Bild: SecLookOn

Assoziationen statt Passwort

06.10.2008

Eine kurze Kette von individuellen Farb- und Bildassoziationen samt zwei simplen Verknüpfungsregeln ersetzt Passwörter und Fingerprint-Reader beim Log-In. Assoziationsketten seien "mentale Token", meint Helmut Schluderbacher, Erfinder von SecLookOn, und lädt online dazu ein, das Log-in-System zu hacken.

Bis jetzt habe es noch keiner geschafft, und er rechne auch nicht damit, dass es bis zur Deadline jemand schaffen werde, den SecLookOn-Key zu hacken, sagte Schluderbacher, Geschäftsführer von MERLINnovations, hörbar vergnügt am Telefon zu ORF.at.

Das erste zentrale Produkt des österreichischen Start-up-Unternehmens steht online zum Test, noch bis 10. Oktober läuft dazu ein "Hack the Key"-Wettbewerb.

Hack das doppelte "Memory"

Allein die Aufgabenstellung hat schon etwas Exzentrisches: Wie bitte, hackt man ein Login-System, das wie ein doppeltes "Memory"-Spiel mit aufgedeckten Karten aussieht, aber offensichtlich nach völlig anderen Regeln als "Memory" funktioniert?

"Ich war anfangs auch skeptisch" sagt Schluderbacher über sein eigenes patentiertes System, das Passwörter ebenso überflüssig machen kann, wie Biometrie-Lösungen oder Hardware-Tokens.

"Watscheneinfach"

"Jedem Tester ging es Anfangs ebenso", aber nur dann, denn schon nach einem einzigen Probedurchgang habe die überwiegende Mehrzahl der Tester das SecLookOn-System als "trivial" bis "watscheneinfach" in der Handhabe eingestuft.

Von 300 Rückmeldungen bis dato seien 86 Prozent positiv bis sehr positiv gewesen, so Schluderbacher.

Wie SecLookOn funktioniert

Amerkung: Das Bild oben ist ein Beispiel, die nachfolgende Beschreibung bezieht sich auf einen anderen Set von Bildern, die im Online-Test [Link unten] angeboten werden.

Man suche links ein beliebiges Motiv aus, Position und Häufigkeit des Motivs sind dabei irrelevant.

Zu diesem Motiv1 wird nun eine Farbe aus der rechten Seite des "Memory" - jedes Element dort ist dreifarbig mit einer Zahl - assoziert und ihre Position festgelegt: Entweder zählt die Farbe des Hintergrunds, die Farbe des Objekts oder die Farbe der Zahl. Weitere Möglichkeiten: Form des Objekts, Zahl.

Assoziationen

Anmerkung: Jeder dieser Auswahlvorgänge bei der Schlüsselgenerierung wird mehrfach absolviert, damit SecLookOn die Assoziationskette "lernt".

Es gilt: Wenn links Motiv1, zum Beispiel ein lilafarbener Kreis auf schwarzem Hintergrund erscheint, dann gehört - sagen wir - rechts ein Icon mit einem Hintergrund in demselben Lila dazu, egal welche Farben oder welche Zahl sonst noch auf diesem Icon sind.

Wir wählen links nun Motiv2 [Blumen] und verfahren wie oben. Wenn Blumen, dann muss auf der rechten Seite zur Abwechslung das Schmetterlingssymbol gesucht werden.

Zweimal wenn-dann

Nun gilt es noch, zwei weitere einfache Regeln festzulegen. Was gilt, wenn Motiv1 und Motiv2 beim [späteren] Log-In zusammen in der Auswahl auftauchen? Der Einfachheit halber ordnen wir diesem Fall wieder rechts das Schmetterlingssymbol zu.

Wird beim Login keins der beiden ausgewählten Motive angeboten, gilt wieder die erste Regel: das Icon mit lila Hintergrund zählt.

Das Log-In

Die Testvorgänge verlaufen bereits wie das Log-In. Links wie rechts werden nacheinander jeweils nur noch sechs Bilder angezeigt.

Ist Motiv1 [lila Kreis] links vorhanden, wählt man rechts das einzige Bild mit lila Hintergrund und damit eine Zahl aus. Sind beide Motive unter den sechs links angebotenen, sucht man rechts das einzige Bild mit dem Schmetterlingssymbol und klickt auf die Zahl, die es trägt.

