Gesicht und Sprache statt Passwörter
Artikel erschienen in Swiss IT Magazine 2010/11
Vernünftiger und auch bequemer ist eine Single-Sign-on-Lösung (SSO), die im Stil von «Sesam, öffne dich» mit einer einzigen Authentifizierungskombination sämtliche Anwendungen zugänglich macht. Solche Lösungen sind in manchen Unternehmensnetzwerken implementiert. Auf dem Heim-PC oder dem Notebook dagegen gibt es im allgemeinen keine bequeme Authentifizierungsmöglichkeit – es sei denn, das Gerät ist mit einem Fingerabdruckleser und entsprechender SSO-Software ausgestattet, was meist nicht der Fall ist.
Hier springt die Windows-Software BiometrySSO von der Schweizer Software-Schmiede Biometry.com in die Bresche. Das Programm ermöglicht über eine Passwortdatenbank und mehrere parallele biometrische Erkennungsverfahren den Zugang zu allen Anwendungen, die mit einem Passwortschutz arbeiten. Ausserdem prüft die Software auf Wunsch regelmässig, ob der angemeldete User auch wirklich noch vor dem Computer sitzt und sperrt im Bedarfsfall alle zuvor per Single-Sign-on geöffneten Anwendungen.
Nach der Installation fragt BiometrySSO zuallererst, wo die Passwortdatenbank abgelegt werden soll. Zusätzlich zur aktiven Datenbank lässt sich dabei eine Backup-Datei spezifizieren, in der die erfassten Authentifizierungsmerkmale laufend zweitgesichert werden. Nach dem Einrichten der Passwortdatenbank erfolgt die Registrierung des Nutzers: BiometrySSO arbeitet mit Gesichts- und/oder Stimmerkennung – die Software benötigt also einen Computer, der mit einer Webcam und einem Mikrofon ausgerüstet ist.
Die Registrierung der Gesichtsmerkmale sollte möglichst mehrmals unter verschiedenen Lichtverhältnissen erfolgen, damit die Authentifizierung später ohne Probleme über die Bühne geht. Im Test hatten wir zu Beginn nur eine Aufnahme bei relativ schlechter Beleuchtung gemacht. BiometrySSO hatte danach deutliche Schwierigkeiten, das Gesicht wieder zu erkennen. Nach einer weiteren Aufnahme bei Tageslicht funktionierte die Erkennung dann problemlos.
Für die Stimmerkennung muss der Nutzer die Ziffern von 0 bis 9 mehrmals ins Mikrofon sprechen. Die Anzahl der Erfassungen lässt sich einstellen, der Hersteller empfiehlt, wie vom Programm per Default vorgegeben, jede Ziffer mindestens fünfmal nachzusprechen – möglichst mit jeweils unterschiedlicher Geschwindigkeit und Lautstärke.
Hat sich der Nutzer erfolgreich registriert – in der englisch gehaltenen Oberfläche nennt sich der Vorgang «Biometric Enrollment» – steht BiometrySSO für den Praxiseinsatz bereit. Überall dort, wo eine User-ID und ein Passwort eingegeben werden müssen, präsentiert BiometrySSO im Passwortfeld einen Button mit drei Sternchen. Wird dieser angeklickt, erscheint ein Dialogfenster mit diversen Optionen. BiometrySSO zeigt hier den Inhalt der Passwortdatenbank nach Applikationen geordnet an: Wurde das Passwort für die aktuelle Anwendung bereits erfasst, lässt es sich mit einem Klick auf den entsprechenden Eintrag ins Anmeldeformular übertragen. Bei der ersten Anmeldung gibt man vor dem Klick auf den BiometrySSO-Button die User-ID und das Passwort ins Formular ein und überträgt die Angaben danach über die Option «New Record from User Data» in die Passwortdatenbank. Wurden die Anmeldeinformationen bereits erfasst, meldet BiometrySSO den Nutzer auf Wunsch auch vollautomatisch an – dazu dient die Option «Automate Login Data Record for the Form». Eine weitere Option heisst «Fill in but do not submit the form automatically» – Zweck selbsterklärend.
Sobald die Passwortdatenbank für mindestens eine Anwendung bereit ist, kommen für die Anmeldung die bei der Nutzerregistrierung erfassten biometrischen Templates zum Einsatz. Die Gesichtserkennung funktioniert in der Praxis bei annehmbaren Lichtverhältnissen gut und schnell. Etwas sperriger gibt sich die Stimm- und Spracherkennung: Für eine Freigabe sind jeweils vier zufällig ausgewählte Ziffern zu sprechen. BiometrySSO erkannte im Test des öfteren eine oder mehrere Ziffern auch im wiederholten Versuch nicht, so dass wir am Schluss doch wieder aufs Passwort zurückgreifen mussten. Wir haben darauf die Stimmerkennung deaktiviert – Gesichtserkennung allein ist zwar weniger sicher, aber immer noch sicherer als ein irgendwo aufgeschriebenes oder allzu einfaches Passwort.
Ist die Option «Lock SSO-activated Programs» aktiviert, prüft das Programm im Fünf-Sekunden-Intervall regelmässig via Webacm nach, ob der Nutzer tatsächlich noch vor dem Computer sitzt. Ist dies nicht der Fall, werden nach einer einstellbaren Reaktionfrist alle geöffneten Anwendungen gesperrt. Sobald das registrierte Gesicht wieder vor der Webcam erscheint, gibt BiometrySSO die gesperrten Anwendungen wieder frei. Die laufende Präsenzkontrolle, die Sperrung und die Freigabe der Anwendungen gehen vollautomatisch vor sich – es erscheint jeweils nur eine kleine Notiz auf dem Bildschirm, die den aktuellen Status meldet, zum Beispiel «Please pay attention to the camera to verify your identity».
Einen Pferdefuss hat die permanente Präsenzkontrolle: Die Kamera wird ständig durch BiometrySSO in Anspruch genommen. Benötigt man die Webcam für einen anderen Zweck, muss die Präsenzkontrolle unterbrochen und die Kamera freigegeben werden. Die Software bietet dazu eine Option im Taskleisten-Menü und einen Hotkey. Zwei weitere Hotkeys lassen sich für die Wiederaufnahme der Präsenzkontrolle und die Sperrung der geöffneten Anwendungen definieren.