An Evaluation of EyePassShapes

Inhaltsverzeichnis

Kurzfassung

Aufgabenstellung

Erklärung

Tabellenverzeichnis

Abbildungsverzeichnis.

1 Einleitung

2 Eye Tracking –ein Überblick
2.1. Blickbewegungen des Auges
2.2. Videobasiertes Eye Tracking.
2.3. Blickbewegungen als Eingabemethode
2.3.1 Problemstellungen blickbasierter Eingabe
2.3.2 Auswahlmethoden bei der Eingabe
2.3.3 Chancen und Stärken von Eye Gaze Interaction.
2.4. Anwendung von Eye Tracking in der Praxis
2.5. Schlussfolgerungen für EyePassShapes

3 Authentifizierungssystem EyePassShapes
3.1. Das PassShape –Konzept
3.2. Interaktion mittels Blickgesten
3.3. EyePassShapes.
3.3.1 Systemaufbau
3.3.2 Funktionsweise von EyePassShapes

4 Authentifizierungssysteme im Überblick
4.1 Undercover – der taktile Ansatz
4.2 Die konvexe Hülle – der geometrische Ansatz
4.3 Pass-Thoughts - der mentale Ansatz
4.4 SecurID – der gerätebasierte Ansatz
4.5 Zusammenfassung

5 Nutzerstudie Memorability
5.1 Versuchsaufbau
5.2 Durchführung der Nutzerstudie
5.3 Ergebnisse
5.3.1 Hypothesen
5.3.2 Prüfung der Gruppen auf homogene Zusammensetzung
5.3.3 Untersuchung der Erinnerungsleistung
5.3.4 Untersuchung der restlichen erhobenen Daten
5.4 Diskussion der Ergebnisse

6 Nutzerstudie Usability
6.1 Authentifizierungssysteme
6.1.1 PIN-Eingabe auf dem Touchpad
6.1.2 PassShape -Eingabe auf dem Touchpad
6.1.3 PIN-Eingabe mit den Augen (EyePIN)
6.1.4 PassShape -Eingabe mit den Augen (EyePassShapes)
6.2 Durchführung der Nutzerstudie
6.3 Ergebnisse
6.3.1 Hypothesen
6.3.2 Einfachheit
6.3.3 Schnelligkeit
6.3.4 Sicherheit
6.3.5 Untersuchung der restlichen erhobenen Daten
6 .3.6 Zusammenfassung der Ergebnisse

7 Evaluierung von EyePassShapes im Vergleich mit anderen Authentifizierungssystemen
7.1. Das ideale Authentifizierungssystem
7.2. Untersuchung der Systeme bzgl. Sicherheit
7.3. Untersuchung der Systeme bzgl. Nutzerfreundlichkeit
7.4. Untersuchung der Systeme bzgl. Machbarkeit in der Praxis
7.5. Abschließende Beurteilung von EyePassShapes

8 Zusammenfassung und Ausblick

Literaturverzeichnis

Internet Quellenangaben

Anhang

Kurzfassung

Authentifizierungsvorgänge verlagern sich durch die gestiegene Mobilität der Geräte und einer zunehmenden Automatisierung immer mehr in die Öffentlichkeit. Je öffentlicher sensible Daten eingegeben werden, umso größer ist allerdings die Gefahr der Spionage. Das Ausspähen von sensiblen Nutzereingaben mit Ferngläsern, Videokameras oder insbesondere auch durch persönliches Beobachten nennt sich shoulder surfing und stellt ein ernstzunehmendes Sicherheitsproblem dar. Da die PIN-Eingabe auf einem Touchpad oder einem Nummernfeld als extrem anfällig gegen diese Angriffe ist, wurde ein neues System namens EyePassShapes entwickelt. EyePassShapes basiert auf der Eingabemethode mittels durchgeführter Blickbewegungen des Auges und verspricht resistent gegen shoulder surfing zu sein. Weiter benützt EyePassShapes als Authentifizierungsmittel keine alphanumerischen PINs oder Passwörter sondern grafische Muster mit dem Namen PassShapes. Für eine erfolgreiche Anmeldung muss der Nutzer diese mit gezielten Blickpunkten nachvollziehen. In einer vorangegangenen Arbeit wurde bereits nachgewiesen, dass sich geometrische Figuren in Form von PassShapes besser merken lassen als PINs in Form von logisch nicht zusammenhängenden Ziffern und Zahlen. In einer ersten Nutzerstudie wurde überprüft, ob die erhöhte Einprägsamkeit auch für PassShapes gilt, die mittels Augen an dem System EyePassShapes eingegeben wurden. In einer zweiten Nutzerstudie wurde evaluiert wie gut EyePassShapes von seinen Nutzern bedient werden kann und ob das System den vermuteten Schutz gegen shoulder surfing tatsächlich bieten kann. Die Ergebnisse der Nutzerstudien bestätigen, dass die Technologie Eye Tracking gut geeignet ist, um shoulder surfing zu vermeiden, und dass mit den Augen eingegebene PassShapes eine ähnlich hohe Merkfähigkeit wie gezeichnete PassShapes besitzen. Im weiteren Verlauf dieser Arbeit werden andere Authentifizierungssysteme vorgestellt und hinsichtlich ihrer Nutzerfreundlichkeit und Sicherheit mit EyePassShapes verglichen.

