Es mag überraschen, doch die Art und Weise, wie wir Texte per Tastatur eintippen, ist ebenso individuell und fälschungssicher wie eine Unterschrift. Das Tippverhalten lässt sich nicht nachahmen und nicht weitergeben. Das "Psylock" genannte Verfahren, das unser Lehrstuhl gemeinsam mit der Technischen Universität München entwickelt hat, erfasst die verschiedenen Parameter, um die Identität von Computernutzern zu prüfen.

Psylock ist eine reine Software-Lösung, es wird keine spezielle Hardware benötigt. Bevor das System eingesetzt werden kann, muss es sich erst an den Nutzer gewöhnen. Dazu tippt dieser einen vorgegebenen Satz 35-mal ein, wobei Psylock Merkmale wie Schreibgeschwindigkeit, Rhythmus und Geschicklichkeit der einzelnen Finger misst. Dieser Satz muss später zur Authentifizierung des Benutzers wieder eingetippt werden.

Je nach Verfassung des Schreibenden können diese Werte allerdings sehr stark variieren. Deshalb werden sehr stabile Merkmale wie Links- oder Rechtshändigkeit und fingerabhängige "Verhaspelungen" ebenfalls erfasst.

Insgesamt ergeben sich so etwa zwanzig Merkmale, die ein neuronales Netz auswertet. Dadurch wird eine Trennschärfe von annähernd hundert Prozent erreicht. Ein Feldtest an der Universität Regensburg hat gezeigt, dass es möglich ist, gleichzeitig sowohl die Falschrückweisungsrate wie auch die Falschakzeptanzrate auf unter fünf Promille zu senken. Dieses ungewöhnliche Ergebnis setzt voraus, dass man mehrere Login-Versuche zulässt. Denn auch wenn sie unmittelbar nacheinander stattfinden, tippt der Anwender den Text nie zweimal auf genau die gleiche Weise ein. Psylock bekommt so mehr Informationen über das Tippverhalten, das Verfahren wird trennschärfer. Die Falschakzeptanzrate steigt zwar leicht, wenn mehrere Login-Versuche zugelassen werden, wird aber im Bereich von 0,5 Prozent bleiben.

Zudem lässt sich die Sicherheit erhöhen, indem zur Authentifizierung ein längerer Text eingegeben wird. Der Beispielsatz "Hallo Psylock, wie lautet der Witz des Tages?" mit etwa fünfzig Anschlägen genügt für ein mittleres Niveau. Im Lauf der Zeit verändert ein Nutzer sein Tippverhalten. Psylock registriert das und passt seine Referenzmuster entsprechend an.

Der erste harte Praxistest von Psylock steht unmittelbar bevor: Die Software wird demnächst von einem großen deutschen Geldinstitut für den Windows-Login-Prozess in sicherheitskritischen Bereichen getestet.

Aus: Spektrum der Wissenschaft 8 / 2003, Seite 71
© Spektrum der Wissenschaft Verlagsgesellschaft mbH