Wenn Bilder mehr als Worte ausdrücken:
Neues "Passwort-Memory" aus Österreich
Die Idee streifte Helmut Schluderbacher wie der Blitz, beim Anstellen am Skilift. Nicht vorgesehen wie ein verpasster Flieger war die Sache mit der Selbständigkeit, schließlich bereitete er sich gerade auf einen spannenden Jobwechsel vor. Los ließ ihn die Sache nicht mehr, da hatte er sich im Rahmen der Diplomarbeit Mitte der Neunziger wohl schon zu sehr in sein Lieblingsthema verbissen: ein Sicherheitssystem auf grafischer Basis. Ein Bild sagt eben mehr als tausend Buchstaben und Zahlen.
SecLookOn arbeitet mit dem assoziativen Merkverhalten des Benutzers, ist eine Art kreatives Passwort-Memory, das theoretisch 172 Billionen Möglichkeiten aus Farben, Formen und Bildern schafft. Der User bekommt beim Aufsetzen des Systems einen Initialschlüssel (vierstelliger Zahlencode), den er in seine ganz individuellen Kombination aus Bildern umsetzt (siehe Kasten). Und das schließt schon einmal ganz gewöhnliche Sicherheitslecks wie das Schreiben von Passwörtern auf die berühmten Post-its, den Alptraum jedes Sicherheitsbeauftragten, mit hoher Wahrscheinlichkeit aus. Denn die ganz persönliche Zuordnung von Bildern und Zahlen, die beim Einloggen am Bildschirm erscheint, könnte höchstens ein Uri Geller nachvollziehen, aber ziemlich sicher niemand, der einem über die Schulter blickt. Der SecLookOn-Zugang zu einem System muss auch nicht, wie es gängige Passwort-Richtlinien in Firmen oft vorsehen, alle paar Wochen geändert werden.
Thomas Dübendorfer, Präsident des Schweizer Sicherheitsverbandes ISSS und im Brotberuf Sicherheitsexperte bei Google, hat sich das System angesehen und mit Zifferncode-Systemen verglichen. "Gefallen hat mir das System, weil es den Benutzer auf sehr innovative Weise ins Sicherheitssystem integriert", sagt Dübendorfer. "Was im Hirn des Benutzers abläuft, kann kein Passwort-Späher nachvollziehen." Die Ziffernfolge allein ist es nicht, denn die ist jedesmal anders, und das "macht auch den Passwort-Klau via Software praktisch unmöglich", sagt er. Phisher und Hacker haben keine Chance, denn der Code kann nur am richtigen System eingegeben werden, erlaubt so also keine unbefugten externen Zugriffe.
Programmiert hat Schluderbacher die Software mit den Security-Spezialisten der Firma Sorex aus Wiener Neustadt. Derzeit arbeitet die serverbasierte Lösung noch auf Windows-Basis, die Linux-Version ist in Arbeit. Eingesetzt werden kann das System aber nicht nur für Online- oder PC-Sicherung - mit einem entsprechenden Display versehen, kann SecLookOn auch zur Gebäudesicherung verwendet werden. Das ideale Einsatzgebiet für SecLookOn sind für Erfinder Schluderbacher "internationale Konzerne mit mehreren Standorten, die ihr Sicherheitsmanagement zentral steuern". Und das soll mit SecLookOn "um die Hälfte günstiger sein" als die häufig eingesetzten Token-Lösungen, wo die Sicherung des Firmennetzwerks über die Hardware läuft, üblicherweise kleine USB-Sticks, die die Nutzer an ihre Rechner stecken. "Weil unser Produkt keine Hardware erfordert, fallen diese Wartungskosten komplett weg, und USB-Sticks sind oft schnell verloren oder geklaut", rechnet er vor. Und die können für 500 Benutzer schon einige zehntausend Euro im Jahr ausmachen. Eine SecLookOn-Lizenz für dieselbe Zahl an Nutzern kostet rund 10.000 Euro, dazu kommen 2.500 bis 3.000 Euro Wartungskosten.
Den kompletten Beitrag können Sie im FORMAT 07/08 nachlesen!