Video: KeyTrac, Psylock & Co – Biometrische Benutzeridentifikation

Ich hatte ja bereits vor Jahren das Thema „Psylock“ bei Sicherheit-Online aufgegriffen und eine Schwachstelle demonstriert, die eine Benutzeridentifikation mittels Tippverhalten ziemlich unsicher macht. Damals habe ich – wie heute – einfach eine Tastatur mit Makro-Funktionen verwendet, um Psylock und jetzt auch KeyTrac zu täuschen. …

Das Thema „Biometrische Benutzererkennung“ ist ja immer mehr anzutreffen. Regierungen planen biometrische Erkennungssysteme für Bürger, um sich ausweisen zu können, bestimmte Anbieter setzen auf biometrische Login-Möglichkeiten für Onlineshops, Banken und mehr. Immer wieder wird behauptet, dass gerade das Tippverhalten besonders interessant für die Identifikation eines Benutzers ist. Gleichzeitig wird seit Jahren behauptet, dass man mit den modernen Systemen keine Angst vor einem Keylogger oder anderer Spähsoftware haben muss. Schließlich würden Psylock, KeyTrac & Co erkennen, wenn es sich um eine Aufzeichnung des Tippverhaltens handelt. Und man behauptete auch „Keylogger sind nicht fähig, das Tippverhalten zu kopieren“. Ich hatte damals zu Psylock und auch vor ein paar Monaten zu KeyTrac Beiträge geschrieben, was die Sicherheit der Systeme betrifft. Bei Wikipedia findet man ebenso ein wenig Input zum damaligen „Hack“. Nachfolgend nun ein Video, um die Theorie auch in der Praxis zu demonstrieren:

Selbstverständlich erkennt das System eine identische Kopie des Tippverhaltens. Jedoch ist es in der heutigen Zeit kein Problem, einen Keylogger zu programmieren, der neben den eigentlichen Eingaben, auch das jeweilige Tippverhalten aufzeichnet. Also nicht nur die Tasten die man drückt, sondern auch Verzögerungen zwischen den einzelnen Anschlägen, die zeitliche Länge, in der man die Taste gedrückt hält, sowie allgemeines Verhalten beim Einloggen, Schreiben, Fehler korrigieren usw… Ein Keylogger kann quasi das gesamte Verhalten einer Person an der Tastatur aufzeichnen und reproduzieren. Demnach ist es auch möglich, das Tippverhalten zu kopieren, ein klein wenig anzupassen – um dem Server keine identische Kopie zu liefern – und die veränderte Version der Aufzeichnung wieder zu geben, um sich damit einloggen zu können.

Ich denke, dass ich im Video eindeutig bewiesen habe, dass man sehr wohl eine veränderte Version des Tippverhaltens – sofern die Änderungen minimal bleiben – für das unberechtigte Einloggen durch einen Dritten nutzen kann. Demnach sind biometrische Benutzeridentifikationssysteme wie Psylock und KeyTrac schlichtweg sinnfrei in Bezug auf verbesserte Sicherheit. Derartige Systeme sind nicht sicherer als ein normales Passwort, ohne das biometrische „Lametta“.