An Evaluation of EyePassShapes

II

Kurzfassung

Authentifizierungsvorgänge verlagern sich durch die gestiegene Mobilität der Geräte und einer zunehmenden Automatisierung immer mehr in die Öffentlichkeit. Je öffentlicher sensible Daten eingegeben werden, umso größer ist allerdings die Gefahr der Spionage. Das Ausspähen von sensiblen Nutzereingaben mit Ferngläsern, Videokameras oder insbesondere auch durch persönliches Beobachten nennt sich shoulder surfing und stellt ein ernstzunehmendes Sicherheitsproblem dar. Da die PIN-Eingabe auf einem Touchpad oder einem Nummernfeld als extrem anfällig gegen diese Angriffe ist, wurde ein neues System namens EyePassShapes entwickelt. EyePassShapes basiert auf der Eingabemethode mittels durchgeführter Blickbewegungen des Auges und verspricht resistent gegen shoulder surfing zu sein. Weiter benützt EyePassShapes als Authentifizierungsmittel keine alphanumerischen PINs oder Passwörter sondern grafische Muster mit dem Namen PassShapes. Für eine erfolgreiche Anmeldung muss der Nutzer diese mit gezielten Blickpunkten nachvollziehen. In einer vorangegangenen Arbeit wurde bereits nachgewiesen, dass sich geometrische Figuren in Form von PassShapes besser merken lassen als PINs in Form von logisch nicht zusammenhängenden Ziffern und Zahlen. In einer ersten Nutzerstudie wurde überprüft, ob die erhöhte Einprägsamkeit auch für PassShapes gilt, die mittels Augen an dem System EyePassShapes eingegeben wurden. In einer zweiten Nutzerstudie wurde evaluiert wie gut EyePassShapes von seinen Nutzern bedient werden kann und ob das System den vermuteten Schutz gegen shoulder surfing tatsächlich bieten kann. Die Ergebnisse der Nutzerstudien bestätigen, dass die Technologie Eye Tracking gut geeignet ist, um shoulder surfing zu vermeiden, und dass mit den Augen eingegebene PassShapes eine ähnlich hohe Merkfähigkeit wie gezeichnete PassShapes besitzen. Im weiteren Verlauf dieser Arbeit werden andere Authentifizierungssysteme vorgestellt und hinsichtlich ihrer Nutzerfreundlichkeit und Sicherheit mit EyePassShapes verglichen. Abstract

Due to increased mobility of devices and in times of an automated world authentication processes increasingly take place in public. While entering sensitive data in public rooms the risk of spy attacks rises up however. Spying out someone who is entering data on a public terminal using binoculars, video cameras or by simply looking over the shoulder is called shoulder surfing and implies a serious lack of security. Because of the extreme vulnerability of the PIN-Entry on a touchpad or a keyboard to these sorts of attacks, a new authentication system with the name EyePassShapes was developed. EyePassShapes uses the gaze movements of the eyes as input method and promises to protect against shoulder surfing. In order to authenticate instead of alphanumeric PINs or passwords EyePassShapes asks for a graphical pattern named PassShapes. The correct fixation of the corners of the shape with the users gaze guarantees a successful login. In a previous work it was already detected that geometric shapes in terms of PassShapes can be remembered more easily than PINs consisting of logically incoherent figures and numbers. A user study was conducted to verify, if the increased memorability also applies for PassShapes, that are entered with the users gaze on the system EyePassShapes. A second study evaluated how well users could handle EyePassShapes and furthermore if the system could meet the demands of protection against shoulder surfing. The results indicate that the characteristics of the technology Eye Tracking are well-suited to defeat shoulder surfing and that the fact of gazing the PassShapes have no negative effect to their memorability. Finally EyePassShapes was compared to other earlier introduced authentication systems concerning their attributes of usability and privacy.

III

An Evaluation of EyePassShapes

IV

Aufgabenstellung

An Evaluation of EyePassShapes

VI

Erklärung

Hiermit versichere ich, dass ich diese Diplomarbeit selbständig verfasst und keine anderen als die angegebenen Quellen und Hilfsmittel benutzt habe. Diese Arbeit hat in dieser oder einer ähnlichen Form noch nicht im Rahmen einer anderen Prüfung vorgelegen.

