Password-basierte Authentifizierung ist die am weitesten verbreitete Authentifizierungsmethode im Internet. Beim Anmelden an einem Account stehen jedoch neben dem Passwort noch zahlreiche weitere Daten zur Verfügung, beispielsweise die Uhrzeit, die Ursprungs-IP, ungefähre Geo-Lokalisation, Softwareausstattung, und mehr.In diesem Projekt untersuchen wir, inwieweit diese Informationen genutzt werde können, um die Benutzerauthentifizierung sicherer und benutzbarer zu machen. Ein wichtiger Vorteil eines solchen Ansatzes ist die vergleichsweise einfache Skalierbarkeit, da sich aus Benutzersicht keine Änderungen ergeben, und die gesamte Implementierung auf Serverseite erfolgt.Die zugrunde liegende Idee ist es, mittels maschinellem Lernen diese Daten als "plausibel" und "nicht plausibel" zu klassifizieren. Daraus ergeben sich interessante Fragestellungen, beispielsweise welche Daten überhaupt verfügbar sind, welche davon üblicherweise charakteristisch für einen Benutzer sind, sowie welche Algorithmen hier am genauesten klassifizieren. Manche Webseiten verwenden bekanntermaßen einfache Daten wie Geo-Lokalisation auf Länderebene, aber weitere Details werden als Geschäftsgeheimnisse geschützt und sind nicht bekannt; die Effektivität dieser Methoden wurde kaum wissenschaftlich untersucht.Das Verwenden von maschinellem Lernen führt auch zu einer neuen Form von Angriffen gegen diese Systeme, bei denen der Angreifer den Klassifikationsalgorithmus manipuliert, mit dem Ziel diesen zu umgehen oder seine Entscheidungen in seinem Sinne zu beeinflussen. Dies ist unter dem Begriff "adversarial machine learning" (manipulations-resistentes Maschinelles Lernen) bekannt, welches aber bislang überwiegend Probleme der Spam-Erkennung untersucht; das Szenario Benutzerauthentifizierung wurde in diesem Zusammenhang noch nicht betrachtet. Wir werden solche Angriffe gegen verschiedene Klassifikationsalgorithmus untersuchen, Gegenmaßnahmen entwickeln, und allgemeiner versuchen, die bestehenden Arbeiten auf dieses neue Gebiet zu übertragen und zu erweitern. Wir glauben dass die neuen Anforderungen Grundlage bilden können für weiterreichende unabhängige Forschung auf dem Gebiet.

DFG-Verfahren Sachbeihilfen