NSA testet Gestenerkennung als Passwortersatz

Der amerikanische Geheimdienst NSA erprobt eine von Lockheed Martin entwickelte Technik, Anwender an Handbewegungen zu erkennen und so zu authentifizieren. „Mandrake Secure Gesture“ ist schon seit zwei Jahren verfügbar. Es lässt den Nutzer mit dem Finger auf einen Smartphone- oder Tablet-Bildschirm schreiben – und analysiert dabei Schriftbild, Druck, Rhythmus und Schreibgeschwindigkeit.

Die Technik könnte bei der NSA auf Mobilgeräten zum Einsatz kommen, um sich zu authentifizieren und beispielsweise Zugriff auf verschlüsselt gespeicherte Dokumente zu bekommen. Einzelheiten des Pilotprojekts sind aber nicht bekannt, wie Nextgov.org schreibt. Grundsätzlich kann Mandrake so eingestellt werden, dass schon eine einfache Skizze oder nur ein ganzes Wort als Schreibprobe für die Authentifizierung genügt.

Im Februar 2013 hatte der Rüstungskonzern Lockheed Martin sein System schon versuchsweise zusammen mit Fixmo auf Heimanwender-Mobilgeräte gebracht, die in Firmennetzen genutzt werden sollen (BYOD). Für die Kollaboration wurden Mandrake SG und Safezone von Fixmo kombiniert, das einen sicheren, abgegrenzten Arbeitsbereich unter Android oder iOS einrichten kann. Dieser lässt sich von der Firmen-IT verwalten. Dabei identifizierten sich die Smartphone- und Tablet-Nutzer durch eine Geste, um auf Firmendaten und -Applikationen zugreifen zu können.

Lockheed Martin hat sich den Namen Mandrake im Jahr 2014 für Produkte und Dienste im Bereich Computer und Software sowie für elektrische und wissenschaftliche Produkte schützen lassen. Es ist der englische Name der Alraune, also jener Pflanze, deren Wurzel menschenähnlich geformt scheint.

Das Marktforschungsunternehmen Gartner erwartet, dass schon 2016 etwa 30 Prozent aller unternehmen eine biometrische Authentifizierung auf Mobilgeräten einsetzen werden. 2014 waren es erst 5 Prozent.

Da Passwörter zunehmend als Gefahr gesehen werden, widmen sich vor allem die in der FIDO Alliance organisierten Unternehmen ersatzweise der Biometrie zu. FIDO-Mitglied Paypal beispielsweise will zunächst externe Merkmale wie Handvenenmuster oder notfalls auch Fingerabdrücke nutzen. Auf Dauer hält es „interne“ Körpermerkmale wie Herzfrequenz und Glukosespiegel für zuverlässiger. Unter der Haut implantierte oder verschluckbare Sensoren könnten solche biometrischen Daten liefern.

Auf dem 31C3 hatten Hacker im Dezember 2014 allerdings Schwachstellen von Biometriesystemen aufgezeigt. Fotos aus mehreren Metern Entfernung genügen, um eine Fingerattrappe zu erzeugen und Fingerabdruckscanner zu überlisten. Selbst eine auf „Lebenderkennung“ setzende Iris-Erkennung ist auszuhebeln.

[mit Material von John Fontana, ZDNet.com]