München, den 27. November 2008 ___________

An Evaluation of EyePassShapes

VIII

An  Evaluation of EyePassShapes  

Inhaltsverzeichnis

Kurzfassung   III

Aufgabenstellung.   V

Erkl  ärung  VII

Inhaltsverzeichnis   IX

Tabellenverzeichnis XIII   

Abbildungsverzeichnis   XIV

1  Einleitung.  1

2  Eye Tracking-ein Überblick  7

2.1  Blickbewegungen des Auges.  8

2.2  Videobasiertes Eye Tracking.  9

2.3  Blickbewegungen als Eingabemethode.  10

2.3.1  Problemstellungen blickbasierter Eingabe  10

2.3.2  Auswahlmethoden bei der Eingabe  12

2.3.3  Chancen und Stärken von Eye Gaze Interaction  13

2.4  Anwendung von Eye Tracking in der Praxis.  14

2.5  Schlussfolgerungen für EyePassShapes.  15

3  Authentifizierungssystem EyePassShapes  17

3.1  Das PassShape-Konzept.  17

3.2  Interaktion mittels Blickgesten.  19

3.3  EyePassShapes  20

3.3.1  Systemaufbau.  21

3.3.2  Funktionsweise von EyePassShapes  22

IX

An  Evaluation of EyePassShapes  

4  Authentifizierungssysteme im Überblick  23

4.1  Undercover - der taktile Ansatz  23

4.2  Die konvexe Hülle - der geometrische Ansatz.  24

4.3  Pass-Thoughts - der mentale Ansatz.  25

4.4  SecurID - der gerätebasierte Ansatz  26

4.5  Zusammenfassung.  27

5  Nutzerstudie Memorability.  29

5.1  Versuchsaufbau.  29

5.2  Durchführung der Nutzerstudie  30

5.3  Ergebnisse  31

5.3.1  Hypothesen.  31

5.3.2  Prüfung der Gruppen auf homogene Zusammensetzung  32

5.3.3  Untersuchung der Erinnerungsleistung  34

5.3.4  Untersuchung der restlichen erhobenen Daten.  35

5.4  Diskussion der Ergebnisse  36

6  Nutzerstudie Usability.  39

6.1  Authentifizierungssysteme.  39

6.1.1  PIN-Eingabe auf dem Touchpad  39

6.1.2  PassShape-Eingabe auf dem Touchpad  40

6.1.3  PIN-Eingabe mit den Augen (EyePIN)  41

6.1.4  PassShape-Eingabe mit den Augen (EyePassShapes)  43

6.2  Durchführung der Nutzerstudie  43

6.3  Ergebnisse  45

6.3.1  Hypothesen.  47

6.3.2  Einfachheit  47

6.3.3  Schnelligkeit.  50

6.3.4  Sicherheit.  52

6.3.5  Untersuchung der restlichen erhobenen Daten.  55

X

An  Evaluation of EyePassShapes  

6.3.6  Zusammenfassung der Ergebnisse.  58

7  Evaluierung von EyePassShapes im Vergleich mit anderen Authentifizierungssystemen  61

7.1  Das ideale Authentifizierungssystem  61

7.2  Untersuchung der Systeme bzgl. Sicherheit.  62

7.3  Untersuchung der Systeme bzgl. Nutzerfreundlichkeit.  64

7.4  Untersuchung der Systeme bzgl. Machbarkeit in der Praxis.  64

7.5  Abschließende Beurteilung von EyePassShapes.  65

8  Zusammenfassung und Ausblick  67

Literaturverzeichnis   71

Internet  Quellenangaben.  75

Anhang.   77

XI

An Evaluation of EyePassShapes

XII

An  Evaluation of EyePassShapes  

Tabellenverzeichnis   

Tabelle 1:  Überblick der Hypothesen der Memorability-Studie.  32

Tabelle 2:  Statistische Homogenität der Gruppen nach demografischen Merkmalen.  34

Tabelle 3:  Angewandte Erinnerungsstrategien für PassShapes  36

Tabelle 4:  Überblick der Hypothesen der Usability-Studie.  47

Tabelle 5:  Übersicht der erfolgreichen Erkennungsversuche  54

Tabelle 6:  Auswahl von Beweggründen für oder gegen eine Zahlungsmethode  56

XIII

An  Evaluation of EyePassShapes  

Abbildungsverzeichnis   

Abbildung  1: Nummernfeld eines EC-Automaten mit aufgesetztem Sichtschutz  

Abbildung  2: Nummernpad als Aufsatz auf die Originaltastatur (links), versteckte  

