Psylock

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Psylock ist ein biometrisches Verfahren, das Benutzer anhand ihres Tippverhaltens an der herkömmlichen PC-Tastatur verifiziert. Es ist eine reine Software-Lösung, die den PC-Benutzer ohne zusätzliche Sensoren mit hoher Sicherheit authentifiziert. Das Tipp- und Korrekturverhalten auf einer Tastatur beinhaltet viele personenspezifische Informationen und eignet sich daher hervorragend als biometrisches Merkmal.

Die Forschungen auf dem Gebiet der Tippverhaltens-Biometrie starteten 1993 unter der Leitung von Dieter Bartmann am Lehrstuhl für Bankinformatik der Universität Regensburg. Das Verfahren wurde später am lehrstuhlnahen Forschungsinstitut ibi research (Institut für Bankinformatik) an der Universität Regensburg weiterentwickelt und zur Produktreife gebracht. Im Dezember 2007 wurde die Psylock GmbH gegründet, die biometrische IT-Sicherheitsprodukte auf Basis des Merkmals Tippverhalten vertreibt.

Funktionsweise[Bearbeiten | Quelltext bearbeiten]

Das System vergleicht einen einzugebenden Text mit einem vorab bereits trainierten Profil des Benutzers. Das Erkennungsverfahren basiert auf einem statistischen Modell in Verbindung mit einer Support Vector Machine. Zahlreiche Patente weltweit liegen vor. Langjährige Tests haben zu stetigen Verbesserungen und zur Marktreife des Verfahrens geführt.

Beim Vergleich der Tippprobe mit dem gespeicherten Profil werden diverse charakteristische Kennzeichen des Tippverhaltens abgeglichen; beispielsweise Anschlagsequenzen, Geschwindigkeit, Rhythmus und viele andere mehr. Darüber entscheidet das biometrische System, ob auch tatsächlich diejenige Person tippt, die sie vorgibt zu sein. Die Erkennungsleistung korreliert mit der zu tippenden Textlänge. Damit ist die Stärke des Verfahrens je nach Sicherheitsbedürfnis von hoch bis sehr hoch einstellbar. Eine willentliche Weitergabe des Tippverhaltens ist nicht möglich, da sich die charakteristischen Feinheiten im Millisekundenbereich abspielen. Dies schließt auch eine erzwungene Anwendung in einer stressbehafteten Bedrohungssituation aus.

Grundsätzlich ist Psylock anwendbar als Ersatz oder in Ergänzung zu herkömmlichen Login-Verfahren (Passwort, Token, Smartcard). Zudem können mit Hilfe des Verfahrens Passwörter maschinell zurückgesetzt oder kritische Transaktionen (z. B. Überweisungen, die eine zusätzliche Freigabe benötigen) signiert werden.

Pilotprojekt[Bearbeiten | Quelltext bearbeiten]

Im Oktober 2006 wurde das Produkt "Psylock Password Reset" an der Universität Regensburg und der Fachhochschule Regensburg, im April 2007 an der Fachhochschule Landshut eingeführt. Die Mitarbeiter und Studenten erhalten die Möglichkeit, sich über Psylock ein neues Passwort zu vergeben, falls sie das alte vergessen haben.

Mittlerweile hat das Produkt den Forschungsraum verlassen und ist bei mehreren Firmen im Einsatz.

Kritik[Bearbeiten | Quelltext bearbeiten]

Früher stand Psylock aufgrund der langen Trainingsphase (mehr als 30× einen Satz abtippen | ~8 Minuten Training) in der Kritik. Inzwischen wurde die Software weiterentwickelt und verbessert, so dass sich die Anzahl der einzugebenden Tippproben vermindert hat (9× einen Satz abtippen | ~2 Minuten Training).

Psylock ging am 15. März 2011 in die Insolvenz. Das Vorläufige Insolvenzverfahren wurde am AG Regensburg unter dem Aktenzeichen 4 IN 163/11 eröffnet.

Vermeintliche Sicherheitslücke[Bearbeiten | Quelltext bearbeiten]

Heiko Frenzel von Sicherheit-Online.org gelang es, sich in einen fremden Psylock-Account zu hacken, indem in den Computer des Opfers eingedrungen, sein Tippverhalten ausspioniert und dann in einer leicht veränderten Version imitiert wurde.[1] Dies stellt allerdings keine Sicherheitslücke im Psylock-System dar, vielmehr kann keine Authentifizierungsmethode, die nicht zusätzliche Hardware einsetzt, einem Angriff standhalten, bei dem der Angreifer volle Kontrolle über den Computer des Opfers erlangt hat. Die gleiche Angriffsmethode auf die biometrische Benutzeridentifikation durch das Tippverhalten eines Anwenders, wurde auch beim System "KeyTrac" der TM3 Software GmbH angewendet und von Frenzel in einem Video demonstriert[2].

Weblinks[Bearbeiten | Quelltext bearbeiten]

Referenzen[Bearbeiten | Quelltext bearbeiten]

  1. Sicherheit-Online.org (26. Juli 2011) Psylock geknackt - biometr. Schutz ausgetrickst! (Memento des Originals vom 25. August 2011 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.sicherheit-online.org Abgerufen 26. Juli 2011
  2. Heiko-Frenzel.de (17. April 2015) Video: KeyTrac, Psylock & Co - Biometrische Benutzeridentifikation Abgerufen 17. April 2015