Neue Autorisierung für Google Glass
Login und Passwort oder Fingerprint können an Datenbrillen nicht ohne Weiteres eingegeben werden. Forscher entwickeln eine neue Methode, um den Nutzer einer Google Glass anhand seiner Eingabecharakteristik zu erkennen.
Google Glass-Autorisierung einfach knackbar
Bei aktuellen Smart Glasses ist es schwierig, ein robustes und dennoch ausreichend sicheres Identfikationssystem einzusetzen. In der Praxis werden bei Datenbrillen-Systemen deshalb meist nur einfachere Sicherungsmaßnahmen ergriffen. Zum Beispiel indem man als Benutzer seinen ID-Barcode vor die Kamera hält. Die Kamera kann damit den Nutzer erkennen und loggt sich mit den Nutzerrechten am System ein.
Bei diesem einfachen, nur über einen Kanal laufenden Autorisierungssystem reicht schon das Ausspähen und Kopieren des ID-Barcodes. Mit der Kopie kann man sich als Angreifer in das System einloggen. Größere Sicherheit ist schwieriger zu implementieren, weil auch die Eingabemöglichkeiten bei Datenbrillen meist relativ eingeschränkt vorhanden sind. Es gibt eine Kamera, ein Touchpad und vielleicht noch ein paar Buttons für die Interaktion.
Hat sich der Nutzer einmal an der Datenbrille autorisiert, prüft die Datenbrille den Nutzer kein zweites Mal. Wenn der Benutzer dann die Datenbrille für eine kurze Pause beiseite legt, kann der Angreifer sogar ohne gefälschte Autorisierung auf das Gerät zugreifen. Die Datenbrille Google Glass soll dieses Szenario mit der Erkennung des Tragens verhindern. Allerdings hat sich gezeigt, dass diese Erkennung nur funktioniert, wenn das Gerät in idealer Position auf dem Kopf getragen wird. Falls nicht, dann kann das Absetzen der Google Glass nicht erkannt werden.
Eine weitere Möglichkeit wäre, dass man das Pairing der Datenbrille mit einem Smartphone ausnutzt. Wenn das Smartphone in der Nähe ist, dann ist die Datenbrille freigeschaltet. Ansonsten wird die Datenbrille für den Zugriff gesperrt. Auch bei dieser Variante kann allerdings ein geschickter Angreifer trotzdem Zugriff erlangen. Er müsste sich in der Nähe des zugehörigen Smartphones befinden und könnte die Daten auf der Datenbrille dann ausspähen.
Sensoren für Sicherheit nutzen
Forscher haben nun einen neuen Ansatz für die Autorisierung von Datenbrillenbenutzern entwickelt.
Wegen der genannten Schwächen bei der einmaligen Autorisierung setzt die neue Methode nun auf die fortwährende Prüfung des Nutzers. Auch die Art und Weise, wie er die Datenbrille bedient wird erkannt.
Dabei beobachtet ein Algorithmus die Eingabegesten des Touchpads und die Spracheingaben. Für diese beiden Kanäle wird nach jeder Eingabe geprüft, ob sie von dem eigentlich eingeloggten Nutzer kommen kann. Dazu werden die Signale im Detail mathematisch analysiert. Es gibt bestimmte, statistisch analysierbare Eigenschaften, die Eingaben einem Nutzer zuordnen können. Wenn dann die Datenbrille feststellt, dass sie von einem anderen als dem eingeloggten Nutzer bedient wird, sperrt sie sich selbständig.
Die Forscher haben das neue Verfahren an Laborszenarien geprüft. Sie konnten zeigen, dass in 99% der Fälle die Nutzer erfolgreich erkannt werden. Außerdem wurden auch praxisnahe Szenarien geprüft. Dabei konnte allerdings noch keine so hohe Erfolgsquote wie in den Laborszenarien erreicht werden. Hierbei müssen die Forscher noch nachbessern und die Methode praxistauglich machen.
Anwendungen in der Industrie
Für die Industrie ermöglicht die neue Methode sehr verschiedenartige Anwendungsfälle. Nahezu bei jeder Computernutzung müssen sich die Mitarbeiter ja heute auch schon individuell anmelden. Nur damit kann im Unternehmen auch nachvollzogen werden, wer wann welche Aktivität im Geschäftsprozess ausgeführt hat. Also ist auch für die Datenbrillennutzung diese Autorisierung von entscheidender Bedeutung.
Wenn in Zukunft Datenbrillen in den Unternehmen vermehrt eingesetzt werden, dann verspricht man sich dadurch eine Vereinfachung. Der Datenbrillennutzer kann freihändig arbeiten und wird gleichzeitig anhand seiner Eingaben autorisiert. Das schafft Sicherheit ohne wesentliche Zusatzarbeit für den Nutzer. Nur so kann die Einfachheit des Systems gewährleistet werden.
Alternative Einsatzmöglichkeiten
Praktisch getestet wurde die neue Methode mit Hilfe der Google Glass. Sie verfügt über ein Touchpad und ein Mikrofon, über das die Eingaben aufgenommen werden können. Allerdings ist die Google Glass nicht die einzige Datenbrille, bei der die Autorisierung nach dem beschriebenen Schema eingesetzt werden kann. Ebenso wären die Vuzix M300 oder die Epson Moverio geeignet. Sie verfügen über ein Touchpad für Eingaben, worüber die Nutzer autorisiert werden können.
Auch alternative Sensoren sind denkbar. So vefügen die üblichen Datenbrillen über Kameras. Die Microsoft HoloLens und die Meta Two haben sogar eine spezielle Gestenerkennungssensorik an Bord. Wenn Gesten häufiger für die Bedienung eingesetzt werden, kann man diese auch mathematisch analysieren. Nach einem ähnlichen Schema läßt sich dann der Nutzer anhand seiner Gesten erkennen.
flickr/Christiaan Colen (Windows login screen) CC BY-SA 2.0