Miniaturkamera  hinter durchbohrter Blendleiste eines Geldautomaten (rechts) Quelle 19  

Abbildung  3: Die Augenbewegungen einer Person (rechts), die zwei Minuten lang das Bild der  

Queen  Nefertiti (links) betrachtete. Quelle 48  

Abbildung  4: Das VISIOBOARD ermöglicht Texteingaben mit den Augen. Quelle 16  

Abbildung  5: Querschnitt des Auges mit ’zitternder’ Zentrallinie. Quelle 11  

Abbildung  6: Aus der Position des Glanzpunktes und des Pupillenmittelpunktes wird die  

Blickrichtung  berechnet. Quelle 11  

Abbildung  7: Messung der Blickkonzentration von Zuschauern während eines Tennisspiels.  

Quelle  8  

Abbildung  8: Die PIN 0759 wird mit einem geografischen Muster verknüpft (links) und bildet  

das  PassShape (rechts)  

Abbildung  9: Strichzeichnungen werden in Zeichenketten umgewandelt. Die Zeichnung (links)  

entspricht  der Zeichenkette 1LULU (beginnt mit rotem Stroke) Quelle 8 (rechts)  

Abbildung  10: Mausgeste für den Befehl „Zurück“ (links), Mausgeste für den Befehl „Vor“  

  (rechts) Quelle 10  

Abbildung  11: Maus oder Augenspur wird auf Gitterpunkte abgebildet und in acht Richtungen  

  übersetzt. Quelle 12  

Abbildung  12: Bestandteile und Aufbau des EyePassShapes-System  

Abbildung  13: Eingabe des PassShape 93U9 mit EyePassShapes  

Abbildung  14: Undercover Prototyp zur verdeckten Eingabe mittels Trackball. Quelle 35  

Abbildung  15: Beispiel einer konvexen Hülle geformt durch fünf Passwort-Symbole. Quelle  

Abbildung  16: Eingabe der Zahl „3“ durch die Auswahl der Farbe. Quelle 34  

Abbildung  17: Ablaufschema des Pass-Thoughts System. Quelle 43  

Abbildung  18: SecureID-Token mit ständig wechselndem Displaycode. Quelle 13  

XIV

An  Evaluation of EyePassShapes  

Abbildung  19: Notebook mit Webcam simuliert EyePassShapes.  

Abbildung  20: Zusammensetzung der Gruppen nach Geschlecht.  

Abbildung  21: Zusammensetzung der Gruppen nach Schulbildung  

Abbildung  22: Zusammensetzung der Gruppen nach Ausbildung  

Abbildung  23: Verteilung der korrekt in Erinnerung behaltenen PassShapes.  

Abbildung  24: Verwendete Strategie zum Merken des PassShapes  

Abbildung  25: Prototyp zur PIN-Eingabe auf dem Touchpad (in der Abbildung nach der  

Eingabe  der dritten Zahl)  

Abbildung  26: Prototyp zur PassShape-Eingabe auf dem Touchpad (in der Abbildung mit der  

Eingabe  des PassShapes UR1RD im Testmodus)  

Abbildung  27: Gestenalphabet für die Zahlen 0 - 9. Quelle 7  

Abbildung  28: Prototyp zur PIN-Eingabe mit Blickbewegungen (in der Abbildung nach  

fehlerhafter  Eingabe einer 5-stelligen PIN)  

Abbildung  29: Prototyp zur PassShapes-Eingabe mit Blickbewegungen (in der Abbildung nach  

Eingabe  eines PassShapes bestehend aus 5 Strokes)  

Abbildung  30: 4x1 PassShape (links): Nicht zugelassen, 3x2 PassShape (rechts):  

Abbildung  31: 1-Kamera auf Augenpartie gerichtet, 2-Kamera auf Tastatur/Touchpad gerichtet,  

3-ERICA  Eye Tracker System, 4-Touchpad zur Eingabe mit elektromagnet-ischem Stift  

Abbildung  32: Demografische Zusammensetzung der Teilnehmer  

Abbildung  33: Fertigkeiten der Teilnehmer mit Eye Tracking Systemen (links) und Fertigkeiten  

der  Teilnehmer mit Touchpad Systemen (rechts)  

Abbildung  34: Systeme bewertet nach Einfachheit und Anstrengung.  

