Emoji-Folgen sollen PIN-Eingabe beim Online-Banking ersetzen

In der letzten Zeit gab es verschiedene Überlegungen, die klassischen Passwort-Authentifizierungen durch andere Methoden zu ersetzen. Das britische Unternehmen Intelligent Environments setzt hier nun auf Emojis und hält sein Verfahren für so sicher, ... mehr... passwort, Emoji, Pin Bildquelle: Intelligent Environments passwort, Emoji, Pin passwort, Emoji, Pin Intelligent Environments

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
wenn meine bank das einführt, sind sie ein kunden los.
 
@hellboy666: Dem kann ich nur zustimmen.
 
@hellboy666: Ich wär auch eher für Tierkreiszeichen, auch gerne am Geldautomat! Das hätte irgendwie mehr Flair. :)
 
@mh0001: aber nur wenn ich zur identifikation mein namen u adresse dazu tanzen darf, is bestimmt sicherer als jede unterschrift :D
 
@hellboy666: stimme dem Zu. Ob ich nun eine Zahl schreibe, oder ein Emoji, spielt wohl kaum eine Rolle...
 
Btw. wann werden emojis bei winfuture in den Kommentaren angezeigt?

Zur news: Naja nicht nur der Besitzer kann sich das leicht einprägen sondern auch ein dritter. Ich bin ja dafür das erstmal mehr Zeichen im kennwort zugelassen werden (bei Sparkasse leipzig sind es 5 zeichen
 
@MarcelP: Du willst die Dinger nicht wirklich hier in den Kommentaren sehen, oder? Ich zumindest finde es sehr angenehm, dass alles rein textbasiert ist, das fördert die Lesbarkeit ungemein. Mit Smilies & Co. (allerdings keine Emojis) kannst du dich im Forum austoben.
 
@DON666: Ich finde das eine Grafik mehr als ein Wort mitteilen kann.
 
@knirps: Dagegen will ich ja gar nichts sagen, aber stell dir mal hier die Kommentarecke vor, wenn jeder zweite seinen Senf noch mit bunten Bildchen "verzieren" würde... Immerhin sind wir hier sehr aktiv, und es gibt öfter mal Artikel mit weit über 100 Kommentaren.

Das Elend möchte ich jedenfalls nicht sehen müssen.
 
@knirps: Eine Grafik ist da das absolut treffende Wort. Was denkst du denn, was so ein wütender / aufgeregter / tieftrauriger Emoji-Gernnutzer an purer Menge raushauen wird ? Meint, gefälligst (am Stück; direkt hintereinander weg) raushauen dürfen zu müssen ? Oder meint, sich mit nem Admin anlegen zu dürfen, weil der / das System hier seiner / ihrer Meinung nach, viiieeell zu wenig (davon) erlaubt ?
 
@DON666: na ich drücke es mal anderst aus. es sollten keine bunten dinger sein sondern die normalen zeichen reichen aus. Vielleicht kann man die Anzahl auch auf ein normales maß begrenzen oder so. Ich denke aber mal das 50 % der Leute die etwas sarkastisch meinen das dann über den weg einfach mit zeigen können. Der Ironiescanner ist ja doch ab und an mal kaputt ;)
 
@DON666: Emojis sind textbasiert. Emojis sind im Unicode-Standard.
 
@Matti-Koopa: Das weiß ich. Aber dargestellt werden sie halt i. d. R. trotzdem als bunte Bildchen. Ich denke, die meisten werden schon verstanden haben, wie ich das da oben meinte.
 
@MarcelP: Besonders lustig wird es wenn man die Person und dessen Präferenzen kennt. Da kann man dann bei vielen Leuten schon von Anfang an davon ausgehen daß eines der Emoji beispielsweise ein Fußball sein wird, nur die Position ist noch nicht klar.
 
Wenn ich mal einen ganz heißen Tipp geben darf: Bei ganz gewöhnlichen Passwörter, die nehmen den Ziffern einer numerischen PIN auch Buchstaben in Groß- und Kleinschreibung sowie Sonderzeichen enthalten können, ist die Zahl der möglichen Kombinationen sogar NOCH viel höher als bei Smileys! Überraschung!
Und was wird wohl im Hintergrund passieren bei einem solchen Smiley-Passwort? Das Bildchen wird wohl kaum gehasht und übertragen. Ich schätze mal jeder Smiley hat einen ihm zugeordneten Buchstaben/Zeichen-Code, und letztendlich klickt man sich auf diese Weise ein ganz gewöhnliches Passwort zusammen.

Das ist die gleiche Augenwischerei wie mit den derzeit in Mode gekommenen photoTANs, bei der man diese hübsch kryptographisch aussehenden Muster vom Bildschirm mit dem Handy abfotografiert. Letztendlich ist das Bildchen nichts weiter als eine Visualisierung eines schnöden Nummern/Zeichencodes, wie man es auch von normalen QR-Codes kennt.
Aber man kann sowas den Nutzern natürlich als tolle neuartige Authentifizierungs-Methode verkaufen, letztendlich steckt hinter allem nichts als konventionelle Technik.
 
@mh0001: Naja, ein photoTAN halte ich für keine Augenwischerei. Natürlich ist es am Ende wie ein (temporär gültiges) Passwort, aber es einfach wie ein sehr langes. Gibt viel mehr Kombinationen als bei einem sagen wir sechstelligen Zahlencode. Und dafür dass es so sicher ist, ist es doch noch einigermassen komfortabel.
 
@mh0001: Auch hinter Zeichen-Passwörtern steht eine "konventionelle" Technik, nämlich Nullen und Einsen. Jedes Zeichen steht für eine klar definierte Abfolge von 0 und 1.

