Sound-Proof

18. August 2015 13:23; Akt: 18.08.2015 14:01 Print

ETH-Forscher machen mit Lärm Passwörter sicherer

von P. Stirnemann - Identifizierung anhand von Geräuschen: ETH-Forscher aus Zürich haben ein neues Sicherheitssystem entwickelt, das auf Strassenlärm reagiert.

Demo des neuen Zwei-Wege-Sicherheitssystems der ETH. (Video: sound-proof.ch)
Zum Thema
Fehler gesehen?

Zwei-Faktor-Authentifizierung (2FA) gilt als eine der besten Methoden, die eigenen Onlinekonten gegen unerlaubte Zugriffe zu schützen. Das Passwort allein genügt nicht, um sich einzuloggen. Will man sich anmelden, erhält man zusätzlich einen Zugangs-Code aufs Handy geschickt.

Forscher der ETH Zürich wollen diesen Prozess schneller und gleichzeitig einfacher machen. Ihr 2FA-System nutzt die Geräusche der Umgebung zur eindeutigen Identifikation der Nutzer.

Günstig und effizient

Das Einzige, was man für die akustische Überprüfung braucht, ist die entsprechende, selbst startende App auf dem Laptop. Will man sich über seinen Rechner einloggen, werden die Mikrofone von Handy und Computer aktiviert. Sie registrieren beispielsweise Baustellengeräusche, aber auch die leisesten Töne in der unmittelbaren Umgebung und können so feststellen, ob Smartphone und Laptop sich auch tatsächlich am selben Ort befinden.

Der ganze Prozess dauert nur wenige Sekunden (etwa so lange, wie ein Song-Identifizierungs-Programm auf dem Handy braucht, um ein Lied zu erkennen). Ein weiterer Vorteil des neuen ETH-Systems ist, dass man sein Handy nicht mal mehr in die Hand nehmen und darauf warten muss, bis ein Code generiert und darauf geschickt wird. Aus Sicherheitsgründen lädt das Tool nur die sogenannt «digitale Signatur» der aufgezeichneten Geräusche hoch, nicht aber die Geräusche selber. Zudem benötigt das «Sound-Proof» genannte System keine zusätzlichen Erweiterungen oder andere Downloads auf dem Computer (bis auf die Companion-App).

«Die Stärke liegt in der Einfachheit»

Obwohl sich Sound-Proof noch in der Entwicklung befindet, sind Experten bereits vom neuen Sicherheitssystem angetan. Für Marc Ruef von der IT-Sicherheitsfirma Scip.ch liegt die Stärke von Sound-Proof in seiner Einfachheit: «Man braucht keine speziellen Geräte und muss sich nicht um die zusätzliche Eingabe von Passwörtern kümmern.» Zudem müssten Hacker auf neue Angriffstechniken zurückgreifen, wollten sie das ETH-System knacken. «Angreifer müssten sich intensiv mit Raumakustik auseinandersetzen und diese nachbilden können», so Ruef.

Claudio Soriente, der am ETH-Projekt mitarbeitet, hält das neue System sogar für noch sicherer als herkömmliche Zwei-Wege-Authentifizierung via Passwort: «Sobald ein Angreifer an das Smartphone des Nutzers herankommt, sieht er auch den Code.» Um an mittels Sound-Proof abgesicherte Daten zu gelangen, müsse sich der Hacker zwingend im selben Raum wie sein Opfer befinden.

Einen Nachteil hat das neue ETH-Sicherheitssystem noch: «Sound-Proof benötigt zwingend ein mit dem Internet verbundenes Smartphone», so Soriente. Die Forscher würden derzeit aber daran arbeiten, dass der Authentifizierungs-Mechanismus auch ohne Datenverbindung funktioniert.

Ob und wann Sound-Proof marktreif sein wird, ist noch nicht bekannt. «Wir wollen ein Start-up daraus machen», so ETH-Wissenschaftler Soriente. Mehr Infos zum neuen Sicherheitssystem liefert die offizielle Website.

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • Dani G. am 18.08.2015 14:03 Report Diesen Beitrag melden

    Aprilscherz?

    Ich hielt es am Anfang für einen Aprilscherz! Aber cool wenn es wirklich so funktioniert, hoffentlich ohne false-positives.

    einklappen einklappen
  • Ueli CH am 18.08.2015 18:45 Report Diesen Beitrag melden

    Internet Sicherheit wird immer wichtiger

    Sound Proof ist eine gute Idee und ein weiteres Mosaikstück für mehr Sicherheit. Ich nutze bereits abhörsichere APPs zum telefonieren und zum chatten. Diese sind alle swiss made. Swissness ist wegen der Unabhängigkeit zu den USA (NSA) und weiterer Datenschnüffler wichtig. So bleibt auch online Banking und mein ganzes Leben wesentlich sicherer.

    einklappen einklappen
  • Lukas Brüderlin am 19.08.2015 14:40 via via Mobile Report Diesen Beitrag melden

    Nur für Laptop geeignet

    Geht nicht, wenn ich nur mit dem Handy alleine arbeite, aber gute Idee für einfache 2 Wege Authentifizierung am Laptop (mit Handy). Allerdings - die App auf dem Handy muss entsprechend auf Mikrophon zugreifen dürfen und zwar genau dann, wenn die Software auf dem Laptop oder ein Server dazwischen es will (Push notification). Bleibt also Vertrauensfrage gegenüber der Software Firma. Mit einer SMS macht sich der Handy-Provider nicht zum zusätzlichen Risiko Korrektur - es muss kein Angreifer im Raum den Ton aufzeichnen. Es reicht wohl aus, wenn Laptop/PC von Schadsoftware infiziert ist.