Kurzlebige Session-PINs

Auf diese Weise wird bei jedem Log-In, basierend auf Bild- und Farbassoziationen ein neuer, fünstelliger PIN-Code generiert, was eine ganze Anzahl bekannter Attacken auf Log-In-Forms schon einmal ausschließt.

Weder so genannte Wörterbuchattacken noch andere Brute-Force-Angriffe können funktionieren, auch eine "Man-in-Middle-Attack" bringt nichts.

Im besten Fall hat man etwa über einen Trojaner einen Session-PIN mitsniffen können. Der ist allerdings wertlos, da er nur einmal gilt und keine Ähnlichkeit mit jedem neu generierten Session-PIN desselben Benutzers hat.

Das "mentale Token"

"Sogar wenn einem jemand beim Log-In über die Schulter schaut, kann er die Regeln nicht nachvollziehen, nach denen der jeweilige Benutzer klickt. SecLookOn ist eine Art mentales Token. Der Schlüssel befindet sich allein im Kopf des Benutzers" sagt Schluderbacher. Damit könne der Schlüssel weder ausgespäht, noch kopiert werden.

Die Erfahrung in den Tests habe bis jetzt klar gezeigt, dass er auch nicht vergessen werde. Sobald der Benutzer die Symbole wieder vor sich auf dem Bildschirm sehe, wähle er automatisch wieder die ursprünglichen Assoziationen.

Biometrie im Vergleich

Der Vorteil eines solchen Ansatzes gegenüber Biometrie-Lösungen für Log-In-Vorgänge liege schon einmal physisch auf der Hand, sagt Schluderbacher.

Für SecLookOn brauche es nur einen zentralen Server, am anderen Ende des Log-In genüge irgendein PC mit Browser, während bei Biometrie stets die geeignete Hardware - etwa ein mit dem PC verbundener Fingerprint-Reader samt Software - vor Ort sein müsse.

Dazu kämen auf Biometrie-Lösungen mittelfristig unweigerlich Kompatibilitätsprobleme durch immer schnellere Entwicklungszyklen der Hardware zu- Stichwort: Treiber - Fehler durch Verschmutzung der Lesegeräte usw.

Blitzartiges Vergessen

Und: Ein SecLookOn-Schlüssel sei jederzeit änderbar, könne nicht kopiert und auch nicht so leicht vergessen werden, wie man so manches neue Passwort oft blitzartig wieder vergisst.

Investiert in die Entwicklung der Software wurden je nach Rechnung zwischen 750.000 und einer Million Euro, sagt Schluderbacher. Mit dem Produkt selbst zielt MERLINnovations auf Firmen, die sicherheitsrelevanten Anwendungen nicht auslagern , sondern selbst kontrollieren wollen.

Ein erster Großkunde hat sich mit dem Magna-Steyr-Konzern bereits eingestellt. Auch hier sei es genauso abgelaufen: Erst Skepsis, dann Verwunderung über die SecLookOn zu Grunde liegende Simplizität.

Wie bei so vielen Neuheiten in den Zeiten von "Web 2.0" liegen auch die Ursprünge von SecLookOn weit in der Vergangenheit. 1994 hatte Schluderbacher eine Diplomarbeit zum Thema "Passwortkontrolle mit Symbolen" abgefasst. Das damals entworfene System hatte sich allerdings nach einer bestimmten Zeit als knackbar herausgestellt.

Im Jahre 1994

"Dass es eine Lösung für das Problem gegeben musste, war mir die ganze Zeit über klar, aber ich hatte erst 2004 wieder etwas Zeit das genauer zu überlegen" sagt Schluderbacher.

2005 begann man mit der Entwicklung der Software-Lösung für das SecLookOn-Verfahren, das mittlerweile in mehreren Ländern unter Patentschutz steht.

"Start-up-Geschichten"

Im Rahmen der Serie "Start-up-Geschichten" berichten wir laufend über innovative Web- und IT-Unternehmen aus Österreich. Bisher erschienen:

(futurezone | Erich Moechel)