Ist es deshalb jetzt unsicher Zeichen als Passwörter zu verwenden?
Nein eben nicht, es geht nur darum eine Sache zu verwenden, die sich ein Benutzer gut merken kann (und eine 80 Stellige Folge von 0en und 1en kann sich niemand gut merken) und dabei möglichst viele 0en und 1en am Ende rausfallen.

Die Anzahl der Bytes in einem QR-Code haben Grenzen, vor allem weil die QR-Codes sehr viel redundante Information enthalten um besser lesbar zu sein. Wenn man nun mit einem Photo mehr Kombinationen hinbekommt, die das Smartphone noch lesen kann, wieso nicht.
Nochmal, das Ziel ist es, soviele 0en und 1en zu erzeugen um ein möglichst starkes Passwort zu generieren ohne dabei den Komfort des Nutzers einzuschrenken. Oder wärst du lieber dafür ein 120 stelliges Zeichenpasswort mit Buchstaben, Zahlen und Sonderzeichen vom Bildschirm abtippen zu müssen?
 
Es stimmt schon, dass Vernünftige Passwörter mit Buchstaben etc. wie @mh001 sie Vorschlägt schon erhablich sinnvoller als eine 4stellige PIN sind. Bei meiner Bank sind es immerhin 6 Ziffern, aber das ist auch nicht wirklich sicherer. Und die meisten Leute die ich kenne benutzen tatsächlich Passwörter, die sich in jedem Wörterbuch finden lassen, oder Geburtsdaten. Alles leicht zu hacken.
Die Smileys haben da einen entscheidenden Vorteil: Der User merkt sich vier Bildchen statt vier Ziffern. Das übermittelte Passwort sieht dann aber zum Beispiel so aus (Unicode):
261d1f4b61f64c2708
Ich bilde mir ein, sichere Passwörter zu verwenden, aber so eine Kobination merke selbst ich mir nicht. Wenn jetzt das Unternehmen noch einen eigenen Code nimmt, der zB auch Sonderzeichen enthält, ist es noch sicherer.
 
@gutzi4u: Das sind aber dann immer noch nur 4 Zeichen, egal ob Zahlen oder Emojis. Nur der Gesamtwertebereich ist halt größer.
 
@dodnet: Stimmt. Aber bei einem vierstelligen Zahlencode gibts halt nur 10^4 Möglichkeiten, beim Alphabet sinds bereits mindestens 52^4. Emojis gibts über 1000. So gesehen ist bereits ein zweistelliges Emoji-Passwort (>1000^2= >1'000'000 Möglichkeiten) über hundert Mal sicherer als ein vierstelliger Zahlencode.
 
@Big_Berny: Soviel zur Theorie.

Aber in der Praxis wird sich das mit dem "123456-ist-das-meistverwendete-Paßwort" durchsetzen, nur halt auf Emoji-Ebene.

Immerhin merkt sich das doch keiner. Mit dem Ergebnis, daß Paßwörter dann x-mal das erste angezeigte Emoji sind. Oder die ersten X angezeigten. Du glaubst doch nicht im Ernst, daß Otto Normaluser(tm) sich mehr Gedanken macht, wenn es ein "Emoji-Paßwort" war?
 
@gutzi4u: du übersiehst eine Sache....

Bei einer Bank PIN ist üblicherweise nach 3 Fehlversuchen komplett Schluss und dee Kontoinhaber muss erst bei der Bank anrufen. Deshalb reichen da 4 Stellen völlig aus. Brute Force ist bei der Methode nutzlos, die Chance auf einen Treffer liegt bei 3/10^4.

6 Stellen gehen grade so noch, aber auch da ist die Chance deutlich höher, dass der ehrliche Kunde die PIN einfach vergisst.
 
@Draco2007: Stimmt den Aspekt mit den max. vier Versuchen bei Banken hatte ich nicht bedacht. Danke für den Hinnweis.
Ich rede mich mal raus, in dem ich auf den Artikel verweise, wo es heißt, dass sie das Verfahren "zuerst bei Banken unterbringen" wollen.
Andere Systeme lassen ja durchaus mehr Versuche zu.
 
Super Idee... und wenn man dann mal ein Entwickler der Meinung ist, die Bildchen durch eigene Variationen zu ersetzen (Android, iOS nur mal als Beispiel), kann man sich nicht mehr anmelden, weil man das Passwort selbst nicht erkennt... ;D
 
@dodnet: Genau darum geht es der Firma ja, nehme ich jedenfalls an. Der User muss sich nicht mehr merken als vorher - eben 4 Zeichen statt 4 Ziffern. Wobei sich das menschliche Gehirn Bilder besser merken kann, als Zahlen/Buchstaben. Das Passwort wird aber vielstelliger.
Der Unicode war nur ein Beispiel, und ist tatsächlich schlecht, da die Smileys in jedem System anders aussehen. Ich gehe aber davon aus, dass die Entwickler auf einheitliche Symbole auf allen Systemen setzen. Mit einem eigenen, nicht öffentlichen Code.
Natürlich sind es ab irgend einem Punkt auch nur Zeichenkombinationen. Letztenendes sind alle digitalen Sicherheitssysteme nur Kombinationen aus Null und Eins.
Ich finde hier die Kombination aus leicht zu merkender "PIN" und möglichst kompliziertem Passwort nicht schlecht. Solange die Codes zu den Bildchen nicht bekannt sind, muss ein Hacker ja die Zeichenkombination erraten, und kann nicht mit fertigen Blöcken arbeiten. Im obigen Beispiel sind das immerhin 18 Stellen - statt 4.
Lustigerweise kennt nicht mal der Anwender sein eigenes Passwort - nur die bildliche Übersetzung. :-)
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.