Authentifizierungs-Systeme basieren oft auf falschen Metriken

6. März 2019 um 13:17
  • security
  • f&e
image

"Wie gut sind die Forschungsgrundlagen eines Systems, mit dem Ihre Identität überprüft wird, wenn Sie sich an einem Computer, Smartphone oder einem anderen Gerät anmelden?", so die rhetorische Frage zu einer neuen Studie der Rutgers University.

"Wie gut sind die Forschungsgrundlagen eines Systems, mit dem Ihre Identität überprüft wird, wenn Sie sich an einem Computer, Smartphone oder einem anderen Gerät anmelden?", so die rhetorische Frage zu einer neuen Studie der Rutgers University.
"Die Chancen sind hoch, dass das System nicht gut ist und das ist ein wichtiges Sicherheits- und Datenschutzproblem, das behoben werden sollte", so die Kernaussage der soeben publizierten Studie "Robust Performance Metrics for Authentication Systems".
Das Problem sei, dass es keine klaren Standards gebe, wie Authentifizierungs-Systeme bewertet werden sollen und welche Leistungskennzahlen überhaupt verwendet werden sollten.
In Grundlagen-Publikationen seien oft "irreführende Zusammenfassungen" enthalten. Explizit sei dies bei True-Positive-Raten (TPR), False-Positive-Raten (FPR), Gleichfehlerraten (Equal Error Rate EER) und weiteren Metriken der Fall. Die vier Forscher fanden in ihrem Paper bei 33 der 35 untersuchten Studien über solche Systeme Fehler. Die einen Datensätze waren unvollständig, die andern wurden laut den Autoren schlicht falsch interpretiert.
Das heisst laut den Forschern in Konsequenz, dass wegen der fehlerhaften Metrikbasis Authentifizierungs-Systeme zum Einsatz kommen, die "möglicherweise nicht gut funktionieren, und das kann schwerwiegende, reale Folgen haben".
Die Lösung der Rutgers-Ingenieure besteht aus drei Vorschlägen. Im Prinzip geht es darum, unterschiedliche Metriken zu kombinieren, um besser herauszufinden wie gut ein Authentifizierungssystem insgesamt funktioniert und ob die Systemleistung allenfalls anhand irreführender Daten gemessen wird.
Nicht zuletzt sei Transparenz vonnöten. "Wir glauben, dass es für unsere Community von entscheidender Bedeutung ist, eine transparentere Berichterstattung über Kennzahlen und Leistung zu erstellen", fordert das Paper (PDF), das eine Peer-Review hinter sich hat. (mag)

Loading

Mehr zum Thema

image

3 Millionen für externe Security-Spezialisten im Kanton Zug

Die Innerschweizer brauchen Unterstützung im Aufbau und Betrieb eines Security Operation Centers.

publiziert am 23.2.2024
image

Die Schlinge um Lockbit zieht sich zu

Eine internationale Polizeiaktion hat die Ransomware-Bande empfindlich getroffen. Dennoch lässt sich ein Comeback der Cyberkriminellen nicht ganz ausschliessen.

publiziert am 22.2.2024
image

Haufenweise Kundendaten von Schweizer Personalvermittler gestohlen

Die Firma Das Team ist eines der jüngsten Opfer der Ransomware-Bande Black Basta. Sie publizierte eine Vielzahl heikler Daten im Darkweb.

publiziert am 22.2.2024 14
image

"Verständnis für Einfluss des Cyberraums auf Gesellschaft fehlt"

Die Swiss Cyber Security Days verzeichneten über 2200 Besucherinnen und Besucher. Einig war man sich, dass Cybersicherheit eine gemeinschaftliche Aufgabe ist.

publiziert am 22.2.2024