Abstract

Due to increased mobility of devices and in times of an automated world authentication processes increasingly take place in public. While entering sensitive data in public rooms the risk of spy attacks rises up however. Spying out someone who is entering data on a public terminal using binoculars, video cameras or by simply looking over the shoulder is called shoulder surfing and implies a serious lack of security. Because of the extreme vulnerability of the PIN-Entry on a touchpad or a keyboard to these sorts of attacks, a new authentication system with the name EyePassShapes was developed. EyePassShapes uses the gaze movements of the eyes as input method and promises to protect against shoulder surfing. In order to authenticate instead of alphanumeric PINs or passwords EyePassShapes asks for a graphical pattern named PassShapes. The correct fixation of the corners of the shape with the users gaze guarantees a successful login. In a previous work it was already detected that geometric shapes in terms of PassShapes can be remembered more easily than PINs consisting of logically incoherent figures and numbers. A user study was conducted to verify, if the increased memorability also applies for PassShapes, that are entered with the users gaze on the system EyePassShapes. A second study evaluated how well users could handle EyePassShapes and furthermore if the system could meet the demands of protection against shoulder surfing. The results indicate that the characteristics of the technology Eye Tracking are well-suited to defeat shoulder surfing and that the fact of gazing the PassShapes have no negative effect to their memorability. Finally EyePassShapes was compared to other earlier introduced authentication systems concerning their attributes of usability and privacy.

Abbildung in dieser Leseprobe nicht enthalten

Ziel:

Das Ziel dieser Arbeit ist es das bestehende System EyePassShapes formal zu evaluieren. Dabei solien alie gangigen empirischen und statistischen Metho den eingesetzt werden, inn eine umfassende Analyse des Systems zu erstelien. Der Schwerpunkt soil dabei sowohl auf der Usability des Systems (vor ahem im Vergleich mit anderen Methoden zur Authentifizienmg in 6 ffenlichen Laymen) sowie auf deren Memorability liegen. Das heiBt, wie gut komen Personen das System nutzen bzw. wie leicht ist es, sich die PassShapes zu merken, wenn these mit den Augen durchgefiihrt werden. Effekte, die bei PassShapes beobachtet wurden, sixth z.B. der positive Einfluss von repeated writing auf das Ezinnerungsvermogen. In dieser Arbeit soil auch untersucht werden, ob dieser Effekt bei EyePassShapes ebenfaEs aufbitt.

Hintergrund:

Im Rahmen utterer Projekt- and Diplomarbeiten wurde an der Medieninformatik ein neuaitiges Konzept zur Authentifizienmg mit Computersystemen entwickelt, implementiezt und evaluiert. Der Name des Konzepts ist PassShapes mid basiert darauf, anstelie von PINS oder Passwortem Stichzeichntmgen der Nutzer zu verwenden. Dieses Konzept wurde rum mit Eye Tracking - Techmlogie erganzt and zu einer privatenisicheren Authentifizienmgsmetho de fir offentliche Ramie ausgebaut. Diese Methode mit den Namen EyePassShapes soli rum auf ihre Usability und andere Eigenscha nen bin untersucht werden.

Teilaufgaben:

Im Rahmen der Arbeit sind folgende Teilaufgaben zu losen:

- Literaturrecherche zum Thema Eye Gaze Interaction mid Privacy
- Entwurf and Durchfiihrung einer Nutzerstudie zu Usability mid Privacy
- Entwurf and Durchfiihrung einer Nutzerstudie zu Memorability
- Statistische Auswertmg der Ergebnisse
- Scluifffiche Ausarbeitimg
- Abschlussvortiag

Abbildung in dieser Leseprobe nicht enthalten

Erklärung

Hiermit versichere ich, dass ich diese Diplomarbeit selbständig verfasst und keine anderen als die angegebenen Quellen und Hilfsmittel benutzt habe. Diese Arbeit hat in dieser oder einer ähnlichen Form noch nicht im Rahmen einer anderen Prüfung vorgelegen.

München, den 27. November 2008

Martin Denzel

Tabellenverzeichnis

Tabelle 1: Überblick der Hypothesen der Memorability-Studie

Tabelle 2: Statistische Homogenität der Gruppen nach demografischen Merkmalen

Tabelle 3: Angewandte Erinnerungsstrategien für PassShapes

Tabelle 4: Überblick der Hypothesen der Usability-Studie

Tabelle 5: Übersicht der erfolgreichen Erkennungsversuche

Tabelle 6: Auswahl von Beweggründen für oder gegen eine Zahlungsmethode.

