KeyTrac verhindert Account Takeovers auf Websites durch biometrische Verifizierung des eigenen Tippverhaltens

Wessen Zugangsdaten für Onlinedienste schon einmal kompromittiert wurden, kennt den Schreck und die mögliche Panik, die einen durchfahren. Eine zusätzliche Absicherung durch biometrische Daten wie Fingerabdrücke bieten viele Dienste leider nicht an. KeyTrac […]
KeyTrac verhindert Account Takeovers auf Websites durch biometrische Verifizierung des eigenen Tippverhaltens
Donnerstag, 6. Juni 2013VonThorsten Panknin

Wessen Zugangsdaten für Onlinedienste schon einmal kompromittiert wurden, kennt den Schreck und die mögliche Panik, die einen durchfahren. Eine zusätzliche Absicherung durch biometrische Daten wie Fingerabdrücke bieten viele Dienste leider nicht an. KeyTrac (www.keytrac.net) bietet Plattformbetreibern eine Lösung für das Problem an – die zusätzliche biometrische Verifizierung über das eigene Tippverhalten.

Die TM3 Software GmbH aus Regensburg bietet Kunden seit März 2013 mit ihrem Webdienst KeyTrac die Möglichkeit, Websites, Onlineshops und Webanwendungen zusätzlich gegen unberechtigte Zugriffe abzusichern. Dazu zieht der Dienst neben Zugangsdaten einen weiteren biometrischen Faktor hinzu: das Tippverhalten der Nutzer. Es ist dazu keine spezielle Hardware wie vormals Fingerprint-Reader oder ähnliches nötig, lediglich eine normale Tastatur.

Ein Algorithmus überträgt zeitliche Tippabstände

Kernstück des Dienstes ist der KeyTrac-Algorithmus, ein Javascript-Code, den Kunden wie Unternehmen, Shopbetreiber, Webentwickler oder Payment-Provider mit wenig Aufwand in ihre Seiten oder Anwendungen einbauen können. Für Nutzer ist das Verfahren transparent und kann somit während des normalen Betriebes implementiert werden.

Der Algorithmus ermittelt eine Zeitschablone, die die zeitlichen Abstände zwischen den Tastatureingaben enthält. KeyTracs Team ist es wichtig, darüber zu informieren, dass nicht erfasst wird, welche Tasten gedrückt wurden, sensiblen Daten wie Nutzername oder Passwort werden nicht übertragen. Lediglich die Zeitschablone wird an KeyTracs Server übermittelt, woraufhin der Dienst einen Prozentwert der Übereinstimmung und eine Empfehlung zurücksendet. Diese Daten können vom Entwickler mit einer Client-Software weiter verarbeitet werden, die Keytrac für verschiedene Programmiersprachen zur Verfügung stellt. Ist der Prozentwert der Erkennung sehr niedrig, können Entwickler selbst weitere Faktoren zur finalen Authentifizierung einfließen lassen, zum Beispiel den verwendeten Browser oder den Geostandort über die IP-Adresse. Der Algorithmus passt sich überdies Änderungen im Tippverhalten an.

Eine Demo ist – mit Einschränkungen – verfügbar

Auf der KeyTrac-Website gibt es eine Demo-Implementation, mit der Interessierte das System ausprobieren können. Situationsbedingt kommt es dabei teilweise zu niedrigen Erkennungswerten, was Professor Dr. Thomas Wölfl, KeyTracs Geschäftsführer, folgendermaßen erklärt: “Wenn Sie sich öfter bei einem Portal einloggen und dafür ein “echtes” Passwort nutzen (das Sie evtl. auch schon öfter getippt haben), ist Ihr Tippverhalten stabiler als in unserer Web-Demo. Bei unserer Demo ist ein gewisses Problem, dass die meisten Leute dort nur testhalber ein Passwort eingeben, das Sie sonst nie nutzen. Das Tippen eines Passwortes schleift sich etwas ein und unser System erkennt auch diesen Aspekt und adaptiert sich im Laufe der Zeit an das leicht verändernde Tippverhalten.”

Touchscreen-Eingabe werden noch nicht unterstützt, könnten aber noch sicherer sein als über die Hardware-Tastatur

Smartphones und Tablets sind immer mehr im Kommen, weshalb sich das KeyTrac-Team  mit diesem Trend beschäftigt. Wölfl erläutert: “Wir glauben, dass KeyTrac auf touchfähigen Geräten noch besser funktioniert, da wir über die Touchoberfläche zusätzliche Faktoren einbeziehen können, zum Beispiel wo auf den Bildschirm gedrückt wurde und mit welcher Andruckstärke. Es laufen bei uns gerade erste Studien dazu.”

TM3 Software GmbH wurde im Oktober 2008 als Spin-off der Universität Regensburg gegründet und ist aus verschiedenen Quellen finanziert. Zu den Geldgebern gehören das Zentrale Innovationsprogramm Mittelstand (ZIM), die S-REFIT AG und die Bayern Kapital als Risiko-Kapitalgeber. KeyTrac-Kunden wählen nach einer kostenlosen Testphase eines von sechs kostenpflichtigen Paketen, die nach Anzahl der aktiven Nutzer gestaffelt sind.

Nachdem vor nicht allzu langer Zeit die Webdienste Evernote und Twitter die Zugangsdaten vieler Nutzer zurücksetzen mussten, weil die Daten kompromittiert worden waren, bietet KeyTrac eine weitere Möglichkeit der Absicherung, bevor das Kind in den Brunnen fällt. Die Implementierung über Javascript verlangt allerdings, dass Betreiber die Webtechnologie zwingend voraussetzen, ansonsten fällt der Zusatzschutz in sich zusammen.

Thorsten Panknin

Kommt beruflich aus den Bereichen der Mediengestaltung und der Betreuung demenziell erkrankter Menschen. Seit Ende 2012 ist er freier Journalist mit dem Schwerpunkt Start-ups, interessiert sich aber auch für E-Reading und Open Source.