Gesicht statt Passwort

SIeht so das Login der Zukunft aus?

Wer kennt das nicht: Lange nicht in einen Account eingeloggt und prompt hat man das Passwort vergessen. Damit dies zukünftig nicht mehr so leicht passiert, haben sich britische Forscher eine ungewöhnliche Passwort-Alternative einfallen lassen: Gesichter. Statt sich eine Buchstaben-Zahlen-Kombination merken zu müssen, reicht es dabei, einfach ein uns vertrautes Gesicht unter acht unbekannten anzuklicken. Der Clou dabei: Diese "Schlüsselperson" wird in jeweils verschiedenen Fotos gezeigt. Sie trotzdem sicher wiederzuerkennen, gelingt nur dann, wenn wir die Person kennen – ein Hacker hat daher kaum eine Chance, wie Experimente belegen.

Wenn es um Passwörter geht, stehen wir vor einem ewigen Dilemma: Wählen wir einfache, leicht zu merkende Codes, dann werden sie auch leicht geknackt. Komplizierte, abstrakte Buchstaben-Zahlen-Kombinationen gelten als sehr viel sicherer, sie lassen sich aber nur schwer merken. Entsprechend oft vergessen wir sie dann auch oder wir sind versucht, sie irgendwo aufzuschreiben – auch keine sehr sicherere Lösung. Unter anderem deshalb arbeiten Forscher schon seit längerem an grafischen Alternativen zum klassischen Passwort. Eine dieser Varianten haben Rob Jenkins von der University of York und seine Kollegen entwickelt und in punkto Sicherheit und praktischer Anwendbarkeit geprüft.

Gesichtserkennung funktioniert nur bei Bekannten gut

Das "Facelock" getaufte System basiert auf einer psychologischen Besonderheit unseres Gesichtserkennungssystems: Unser Gehirn erkennt vertraute Gesichter selbst in unscharfen oder schlecht belichteten Bildern und aus allen Blickwinkeln gut wieder. Eine Verwechselung passiert fasst nie. Anders dagegen bei Portraits uns unbekannter Personen: "Unsere Fähigkeit, solche unbekannten Gesichter von Fotos wiederzuerkennen ist erstaunlich schlecht", erklären Jenkins und seine Kollegen. Sehen wir verschiedene Ansichten der gleichen unbekannten Person, halten wir diese oft für zwei verschiedene Individuen.

Dieses instinktive Wiedererkennen vertrauter Personen nutzt Facelock aus: Als Schloss dienen dabei Tafeln mit jeweils neun Gesichtsfotos – von acht unbekannten und einer bekannten, zuvor beim Einrichten des Systems bestimmten Person. Diese muss allerdings sorgfältig ausgewählt werden, wie die Forscher betonen: Es darf kein Mensch aus dem persönlichen Bekanntenkreis sein, weil dieser über Facebook und andere soziale Netzwerke auch von einem Hacker gefunden und zugeordnet werden könnte. Ein Prominenter scheidet ebenfalls aus, weil er fast allen bekannt ist. Am besten geeignet sei ein "Z-Prominenter", erklären die Forscher: Eine Person, die uns aufgrund unserer Interessen oder Hobbies zwar vertraut ist, aber der Allgemeinheit eher nicht. Ist die Schlüsselperson festgelegt, genügt es zum Einloggen nun, in vier aufeinanderfolgenden Tafeln jeweils das Foto der bekannten Person anzuklicken. Weil unsere Gesichtserkennung bei vertrauten Personen so gut ist, klappt dies, auch wenn auf jeder Tafel eine andere Ansicht der Schlüsselperson zu sehen ist.

Wenig Chancen für Hacker

Der große Vorteil dabei: Weil wir das bekannte Gesicht automatisch inmitten der unbekannten wiedererkennen, müssen wir uns nichts merken - auch nicht, welche Person wir als "Schlüssel" ausgewählt haben, wie ein Test mit rund 100 Freiwilligen zeigte. Diese bestimmten eine Schlüsselperson und sollten sich dann eine Woche später mit Facelock einloggen. Das funktionierte bei 97,5 Prozent reibungslos, wie die Forscher berichten. Und auch bei einem Wiederholungstest ein Jahr später lag die Erfolgsquote beim Einloggen mit 86 Prozent noch ähnlich hoch, obwohl die Probanden in der Zwischenzeit Facelock nie mehr benutzt hatten und sich oft auch nicht mehr erinnern konnte, welche Person sie als Schlüsselperson ausgewählt hatten. Der Anblick des bekannte Gesichts unter acht unbekannten löste das Problem aber von allein. Zum Vergleich: Bei normalen Passwörtern erinnern sich schon nach fünf Monaten nur noch zwischen 27 und 35 Prozent der Nutzer korrekt.

Und auch die Sicherheit überprüften die Forscher: Sie ließen jeweils zwei gute Freunde oder Verwandte der Probanden auf deren Gesichtercode los mit der Aufgabe, diesen zu knacken. Denn wenn jemand den Nutzer gut kennt, dann kennt er möglicherweise auch dessen Vorlieben und kann die Schlüsselperson erraten. Doch das war erstaunlich selten der Fall, wie die Wissenschaftler berichten: Nur gut sechs Prozent dieser "Auftragshacker" waren erfolgreich. Und auch das "Über die Schulter gucken" beim Einloggen hilft einem Hacker wenig, wie ein weiterer Test zeigte: Selbst wenn die 32 Hackerkandidaten einen Blick auf eine Gesichtertafel mit markierter Schlüsselperson werfen durften, waren anschließend nur drei von insgesamt 160 Versuchen erfolgreich. Der Grund: Das Foto der Schlüsselperson wechselt bei Facelock mit jeder Tafel - und das ist zwar für jemanden, der mit der Person vertraut ist kein Problem ist, wohl aber für jemanden, dem diese Person komplett unbekannt ist.

Dieser Wechsel der Ansichten macht diese grafische Passwort-Alternative demnach sicher und gleichzeitig einfach zu handhaben, so das Fazit der Forscher. Sie hoffen nun, dass Software-Entwickler ihre Idee aufgreifen und es schon bald die ersten Facelock-gesicherten Anwendungen geben wird.

Reload-Capcha neu laden Text der identifiziert werden soll

Bitte geben Sie zusätzlich noch den Sicherheitscode ein!

Rubriken

 


Harte Nuss
Rätsel: Berühmte Entdecker gesucht

 

Der Buchtipp

Was kommt dabei heraus, wenn sich Alice nicht ins Wunderland verirrt, sondern in eine Vorlesung über Quantenphysik? Eine Reise als intellektueller und ästhetischer Genuss.

Zu allen Buchtipps


Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der Konradin Mediengruppe