Abbildungsverzeichnis

Abbildung 1: Nummernfeld eines EC-Automaten mit aufgesetztem Sichtschutz

Abbildung 2: Nummernpad als Aufsatz auf die Originaltastatur (links), versteckte

Miniaturkamera hinter durchbohrter Blendleiste eines Geldautomaten (rechts). Quelle [19]

Abbildung 3: Die Augenbewegungen einer Person (rechts), die zwei Minuten lang das Bild der Queen Nefertiti (links) betrachtete. Quelle [48]

Abbildung 4: Das VISIOBOARD ermöglicht Texteingaben mit den Augen. Quelle [@16]

Abbildung 5: Querschnitt des Auges mit ’zitternder’ Zentrallinie. Quelle [@11]

Abbildung 6: Aus der Position des Glanzpunktes und des Pupillenmittelpunktes wird die Blickrichtung berechnet. Quelle [11]

Abbildung 7: Messung der Blickkonzentration von Zuschauern während eines Tennisspiels Quelle [@8]

Abbildung 8: Die PIN 0759 wird mit einem geografischen Muster verknüpft (links) und bildet das PassShape (rechts)

Abbildung 9: Strichzeichnungen werden in Zeichenketten umgewandelt. Die Zeichnung (links) entspricht der Zeichenkette 1LULU (beginnt mit rotem Stroke). Quelle [8] (rechts)

Abbildung 10: Mausgeste für den Befehl „Zurück“ (links), Mausgeste für den Befehl „Vor“(rechts). Quelle [@10]

Abbildung 11: Maus oder Augenspur wird auf Gitterpunkte abgebildet und in acht Richtungen übersetzt. Quelle [12].

Abbildung 12: Bestandteile und Aufbau des EyePassShapes -System

Abbildung 13: Eingabe des PassShape 93U9 mit EyePassShapes.

Abbildung 14: Undercover Prototyp zur verdeckten Eingabe mittels Trackball. Quelle [35] Abbildung 15: Beispiel einer konvexen Hülle geformt durch fünf Passwort-Symbole. Quelle [45]

Abbildung 16: Eingabe der Zahl „3“ durch die Auswahl der Farbe. Quelle [34]

Abbildung 17: Ablaufschema des Pass-Thoughts System. Quelle [43]

Abbildung 18: SecureID-Token mit ständig wechselndem Displaycode. Quelle [@13]

Abbildung 19: Notebook mit Webcam simuliert EyePassShapes.

Abbildung 20: Zusammensetzung der Gruppen nach Geschlecht

Abbildung 21: Zusammensetzung der Gruppen nach Schulbildung

Abbildung 22: Zusammensetzung der Gruppen nach Ausbildung

Abbildung 23: Verteilung der korrekt in Erinnerung behaltenen PassShapes

Abbildung 24: Verwendete Strategie zum Merken des PassShapes.

Abbildung 25: Prototyp zur PIN-Eingabe auf dem Touchpad (in der Abbildung nach der Eingabe der dritten Zahl)

Abbildung 26: Prototyp zur PassShape -Eingabe auf dem Touchpad (in der Abbildung mit der Eingabe des PassShapes UR1RD im Testmodus)

Abbildung 27: Gestenalphabet für die Zahlen 0 - 9. Quelle [7]

Abbildung 28: Prototyp zur PIN-Eingabe mit Blickbewegungen (in der Abbildung nach fehlerhafter Eingabe einer 5-stelligen PIN)

Abbildung 29: Prototyp zur PassShapes -Eingabe mit Blickbewegungen (in der Abbildung nach Eingabe eines PassShapes bestehend aus 5 Strokes)

Abbildung 30: 4x1 PassShape (links): Nicht zugelassen, 3x2 PassShape (rechts): Zugelassen

Abbildung 31: 1-Kamera auf Augenpartie gerichtet, 2-Kamera auf Tastatur/Touchpad gerichtet, 3- ERICA Eye Tracker System, 4-Touchpad zur Eingabe mit elektromagnet-ischem Stift

Abbildung 32: Demografische Zusammensetzung der Teilnehmer

Abbildung 33: Fertigkeiten der Teilnehmer mit Eye Tracking Systemen (links) und Fertigkeiten der Teilnehmer mit Touchpad Systemen (rechts)

Abbildung 34: Systeme bewertet nach Einfachheit und Anstrengung

Abbildung 35: Ergebnis der gewählten Systeme in der Kategorie ’Einfachheit’

Abbildung 36: Benötigte Eingabezeiten in Millisekunden

Abbildung 37: Einschätzung der Schnelligkeit der Systeme (von 0 = schnell bis 4 = langsam)

Abbildung 38: Einordnung der Systeme bzgl. ihrer Schnelligkeit

Abbildung 39: Blickwinkel der Kamera 1 (links), Blickwinkel der Kamera 2 (rechts)

Abbildung 40: Prozentuale Verteilung der erspähten PINs / PassShapes pro System

Abbildung 41: Wahl des sichersten Systems durch die Teilnehmer

Abbildung 42: Präferenzen der Teilnehmer bei der Kartenzahlung

Abbildung 43: Wichtige Eigenschaften eines Authentifizierungssystems

Abbildung 44: Wahl des am wenigsten fehleranfälligen System

Abbildung 45: Einordnung der Systeme nach Gefallen der Teilnehmer

Abbildung 46: Das G1 Google Handy mit Android - Software benutzt zum Einloggen Zeichengesten, die vergleichbar mit PassShapes sind. Quelle [@9].