Die neusten Leser-Kommentare

  • Lukas Brüderlin am 19.08.2015 14:40 via via Mobile Report Diesen Beitrag melden

    Nur für Laptop geeignet

    Geht nicht, wenn ich nur mit dem Handy alleine arbeite, aber gute Idee für einfache 2 Wege Authentifizierung am Laptop (mit Handy). Allerdings - die App auf dem Handy muss entsprechend auf Mikrophon zugreifen dürfen und zwar genau dann, wenn die Software auf dem Laptop oder ein Server dazwischen es will (Push notification). Bleibt also Vertrauensfrage gegenüber der Software Firma. Mit einer SMS macht sich der Handy-Provider nicht zum zusätzlichen Risiko Korrektur - es muss kein Angreifer im Raum den Ton aufzeichnen. Es reicht wohl aus, wenn Laptop/PC von Schadsoftware infiziert ist.

  • Ueli CH am 18.08.2015 18:45 Report Diesen Beitrag melden

    Internet Sicherheit wird immer wichtiger

    Sound Proof ist eine gute Idee und ein weiteres Mosaikstück für mehr Sicherheit. Ich nutze bereits abhörsichere APPs zum telefonieren und zum chatten. Diese sind alle swiss made. Swissness ist wegen der Unabhängigkeit zu den USA (NSA) und weiterer Datenschnüffler wichtig. So bleibt auch online Banking und mein ganzes Leben wesentlich sicherer.

    • Pascal am 18.08.2015 19:43 Report Diesen Beitrag melden

      Die Stimme dient auch der Sicherheit

      Im Zusammenhang mit Schweizer Zertifikaten kann Sound Proof eine Zweiweg Authentisierung erzielen. Bei der OpusTel APP wird ein Swisssigne Zertifikat und die Stimmerkennung beim telefonieren genutzt. So kann ein Mithörer (man in the middle) ausgeschlossen werden.

    einklappen einklappen
  • Dominic G. am 18.08.2015 16:16 Report Diesen Beitrag melden

    Weniger sicher

    Die Methode mit dem SMS (Tan) finde ich persönlich besser. Mit der obigen Methode benötigt die Person nur mein Handy, muss damit aber nichts machen. Wenn ich jedoch ein SMS mit einem Code bekomme, muss ich das Handy zuerst entsperren um an den Code zu gelangen, das ist dann sicherer.

    • Monika am 18.08.2015 18:51 Report Diesen Beitrag melden

      SMS ist nicht abhörsicher!!!

      Ein Hacker kann dein SMS mit etwas Aufwand (zum Beispiel mit einem IMSI Catcher) mitlesen. Das auch weit weg von Dir. SMS und Natel Telefongespräche werden weltweit abgehört. Das sind nicht Einzelfälle, sondern nennt sich Massenüberwachung. Heute sind das meist die Geheimdienste. Morgen sind es vermehr Kriminelle. Es ist an der Zeit auf abhörsichere Kanäle umzustellen. Threem, OpusTel und Online Banking mit 2FA.

    • Vater PTT am 18.08.2015 20:01 Report Diesen Beitrag melden

      SMS, die Postkarte der Mobiltelefonie

      Kurz: SMS, die Postkarte der Mobiltelefonie

    • Tom am 19.08.2015 09:16 via via Mobile Report Diesen Beitrag melden

      Unwahrscheinlich

      Zum Abhören muss man meine SMS Nummer kennen. Und gleichzeitig mein Internet und meine SMS überwachen. Zudem muss man Nutzerkennung und Passwort haben. Ziemlich viele Ounkte aufs mal. Wahrscheinlichkeit daher gering.

    einklappen einklappen
  • Tim am 18.08.2015 14:23 via via Mobile Report Diesen Beitrag melden

    Antwort: Nein

    So wie ich es verstanden habe wird bei jedem Anmelden neu zwischen Computer und Handy abgeglichen. der Strassenlärm ist ja auch nicht immer gleich. Also wäre die Antwort auf deine Frage dann nein.

    • KarmaEDV am 18.08.2015 14:53 via via Mobile Report Diesen Beitrag melden

      Besserer Vorschlag

      Anstatt auf beiden Geräten zu horchen, was ich mir vorstellen kann, schwierig umzusetzen ist, soll doch lieber eines von beiden einen unhörbaren akustischen eindeutigen Piepston abgeben welches vom Mikrofon des anderen eindeutig identifizert werden kann. Benötigt nur ein paar cent teurere Lautsprecher/Mikrofone welche vllt. im erwiterten Range 20-25KHz funktionieren.

    einklappen einklappen
  • Geht Besser am 18.08.2015 14:04 via via Mobile Report Diesen Beitrag melden

    Dump idea

    Denkfehler: dann werden alle accounts in der nacht gehacked.. Dann ist es auf beiden geräten still

    • Thomas am 18.08.2015 17:06 via via Mobile Report Diesen Beitrag melden

      Stille

      Wenn absolute Stille herrscht, wird einfach kein Zugriff gewährt! Wo liegt das Problem?

    • Felicia Meier am 18.08.2015 18:44 Report Diesen Beitrag melden

      Ernsthaft?

      Haben Sie sich das Video nicht angeschaut? Ist doch klar demonstriert was in einem geräuschlosen Raum passiert! Gehen Sie tatsächlich im vollen Ernst davon aus, dass die forschenden an der weltbekannten ETH nicht an diese Möglichkeit gedacht haben?

    einklappen einklappen