Mit ihrer Publikation zur Smartphone-Authentifizierung haben Leon Würsching, Florentin Putz und Steffen Haesler von der TU Darmstadt auf der ACM CHI 2023 Konferenz einen Best Paper Award gewonnen. Wir gratulieren ganz herzlich zu der tollen Teamleistung! Die CHI ist die internationale Top-Konferenz für Mensch-Computer Interaktion, die dieses Jahr in Hamburg stattfand.
Ausgezeichnet wurde das Paper „FIDO2 the Rescue? Platform vs. Roaming Authentication on Smartphones”, in dem die Wissenschaftler die Akzeptanz und die Nutzerfreundlichkeit von zwei Authentifizierungs-Verfahren im Rahmen einer Studie getestet und verglichen haben. Denn beide Verfahren werden seit einigen Jahren von modernen Android- und Apple-Smartphones unterstützt, werden allerdings, obwohl sie eine sichere Alternative zu Passwörtern sind, noch kaum verwendet.
Die beiden untersuchten Verfahren unterscheiden sich erheblich: Anstelle von Passwörtern funktioniert der Login bei „Platform Authentication“ per Fingerabdruck und bei „Roaming Authentication“ mit einem externen Token, das ans Smartphone gehalten wird. Im Hintergrund läuft das von der Fast Identity Online Alliance entwickelte Protokoll FIDO2.
Die Studie hat nun gezeigt, dass die Nutzer:innen zwar generell bereit wären, auf die passwortlose Authentifizierung umzusteigen, es aber auch auf den Typ und die Eigenschaften des konkreten Accounts ankommt. Die Studienteilnehmenden erwähnten hier z.B. die Nutzungshäufigkeit und die Sensibilität eines Accounts.
Die Stärken und Schwächen von FIDO2
Während bei der Platform Authentication per Fingerabdruck der große Vorteil darin besteht, dass man den Finger immer parat hat und der Login so schnell und unkompliziert funktioniert, zeigte sich der Nachteil dieses Verfahrens für die Studienteilnehmer:innen darin, dass es nicht so einfach auf andere Endgeräte erweiterbar ist. Das Smartphone speichert nämlich lokal einen Schlüssel, der für den Login benötigt wird. Das ist bei der Roaming Authentication mit NFC-Token wiederum kein Problem, da der Schlüssel im Token gespeichert wird. Das bringt den Vorteil, dass das Verfahren auch an weiteren Endgeräten wie Laptops genutzt werden kann. Hier zeichnet sich aber auch schon der Nachteil ab: Den Token kann man verlieren, er kann kaputt gehen oder sogar gestohlen werden. Dann hätte der Dieb Zugriff auf die Accounts. Außerdem ist das Verfahren weniger praktisch, weil man daran denken muss, den Token dabei zu haben und er im Gegensatz zum Fingerabdruck Geld kostet. Bei beiden Verfahren stellte sich zudem für die Studienteilnehmer:innen die Frage was passiert, wenn man entweder Smartphone oder den externen Schlüssel verliert. Wie kommt man dann wieder in den Account? Und wie kann man Online-Diensten mitteilen, dass der Zugang verloren ist und das Konto sicherheitshalber gesperrt werden soll?
Insgesamt konnte die Studie zeigen, welche offenen Probleme bei der Authentifizierung mit FIDO2 angegangen werden sollten und leistet so einen wichtigen Beitrag, um die digitale Sicherheit in der Bevölkerung zu verbessern. Denn die zwei neuen Authentifizierungs-Verfahren schützen User gegen viele Angriffe, mit denen in der Vergangenheit Passwörter gestohlen wurden. Es reicht jedoch nicht aus, ein technisch sicheres Verfahren zu entwickeln, es muss auch gut im Alltag benutzbar sein, um akzeptiert zu werden.
Open Source Forschung
Besonders ist außerdem, dass die Wissenschaftler ihre Forschungsdaten sowie den Quellcode der Beispielwebseite, die in der Studie verwendet wurde, open source zur Verfügung stellen, um weiterführende Forschung bestmöglich zu unterstützen. Die Studie wurde durchgeführt in Zusammenarbeit der Forschungsbereiche SEEMOO und PEASEC, des LOEWE Zentrums emergenCITY und des Forschungsprojekts Open6GHub.