1 Einleitung

Mit der zunehmenden Durchdringung unseres Alltags durch Computersysteme steigt auch die Anzahl der Authentifizierungsvorgänge pro Person und Tag. Im Zuge des technischen Fortschritts, nicht selten begleitet von Personaleinsparungen, stehen uns immer häufiger Automaten anstatt Menschen gegenüber. Einkäufe, Buchungen und Transaktionen werden zunehmend im bargeldlosen Zahlungsverkehr mit vorheriger Authentifizierung getätigt. Dabei verlagern sich die Anmeldeprozesse immer mehr in den öffentlichen Raum. Mobile Geräte wie Handys, PDAs und Notebooks erlauben das Einloggen unabhängig vom Standort und eventuell auch ungeschützt vor der Beobachtung Fremder. Je nach Sensitivität der Anwendung müssen dabei unterschiedliche Sicherheitsstufen gelten. Finanzanwendungen und sensible Daten sollten immer den größtmöglichen Schutz genießen. Wohl eine der sensibelsten und gleichzeitig am häufigsten benutzten Anwendungen stellt der Bargeldbezug dar. Dennoch sind die Sicherheitsvorkehrungen bei der Authentifizierung in öffentlichen Räumen, z.B. am EC-Automaten, vergleichsweise gering. Vor unerwünschten Beobachtern relativ ungeschützt gilt es, sich mit einer vierstelligen Personal Identifikation Number (PIN) zu authentifizieren. Dabei sind die Automaten häufig so aufgebaut, dass sich viele Möglichkeiten zur Installation von Manipulationsgeräten bieten.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Nummernfeld eines EC-Automaten mit aufgesetztem Sichtschutz

Es sind nur wenige Sicherheitsmaßnahmen bekannt, die von Banken in der Praxis tatsächlich eingesetzt werden. Laut der Computerzeitschrift C`t [3] werden nur in wenigen Modellen Sensoren und Module eingebaut, die eine Manipulation am Automaten erkennen und ihn notfalls abschalten. Bekannt sind verbaute Induktionsspulen, die metallische Gegenstände in der Nähe des Eingabeschlitzes aufspüren und das Gerät blockieren. Leider reagieren diese auch auf unbedenkliche Gegenstände wie Schlüsselbunde oder Metallverzierungen an Handtaschen, was eine hohe irrtümliche Ausfallquote verursacht. Erfolgversprechender klingen eingebaute Module, die durch modulierte Wechselmagnetfelder aufgesetzte Lesegeräte stören.

Wohlgemerkt bieten diese Methoden aber keine Lösung gegen das klassische shoulder surfing ¹, welches laut Rogers [33] immer noch die häufigste Betrugsmethode darstellt. Deshalb sieht man an vereinzelten Automaten in jüngster Zeit auch immer wieder aufgesetzte Sichtblenden als Spionageschutz (siehe Abbildung 1). Doch auch hier dürfte klar sein, dass jede zusätzlich angebrachte Vorrichtung und Abdeckung wiederum potenziellen Platz für spionierende Geräte bietet.

Die Bandbreite an Methoden, mit denen Kriminelle an fremde PINs gelangen können, reicht vom banalen Trickbetrüger bis hin zum High-Tech Kriminellen. Eine weit verbreitete Technik und mittlerweile eine Art Oberbegriff für EC-Betrug stellt das Skimming (deutsch: das Abfischen) dar [@14]. Eine Miniaturkamera (z.B. versteckt in einer Zierleiste) zeichnet unbemerkt die PIN-Eingabe des Bankkunden auf (siehe Abbildung 2, rechts). Zuvor hat ein auf den Kartenschlitz aufgestecktes Magnetkartenlesegerät den Magnetstreifen der EC-Karte ausgelesen und abgespeichert. Später wird mit dieser Datenkombination mithilfe einer angefertigten EC-Kartenkopie (Duplette) - überwiegend im Ausland - Geld abgehoben. Alternativ zur Kamera werden auch Nachbildungen der Tastaturen verwendet (siehe Abbildung 2, links). Sie werden auf die originale Tastatur aufgesetzt und speichern jeden Tastendruck ab. Um den Schein zu wahren, drückt die falsche Tastatur auf das originale Nummernfeld durch und der Kunde kann seinen Vorgang ohne Verdacht zu schöpfen erfolgreich beenden. Häufig werden aber viel simplere und nicht minder effektive Techniken eingesetzt. Nachdem die PIN durch einen vermeintlich wartenden Bankkunden ausgespäht wurde, wird die Karte anschließend gestohlen. Verbreitete Anwendung findet auch die so genannte „Libanesische Schlinge“ [3]. Eine Vorrichtung am Kartenschlitz ähnlich einer Schlinge verhindert, dass der Automat die EC-Karte wieder freigibt. Ein hilfsbereiter Betrüger rät nun die PIN erneut einzugeben und beobachtet diesen Vorgang. Mit der Gewissheit, dass die Karte wohl eingezogen worden ist und bei der Bank zur Abholung bereit liegt, verlässt der Bankkunde den Automaten. Der Betrüger zieht daraufhin mit Hilfe seiner Schlinge die EC-Karte aus dem Geldautomaten und kann mit der erspähten PIN Geld abheben.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Nummernpad als Aufsatz auf die Originaltastatur (links), versteckte Miniaturkamera hinter durchbohrter Blendleiste eines Geldautomaten (rechts). Quelle [19].