Abbildung  35: Ergebnis der gewählten Systeme in der Kategorie ’Einfachheit’  

Abbildung  36: Benötigte Eingabezeiten in Millisekunden.  

Abbildung  37: Einschätzung der Schnelligkeit der Systeme (von 0 schnell bis 4 langsam)  

Abbildung  38: Einordnung der Systeme bzgl. ihrer Schnelligkeit  

Abbildung  39: Blickwinkel der Kamera 1 (links), Blickwinkel der Kamera 2 (rechts)  

Abbildung  40: Prozentuale Verteilung der erspähten PINs / PassShapes pro System.  

Abbildung  41: Wahl des sichersten Systems durch die Teilnehmer.  

Abbildung  42: Präferenzen der Teilnehmer bei der Kartenzahlung.  

Abbildung  43: Wichtige Eigenschaften eines Authentifizierungssystems  

XV

An Evaluation of EyePassShapes

Abbildung 44: Wahl des am wenigsten fehleranfälligen System................................................ 57 Abbildung 45: Einordnung der Systeme nach Gefallen der Teilnehmer..................................... 57 Abbildung 46: Das G1 Google Handy mit Android - Software benutzt zum Einloggen

Zeichengesten, die vergleichbar mit PassShapes sind. Quelle [@9]. ......................................... 70

XVI

1 Einleitung

Mit der zunehmenden Durchdringung unseres Alltags durch Computersysteme steigt auch die Anzahl der Authentifizierungsvorgänge pro Person und Tag. Im Zuge des technischen Fortschritts, nicht selten begleitet von Personaleinsparungen, stehen uns immer häufiger Automaten anstatt Menschen gegenüber. Einkäufe, Buchungen und Transaktionen werden zunehmend im bargeldlosen Zahlungsverkehr mit vorheriger Authentifizierung getätigt. Dabei verlagern sich die Anmeldeprozesse immer mehr in den öffentlichen Raum. Mobile Geräte wie Handys, PDAs und Notebooks erlauben das Einloggen unabhängig vom Standort und eventuell auch ungeschützt vor der Beobachtung Fremder. Je nach Sensitivität der Anwendung müssen dabei unterschiedliche Sicherheitsstufen gelten. Finanzanwendungen und sensible Daten sollten immer den größtmöglichen Schutz genießen. Wohl eine der sensibelsten und gleichzeitig am häufigsten benutzten Anwendungen stellt der Bargeldbezug dar. Dennoch sind die Sicherheitsvorkehrungen bei der Authentifizierung in öffentlichen Räumen, z.B. am EC-Automaten, vergleichsweise gering. Vor unerwünschten Beobachtern relativ ungeschützt gilt es, sich mit einer vierstelligen Personal Identifikation Number (PIN) zu authentifizieren. Dabei sind die Automaten häufig so aufgebaut, dass sich viele Möglichkeiten zur Installation von Manipulationsgeräten bieten.

Abbildung 1: Nummernfeld eines EC-Automaten mit aufgesetztem Sichtschutz

Es sind nur wenige Sicherheitsmaßnahmen bekannt, die von Banken in der Praxis tatsächlich eingesetzt werden. Laut der Computerzeitschrift C`t [3] werden nur in wenigen Modellen Sensoren und Module eingebaut, die eine Manipulation am Automaten erkennen und ihn notfalls abschalten. Bekannt sind verbaute Induktionsspulen, die metallische Gegenstände in der Nähe des Eingabeschlitzes aufspüren und das Gerät blockieren. Leider reagieren diese auch auf unbedenkliche Gegenstände wie Schlüsselbunde oder Metallverzierungen an Handtaschen, was eine hohe irrtümliche Ausfallquote verursacht. Erfolgversprechender klingen eingebaute Module, die durch modulierte Wechselmagnetfelder aufgesetzte Lesegeräte stören.

1

An Evaluation of EyePassShapes

Wohlgemerkt bieten diese Methoden aber keine Lösung gegen das klassische shoulder surfing ¹ , welches laut Rogers [33] immer noch die häufigste Betrugsmethode darstellt. Deshalb sieht man an vereinzelten Automaten in jüngster Zeit auch immer wieder aufgesetzte Sichtblenden als Spionageschutz (siehe Abbildung 1). Doch auch hier dürfte klar sein, dass jede zusätzlich angebrachte Vorrichtung und Abdeckung wiederum potenziellen Platz für spionierende Geräte bietet.

