KeyTrac verhindert Account Takeovers auf Websites durch biometrische Verifizierung des eigenen Tippverhaltens

Wessen Zugangsdaten für Onlinedienste schon einmal kompromittiert wurden, kennt den Schreck und die mögliche Panik, die einen durchfahren. Eine zusätzliche Absicherung durch biometrische Daten wie Fingerabdrücke bieten viele Dienste leider nicht an. KeyTrac […]
KeyTrac verhindert Account Takeovers auf Websites durch biometrische Verifizierung des eigenen Tippverhaltens

Wessen Zugangsdaten für Onlinedienste schon einmal kompromittiert wurden, kennt den Schreck und die mögliche Panik, die einen durchfahren. Eine zusätzliche Absicherung durch biometrische Daten wie Fingerabdrücke bieten viele Dienste leider nicht an. KeyTrac (www.keytrac.net) bietet Plattformbetreibern eine Lösung für das Problem an – die zusätzliche biometrische Verifizierung über das eigene Tippverhalten.

Die TM3 Software GmbH aus Regensburg bietet Kunden seit März 2013 mit ihrem Webdienst KeyTrac die Möglichkeit, Websites, Onlineshops und Webanwendungen zusätzlich gegen unberechtigte Zugriffe abzusichern. Dazu zieht der Dienst neben Zugangsdaten einen weiteren biometrischen Faktor hinzu: das Tippverhalten der Nutzer. Es ist dazu keine spezielle Hardware wie vormals Fingerprint-Reader oder ähnliches nötig, lediglich eine normale Tastatur.

Ein Algorithmus überträgt zeitliche Tippabstände

Kernstück des Dienstes ist der KeyTrac-Algorithmus, ein Javascript-Code, den Kunden wie Unternehmen, Shopbetreiber, Webentwickler oder Payment-Provider mit wenig Aufwand in ihre Seiten oder Anwendungen einbauen können. Für Nutzer ist das Verfahren transparent und kann somit während des normalen Betriebes implementiert werden.

Der Algorithmus ermittelt eine Zeitschablone, die die zeitlichen Abstände zwischen den Tastatureingaben enthält. KeyTracs Team ist es wichtig, darüber zu informieren, dass nicht erfasst wird, welche Tasten gedrückt wurden, sensiblen Daten wie Nutzername oder Passwort werden nicht übertragen. Lediglich die Zeitschablone wird an KeyTracs Server übermittelt, woraufhin der Dienst einen Prozentwert der Übereinstimmung und eine Empfehlung zurücksendet. Diese Daten können vom Entwickler mit einer Client-Software weiter verarbeitet werden, die Keytrac für verschiedene Programmiersprachen zur Verfügung stellt. Ist der Prozentwert der Erkennung sehr niedrig, können Entwickler selbst weitere Faktoren zur finalen Authentifizierung einfließen lassen, zum Beispiel den verwendeten Browser oder den Geostandort über die IP-Adresse. Der Algorithmus passt sich überdies Änderungen im Tippverhalten an.

Eine Demo ist – mit Einschränkungen – verfügbar

Auf der KeyTrac-Website gibt es eine Demo-Implementation, mit der Interessierte das System ausprobieren können. Situationsbedingt kommt es dabei teilweise zu niedrigen Erkennungswerten, was Professor Dr. Thomas Wölfl, KeyTracs Geschäftsführer, folgendermaßen erklärt: “Wenn Sie sich öfter bei einem Portal einloggen und dafür ein “echtes” Passwort nutzen (das Sie evtl. auch schon öfter getippt haben), ist Ihr Tippverhalten stabiler als in unserer Web-Demo. Bei unserer Demo ist ein gewisses Problem, dass die meisten Leute dort nur testhalber ein Passwort eingeben, das Sie sonst nie nutzen. Das Tippen eines Passwortes schleift sich etwas ein und unser System erkennt auch diesen Aspekt und adaptiert sich im Laufe der Zeit an das leicht verändernde Tippverhalten.”