Laut dem Magazin Stern [19] entstand deutschen Banken im Jahr 2007 durch manipulierte Geldautomaten und ausgespähte PINs ein Schaden von 21 Millionen Euro. Gleichzeitig haben sich die Angriffe auf Geldautomaten im Vergleich zum Jahr 2006 um fast 50 Prozent gesteigert.

Überdies zeigt die Kriminalstatistik [5], dass organisierte kriminelle Banden aus dem Ausland das lukrative Geschäft erkannt haben und ausgespähte Daten professionell nutzen. ²

Sofern der Bankkunde nicht grob fahrlässig gehandelt hat (z.B. durch Vermerk der PIN auf der EC-Karte) wird der individuell erlittene Schaden meist durch die Bank ersetzt, nicht zuletzt auch aus Schutz vor Imageschäden oder aus Mangel an sichereren Alternativen zur Bargeldausgabe. Vermutlich dürfte aber klar sein, dass diese Kosten langfristig auf alle Kunden umgewälzt werden müssen und beispielsweise zu höheren Kontoführungsgebühren führen können.

Zwar wird der Mensch oft als das unsicherste Glied in Interaktionsprozessen mit Computern gesehen [36], aber ein Vorwurf wegen angeblichen Fehlverhaltens erscheint häufig deplaziert. Schließlich ist der Mensch damit überfordert, die heutzutage erforderliche Vielzahl von PINs, Passwörtern und sonstigen Zugangscodes jederzeit aus seinem Gedächtnis fehlerfrei abzurufen. Man könnte sagen, es ist geradezu ‚menschlich’, wenn er gegen die Sicherheitsregeln im Umgang mit seinen Authentifizierungsdaten verstößt. So müsste er nach einem Standard zum Passwort Gebrauch [15] immer ein Passwort wählen, das aus Ziffern, Zeichen und Sonderzeichen besteht und eine ausreichende Länge besitzt. Er müsste die Zugangsdaten regelmäßig ändern und dürfte ein Passwort auf keinen Fall für mehrere Anwendungen benutzen. Außerdem dürfte er niemals einen vom System vergebenen Zugangscode ungeändert weiterbenutzen und schon gar nicht mit jemandem teilen. Alle Mitteilungsschreiben und E-Mails, die Zugangsdaten enthalten, müssten sofort nach Erhalt unwiderruflich gelöscht werden und die Inhalte dürften nie wieder erneut notiert werden, auch nicht zum Zwecke der Erinnerungshilfe. Bei jedem Authentifizierungsvorgang müsste zusätzlich Sorge getragen werden, dass niemand (weder eine Person noch ein technisches Gerät) die Eingaben beobachten oder kopieren könnte. Nur wenige dürften von sich behaupten können, dass sie alle genannten Sicherheitsaspekte befolgen. Wahrscheinlicher ist, dass der Nutzer in einigen Punkten Kompromisse machen muss, um sich dauerhaft an den Zugangscode erinnern und sich überhaupt einloggen zu können. In einer Studie von Adams und Sasse [1] wurden 139 Teilnehmer nach dem Umgang mit ihren Passwörtern gefragt. Fast 50 Prozent aller Teilnehmer gaben an, dass sie ihre Passwörter gelegentlich notieren, um im Notfall darauf zurückgreifen zu können. Eine im Rahmen dieser Arbeit durchgeführte Befragung von 24 Teilnehmern zeigte ein ähnliches Bild: 62,5 Prozent der Befragten notierten, dass sie Ihre PIN bereits einmal vergessen haben und immerhin 20,9 Prozent räumten ein, einfache Kombinationen wie ’0000’ oder Geburtstagsdaten zu verwenden.

Es werden also Systeme benötigt, die es nicht dem Nutzer überlassen, ob er Sicherheitsaspekte respektiert oder ignoriert, sondern welche durch Ihre Beschaffenheit bereits als weitgehend sicher einzuschätzen sind. Die öffentliche PIN-Eingabe auf einem Touchpad oder einem Nummernpad gilt als leicht beobachtbar durch Fremde [42]. Appelle von Banken und Medien, die PIN während der Eingabe möglichst gut abzuschirmen, zeugen eher von der Hilflosigkeit und der Unsicherheit des PIN-Systems. So dürfte es einer kleinen Person schwer fallen ihre Eingaben vor einem sehr großen Beobachter mit ihrem Körper abzuschirmen. Andere Methoden wie z.B. das sehr schnelle Eintippen der PIN oder absichtlich herbeigeführte Korrekturversuche, um Beobachter zu verwirren, erhöhen nur vermeintlich die Sicherheit. Tan et al. [42] beobachteten eine erhöhte Rate an falsch eingegebenen Passwörtern bei Nutzern, die versuchten ihre Eingaben auf diese Art und Weise sicherer zu machen. Zudem drücken derartige Anstrengungen auch ein generelles Misstrauen gegenüber jedem potenziellen Beobachter aus.

Ein System, dessen Sicherheit nur von der Art und Weise der Nutzereingaben abhängt, ist fragwürdig und verunsichert seine Benutzer. Außerdem ist die schnelle, einfache und intuitive Bedienung der PIN-Eingabe genau der Grund, warum sich eben dieses System über die vergangenen Jahrzehnte derart verbreiten und durchsetzen konnte.

