Sicherheit

Keytrac – Du kummst hier net rein!

30. August 2013
von

Sicherheit ist augenscheinlich eine Selbstverständlichkeit bei Webseiten mit Loginmöglichkeit. Schließlich sollen die Daten hinter der Eingabemaske auch verborgen bleiben. Bisher haben Betreiber vor allem auf eine Kombination aus Nutzername und Passwort gesetzt. Höhere Sicherheitslevels waren nur mit umständlichen Techniken möglich. Die Software keytrac verspricht mehr Sicherheit durch die Analyse des Eingabeverhaltens. Nur der echte Benutzer soll so Zugriff erhalten. Eine Idee, die noch in den Kinderschuhen steckt.

shadows-of-byod

Die Kombination aus Benutzername und Passwort mag auf der einen Seite gewohnt und einfach sein – wirkliche Sicherheit ist dem System jedoch fremd. Kombinationen können erraten, durch einen Hack öffentlich bekannt oder von Vertrauten eingegeben werden. Die Möglichkeiten sind fast unerschöpflich, bieten aber bloß ein Sicherheitslevel, das für viele Dienste nicht ausreicht. Sicherheitskritische Anwendungen wie das E-Banking oder Administrations-Tools werden schon lange besser geschützt. Von SMS-Tans über Sicherheitsfragen bis hin zu einer Zwei-Faktor-Authentifizierung gibt es diverse Möglichkeiten. Alle sind umständlich. Mit keytrac sollen die Systeme der Vergangenheit angehören – eine fast futuristische Idee.

Integrierte Verhaltensprüfung

Viel muss nicht für die Implementation von keytrac getan werden. In die betreffende Webseite wird einfach ein kleiner Javacript-Code eingefügt, der das Tippverhalten an die Server von keytrac sendet. Anonym natürlich. Die Eingaben bleiben immer auf der einen Webseite und allein die Abfolge der Tastendrücke wird in einen kryptischen String codiert und zur Analyse geschickt. Das Ergebnis ist eine Art kryptographischer Fingerabdruck der Eingabe, der dann maschinell mit den bisherigen Anmeldeversuchen verglichen wird. Je mehr erfolgreiche Eingaben gespeichert sind, desto genauer ist die Analyse. Zurück liefert keytrac über verschiedene SDK einen Prozentwert der Übereinstimmung und der Administrator kann ganz individuell entscheiden, ab welchem Prozentwert mit möglicher Kombination anderer Faktoren eine Anmeldung abgelehnt wird. Für den Nutzer ist der komplette Prozess absolut unsichtbar.

keytrac1

Noch nicht ganz exakt

Der Ansatz ist wirklich faszinierend und leuchtet ein. Jeder kennt Menschen, die mit dem Adler-Suchsystem in unendlicher Dauer jeden Buchstaben einzeln eintippen und andere die, wie wild geworden zwar, aber mit unübertrefflicher Genauigkeit alles in die Tastatur eingeben. Und natürlich gibt es noch viele Robots, die gar nicht tippen und einfach in Windeseile automatisiert die Daten abschicken. Die Unterschiede sind offensichtlich. Die Technik jedoch ist noch nicht ganz ausgereift. Auf der öffentlichen Demo-Seite kann sich jeder selbst ein Bild machen. Bei meinen Tests war das Ergebnis nicht unbedingt zufriedenstellend. Trotz mehreren Eingaben schwankte der Wert zwischen guten 90% Trefferquote und miserablen 50% Übereinstimmung. Es scheint schwierig, da eine Grenze zu ziehen. Es sind wohl viele Faktoren, die den derzeitigen Schreibstil ausmachen. Kommt dann noch eine andere Tastatur dazu, ist fraglich, ob die Übereinstimmung auch dann noch ausreichend ist. Spannend bleibt zudem, welche Schritte ablaufen, wenn das System wirklich die eigentlich korrekte Anmeldung ablehnt. Eine implementierte Eskalationsmöglichkeit bietet keytrac direkt nicht an und so bleibt es dem Administrator überlassen, notwendige Schritte einzubauen.

