Grafische Passwörter versprechen mehr Sicherheit

Passwörter sind ein ewiges Leid. Je länger und je wilder die Kombination aus Buchstaben und Zahlen sind, umso sicherer sind sie - und umso weniger können wir sie uns merken. Kein Wunder also, dass sich Entwickler immer neue Möglichkeiten einfallen lassen, um Passwörter zu sichern, etwa indem sie sie im Mobiltelefon speichern. Andere haben gar ein elektronisches Haustier ersonnen, das Passwörter und PINs verwalten soll.

Ein Team um dem Informatiker Jeff Yan von der Universität Newcastle hat ein neues Verfahren entwickelt, um einen PDA vor unbefugten Zugriffen zu schützen: das gezeichnete Passwort, "Background Draw a Secret" (BDAS) genannt. Es basiert auf dem System "Draw a Secret" (DAS), das Forscher der New York University, der Bell Labs und der AT&T Labs entwickelt haben.

Zur Generierung des grafischen Passworts dient eine von Yan entwickelte Software. Diese blendet mehrere Bilder ein, von denen sich der Nutzer eines als Hintergrundbild auswählen kann. Über dieses Bild wird ein 5 mal 5 Kästchen großes Gitter gelegt, in das der Nutzer ein beliebiges Muster zeichnet, ein Strichmännchen zum Beispiel.

Jedes Mal, wenn der Nutzer künftig seinen PDA starten will, erscheint wieder das Hintergrundbild. Es erinnert den Nutzer an sein Männchen, das er in das Gitter malt. Entspricht das gerade gezeichnete Männchen dem hinterlegten, wird der Zugang zum PDA gewährt. Das nachgezeichnete Muster muss dabei nicht genau mit dem Original identisch sein. Das System lässt eine gewisse Toleranz zu. Das liegt daran, dass es nicht merkt, dass der Nutzer ein Männchen gemalt hat, sondern welche Zellen der Stift beim Zeichnen in welcher Richtung durchkreuzt hat.

"Das Hintergrundbild ist der Schlüssel zum Erfolg des Systems", ist Yan überzeugt. "Es ermutigt die Menschen, ihre Passwörter komplizierter und damit weniger vorhersagbar zu gestalten.". Denn wie bei einem Passwort aus Buchstaben gilt auch hier: je komplizierter das Muster, also je größer die Zahl und Länge der Striche, desto höher die Sicherheit. Zwar wurde BDAS für PDAs entwickelt, Yans Ansicht nach kann es aber auf jedes Gerät mit Passwortschutz übertragen werden, vom iPhone bis zum Geldautomaten.

"Das ist ein einfaches Konzept, weil es intuitiv ist. Es mag vielleicht länger dauern, ein Passwort zu erstellen, aber das kann man sich leichter merken und es bringt deshalb mehr Sicherheit", resümiert Yan. Die renommierte britische Royal Society hat ihn und sein Team eingeladen, das System auf der Royal Society Summer Science Exhibition vorzustellen, die vom 30. Juni bis 3. Juli 2008 am Sitz der Gesellschaft in London stattfindet.