Große Hoffnungen seitens der Politik werden daher immer wieder in biometrische Authentifizierungssysteme gesetzt. Der große Vorteil liegt hierbei darin, dass der Nutzer sich nicht mit einer geheimen PIN authentifizieren muss, sondern mit einem Teil von sich selbst. Der Nutzer muss sich somit keine Zugangsdaten merken und ist dadurch auch nicht genötigt, etwaige Sicherheitsanforderungen zugunsten einer höheren Erinnerbarkeit zu umgehen. Anhand der unverwechselbaren Muster des Fingerabdruckes oder der Iris kann ein Mensch eindeutig identifiziert werden und Zugang zum gewünschten Dienst erlangen. Auf den ersten Blick erscheint diese Methode ideal für die Authentifikation in öffentlichen Räumen. Seit im Jahr 2004 der Chaos Computer Club eine 10-Minuten-Anleitung zum Diebstahl von Fingerabdrücken [@17] veröffentlichte, scheint jedoch auch dieser Ansatz zumindest überarbeitungswürdig. Tatsächlich ergeben sich bereits aus der endlichen Anzahl von biometrischen Merkmalen gewisse Probleme. Sollte ein Fingerabdruck oder ein Irisabbild beispielsweise gestohlen werden, könnte der betreffende Finger oder das Auge wohl nicht mehr zur Authentifizierung benutzt werden.

Unter Berücksichtigung der Erkenntnis, dass Menschen Probleme haben ihre PINs aus dem Gedächtnis abzurufen und der Erkenntnis, dass die PIN-Eingabe auf einem Touchpad oder einer Tastatur eine leicht beobachtbare Eingabemethode darstellt, wurde ein neuartiges Authentifizierungssystem entwickelt, das im Rahmen dieser Arbeit vorgestellt wird. Der Name des Systems lautet EyePassShapes und setzt sich zusammen aus der verwendeten Eingabetechnologie, nämlich des Eye Trackings (Blickverfolgung, Blickbewegungs-registrierung), und der verwendeten Eingabemittel, nämlich der PassShapes. In einer vorangegangenen Arbeit [7] wurde herausgefunden, dass Nutzer dazu neigen, sich nicht die PIN selbst, sondern das Muster und die Bewegung, die bei der Eingabe auf dem Nummernfeld entsteht, zu merken. So entstand der Gedanke, direkt diese geometrischen Formen anstelle von PINs zur Authentifizierung zu verwenden. Sie ähneln einfachen Strichzeichnungen und bekamen den Namen „ PassShapes“ (siehe Kapitel 3.1). In einer damals durchgeführten Studie [8] wurde erkannt, dass PassShapes insbesondere bei mehrmaliger Anwendung besser im Gedächtnis bleiben als herkömmliche PINs. EyePassShapes versucht also durch die einprägsameren PassShapes zu verhindern, dass seine Nutzer einfache und damit unsichere Passwörter verwenden oder sich diese als Erinnerungshilfe notieren.

Zusätzlich soll EyePassShapes die positiven Eigenschaften der Technologie Eye Tracking bzgl. der Beobachtbarkeit von Nutzereingaben ausnutzen. Kumar et al. [28] attestieren der Eingabemethode mittels Augen einen erhöhten Schutz gegen s houlder surfing bei gleichzeitig akzeptablem Schwierigkeitsgrad für deren Nutzer. Ziel dieser Arbeit ist es zu überprüfen, wie gut EyePassShapes von Nutzern bedient werden kann, und ob es tatsächlich die erwünschte Sicherheit bietet. Dazu wird es im Rahmen einer Nutzerstudie einem Vergleich mit anderen Authentifizierungssystemen unterzogen und auf Schnelligkeit, Einfachheit und Korrektheit der Nutzereingaben überprüft. Der Aspekt der Beobachtbarkeit der Eingaben wird mithilfe zweier Kameras, die jede Nutzereingabe aufzeichnen, analysiert. Außerdem soll die Erkenntnis der erhöhten Merkfähigkeit daraufhin überprüft werden, ob diese nur für von Hand gezeichneten PassShapes gilt oder auch für solche, die mit den Augen eingegeben werden. Dafür wurden in einer weiteren Nutzerstudie Probanden gebeten, sich in gewissen Abständen anhand eines gemerkten PassShapes mit EyePassShapes zu authentifizieren.

Um den Aufbau von EyePassShapes besser zu verstehen, wird im Folgenden zunächst auf die verwendete Technologie des Eye Trackings und der Eye Gaze Interaction (Blickbewegungs-interaktion) näher eingegangen. Es wird erörtert, welche Gründe für oder gegen den Einsatz von Eye Tracking in Authentifizierungsprozessen sprechen und welche Möglichkeiten der praktischen Umsetzung diese Technologie bietet. Anschließend wird die Funktionsweise von EyePassShapes sowie das zugrunde liegende PassShape -Konzept erklärt. Außerdem werden weitere Systeme vorgestellt, die ebenfalls mit dem Ziel entwickelt wurden, resistent gegen shoulder surfing zu sein. Detaillierte Berichte zum Ablauf und zur statistischen Auswertung der durchgeführten Nutzerstudien sowie zur sicherheitskritischen Auswertung des Videomaterials folgen in Kapitel 5 und 6. Nach der Interpretation der Ergebnisse und einem Vergleich hinsichtlich anderer vorgestellter Systeme, schließt die Arbeit mit einer Zusammenfassung der gewonnenen Erkenntnisse und zeigt weitere Evaluierungsmöglichkeiten auf.