Die Bandbreite an Methoden, mit denen Kriminelle an fremde PINs gelangen können, reicht vom banalen Trickbetrüger bis hin zum High-Tech Kriminellen. Eine weit verbreitete Technik und mittlerweile eine Art Oberbegriff für EC-Betrug stellt das Skimming (deutsch: das Abfischen) dar [@14]. Eine Miniaturkamera (z.B. versteckt in einer Zierleiste) zeichnet unbemerkt die PIN-Eingabe des Bankkunden auf (siehe Abbildung 2, rechts). Zuvor hat ein auf den Kartenschlitz aufgestecktes Magnetkartenlesegerät den Magnetstreifen der EC-Karte ausgelesen und abgespeichert. Später wird mit dieser Datenkombination mithilfe einer angefertigten EC-Kartenkopie (Duplette) - überwiegend im Ausland - Geld abgehoben. Alternativ zur Kamera werden auch Nachbildungen der Tastaturen verwendet (siehe Abbildung 2, links). Sie werden auf die originale Tastatur aufgesetzt und speichern jeden Tastendruck ab. Um den Schein zu wahren, drückt die falsche Tastatur auf das originale Nummernfeld durch und der Kunde kann seinen Vorgang ohne Verdacht zu schöpfen erfolgreich beenden. Häufig werden aber viel simplere und nicht minder effektive Techniken eingesetzt. Nachdem die PIN durch einen vermeintlich wartenden Bankkunden ausgespäht wurde, wird die Karte anschließend gestohlen. Verbreitete Anwendung findet auch die so genannte „Libanesische Schlinge“ [3]. Eine Vorrichtung am Kartenschlitz ähnlich einer Schlinge verhindert, dass der Automat die EC-Karte wieder freigibt. Ein hilfsbereiter Betrüger rät nun die PIN erneut einzugeben und beobachtet diesen Vorgang. Mit der Gewissheit, dass die Karte wohl eingezogen worden ist und bei der Bank zur Abholung bereit liegt, verlässt der Bankkunde den Automaten. Der Betrüger zieht daraufhin mit Hilfe seiner Schlinge die EC-Karte aus dem Geldautomaten und kann mit der erspähten PIN Geld abheben.

Abbildung 2: Nummernpad als Aufsatz auf die Originaltastatur (links), versteckte Miniaturkamera hinter durchbohrter Blendleiste eines Geldautomaten (rechts). Quelle [19].

Laut dem Magazin Stern [19] entstand deutschen Banken im Jahr 2007 durch manipulierte Geldautomaten und ausgespähte PINs ein Schaden von 21 Millionen Euro. Gleichzeitig haben sich die Angriffe auf Geldautomaten im Vergleich zum Jahr 2006 um fast 50 Prozent gesteigert.

¹ Shoulder surfing bezeichnet das Ausspähen von PINs durch einen Beobachter, der direkt über die Schulter schaut, oder Hilfsmittel wie Ferngläser oder Kameras benutzt. [28]

2

Überdies zeigt die Kriminalstatistik [5], dass organisierte kriminelle Banden aus dem Ausland das lukrative Geschäft erkannt haben und ausgespähte Daten professionell nutzen. ² Sofern der Bankkunde nicht grob fahrlässig gehandelt hat (z.B. durch Vermerk der PIN auf der EC-Karte) wird der individuell erlittene Schaden meist durch die Bank ersetzt, nicht zuletzt auch aus Schutz vor Imageschäden oder aus Mangel an sichereren Alternativen zur Bargeldausgabe. Vermutlich dürfte aber klar sein, dass diese Kosten langfristig auf alle Kunden umgewälzt werden müssen und beispielsweise zu höheren Kontoführungsgebühren führen können.

