Bilderassoziationen

Betrugssicheres Passwortsystem

Mit "SecLookOn" hat das österreichischen Unternehmen Merlinnovations ein Passwortsystem entwickelt, das auf Basis von Bildassoziationen der User betrugssichere Kennwörter generieren soll. Anstatt, wie bisher üblich, ein Passwort oder einen PIN-Code zwischen Computer und Anwender auszutauschen, muss der Anwender bei "SecLookOn" den Code nicht direkt eingeben, sondern lediglich beweisen, dass er ihn kennt. Dieser Beweis erfolgt durch eine zuvor festgelegte Bilder-Farben-Kombination.

Bei "SecLookOn" muss sich der Anwender merken, welche Farbe er mit einem Bild oder einem Bildpaar assoziiert. So könnte man beispielsweise das Bild eines Meeresstrandes je nach individueller Assoziation mit der Farbe blau kombinieren. In weiterer Folge wählt der Anwender eine Farbe, die mit dem gleichzeitigen Erscheinen beider Bilder assoziiert wird, sowie eine für jenen Fall, dass keines der beiden Bilder erscheint. Diese Farben-Bilder-Kombinationen sind der Schlüssel.

In der praktischen Anwendung erscheinen nun Bilder auf der einen Bildschirmhälfte und bunte Farbfelder auf der anderen. Die Farbfelder beinhalten außerdem Zahlen. Erscheint das richtige Bild, so tippt der User jene Zahl ein, die im zugeordneten Farbfeld erscheint. Je nachdem, ob nun eines, keines oder beide der vom Benutzer gewählten Bilder erscheinen, wählt der User die entsprechende Zahl.

"Unsere Methode hat den Vorteil, dass selbst ein aufmerksamer Zuseher das System nicht begreifen kann. Zudem erscheinen beim nächsten Einloggen andere Bilder-Zahlen-Kombinationen, wodurch ein neuer Zahlencode entsteht", führt Helmut Schluderbacher, Entwickler des Systems, aus. Dadurch, dass bei jedem Login ein neuer Code entsteht, sei das Ausspionieren unmöglich. Phishing-E-Mails gingen ebenfalls ins Leere. "Das System ist nicht nur abhörsicher, es kommt auch der spezifischen Arbeitsweise des Gehirns entgegen. Denn Menschen merken sich Bilder leichter als Zahlen", meint Schluderbacher.

Zum Einsatz kann die Passwort-Lösung praktisch bei jedem System kommen, wo ein Kennwort oder PIN-Code zur Authentifizierung verlangt wird, so der Entwickler. Die Anwendungsfälle reichen vom Online-Datenzugriff über Software bis zu Bankomaten. Das System sei zudem sehr flexibel, so Schluderbacher. Denn Betreiber sowie Kunden können festlegen, ob ein fixer oder dynamischer PIN-Code oder aber eine Kombination aus beiden genutzt werden soll. Interessierte können das Passwortsystem online testen (siehe Infobox). (pte)