Ruhr-Uni-Bochum
Horst Görtz Institut - News

Was User über den Login ohne Passwort denken

Ohne Passwort, nur mit dem Fingerabdruck beim Onlineshop anmelden? Es ist verständlich, dass hierbei der Eindruck entsteht, biometrische Daten würden an die Webseite übermittelt. Das ist aber nicht so.

Copyright: RUB, Marquard

Bochumer Forschungsteam: Leona Lassak und Maximilian Golla

Copyright: RUB, Marquard

Passwörter sind vielen Usern ein Graus. Ein Verfahren zur Authentifizierung auf Webseiten, genannt WebAuthn, könnte sie überflüssig machen. Nutzerinnen und Nutzer können sich dadurch mit ihrem Smartphone oder Computer bei einem Dienst wie einem Sozialen Netzwerk oder einer Online-Shopping-Plattform anmelden. Schnell und einfach ist das Verfahren, wenn biometrische Daten wie Fingerabdruck oder Gesichtserkennung verwendet werden, die oft bereits zum Entsperren des Geräts hinterlegt sind. „Es ist nur verständlich, dass hierbei der Eindruck entstehen kann, die biometrischen Daten würden, ähnlich wie ein Passwort, an die Webseite übermittelt, bei der man sich anmelden möchte. Das ist aber ein Irrglaube“, sagt Leona Lassak von der Ruhr-Universität Bochum (RUB).

Mit dem Aufklären solcher und anderer Missverständnisse hat sich ein Team der RUB, des Bochumer Max-Planck-Instituts für Sicherheit und Privatsphäre (MPI-SP) sowie der University of Chicago auseinandergesetzt. In mehreren Onlinestudien ließen sie 414 Nutzerinnen und Nutzer das neue WebAuthn-Verfahren selbst ausprobieren und befragten sie im Anschluss zu ihren ersten Eindrücken und etwaigen Befürchtungen rund um Datenschutz, Sicherheit und Nutzbarkeit.

Die Ergebnisse veröffentlichen Leona Lassak vom Horst-Görtz-Institut für IT-Sicherheit der RUB und Dr. Maximilian Golla vom MPI-SP zusammen mit Annika Hildebrandt und Prof. Dr. Blase Ur von der University of Chicago auf der Konferenz USENIX Security am 11. August 2021. Das Paper ist online bereits seit Juni 2021 verfügbar.

So funktioniert WebAuthn
Das WebAuthn-Verfahren ist Teil des neuen FIDO2-Standards, welcher das Ziel verfolgt, Passwörter komplett überflüssig zu machen. Wenn jemand sich bei einem Dienst anmelden möchte, geschieht das derzeit in der Regel durch Eingabe eines Nutzernamens und eines Passworts. Künftig könnten sich Nutzerinnen und Nutzer stattdessen über den Besitz eines Geräts authentifizieren. Damit nicht jeder, der ein verlorenes Smartphone auf der Straße findet, sich mit diesem bei allen möglichen Diensten einloggen kann, müssen die Nutzerinnen und Nutzer den Loginvorgang durch eine PIN oder Biometrie bestätigen. Manche Dienste wie das amerikanische eBay oder Microsoft bieten bereits den Login über das WebAuthn-Verfahren an.

„Für die Nutzerinnen und Nutzer sieht es so aus, als würden sie sich mit ihrem Fingerabdruck beim Onlinedienst anmelden“, schildert Leona Lassak das Problem. „Dabei entsperren sie mit ihrem Fingerabdruck nur einen sogenannten kryptografischen Schlüssel, der auf ihrem Gerät abgespeichert ist und dann für den eigentlichen Login genutzt wird“.

Unklarheiten bei der ersten Nutzung
Fast 70 Prozent der Befragten waren unsicher oder glaubten irrtümlicherweise, dass ihre biometrischen Daten durch das Verfahren an die Dienste wie eBay oder Microsoft weitergegeben würden. „Es ist höchste Zeit, mit diesen Missverständnissen aufzuräumen, da sie die Bereitschaft, das neue sichere Verfahren zu verwenden, gefährden“, so Annika Hildebrandt, eine Autorin der University of Chicago.

Ein weiteres Problem entsteht immer dann, wenn der Fingerabdrucksensor einmal nicht funktioniert. Für diesen Fall gibt es eine Alternative, etwa die Eingabe der Smartphone-PIN. Da der Anmeldevorgang diese Option jedoch nicht besonders deutlich macht, waren 60 Prozent der Befragten der Meinung, sie würden in diesem Fall den Zugang zu ihrem Konto verlieren. Die Forschenden fragten die Nutzerinnern und Nutzer auch, ob sie ihre Daten als gut geschützt empfinden würden, wenn ihr Smartphone gestohlen werden würde. 93 Prozent der Befragten fühlten sich durch die Biometrie gut geschützt, waren sich aber nicht der Gefahr bewusst, dass Kriminelle durch das Erraten der Smartphone-PIN Zugriff auf ihre Konten bekommen könnten.

Missverständnissen vorbeugen
In sieben Gruppen ließen die Forschenden die Teilnehmenden Texte und Grafiken entwickeln, um die komplizierte Funktionsweise von WebAuthn zu kommunizieren und zukünftigen Missverständnissen besser vorzubeugen. Anschließend setzten sie sechs Varianten der entwickelten Texte digital um und verglichen sie in einer Onlinestudie miteinander.

„Hierbei haben wir gesehen, dass es wichtig ist, konkret zu kommunizieren, dass die Fingerabdrucks- und Gesichtsmerkmale niemals an die Webseite übertragen werden“, resümiert Annika Hildebrandt. Weniger effektiv war es, die Nachteile von Passwörtern hervorzuheben oder vertrauenswürdige Firmen zu erwähnen, welche den WebAuthn-Standard mitentwickelt haben.

Akzeptanz steigern
Trotz aller Missverständnisse und Sorgen bewerteten die Teilnehmenden das biometrische Verfahren deutlich positiver als traditionelle Passwörter, da sie vor allem von dessen Schnelligkeit und einfacher Nutzbarkeit überzeugt waren. Zukünftig wollen die Forscherinnen und Forscher ergründen, wie man die Akzeptanz der Loginmethode weiter steigern kann, um die Vorteile allen Nutzerinnen und Nutzern zugänglich zu machen.

Förderung
Die Arbeit wurde unterstützt durch das Forschungskolleg SecHuman des Landes NRW und die Deutschen Forschungsgemeinschaft im Rahmen des Exzellenzclusters 2092 Cyber-Sicherheit im Zeitalter großskaliger Angreifer (CASA).

Originalveröffentlichung
Leona Lassak, Annika Hildebrandt, Maximilian Golla, Blase Ur: “It’s stored, hopefully, on an encrypted server”: Mitigating users’ misconceptions about FIDO2 biometric WebAuthn, 30th USENIX Security Symposium, 2021, Online-Konferenz, Download Pre-Print

Pressekontakt
Leona Lassak
Arbeitsgruppe Mobile Security
Horst-Görtz-Institut für IT-Sicherheit
Ruhr-Universität Bochum
E-Mail: leona.lassak@rub.de

Dr. Maximilian Golla
Max-Planck-Institut für Sicherheit und Privatsphäre
Tel.: +49 234 32 28667
E-Mail: maximilian.golla@csp.mpg.de

Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.