ETH-App: Bank-Login durch Umgebungsgeräusche

Zwei-Faktoren-Authentifizierung ist nichts Neues: Passwort eingeben, Zugangscode aufs Handy geschickt bekommen. Das ist praktisch, sicher - und schrecklich umständlich.
 
Deshalb haben sich vier ETH-Forscher Gedanken darüber gemacht, wie man die Idee des Logins mit zwei Geräten komfortabler umsetzen könnte. Ihre Lösung haben sie vor ein paar Tagen am Usenix Security Symposium in Washington vorgestellt. Die Idee von Nikolaos Karapanos, Claudio Marforio, Claudio Soriente und Srdjan Capkun: Der Zugangscode wird durch eine Geräuscherkennung abgelöst. Nach dem Login nehmen Computer und Handy simultan etwa drei Sekunden Umgebungsgeräusche auf. Diese werden von Sound-Proof verglichen. Bei Übereinstimmung bestätigt Sound-Proof das Passwort. Das funktioniert gemäss Sound-Proof sogar, wenn das Handy in der Hosentasche oder im Rucksack ist.
 
Denn der Abgleich funktioniert automatisch: Browser und Smartphone nehmen die Geräusche selbstständig auf, ohne dass die App gestartet oder eine Aufnahme bestätigt werden muss. Ist es zu still, muss der Nutzer für ein kleines Geräusch sorgen, etwa sich räuspern. Sonst verweigert Sound-Proof das Login. "Geräusche zu erraten, ist für einen Angreifer sehr schwierig. Stille kann er hingegen leicht erraten", schreibt Nikos Karapanos an inside-it.ch. "Deshalb ist auf beiden Geräten ein minimaler Geräuschpegel nötig, damit das Login erfolgreich ist". So wird zum Beispiel Attacken zur Schlafenszeit vorgebeugt.
 
Die App wurde bis jetzt für Android und iOS entwickelt, ist aber noch nicht erhältlich, denn bisher war Sound-Proof reines Forschungsprojekt. Auch fehlt es noch an Websites, die Sound-Proof anbieten. Funktionieren würde das System mit einigen modernen Browsern, darunter Firefox und Chrome.
 
Einen Haken hat die Sache allerdings: Kennt ein Hacker das Passwort, könnte er theoretisch dem Besitzer und dessen Handy folgen und versuchen, sich in nächster Nähe einzuloggen. Dieser Einwand von 'Wired' dürfte aber wohl nur für die wenigsten Nutzer eine Rolle spielen. Ein anderer Haken ist dafür, dass vor allem Desktop-Computer nach wie vor kaum mit Mikrofon ausgerüstet sind, was den Zugang zu Websites mit aktiviertem Sound-Proof einschränken kann.
 
Darauf, dass Sound-Proof noch nicht ganz für einen Launch bereit ist, deutet auch das Demo-Video hin. Es präsentiert die App nur unter laborähnlichen Bedingungen. Dass das Ganze auch im Zug oder am Flughafen funktioniert, muss sich also noch zeigen. Auf jeden Fall will das Team weiter an seiner Idee arbeiten: Sound-Proof ist ab sofort ein ETH-Startup. (mik)