2 Eye Tracking – ein Überblick

Die Erforschung und Verfolgung von Blickbewegungen (Eye Tracking) findet ihren Ursprung bereits im 19. Jahrhundert und ist erstmals überliefert durch den Franzosen Javal, der die Augenbewegungen beim Lesen untersuchte [21]. Die Entwicklung von Foto- und Filmkameras ließ in den darauf folgenden Jahren eine genauere nachträgliche Analyse zu. Der russische Physiologe Alfred Yarbus entdeckte in seiner Arbeit [48] erstmals die grundlegenden Strategien, mit denen unser Auge Objekte und Szenen betrachtet. Er benutzte dazu Kontaktlinsen mit kleinen aufgesetzten Spiegeln, die ihm - angestrahlt von einem Projektor - die Blickbewegungen des Auges zeigten (siehe Abbildung 3). Die gewonnenen Erkenntnisse über die Charakteristik von Blickbewegungen (siehe Abschnitt 2.1) gelten bis heute und werden auch von dem entwickelten System EyePassShapes genutzt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Die Augenbewegungen einer Person (rechts), die zwei Minuten lang das Bild der Queen Nefertiti (links) betrachtete. Quelle [48].

Ab den 70er Jahren wurden verschiedene Arten von Blickverfolgersystemen (Eye Tracker) erfunden und in verschiedenen Forschungsbereichen eingesetzt. So kamen anfangs überwiegend verspiegelte Kontaktlinsen, ähnlich wie auch Yarbus sie verwendete, zum Einsatz. Später beinhalteten laut Duchowski [13] diese Kontaktlinsen Spulen, welche die Linsen einem magnetischen Feld aussetzten. Die Augenbewegungen wurden dann aus den Schwankungen des elektromagnetischen Feldes berechnet, wenn sich die Spule mit dem Auge bewegte. Eine weitere Methode zur Messung von Augenbewegungen sind Elektrookulargramme: Rund um das Auge werden Elektroden angebracht, die Unterschiede in der elektrischen Spannung messen. Diese lassen dann wiederum Rückschlüsse auf die Bewegung der Augen zu.

Der passive Ansatz der reinen Blickverfolgung wurde zu Beginn der 80er Jahre z.B. von Bolt, R. [4] daraufhin untersucht, Blickbewegungen aktiv als Eingabemethode zu nutzen (siehe Abschnitt 2.3). Er entwickelte ein interaktives Interface, das es erlaubte, mittels fixierten Blicks Teile der Anwendung in Form von Fenstern zu aktivieren oder zu deaktivieren. In der Folge wurden einige Systeme entwickelt, die es Menschen mit eingeschränkten Kommunikations-möglichkeiten erlauben, sich dank ihrer Augen zu verständigen. Majaranta und Räihä stellen in Ihrer Arbeit [30] das VISIOBOARD (siehe Abbildung 4) vor. Durch Blickfixierung einzelner Buchstaben, Zahlen oder sonstiger Tasten auf der virtuellen Tastatur können Texte eingegeben werden. Fixierte Felder verfärben sich und können durch ein Augenzwinkern, durch weiteres Anstarren oder durch ein externes Bedienteil bestätigt werden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Das VISIOBOARD ermöglicht Texteingaben mit den Augen. Quelle [@16].

2.1 Blickbewegungen des Auges

Damit das menschliche Auge überhaupt verwertbare Inhalte seiner Umwelt aufnehmen und an das Gehirn schicken kann, ist es notwendig, dass der Reiz des gewünschten Objektes auf die Fovea centralis³ im Auge fällt. Da nur dort scharfes Sehen möglich ist, muss das Auge dafür Sorge tragen, dass die relevanten Objekte hier abgebildet werden. Es liegt also in der Natur des Auges, sich ständig zu bewegen und sich so anzupassen, dass Objekte korrekt fixiert werden. Normale Augenbewegungen durchlaufen grundsätzlich zwei Zustände: Fixationen und Sakkaden. [38]

Fixationen beschreiben die Fokussierung eines bestimmten Objektes oder eines gewissen Punktes im Raum. Während der Blickkonzentration auf den Punkt des Interesses führt das Auge ständig kleine Zitterbewegungen im Augapfel aus (siehe Abbildung 5). Dadurch wird die Netzhaut folgendermaßen entlastet: Durch minimal unterschiedliche Positionierungen des Auges, normalerweise mit dem Ausmaß von weniger als einem Grad, ändert sich ständig der Einfallswinkel ankommender Reize, die auf die Netzhaut (Retina) treffen. Die auf der Netzhaut befindlichen Rezeptoren sind also abwechselnd betroffen und können sich die Belastung aufteilen [@7].

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: Querschnitt des Auges mit ’zitternder’ Zentrallinie. Quelle [@11].

