Hardware Passwortmanager (Master Thesis, 2015)

µPass: Planung, Implementierung und Evaluation eines physischen Passwortspeichers.

Master Thesis im Studiengang Human-Computer Interaction, 2015, Universität Würzburg

Foto des Geräts

µPass

µPass erlaubt dem Nutzer Passwörter beliebiger Länge und Komplexität, an jedem Computer mit einer USB Schnittstelle zu verwenden. Anders als viele Software-Lösungen ist µPass komplett unabhängig vom Betriebssystem, da der Computer ihn als Tastatur erkennt. Entsprechend sind keine zusätzlichen Treiber nötig und er kann sogar zur Anmeldung am Betriebssystem verwendet werden.

Ein besonderes Augenmerk liegt auf einer intuitiven und auf die Bedürfnisse der Nutzer abgestimmte Interaktion. Darüber hinaus soll µPass kostengünstig und als Freie-Software Projekt leicht nachzubauen sein. Um Designideen zu generieren wurde eine Fokusgruppe durchgeführt. Das so entstandene Konzept holt das Beste aus Knöpfen und LEDs heraus. Für die Entwicklung des Gerätes wurde ausschließlich freie Software eingesetzt: Fritzing für das Platinendesign und OpenSCAD für das Gehäuse. Um Gehäuse basierend auf Platinen zu erstellen wurden die Tools fzz2scad und scadlib entwickelt.

3D-Modell des Gehäuses

Rendering des mit den oben genannten Tools erstellen Gehäuses.

Nach zwei Design-Iterationen (User-Tests mit anschließender Verbesserung des Gerätes) wurde µPass zur Evaluation mit zwei anderen Lösungen verglichen, die ebenfalls den Tastaturansatz nutzen: Mooltipass ist ein Gerät, das die Passwort-Datenbank mit einer Smartcard verschlüsselt. Die Nutzer interagieren mittels Touch-Buttons und einem Display mit dem Gerät. Nur zusammen mit einem Chrome Browser-Plugin kann es sein Potential voll ausschöpfen. Die andere Lösung ist die Passwortmanager App KeePass2Android. Passwörter werden via Bluetooth an einen InputStick gesendet, der diese in Tastatureingaben am Computer umwandelt.

Um diese Lösungen objektiv miteinander vergleichen zu können, wurde das auf Web-Passwörter ausgelegte Evaluations-Framework von Bonneau u.A. (20121) erweitert, um auch Lösungen für z.B. die Anmeldung am Betriebssystem abzudecken. Es zeigte sich, dass die Geräte klassischen Passwörtern oftmals überlegen sind, jedoch den Nachteil haben, dass sie immer mitgeführt werden müssen.

Die Aufgaben in der Usability-Studie mit 16 Probanden umfassten das Freischalten der Geräte, sowie einen Login am Computer und auf Websites. Mit Interviews, Beobachtungen und einer Videoanalyse wurden qualitative Daten erhoben. Dabei wurde bewusst auf die beliebte Think-Aloud-Methode2 verzichtet um eine Analyse der Bearbeitungszeiten anhand des Videomaterials zu ermöglichen. Für die weitere Analyse wurden qualitative Daten quantifiziert. Quantitative Daten wurden mittels der NASA-TLX und QUESI Fragebögen erhoben. Die Studie zeigte, dass InputStick+KeePass2Android die beste Portabilität hat, am leichtesten zu lernen ist und von den Nutzern am besten angenommen wird. Mooltipass ist die sicherste Lösung, ist jedoch nicht portabel. Die Nutzerschnittstelle muss verbessert evtl. sogar komplett überdacht werden. Neun der sechzehn Probanden konnten sich vorstellen µPass jederzeit mit sich zu führen. µPass hat das Potential, die effizienteste Lösung zu sein.

  1. Bonneau, J., Herley, C., Oorschot, P. C. v., & Stajano, F. (2012, March). The quest to replace passwords: a framework for comparative evaluation of Web authentication schemes (tech. rep. No. UCAM-CL-TR-817). University of Cambridge, Computer Laboratory. Retrieved from http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-817.pdf

  2. Lautes Denken ist eine beliebte Methode um das Vorgehen der Nutzer in einer Usability-Studie besser zu verstehen. Dabei Interaktion laut auszusprechen. Der tatsächliche Nutzen der Methode ist umstritten. Die Validität der Daten ist fragwürdig, da die Probanden ihre Handlungen besser reflektieren als in der Realität.