Zwar wird der Mensch oft als das unsicherste Glied in Interaktionsprozessen mit Computern gesehen [36], aber ein Vorwurf wegen angeblichen Fehlverhaltens erscheint häufig deplaziert. Schließlich ist der Mensch damit überfordert, die heutzutage erforderliche Vielzahl von PINs, Passwörtern und sonstigen Zugangscodes jederzeit aus seinem Gedächtnis fehlerfrei abzurufen. Man könnte sagen, es ist geradezu ‚menschlich’, wenn er gegen die Sicherheitsregeln im Umgang mit seinen Authentifizierungsdaten verstößt. So müsste er nach einem Standard zum Passwort Gebrauch [15] immer ein Passwort wählen, das aus Ziffern, Zeichen und Sonderzeichen besteht und eine ausreichende Länge besitzt. Er müsste die Zugangsdaten regelmäßig ändern und dürfte ein Passwort auf keinen Fall für mehrere Anwendungen benutzen. Außerdem dürfte er niemals einen vom System vergebenen Zugangscode ungeändert weiterbenutzen und schon gar nicht mit jemandem teilen. Alle Mitteilungsschreiben und E-Mails, die Zugangsdaten enthalten, müssten sofort nach Erhalt unwiderruflich gelöscht werden und die Inhalte dürften nie wieder erneut notiert werden, auch nicht zum Zwecke der Erinnerungshilfe. Bei jedem Authentifizierungsvorgang müsste zusätzlich Sorge getragen werden, dass niemand (weder eine Person noch ein technisches Gerät) die Eingaben beobachten oder kopieren könnte. Nur wenige dürften von sich behaupten können, dass sie alle genannten Sicherheitsaspekte befolgen. Wahrscheinlicher ist, dass der Nutzer in einigen Punkten Kompromisse machen muss, um sich dauerhaft an den Zugangscode erinnern und sich überhaupt einloggen zu können. In einer Studie von Adams und Sasse [1] wurden 139 Teilnehmer nach dem Umgang mit ihren Passwörtern gefragt. Fast 50 Prozent aller Teilnehmer gaben an, dass sie ihre Passwörter gelegentlich notieren, um im Notfall darauf zurückgreifen zu können. Eine im Rahmen dieser Arbeit durchgeführte Befragung von 24 Teilnehmern zeigte ein ähnliches Bild: 62,5 Prozent der Befragten notierten, dass sie Ihre PIN bereits einmal vergessen haben und immerhin 20,9 Prozent räumten ein, einfache Kombinationen wie ’0000’ oder Geburtstagsdaten zu verwenden.

Es werden also Systeme benötigt, die es nicht dem Nutzer überlassen, ob er Sicherheitsaspekte respektiert oder ignoriert, sondern welche durch Ihre Beschaffenheit bereits als weitgehend sicher einzuschätzen sind. Die öffentliche PIN-Eingabe auf einem Touchpad oder einem Nummernpad gilt als leicht beobachtbar durch Fremde [42]. Appelle von Banken und Medien, die PIN während der Eingabe möglichst gut abzuschirmen, zeugen eher von der Hilflosigkeit und der Unsicherheit des PIN-Systems. So dürfte es einer kleinen Person schwer fallen ihre Eingaben vor einem sehr großen Beobachter mit ihrem Körper abzuschirmen. Andere Methoden wie z.B. das sehr schnelle Eintippen der PIN oder absichtlich herbeigeführte Korrekturversuche, um Beobachter zu verwirren, erhöhen nur vermeintlich die Sicherheit. Tan et al. [42] beobachteten eine erhöhte Rate an falsch eingegebenen Passwörtern bei Nutzern, die versuchten ihre Eingaben auf diese Art und Weise sicherer zu machen. Zudem drücken derartige Anstrengungen auch ein generelles Misstrauen gegenüber jedem potenziellen Beobachter aus.

² Das Delikt „Fälschung von Zahlungskarten“ besitzt laut polizeilicher Kriminalstatistik einen hohen Anteil an Tatverdächtigen ausländischer Herkunft (65,3 %) und wurde als Straftat mit hohem Organisationsgrad eingestuft. [5]