Touchscreen-Eingabe werden noch nicht unterstützt, könnten aber noch sicherer sein als über die Hardware-Tastatur

Smartphones und Tablets sind immer mehr im Kommen, weshalb sich das KeyTrac-Team  mit diesem Trend beschäftigt. Wölfl erläutert: “Wir glauben, dass KeyTrac auf touchfähigen Geräten noch besser funktioniert, da wir über die Touchoberfläche zusätzliche Faktoren einbeziehen können, zum Beispiel wo auf den Bildschirm gedrückt wurde und mit welcher Andruckstärke. Es laufen bei uns gerade erste Studien dazu.”

TM3 Software GmbH wurde im Oktober 2008 als Spin-off der Universität Regensburg gegründet und ist aus verschiedenen Quellen finanziert. Zu den Geldgebern gehören das Zentrale Innovationsprogramm Mittelstand (ZIM), die S-REFIT AG und die Bayern Kapital als Risiko-Kapitalgeber. KeyTrac-Kunden wählen nach einer kostenlosen Testphase eines von sechs kostenpflichtigen Paketen, die nach Anzahl der aktiven Nutzer gestaffelt sind.

Nachdem vor nicht allzu langer Zeit die Webdienste Evernote und Twitter die Zugangsdaten vieler Nutzer zurücksetzen mussten, weil die Daten kompromittiert worden waren, bietet KeyTrac eine weitere Möglichkeit der Absicherung, bevor das Kind in den Brunnen fällt. Die Implementierung über Javascript verlangt allerdings, dass Betreiber die Webtechnologie zwingend voraussetzen, ansonsten fällt der Zusatzschutz in sich zusammen.

Kommt beruflich aus den Bereichen der Mediengestaltung und der Betreuung demenziell erkrankter Menschen. Seit Ende 2012 ist er freier Journalist mit dem Schwerpunkt Start-ups, interessiert sich aber auch für E-Reading und Open Source.



  1. Mike

    Lief seit 2007 unter der Firma Psylock, nach deren Insolvenz jetzt der versuchte neustart.

    Was man von der Technologie halten soll?
    http://old.sicherheit-online.org/Aktuelle-Themen/Psylock-geknackt-biometrischer-Schutz-ausgetrickst.html

  2. Ich habe es gerade getestet und kann bestätigen, dass sich KeyTrac auf die exakt gleiche Art und Weise austricksen lässt, wie es damals schon bei Psylock möglich war. Ich konnte für den Test jedoch nur die Demonstration auf der Website nutzen.



  3. Hans

    Naja, welche Technologie ist schon sicher, wenn man Zugriff auf das jeweilige System hat? Ob ich nun ein Passwort mitlogge oder eben das von KeyTrac erzeugte Tippverhalten…



  4. Thomas P

    “Die Implementierung über Javascript verlangt allerdings, dass Betreiber die Webtechnologie zwingend voraussetzen, ansonsten fällt der Zusatzschutz in sich zusammen.” – mehr muss man wohl nicht sagen… Eine clientseitige Absicherung, die ein Angreifer einfach abschalten kann – welchen Schutz soll die bieten??? Abgesehen davon, dass ich nach 10minütigem laienhaften gehackte mit ein wenig JQuery, Firebug und XSS das “Salt” – also den digitalen Fingerprint – im Klartext lesen und duplizieren konnte: ist nicht mein Tippverhalten auf meinem Büro-PC (vollwertiges QWERTZ-Keyboard) ein völlig anderes als daheim auf meinem Mac als unterwegs auf meinem Mobile Fön? Wie man da soetwas wie ein typisches, personenindividuelles Tipp-Verhalten / Muster erkennen will – kann mir das mal einer erklären. Die Idee ist ja ganz nett, ist aber ungefähr so wie wenn man der Bank sagt: wir machen euren Tresorraum sicherer, indem wir draußen ein Schild aufstellen: “Bankräuber müssen draußen bleiben!”. Nett gemeint, juckt aber die schweren Jungs 0,0.

