Zeige mir, wie Du tippst und ich sage Dir, wer Du bist

Neben herkömmlichen Passwörtern, biometrischen Verfahren und Multifaktor-Logins wird zurzeit an einer weiteren Alternative geforscht, um Menschen im Internet zu authentifizieren: Durch Verhaltensanalyse, Behavioral Analysis, also der Art und Weise, wie der Nutzer auf eine Tastatur tippt, ob auf seinem PC, Tablet oder Smartphone. Konkret werden Erkenntnisse vor allem aus der Geschwindigkeit des Tippens, aus dem Tastendruck und aus der Art und Weise der beim Tippen eingelegten Pausen gewonnen, die den IT-Sicherheitsexperten genügend Daten liefern, um individuelle Profile erstellen zu können.

Skandinavische Banken testen dieses Verfahren bereits seit dem vergangenen Jahr, die dänische Danske Bank verwendet es bereits für ihr Online-Banking. Das schwedische Unternehmen BehavioSec biete Websitebetreibern an, mit dieser Technik die Logins ihrer Kunden zu sichern.

Die Kehrseite der Medaille einer neuen Authentifizierungsmethode ist jedoch die Gefahr des Missbrauchs der durch die Verhaltensanalyse gewonnen Daten für eine ungewollte Identifizierung des Nutzers. Das Skript von BehavioSec funktioniert beispielsweise auch bei Usern des (eigentlich) anonymisierten Tor-Browsers. Vor allem aber wird der Nutzer völlig im Unklaren darüber gelassen, ob und in wie weit sein Verhalten aufgenommen und analysiert wird. Auch dafür haben findige Entwickler aber schon eine Lösung parat: Jedenfalls bei Google Chrome kann die Eingaben in Textfeldern durch ein Browser-Add-On zufällig um ein paar Milisekunden verzögert werden, so dass eine versteckte Verhaltensanalyse nicht mehr möglich sein soll.