Ein Verfahren zur Authentifizierung auf Webseiten, genannt WebAuthn, könnten Passwörter überflüssig machen, wenn da nicht die fehlende Akzeptanz bei Nutzern ist, was zum Größten Teil auf Missverständnisse zurückzuführen ist. Dabei bringt das Verfahren nur Vorteile: Nutzer können sich dadurch mit ihrem Smartphone oder Computer bei einem Dienst wie einem Sozialen Netzwerk oder einer Online-Shopping-Plattform anmelden. Schnell und einfach ist das Verfahren, wenn biometrische Daten wie Fingerabdruck oder Gesichtserkennung verwendet werden, die oft bereits zum Entsperren des Geräts hinterlegt sind. Viele Nutzer glauben dass die biometrischen Daten an Webseiten übermittelt werden, deshalb existiert eine Hemmschwelle in der Nutzung.
Mit dem Aufklären solcher und anderer Missverständnisse hat sich ein Team der Ruhr-Universität Bochum, des Bochumer Max-Planck-Instituts für Sicherheit und Privatsphäre (MPI-SP) sowie der University of Chicago auseinandergesetzt. In mehreren Onlinestudien ließen sie 414 Nutzerinnen und Nutzer das neue WebAuthn-Verfahren selbst ausprobieren und befragten sie im Anschluss zu ihren ersten Eindrücken und etwaigen Befürchtungen rund um Datenschutz, Sicherheit und Nutzbarkeit. Die Ergebnisse veröffentlichen die Wissenschaftler auf der Konferenz USENIX Security am 11. August 2021. Das Paper ist seit 21. Juni 2021 verfügbar.
So funktioniert WebAuthn: Das WebAuthn-Verfahren ist Teil des neuen FIDO2-Standards, welcher das Ziel verfolgt, Passwörter komplett überflüssig zu machen. Wenn jemand sich bei einem Dienst anmelden möchte, geschieht das derzeit in der Regel durch Eingabe eines Nutzernamens und eines Passworts. Künftig könnten sich Nutzer stattdessen über den Besitz eines Geräts authentifizieren. Damit nicht jeder, der ein verlorenes Smartphone auf der Straße findet, sich mit diesem bei allen möglichen Diensten einloggen kann, müssen die Nutzerinnen und Nutzer den Loginvorgang durch eine PIN oder Biometrie bestätigen. Manche Dienste wie eBay oder Microsoft bieten bereits den Login über das WebAuthn-Verfahren an.
Die Nutzer denken sie würden sich mit ihrem Fingerabdruck beim Onlinedienst anmelden, erklären die Wissenschaftler in einer Pressemeldung, dabei entsperrten sie nur einen sogenannten kryptografischen Schlüssel, der auf ihrem Gerät abgespeichert ist und dann für den eigentlichen Login genutzt wird. Fast 70 Prozent der Befragten waren unsicher oder glaubten irrtümlicherweise, dass ihre biometrischen Daten durch das Verfahren an die Dienste wie eBay oder Microsoft weitergegeben würden. Für die Wissenschaftler ist klar, dass es höchste Zeit sei, mit diesen Missverständnissen aufzuräumen, da die Bereitschaft, das neue sichere Verfahren zu verwenden vermindern.
Ein weiteres Problem entsteht immer dann, wenn der Fingerabdrucksensor einmal nicht funktioniert. Für diesen Fall gibt es eine Alternative, etwa die Eingabe der Smartphone-PIN. Da der Anmeldevorgang diese Option jedoch nicht besonders deutlich macht, waren 60 Prozent der Befragten der Meinung, sie würden in diesem Fall den Zugang zu ihrem Konto verlieren. Die Forschenden fragten die Nutzer auch, ob sie ihre Daten als gut geschützt empfinden würden, wenn ihr Smartphone gestohlen werden würde. 93 Prozent der Befragten fühlten sich durch die Biometrie gut geschützt, waren sich aber nicht der Gefahr bewusst, dass Kriminelle durch das Erraten der Smartphone-PIN Zugriff auf ihre Konten bekommen könnten.
In sieben Gruppen ließen die Forschenden die Teilnehmenden Texte und Grafiken entwickeln, um die komplizierte Funktionsweise von WebAuthn zu kommunizieren und zukünftigen Missverständnissen besser vorzubeugen. Anschließend setzten sie sechs Varianten der entwickelten Texte digital um und verglichen sie in einer Onlinestudie miteinander. Trotz aller Missverständnisse und Sorgen bewerteten die Teilnehmenden der Studie zufolge das biometrische Verfahren deutlich positiver als traditionelle Passwörter, da sie vor allem von dessen Schnelligkeit und einfacher Nutzbarkeit überzeugt waren. Zukünftig wollen die Forscher ergründen, wie man die Akzeptanz der Loginmethode weiter steigern kann, um die Vorteile allen Nutzern zugänglich zu machen.
Die Arbeit wurde unterstützt durch das Forschungskolleg SecHuman des Landes NRW und die Deutschen Forschungsgemeinschaft im Rahmen des Exzellenzclusters 2092 Cyber-Sicherheit im Zeitalter großskaliger Angreifer (CASA).
