Dazu unterscheidet man drei große Gruppen:
Die einfachste kennen Sie alle und wenden sie wohl auch häufig an. Mit Hilfe von Paßworten identifiziert man sich in der Regel gegenüber automatisierten Dienstleistungen wie Geldautomaten, Mobiltelefonkarten, Kreditkarten oder Computerterminals.
Aber schon hier werden die Schwächen von Paßworten offensichtlich: Ist das Paßwort gut im Gedächtnis zu behalten, so ist es leicht kompromitierbar. Wird es an offensichtlicher Stelle ungesichert notiert, so ist es ebenfalls angreifbar. Ein sicheres Paßwort ist kompliziert und nicht leicht auswendig zu lernen.
Vor allem im Computerbereich wird immer noch allzu oft der Fehler gemacht kurze, gut zu behaltende Worte zu benutzen. So zum Beispiel der eigene Vor- oder Nachnahme, Namen von Freund, Freundin, Geliebter, Hund, Papagei, etc. Oder von Lieblingshelden, Dichtern oder Komponisten. Auch derbe Bezeichnungen aus dem erotischen Bereich werden gerne genutzt, weil "sich sonst keiner traut". Hacker prüfen das als erstes nach. Und wie oft hat man Erfolg damit! Gute Paßworte bestehen aus zufälligen Zeichenfolgen, die auch Ziffern oder Sonderzeichen enthalten.
Ein Paßwort kann beim Eintippen oder Sprechen leicht ausgespäht
werden.
Gerade bei Kredit- oder Scheckkarten passiert das recht häufig.
Beliebter Tummelplatz zum Ausspähen sind Tankstellen am Samstagmittag.
Wenn die Tankstelle voll ist und an der Kasse viele Leute stehen, läßt
sich gar nicht vermeiden, daß einem beim Eintippen über die
Schulter geschaut wird. Und schon ist die Geheimnummer (das Paßwort)
nicht mehr geheim. Gleiches gilt für Büros, in denen einige Computer
stehen. Tippt ein Angestellter sein Paßwort ein, kann es von in der
Nähe sitzenden Kollegen oder Besuchern gesehen werden. Bei der Übertragung
des Paßwortes vom Terminal zum Rechner kann die Leitung angezapft
sein. Das Paßwort kann dann mitprotokolliert werden. Bei heute üblichen
LANs gibt es genügend Möglichkeiten, die Paßwörter,
die über die Leitungen laufen, mitzuprotokollieren. Es gibt eine große
Auswahl von Software für diesen Zweck. Deswegen werden in modernen
Systemen Paßworte vor der Übermittlung verschlüsselt.
Um das Paßwort zu prüfen, muß es irgendwo abgespeichert
sein. Solche Paßwortdateien sind extrem angreifbar.
Auch hier werden in modernen Systemen Paßworte verschlüsselt
und für die Allgemeinheit unzugänglich aufbewahrt. Das Paßwort
wird dabei in keinem Fall im Klartext abgespeichert, sondern nur in seiner
verschlüsselten Form. Wird ein Paßwort eingetippt, so wird es
zunächst verschlüsselt und das Resultat dann mit dem gespeicherten
Muster verglichen. Trotzdem gibt es auch hier Programme, die unter bestimmten
Voraussetzungen zumindest schlechte Paßworte sehr schnell finden.
1.2 Identifikationskarten (Besitz)
Die nächste Stufe sind Identifikationskarten. Hierbei wird damit gerechnet, daß die Kopie der Karte äußerst schwierig herzustellen ist. Man kennt zur Zeit vor allem Magnetstreifen- und verschiedenartige Chipkarten. Möchte man sich gegenüber einer anderen Instanz ausweisen, so benutzt man die Karte entsprechend. Man läßt den Magnetstreifen auslesen oder den Chipinhalt. An dieser Stelle wäre das System noch sehr angreifbar, denn Karten können verloren gehen oder werden gestohlen. Als letzte Sicherheit verlangt dann die Karte, daß sich die Person ihr gegenüber ausweist. Das geschieht üblicherweise mit einer PIN (persönliche Identifikationsnummer, meist vierstellig), also einem kurzen Paßwort. Und an dieser Stelle greifen wieder die Schwächen von Paßworten, das Problem wurde nur eine Ebene weiter angesiedelt. Daß dieses Problem tatsächlich existiert, kann man an den Schlagzeilen ablesen, die solche gestohlene Karten mitunter verursachen.
Aus diesem Grunde werden Systeme gesucht, die wirklich die Person identifizieren
können, nicht ihr Wissen (Paßworte prüfen Wissen, nicht
persönliche Eigenschaften). Als Absicherung sind deswegen schließlich
nur biologische oder physiologische Eigenschaften des Eigentümers
eines Schlüssels geeignet (Biometrik).
1.3 Fingerabdrucksysteme, Netzhautabtastung (biometrische Merkmale)
So werden in der Computertechnik zum Beispiel Fingerabdrucksysteme eingesetzt. Diese fertigen Fingerabdruckanalysen sehen sich nicht nur die Linienmuster der Fingerkuppe an, sondern suchen zusätzlich nach dem Hämoglobingehalt. Denn man könnte sonst einen Wachsabdruck oder den toten Finger des Besitzers benutzen. Solche Systeme werden dort eingesetzt, wo eine wirklich persönliche Identifikation gebraucht wird. Fingerabdrucksysteme gibt es aber schon länger ebenfalls für den PC-Bereich.
Auch wenn es ziemlich utopisch und nach James Bond klingt, auch das
Muster der Netzhaut oder der Iris im Auge kann eine persönliche Identifikation
ermöglichen. Im Auge kann man noch weniger manipulieren, und Fälschungen
werden deswegen noch unwahrscheinlicher.
1.4 Stimmanalyse (biometrisches Merkmal)
Ein weiteres Element der menschlichen Persönlichkeit ist die Stimme. Deswegen können Identifikationssysteme auch nach charakteristischen Mustern in der Stimme suchen. Angriffspunkte sind natürlich Tonbandaufnahmen. Deswegen wird auch mit der Kombination von Stimmenanalyse und optische Analyse der Mundbewegungen experimentiert. Die Erfolge der ersten Versuche geben dieser Methode bisher recht. Es ist zuverlässiger als die Stimmanalyse allein.
Bei all dem kann man eine Erkenntnis gewinnen: Wie sicher auch die Mechanismen oder Verfahren sein mögen, der menschliche Faktor ist das Problem: Wenn ich mit meinem Paßwort nicht richtig umgehen kann, wenn mir meine Identifikation gestohlen wird oder wenn ich meine Identifikationen zu unsicher verwahre, dann mache ich jedes Sicherheitssystem zunichte.
Ein Beispiel für einen solchen Unterschriftenprüfer ist HESY
(Baltus, Bonn). Es ist zuverlässig, preisgünstig und kann mit
anderen, bewährten Verfahren beliebig kombiniert werden. Die Diagramme
in Abbildung 2 zeigen die unterschiedlichen Verläufe der Schreiblinien
in einem 3-dimensionalen Vektorraum. Selbst eine graphisch perfekt gefälschte
Unterschrift kann damit erkannt werden.