Technologische Grenzen

Eine Lösung für alle Fälle kann keytrac nicht sein. Allein die Implementierung über JavaScript schließt schon einmal alle Anwender ohne aktiviertes JavaScript aus und stellt damit eine eher leichte Hürde für zweifelhafte Besucher dar, die zwar die Zugangsdaten eines Nutzers kennen, aber nicht die Eingabeverifikation überstehen würden. So empfehlen die Entwickler von keytrac eine ausschließliche Möglichkeit der Anmeldung mit aktiviertem JavaScript. Das wiederum ist für eher vorsichtige Nutzer des Internets eine zusätzliche Hürde. Auch ausgenommen von der Verifikation sind Tablets. Zu unterschiedlich sind die Eingaben über die Software-Tastatur, um wirklich Rückschlüsse auf die Echtheit machen zu können. Entweder müssten folgend alle Tablet-Nutzer von einer Anmeldung ausgeschlossen werden oder der Administrator lebt damit, dass durch diese Schwachstelle modifizierte Robots einfach Header eines Tablet-Computers senden und von der Verifikation verschont werden. Auch das ist eine Frage, die sicherlich noch die Entwickler beschäftigen wird.

keytrac2

Trotzdem wirklich clever

Die absolute Lösung mit maximaler Sicherheit ist keytrac nicht. Zu viele kleine konzeptionelle Hürden bleiben bestehen, um absolut auf die Technik vertrauen zu können. Dennoch ist keytrac eine clevere Lösung, die auf Basis von Kryptographie die Guten von den Bösen unterscheiden können kann.  Beim Einsatz der Technologie sollte jedoch jeder Administrator alle Schritte genau überdenken, damit keytrac wirklich effektiv arbeitet. Vielleicht ist keytrac dann gar keine Standalone-Lösung. Gerade in Kombination und Ergänzung mit bestehenden Systemen und Abläufen könnte keytrac punkten. Einzelne Ausreißer in der Erkennung könnten so einfacher abgefangen werden. Die Zukunft wird zeigen, ob keytrac auch andere Faktoren, wie den Standort oder Cookies mit in die Verifikation einbeziehen wird. Die Hürden sind sicherlich zu meistern und im Sinne einer korrekten Erkennung wäre der Schritt wünschenswert.

Keytrac lässt sich ab 39 Dollar pro Monat in die eigene Webseite einbauen. Sonstige Gebühren kommen nicht auf den Anwender zu. Dabei können unbegrenzt viele Benutzer gespeichert werden – das Limit jedes Tarifs sind nur die Nutzer, die sich pro Monat tatsächlich eingeloggt haben. Das ist immerhin eine ziemlich faire Preisgestaltung.

(dpe)

arbeitet als Kommunikationsberater für IT-Unternehmen und bloggt gerne über Webtechnologien.

5 Kommentare zu „Keytrac – Du kummst hier net rein!
  1. Jonas am 30. August 2013 um 09:45

    Schöne Idee, aber 39$/Monat für ein unausgereiftes System zu verlangen ist einfach bescheiden.

  2. Dirk am 30. August 2013 um 10:24

    ohh, dann scheitert mein Passwortmanager vermutlich auch, oder ich, wenn ich mal kein Passwortmanager nutze.
    Ich glaub nicht, dass sich so ein Blödsinn durchsetzen wird.

    mfg
    Dirk

  3. ati am 30. August 2013 um 12:54

    Nett. Mehr nicht. Sicherheit (sofern gegeben) war/ist/bleibt umständlich.

  4. Christian Asche am 30. August 2013 um 16:10

    Ich finde die Idee gar nicht schlecht.

    Wir haben mit ähnlichen Ansätzen die auf dem Verhalten der Besucher basieren sehr gute Erfahrungen gemacht im Anti-Spam Bereich von Webseiten.

    Andere Methoden, wie z.B. Captchas, werden mittlerweile oft schneller und mit einer besseren Quote von Spammer automatisiert geknackt als ein Mensch das kann. Und auch Mathe-Captchas stellen manche Besucher vor eine Hürde.

    So ein Ansatz bremst zudem potentielle Angreifer aus. Bei der Verschlüsselung von Kennwörtern nutzen wir ja heute auch solche Methoden um Angriffe zu erschweren (z.B. bcrypt).

    Mal schauen, wie sich das entwickelt.

  5. KeyTrac am 2. September 2013 um 12:03

    Vielen Dank für den wirklich tollen Artikel und die interessierten Kommentare. Adrian Bechtold hat unsere Intention mit KeyTrac wirklich sehr gut getroffen.

    Auf euren Input hin sind wir nochmals in uns gegangen und haben die Preise gesenkt. Jetzt geht es bereits ab 9,90$/200 User los. Schaut es euch einfach mal an und testet es 30 Tage lang kostenfrei…

Ein Kommentar? Schön!

Wir freuen uns immer über Leser, die durch nützliche und konstruktive Beiträge zum Thema eine Diskussion anstoßen oder den Artikel mit weiteren Informationen anreichern. Alle Kommentare werden in diesem Sinne moderiert. Zum Kommentar-Fairplay gehört für uns auch der Einsatz von rel="nofollow". Bitte verwenden Sie zudem als Namen weder eine Domain noch ein spamverdächtiges Wort. Vielen Dank!