Jeder Mensch tippt einzigartig: Werden die Dauer und Geschwindigkeit von Tastenanschlägen analysiert, lassen sich individuelle Profile erstellen. Doch wie genau und verlässlich ist die Realisation solcher Keystroke-Analysen? Patricia Stoll, Master-Studierende in Computational Biology and Bioinformatics an der ETH Zürich, hat während ihres einjährigen Praktikums bei der CyOne Security verschiedene Methoden aus den Bereichen Künstliche Intelligenz (KI) und Machine Learning (ML) auf deren Eignung untersucht und geprüft, ob sich damit Zutrittskontrollsysteme nach europäischer Norm realisieren lassen.
Die Studie hatte zum Ziel, zu untersuchen, wie gut sich Sequenzen von Tastatureingaben eindeutig einem Benutzer zuordnen lassen – wie charakteristisch also Tastaturanschläge für einen Benutzer sind. Es ging beispielsweise um die Klärung der Frage, ob sich mit Hilfe von ML / KI-Algorithmen entsprechende Zutrittskontrollsysteme entwickeln lassen. Auch darauf beruhende Alarmierungssysteme sind denkbar, welche beispielsweise die Verwendung von gestohlenen Passwörtern anzeigen können.
In der Studie legten die mich im Rahmen des Praktikums betreuenden Entwickler der CyOne Security und ich den Fokus daher nicht auf das, was wir eintippen, sondern auf das Wie. Die individuellen Tippmuster lassen sich zum Beispiel aus der Zeitdauer eines Tastenanschlags (holding time), der Zeit zwischen der einen und der nächsten Taste (up-down-time) oder zwischen zwei Tastenanschlägen (down-down-time) erstellen. Man könnte zudem auch noch den durchschnittlichen Tastendruck messen.
Im Rahmen der Studie analysierte ich einen Datensatz von 51 Benutzern, welche über acht Sitzungen hinweg dasselbe Passwort insgesamt 400 Mal eintippten. Ich habe dabei verschiedene Algorithmen angewendet, implementiert, untersucht und die Resultate miteinander verglichen: K-Nearest Neighbors, Adaptive Boosting (kurz AdaBoost), Artificial Neural Network und Generative Adversial Networks.
Ohne an dieser Stelle in die technischen Details zu gehen, kann ich festhalten, dass AdaBoost, ein 1997 von Freund und Schapire veröffentlichter Meta-Algorithmus für ML, die besten Kennwerte erzielt hat: Zum Beispiel bei der Genauigkeit der Benutzererkennung – in 94 % der Fälle wurden die Benutzer korrekt identifiziert. Weitere Kennwerte wie die False Acceptance Rate (FAR) und Miss Rate (MR) konnten gegenüber den uns bekannten publizierten Forschungsarbeiten substantiell – auf die Hälfte reduziert – verbessert werden, was schon ziemlich erstaunlich war. Trotzdem haben wir auch mit AdaBoost die vom European Committee for Electrotechnical Standardization (CENELEC) in der Norm EN-50133-1 / EN-60839-11-1 festgelegten Werte nicht erreicht – noch nicht. Der Standard schreibt eine Miss Rate von maximal 0.001 % und eine False Alarm Rate von weniger als 1 % vor, um eine Methode als alleinige Authentifizierungsmethode verwenden zu dürfen.
Ein starkes Passwort ist heutzutage immer noch viel sicherer als die im Rahmen der Studie untersuchten Analysetechniken. Als Zusatz kann eine im Hintergrund laufende Tastatur-Analyse aber durchaus zu einer verbesserten Überwachung eines Systems beitragen, denken wir beispielsweise an die Problematik gestohlener Passwörter. Auffällige Tastatureingaben können zurückgewiesen und / oder einem Systemadministrator gemeldet werden. Mit Hilfe von KI kann also die Identität eines Benutzers auf einem zusätzlichen Weg bestätigt werden. Dass im Rahmen von Tastatur-Analysen sensible persönliche Daten gesammelt werden, deren Schutz vor Missbrauch gewährleistet werden muss, darf dabei nicht vergessen gehen.
KI und ML durchdringen unser Leben immer mehr. Sie nehmen Einfluss auf unsere Kommunikation, Arbeit, Mobilität etc. Beispiele für solche Applikationen sind persönliche Assistenzsysteme wie Alexa und Siri, auf Verhaltensalgorithmen basierende Werbung im Internet oder selbstfahrende Autos. Auch im Bereich der Cyber Security schaffen KI und ML neue Möglichkeiten wie zum Beispiel bei der Kategorisierung von Bedrohungslevels oder zur Erkennung und Automatisierung von sich verändernden Cyber-Angriffen. Die Herausforderung dabei ist, dass auch Cyber-Kriminelle ständig versuchen, ihre Techniken zu verbessern. Auch die kriminelle Seite setzt KI- / ML-Algorithmen für ihre Zwecke ein.
Werden verschiedene Verfahren kombiniert, erhöht dies grundsätzlich die Sicherheit. So setzen sich auf KI und ML basierende Biometrie-Authentisierungstechniken wie der Fingerabdruck-Scan, Gesichts- und Iriserkennung durch und passen sich schnell der Umgebung an. So kann Apple's Face ID heute schon teilverdeckte Gesichter erkennen. Die Forschung und die Industrie stehen aber hinsichtlich dieser Entwicklungen noch vor grossen Herausforderungen, um die Genauigkeit der Benutzererkennung weiter zu erhöhen und schliesslich auch in Bezug auf die Adaption für ein praxistaugliches Produkt.
Patricia Stoll befasst sich im Rahmen ihres Master-Studiums in Computational Biology and Bioinformatics an der ETH Zürich mit komplexen biologischen Fragestellungen, die oft mit grossen Datenmengen einhergehen und mittels informatikgestützter Verfahren untersucht werden. Ihre Forschungsschwerpunkte liegen in den Bereichen Machine Learning, Data Science und Personalized Medicine.
Interessierst du dich auch für Cyber Security- und IoT Security-Themen, die unsere Entwickler beschäftigen? Wir bieten spannende Jobs und attraktive Anstellungsbedingungen. Melde dich für unseren Job Newsletter an, damit wir dich über alle Vakanzen informieren können.
Beitrag teilen
