Smartphone: Die smarte Benutzererkennung der Zukunft

Dr. Muhammad Muaaz, Universitätsassistent am Institut für Netzwerke und Sicherheit, JKU

19.06.2018

Muhammad Muaaz hat sein Doktorat an der Johannes Kepler Universität, am Institut für Netzwerke und Sicherheit, im Juni 2017 erfolgreich abgeschlossen. Seither arbeitet er als Universitätsassistent und verrät im Interview mit Martin Samal vom Information Security Network wie ein Smartphone in Zukunft seinen rechtmäßigen Benutzer eindeutig erkennt – ganz ohne Benutzereingabe.

 Woran forscht du?
Smartphones haben sich dahingehend entwickelt, dass sie nicht nur für Anrufe oder zum Nachrichtenaustausch genutzt werden, sondern auch eine Bandbreite an Services wie Banking, e-Commerce, mobile Datenträger, Unterhaltung, etc anbieten. Für diese Services speichern und verarbeiten Smartphones eine Menge an sensiblen Daten, welche vor unautorisiertem Zugriff geschützt werden müssen. Für diesen Zweck werden derzeit vorwiegend PIN-Codes, Kennwörter oder graphische Muster zur eindeutigen Benutzererkennung, im Fachjargon Authentifizierung genannt, eingesetzt.

Diesen Authentifizierungsmethoden mangelt es allesamt an Benutzerfreundlichkeit. Der Benutzer empfindet sie sogar als umständlich, da er sich an seinen PIN-Code, seine Passwörter oder sein hinterlegtes graphisches Muster erinnern muss und die Eingabe jedes Mal Zeit in Anspruch nimmt. Deswegen deaktivieren viele Nutzer diese Mechanismen und verringern damit gleichzeitig das Schutzniveau ihrer Smartphones drastisch.
Biometrische Authentifizierungsmethoden haben grundsätzlich das Potential diese Lücke zwischen einem soliden Schutzniveau und hoher Benutzerfreundlichkeit zu schließen. Jedoch benötigen derzeit am Markt verbreitete Systeme wie Gesichtserkennung, Fingerabdruck oder die Iriserkennung eine explizite Benutzerinteraktion vor jeder Authentifizierung.

Um diese Defizite auszugleichen, forschen wir an einer Lösung, welche auf biometrischen Daten basieren, die sich im Alltagsleben sowieso ergeben: aus dem Mittragen des Smartphones, den Bewegungen des Benutzers und bspw. aus Sprachsignalen beim Telefonieren. Konkret werden in meiner Forschungsarbeit Aktivitäten des Benutzers, die er ohnehin und wiederholt im Alltag ausführt, zur eindeutigen Benutzererkennung heran gezogen.
Das bedeutet unsere gegenwärtige Lösung fügt sich nahtlos in das Alltagsleben des Benutzers ein und erscheint für ihn unsichtbar. Zum Beispiel nutzen wir für die Authentifizierung mittels Gangart den Beschleunigungssensor des Smartphones um die Körperbewegungen des Benutzers, während er sich fort bewegt, zu sammeln. Analog dazu sammeln wir Sprachsignale im Hintergrund während der Benutzer Telefongespräche tätigt.

Könnten deine Forschungsergebnisse in handelsüblichen Smartphones integriert werden?
Die Authentifizierungsmethoden, an denen wir arbeiten, brauchen momentan keine speziellen Sensoren oder andere Hardware. Die Nutzung in handelsüblichen Smartphones ist daher grundsätzlich möglich und für den proof of concept haben wir entsprechende Prototypen implementiert.

Worin liegen die größten Herausforderungen in deiner Forschungsarbeit?
Eine Authentifizierungsmethode ohne jede weitere Benutzerinteraktion zu entwickeln, die 24/7 in jeder Situation funktionieren soll, ist für sich betrachtet schon eine signifikante Herausforderung.

Auch bringt jede Authentifizierungsmethode Einschränkungen mit sich: Zum Beispiel funktioniert die Authentifizierung mittels Gangart nur während sich der Benutzer fort bewegt, für eine Gesichtserkennung ist ausreichend Beleuchtung erforderlich oder für einen Fingerscan muss sich der Benutzer die Handschuhe ausziehen. Aus genau diesem Grund haben wir uns dafür entschieden, Daten aus mehreren Quellen auszuwerten, die dann eine Authentifizierung ohne explizite Benutzerinteraktion im Alltag ermöglichen. 
Die nächste Herausforderung bestand in der technischen Entwicklung eines Frameworks das auf einer Vielzahl an Smartphones einsetzbar ist, das leicht zu benutzen ist und auf das andere Forscher, die an ähnlichen Problemstellungen arbeiten, aufbauen können. Das Framework ist unabhängig von einer bestimmten Authentifizierungsmethode und kann flexibel erweitert bzw. abgespeckt werden.

Wie wurden die Forschungsergebnisse überprüft?
Jeder Mensch bewegt sich auf eine ganz bestimmte Art. Zuerst haben wir Methoden entwickelt um Smartphone-basierend Benutzer mittels ihrer Gangart authentifizieren zu können. Diese Vorgehensweise wurde anhand von Echtdaten von 35 Personen untersucht. Sie trugen ihr Smartphone in ihrer Hosentasche. Die Fehlerquote bei Nutzung am selben Tag, welche in der Biometrie über die sogenannte same-day equal error rate ausgedrückt wird, betrug 5,16%. Bei Nutzung über zwei Tage hinweg betrug die Fehlerquote 16,31%.

Diese Fehlerquote ist beachtlich, aber wir sind überzeugt, dass mit weiterer Forschung und dem Einsatz von Technologien wie Deep Learning oder Advanced Machine Learning und der Einbindung weiterer Datenquellen (z.B. Gyroskop) die Fehlerquote gesenkt werden kann.

Als wie sicher ist die eindeutige Benutzererkennung mittels Gangart deiner Erfahrung nach zu beurteilen?
Wir haben fünf professionelle Schauspieler engagiert, die darauf spezialisiert sind Bewegungen zu imitieren. Sie hatten die Aufgabe den Gang von vier Benutzern zu imitieren, um die Sicherheit und Robustheit dieser Benutzererkennung zu testen. Sie erhielten auch visuelles und auditives Feedback, um die Imitation zu verbessern. Darüber hinaus wurde zusätzlich versucht, dass sie direkt ihrem Opfer nachgehen.

Es hat sich gezeigt, dass das System sie nicht als die rechtmäßigen Benutzer erkannt hat. Daraus kann geschlossen werden, dass die Authentifizierung basierend auf der Gangart als grundsätzlich sicher und robust gegenüber Nachahmungsattacken zu bewerten ist. 

Unabhängig von deiner Forschungsarbeit: Was gefällt dir im Bereich IT-Sicherheit zu arbeiten?
Sowohl der Nervenkitzel Systeme zu bauen um Daten zu schützen als auch die niemals enden wollende Todo-Liste, weil sich ständig neue Herausforderungen ergeben.