© BioTrust ID B.V. Pilotprojekt erfolgreich gestartet
Das eigene Gesicht als Zugangscode nutzen? Was wie Science-Fiction klingt, ist Realität und wird derzeit erprobt. Ein global agierender IT-Service-Dienstleister pilotiert zur Zeit erfolgreich BioTrusts neue Face Login Lösung für das Service Webportal. Auf das Portal greifen seine Outsourcing Firmenkunden zu, die so firmenintern zusammenarbeiten und mit dem Dienstleister kommunizieren.
Benutzer müssen sich durch die neue Lösung kein weiteres Passwort merken, um über das Portal mit Kollegen und Partnern vertrauliche Inhalte austauschen zu können, sondern benötigen nur die Face Login App auf ihrem Smartphone. Zum Einloggen öffnen sie diese, schauen in die Kamera und scannen im Nachhinein mit dem Smartphone einen QR-Code auf der Webseite.
Sicher und einfach zu bedienen – die Face Login App
Die Face Login App verbindet höchste Sicherheitsansprüche mit Einfachheit und Attraktivität. Die Nutzung für firmeninterne Zwecke stellt den Anfang dar und dient zunächst der Erfahrungssammlung, bevor die App im Bereich des Business Process Outsourcings auch für Endkunden eingesetzt wird.
Der Nutzer authentifiziert sich mittels seiner Gesichtsmerkmale, insbesondere im Bereich der Augenpartie. Dazu sendet die hochauflösende Smartphone-Kamera die aufgenommenen Bilder an einen Server, auf dem sie mit dem registrierten Gesichtsprofil des Benutzers verglichen werden.
Schnelle Registrierung
Zur Registrierung lädt der Benutzer über das firmeneigene Mobile Device Management System MobileIron zunächst die neue Face Login App herunter. Im Anschluss wird er durch die App aufgefordert, seine Gesichtsmerkmale zu registrieren. Hierzu lässt er sich von der App in verschiedenen Kopfstellungen – geradeaus, nach links, rechts, oben und unten blickend – in vier orthogonalen Himmelsrichtungen fotografieren.
Die Registrierung dieser unterschiedlichen Kopfstellungen ermöglicht für die späteren Einwahlen einen Lebendtest, der Fälschungs- und Betrugsversuche aufdeckt. Dass sich der Benutzer bei der Registrierung zudem dreimal um 90 Grad drehen muss, dient dazu, das Gesicht aus verschiedenen Lichteinfallswinkeln abbilden zu können.
Identifizierung durch biometrisches Profil
© BioTrust ID B.V. In der Datenbank des IT-Service-Dienstleisters werden keine Fotos, sondern nur das komprimierte, verschlüsselte biometrische Profil des Nutzers gespeichert. Dabei ist jedes Profil einem Pseudonym zugeordnet, das erst beim Firmenkunden zu einer Person aufgelöst werden kann. So werden die Persönlichkeitsrechte des Users geschützt.
Zur Identifizierung fordert die App den Benutzer auf, seinen Kopf abwechselnd in zwei bestimmte Richtungen zu drehen. Sobald die Authentifizierung über die Smartphone-Kamera abgeschlossen ist, schaltet diese in den QR-Code Scan-Modus, um den auf dem Webportal eingeblendeten QR-Pixelcode fotografieren zu können. Datentechnisch ist der QR-Code ein digital signierter Session-Code der Einwahlwebseite. Mittels des automatisch erfassten Codes kann das BioTrust System die geprüfte, hinter einem Pseudonym versteckte Identität an die Einwahlwebseite weitergeben. Der Benutzer braucht also zur sicheren Einwahl weder User ID noch PIN oder Passwort einzugeben.
Schutz vor Pishing und Fälschungsversuchen
Die Verwendung eines digital signierten QR-Codes schützt den Benutzer zudem vor Phishing-Angriffen. Eine optisch täuschend echt nachgeahmte Webseite kann den Benutzer nicht mehr dazu verführen, Kennung und Passwort einzugeben, sondern müsste im neuen System schon den private Key der echten Webseite kennen.
Die Gesichtserkennung ist gegen zwei Fälschungsversuche geschützt,
- gegen das Vorhalten eines Fotos des echten Benutzers dadurch, dass mehrere Aufnahmen unmittelbar nacheinander gemacht werden und dabei eine natürliche Bewegung erkannt wird, und
- gegen das Vorhalten eines Videos des echten Benutzers dadurch, dass dem Benutzer eine Kopfdrehung in eine bestimmte Richtung vorgegeben wird.
BioTrust bietet eine multimodale biometrische Authentifizierungstechnologie an. Diese verwendet eine Kombination von persönlichen Informationen und physischen Eigenschaften zum Authentifizieren des Nutzers. Dazu gehören zum Beispiel Stimmmuster oder Besonderheiten im Gesicht.
