ihres Tippverhaltens trotz der korrekten Zugangsdaten am Einloggen gehindert werden.

JavaScript muss aktiviert sein

Eine Einschränkung von KeyTrac liegt in der Verwendung von JavaScript. Ist die Skriptsprache im Browser deaktiviert, kann KeyTrac keine Analyse des Tippverhaltens durchführen. Der Login-Prozess wird dadurch zwar nicht beeinträchtigt, allerdings entfällt der von KeyTrac versprochene Sicherheitsaspekt. Onlinegauner müssten also lediglich JavaScript in ihrem Browser abschalten, um sich erfolgreich bei einem fremden Konto anzumelden. Für maximale Sicherheit raten die Regensburger deshalb, Login-Versuche ohne JavaScript generell nicht zuzulassen. Eine Option wäre auch, Usern die Entscheidung darüber zu überlassen, ob sie für ihren Account einen "sicheren Login" mit JavaScript-Zwang aktivieren möchten oder nicht.

Tablets werden nicht unterstützt

Pausieren muss der KeyTrac-Algorithmus auch bei Logins, die über berührungsempfindliche Bildschirme erfolgen, da sich das Tippverhalten auf diesen stark von der Eingabe auf herkömmlichen Tastaturen unterscheidet. Einen endgültigen Schutz vor individuellen Zugriffen durch nicht autorisierte Personen kann KeyTrac deshalb letztlich nicht bieten, es erschwert allerdings systematische, massenhafte Logins in fremde Konten auf Basis von gestohlenen und entschlüsselten Benutzername-Passwort-Listen.

Dashboard

Kunden innerhalb der von KeyTrac definierten Zielgruppe von Entwicklern, Shopbetreibern, Paymentprovidern und Unternehmen mit Intranet, welche die Technologie ausprobieren möchten, wählen ein kostenpflichtiges Paket abhängig von der Zahl der aktiven, einen Login praktizierenden Nutzer. Das günstigste Paket ist für 39 Dollar monatlich zu haben und unterstützt 200 aktive User - hiervon gibt es auch eine kostenfreie 30-tägige Testversion. Ein Dashboard liefert Statistiken über die Zugriffsversuche. In einer Simulation zeigen die Bayern die Treffgenauigkeit ihrer Technologie.

KeyTrac präsentiert sein Produkt in einem eleganten, zeitgemäßen Äußeren und folgt mit den Konditionen einer Reihe von anderen modernen Onlinedienstleistern, die auf Verträge mit Sternchentexten und viel Kleingedrucktem verzichten: Einrichtungsgebühren, Vertragswechselgebühren, Mindestvertragslaufzeiten oder Kündigungsfristen existieren nicht. Einen ersten Erfolg kann das Startup laut Aussage des KeyTrac-Presseverantwortlichen Matthias Kalb bereits verzeichnen: Zwei große E-Learning-Plattformen in den USA probieren das System derzeit aus, dürfen allerdings noch nicht genannt werden. /mw

Link: KeyTrac

© 2015 förderland
  drucken
RSS Feed Beobachten

Kommentare: Zugangsdaten: KeyTrac identifiziert Nutzer anhand ihres Tippverhaltens

Hm, ja, lustig, aber beim Ausprobieren des Live-Tests erreiche ich keinen Übereinstimmungswert jenseits der 51% - und ich habe nicht geschummelt, extra langsam oder anders getippt, sondern tatsächlich so, wie ich das immer tue. Ein solcher Wert ist allerdings völlig inakzeptabel. Vermutlich verbessert sich die Erkennungsrate rein statistisch bei häufigerer Benutzung, aber dennoch bin ich überrascht von diesem mäßigen Ergebnis.

Diese Nachricht wurde von Andreas am 21.03.13 (08:42:57) kommentiert.

In der Tat wäre das sehr problematisch. Ich hatte 95 Prozent.

Diese Nachricht wurde von Martin Weigert am 21.03.13 (08:44:46) kommentiert.

@Andreas Du hast vollkommen recht, die Erkennungsrate verbessert sich je öfter man sich anmeldet. Das "Problem" Deiner niedrigen Übereinstimmungsrate ist die hohe Genauigkeit des Systems. Konzentriert man sich wirklich darauf gleichmäßig zu tippen, hatte ich schon sehr häufig 99% - 100%. Von der anderen Seite betrachtet: Die 51% identifizieren den echten User immer noch besser als beispielsweise die 5% eines "Hackers". Deshalb senden wir als Antwort der API auch die Prozentzahl und nicht nur einen Ja/Nein Wert mit. So kann jeder Anwender selbst entscheiden ab wann er einem Benutzer misstraut. Liegt die Genauigkeit aller Deiner Anwender bei über 50%, kannst Du das als Einstellung verwenden...

Diese Nachricht wurde von Matthias Kalb am 21.03.13 (09:36:08) kommentiert.

An der Uni Regensburg wird ein ähnliches Verfahren zur Passwortwiederherstellung des Uni Accounts angeboten. Wahrscheinlich stecken da die gleichen Verantwortlichen dahinter wie bei KeyTrac. Habe bis jetzt nur positive Erfahrung damit gesammelt. Einen fremden Account habe ich noch nicht versucht zu hacken.

Diese Nachricht wurde von Philipp am 21.03.13 (10:02:19) kommentiert.

Als Regensburger musste ich es natürlich ausprobieren. Bei meinem ersten Log-In kam ich auf 70 %, danach grundsätzlich über 90%. Bei Eingabe der "Übungsdaten" mit nur einem Finger waren es nur noch 40 %. So gehört sich das dann wohl.

Diese Nachricht wurde von Stephan am 21.03.13 (10:08:39) kommentiert.

Man muss sich nur in den Finger schneiden oder die Fingernägel geschnitten haben - schon tippt man anders. Und was ist mit Nutzern, die über Smartphones reinwollen? Zusätzlich zur Unsicherheit und dem extrem leichten Umgehen also einfach nur eine unbrauchbare Grundidee aufgrund heutiger Technik. Wer dafür etwas zahlt ist schon ziemlich leichtgläubig!

Diese Nachricht wurde von Carmen am 21.03.13 (11:39:43) kommentiert.
Diesen Beitrag kommentieren:

Die Kommentare können nur zwischen 9 und 16 Uhr
freigeschaltet werden. Wir bitten um Verständnis.

Titel*

Name*

E-Mail*

(Wird nicht veröffentlicht!)

URL

Kommentar*

Um Spam zu vermeiden, lösen Sie bitte folgende Rechenaufgabe:

Förderland-Newsletter

Wissen für Gründer und Unternehmer