3

An Evaluation of EyePassShapes

Ein System, dessen Sicherheit nur von der Art und Weise der Nutzereingaben abhängt, ist fragwürdig und verunsichert seine Benutzer. Außerdem ist die schnelle, einfache und intuitive Bedienung der PIN-Eingabe genau der Grund, warum sich eben dieses System über die vergangenen Jahrzehnte derart verbreiten und durchsetzen konnte. Große Hoffnungen seitens der Politik werden daher immer wieder in biometrische Authentifizierungssysteme gesetzt. Der große Vorteil liegt hierbei darin, dass der Nutzer sich nicht mit einer geheimen PIN authentifizieren muss, sondern mit einem Teil von sich selbst. Der Nutzer muss sich somit keine Zugangsdaten merken und ist dadurch auch nicht genötigt, etwaige Sicherheitsanforderungen zugunsten einer höheren Erinnerbarkeit zu umgehen. Anhand der unverwechselbaren Muster des Fingerabdruckes oder der Iris kann ein Mensch eindeutig identifiziert werden und Zugang zum gewünschten Dienst erlangen. Auf den ersten Blick erscheint diese Methode ideal für die Authentifikation in öffentlichen Räumen. Seit im Jahr 2004 der Chaos Computer Club eine 10-Minuten-Anleitung zum Diebstahl von Fingerabdrücken [@17] veröffentlichte, scheint jedoch auch dieser Ansatz zumindest überarbeitungswürdig. Tatsächlich ergeben sich bereits aus der endlichen Anzahl von biometrischen Merkmalen gewisse Probleme. Sollte ein Fingerabdruck oder ein Irisabbild beispielsweise gestohlen werden, könnte der betreffende Finger oder das Auge wohl nicht mehr zur Authentifizierung benutzt werden.

Unter Berücksichtigung der Erkenntnis, dass Menschen Probleme haben ihre PINs aus dem Gedächtnis abzurufen und der Erkenntnis, dass die PIN-Eingabe auf einem Touchpad oder einer Tastatur eine leicht beobachtbare Eingabemethode darstellt, wurde ein neuartiges Authentifizierungssystem entwickelt, das im Rahmen dieser Arbeit vorgestellt wird. Der Name des Systems lautet EyePassShapes und setzt sich zusammen aus der verwendeten Eingabetechnologie, nämlich des Eye Trackings (Blickverfolgung, Blickbewegungsregistrierung), und der verwendeten Eingabemittel, nämlich der PassShapes. In einer vorangegangenen Arbeit [7] wurde herausgefunden, dass Nutzer dazu neigen, sich nicht die PIN selbst, sondern das Muster und die Bewegung, die bei der Eingabe auf dem Nummernfeld entsteht, zu merken. So entstand der Gedanke, direkt diese geometrischen Formen anstelle von PINs zur Authentifizierung zu verwenden. Sie ähneln einfachen Strichzeichnungen und bekamen den Namen „PassShapes“ (siehe Kapitel 3.1). In einer damals durchgeführten Studie [8] wurde erkannt, dass PassShapes insbesondere bei mehrmaliger Anwendung besser im Gedächtnis bleiben als herkömmliche PINs. EyePassShapes versucht also durch die einprägsameren PassShapes zu verhindern, dass seine Nutzer einfache und damit unsichere Passwörter verwenden oder sich diese als Erinnerungshilfe notieren. Zusätzlich soll EyePassShapes die positiven Eigenschaften der Technologie Eye Tracking bzgl. der Beobachtbarkeit von Nutzereingaben ausnutzen. Kumar et al. [28] attestieren der Eingabemethode mittels Augen einen erhöhten Schutz gegen shoulder surfing bei gleichzeitig akzeptablem Schwierigkeitsgrad für deren Nutzer. Ziel dieser Arbeit ist es zu überprüfen, wie gut EyePassShapes von Nutzern bedient werden kann, und ob es tatsächlich die erwünschte Sicherheit bietet. Dazu wird es im Rahmen einer Nutzerstudie einem Vergleich mit anderen Authentifizierungssystemen unterzogen und auf Schnelligkeit, Einfachheit und Korrektheit der Nutzereingaben überprüft. Der Aspekt der Beobachtbarkeit der Eingaben wird mithilfe zweier Kameras, die jede Nutzereingabe aufzeichnen, analysiert. Außerdem soll die Erkenntnis der erhöhten Merkfähigkeit daraufhin überprüft werden, ob diese nur für von Hand gezeichneten PassShapes gilt oder auch für solche, die mit den Augen eingegeben werden. Dafür wurden in einer weiteren Nutzerstudie Probanden gebeten, sich in gewissen Abständen anhand eines gemerkten PassShapes mit EyePassShapes zu authentifizieren.

Um den Aufbau von EyePassShapes besser zu verstehen, wird im Folgenden zunächst auf die verwendete Technologie des Eye Trackings und der Eye Gaze Interaction (Blickbewegungsinteraktion) näher eingegangen. Es wird erörtert, welche Gründe für oder gegen den Einsatz von

4