Authentifizierungs-Systeme basieren oft auf falschen Metriken

6. März 2019, 13:17
  • security
  • f&e
image

"Wie gut sind die Forschungsgrundlagen eines Systems, mit dem Ihre Identität überprüft wird, wenn Sie sich an einem Computer, Smartphone oder einem anderen Gerät anmelden?", so die rhetorische Frage zu einer neuen Studie der Rutgers University.

"Wie gut sind die Forschungsgrundlagen eines Systems, mit dem Ihre Identität überprüft wird, wenn Sie sich an einem Computer, Smartphone oder einem anderen Gerät anmelden?", so die rhetorische Frage zu einer neuen Studie der Rutgers University.
"Die Chancen sind hoch, dass das System nicht gut ist und das ist ein wichtiges Sicherheits- und Datenschutzproblem, das behoben werden sollte", so die Kernaussage der soeben publizierten Studie "Robust Performance Metrics for Authentication Systems".
Das Problem sei, dass es keine klaren Standards gebe, wie Authentifizierungs-Systeme bewertet werden sollen und welche Leistungskennzahlen überhaupt verwendet werden sollten.
In Grundlagen-Publikationen seien oft "irreführende Zusammenfassungen" enthalten. Explizit sei dies bei True-Positive-Raten (TPR), False-Positive-Raten (FPR), Gleichfehlerraten (Equal Error Rate EER) und weiteren Metriken der Fall. Die vier Forscher fanden in ihrem Paper bei 33 der 35 untersuchten Studien über solche Systeme Fehler. Die einen Datensätze waren unvollständig, die andern wurden laut den Autoren schlicht falsch interpretiert.
Das heisst laut den Forschern in Konsequenz, dass wegen der fehlerhaften Metrikbasis Authentifizierungs-Systeme zum Einsatz kommen, die "möglicherweise nicht gut funktionieren, und das kann schwerwiegende, reale Folgen haben".
Die Lösung der Rutgers-Ingenieure besteht aus drei Vorschlägen. Im Prinzip geht es darum, unterschiedliche Metriken zu kombinieren, um besser herauszufinden wie gut ein Authentifizierungssystem insgesamt funktioniert und ob die Systemleistung allenfalls anhand irreführender Daten gemessen wird.
Nicht zuletzt sei Transparenz vonnöten. "Wir glauben, dass es für unsere Community von entscheidender Bedeutung ist, eine transparentere Berichterstattung über Kennzahlen und Leistung zu erstellen", fordert das Paper (PDF), das eine Peer-Review hinter sich hat. (mag)

Loading

Mehr zum Thema

image

Zurich Film Festival – Ticketverkauf dank flexibler Standortvernetzung.

Heute ist das Zurich Film Festival (ZFF) das grösste Herbstfilm-Festival im deutschsprachigen Raum und ein Sprungbrett zu den Oscars. 2005 fand es zum ersten Mal statt.

image

TAP Portugal bestätigt den Klau von Passagierdaten

Nach dem Cyberangriff sind 600 Gigabyte an Daten der Airline veröffentlicht worden – auch von Schweizer Passagieren. Kunden werden vor möglichen Phishing-Angriffen gewarnt.

publiziert am 23.9.2022
image

Drohnenschwarm erledigt Bauarbeiten und Reparaturen

In Zukunft sollen Drohnen wie Bienen zusammenarbeiten können, um Bauten zu errichten. Wie ihre tierischen Vorbilder würden sich die Fluggeräte die Arbeit teilen.

publiziert am 22.9.2022
image

Nach Angriff warnt Revolut vor Phishing-Kampagne

Bei einem Cyberangriff auf das Fintech-Unternehmen sollen sich Hacker Zugang zu zehntausenden Kundendaten verschafft haben. Revolut bestätigt den Abfluss von Daten.

publiziert am 22.9.2022