  5. Kaum eine Woche vergeht, ohne dass nicht ein bekanntes Internetunternehmen Opfer einer größeren Hackerattacke wird. Häufig verschaffen sich die Angreifer Zugang zu den Benutzerdaten von Anwendern. Erst kürzlich sah sich der bekannte Notizbuchdienst Evernote deshalb gezwungen , die Passwörter aller Nutzer zurückzusetzen. Kurz zuvor mussten 250.000 Twitter-Anwender aufgrund einer Attacke ebenfalls ihre Zugangsdaten erneuern . Das ist nicht nur für User ärgerlich, sondern natürlich auch für die betroffenen Dienste, die Vertrauen aufs Spiel setzen und zusätzlichen Aufwand haben. Da verwundert es nicht, dass Onlineservices verstärktes Interesse an zusätzlichen Sicherheitsvorkehrungen wie etwa der Zwei-Faktor-Authentifizierung zeigen, deren Implementation nun auch bei Evernote auf der Roadmap steht .

  6. @Jared Fisher: Naja, die Problematik mit Passwörtern besteht nicht erst seit kurzer Zeit und hat relativ wenig mit dem biometrischen System von KeyTrac oder Psylock zu tun. Das größte Problem ist auch in der heutigen Zeit noch das Bewusstsein der Betreiber und auch der User bezüglich der Sicherheit. Ich habe in der Vergangenheit tausende Schwachstellen aufgedeckt, die zum Teil Regierungssysteme, Banken und Großkonzerne betroffen haben. Man möchte nicht glauben, dass der Admin einer Bank zum Beispiel ein Passwort wie “schnucki123″ verwendet. Ich habe Herausgeber von Sicherheitszertifikaten erlebt, die alle Passwörter im Klartext in der Datenbank abgelegt haben. Da braucht man sich nicht wundern, wenn es richtig kracht, sobald da mal der Falsche Zugriff hat. Aber selbst wenn man den Leuten die Schwachstellen und Probleme auf dem Tablett serviert, kümmern sie sich in der Regel nicht darum.

    Dass KeyTrac sicher ist, kann man definitiv nicht behaupten. Ähnlich skeptisch war ich bei Psylock und habe – leider – Recht behalten.



  7. Thomas Wölfl

    Ich denke, es gibt ein kleines Mißverständnis. Der KeyTrac Erkennungs-Algorithmus läuft _nicht_ als JavaScript im Browser. Die Erkennung wird auf der Serverseite realisiert.

    Im Client wird nur das Tippverhalten mit einem einfachen JavaScipt aufgezeichnet. Diese Tipprobe wird dann zum Server übertagen, der letztlich über die Authentizität des Tippmusters entscheidet.

    In diesem Zusammenhang wird KeyTrac als zusätzliche Absicherung zum Passwort verwendet. Im Unterschied zu Psylock wird dabei das Passwort nicht ersetzt sondern um einen zweiten Faktor ergänzt.

    Wenn Sie über die Sicherheit des Ansatzes diskutieren, bitte ich Sie, diesen zentralen Aspekt zu berücksichtigen. Ihr Angriffs-Szenario macht unter dieser Voraussetzung keinen Sinn mehr.



  8. Matthias

    @Thomas P.

    Wenn du, wie du behauptest, nach deinem “… 10 minütigem laienhaften gehackte mit ein wenig JQuery, Firebug und XSS…” den “SALT” auslesen konntest, dann kannst du uns sicher den Aufruf dazu posten.

    Oder noch besser, wie wäre es, wenn du die Leute von KeyTrac darauf hinweist, dass es ein XSS-Problem gibt?

    BTW:
    Ein klick auf das Augen hätte auch gereicht, um das was KeyTrac aufzeichnet anzusehen…

Aktuelle Meldungen

Alle