Als Sakkade wird der Zwischensprung von einer Fixation zur nächsten bezeichnet. Der Wechsel zur nächsten Fixation verläuft ruckartig und in geraden Linien. Während einer Sakkade werden zwar vorherige Reize weiterverarbeitet, unmittelbar können aber keine neuen Informationen aufgenommen werden. Das Auge ist in der Zeit einer Sakkade quasi blind. Sakkaden dauern zwischen 30 und 120 Millisekunden und können sich bis auf 40 Grad des Blickwinkels erstrecken. Die Einleitungsphase einer Sakkade beträgt mindestens 100 bis 200 Millisekunden, bevor das Auge nach der Sakkade zwischen 200 und 600 Millisekunden beim nächsten Fixationspunkt verbleibt. Aufgrund der Anatomie und der Funktionsweise des Auges fällt es schwer, Punkte zu fixieren, die keinen Anreiz bieten, wie z.B. Positionen auf einer leeren Fläche. [38]

2.2 Videobasiertes Eye Tracking

Während alle historischen Systeme sehr aufwändig sind und immense physiologische Eingriffe auf Seiten des Nutzers voraussetzten, verfolgen moderne Eye Tracking -Systeme - wie z.B. das Visioboard - deshalb einen ’berührungslosen’ Ansatz. Das Auge und dessen Bewegungen werden hier aus einem Kamerabild extrahiert. Goldberg und Wichansky [18] beschreiben die Funktionsweise zur Berechnung des aktuellen Blickpunktes von videobasierten Eye Tracking -Systemen mit der „ corneal reflection / pupil centre “-Methode. Eine Infrarot-Kamera ist dabei auf das Auge des Nutzers gerichtet und erkennt mithilfe geeigneter bildverarbeitender Software die Pupille sowie die für das Tracking wesentlichen Bereiche des Auges. Eine in der Kamera integrierte Leuchtdiode (LED) ist ebenfalls auf das Auge gerichtet und sendet infrarotes Licht, welches nicht als blendend empfunden wird, zum Auge. Das Licht dringt durch die Retina ein, wird reflektiert, und die Pupille erscheint als eine wohlgeformte helle Scheibe. Auf der Hornhaut erscheint ein kleiner, fest fixierter Glanzpunkt, der ebenfalls durch infrarotes Licht der LED erzeugt wurde (siehe Abbildung 6). Während einer Blickbewegung verändert sich die Position des Pupillenmittelpunktes (pupil centre), wobei der Glanzpunkt auf der Hornhaut (corneal reflection) die Position hält. Aus der aktuellen Entfernung des Pupillenmittelpunktes vom Glanzpunkt kann der Bewegungsvektor gemessen werden und anschließend in die Blickkoordinate umgerechnet werden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6: Aus der Position des Glanzpunktes und des Pupillenmittelpunktes wird die Blickrichtung berechnet. Quelle [11].

Laut Jacob und Karn [23] wäre es auch denkbar, ein Tracking lediglich auf Basis des Glanzpunktes durchzuführen, allerdings mit dem Nachteil, dass die Messung nicht mehr unabhängig von leichten Kopfbewegungen wäre. Im Gegenzug versprechen sehr teure Modelle wie der Tobii T120 Eye Tracker mittels patentgeschützter Algorithmen selbst größere Kopfbewegungen kompensieren zu können [@15]. Um die individuell leicht unterschiedlichen Besonderheiten des Auges zu berücksichtigen, führen videobasierte Eye Tracker vor der tatsächlichen Messung eine Kalibrierung durch. Der Nutzer fixiert hierbei meist ein bestimmtes Symbol, dessen wechselnde Position es auf dem Bildschirm zu verfolgen gilt. Während des Prozesses werden die Abmessungen zwischen Pupillenmittelpunkt und Glanzpunkt gemessen und in Bezug zu den entsprechenden Koordinaten auf dem Bildschirm gesetzt. [18]

Idealerweise sollten die Systeme die individuellen Kalibrierungsdaten abspeichern können, sodass sich jeder Nutzer nur ein einziges Mal kalibrieren muss. Auf den Einsatz in öffentlichen Räumen übertragen, könnten die Kalibrierungsdaten auf der EC-Karte abgespeichert werden und vor der PassShapes -Eingabe von der EC-Karte abgerufen werden. Bei Verlust oder Diebstahl der Karte würde sich zusätzlich der Vorteil ergeben, dass der Dieb oder Finder mit einem fremden Kalibrierungsprofil erschwerte Eingabebedingungen vorfinden würde.

2.3 Blickbewegungen als Eingabemethode

Die Funktionsweise der Augen und die Technologie des Eye Trackings stellen bei einem blickbasierten Eingabesystems an Mensch und Maschine spezielle Anforderungen. Im Folgenden werden grundsätzliche Probleme der blickbasierten Eingabe aufgezeigt, spezielle Anforderungen für entwickelte Anwendungen abgeleitet sowie Chancen und Stärken der neuartigen Interaktionsmethode erörtert.

2.3.1 Problemstellungen blickbasierter Eingabe

Eines der grundsätzlichen Probleme sehen Zhai et al [49] in der Tatsache, dass das menschliche Auge ein elementares Sinnesorgan mit der Funktion der Wahrnehmung darstellt und nicht dafür ausgelegt ist, gezielt Aktionen auszuführen oder zu kontrollieren. Das Auge und seine Blickbewegungen sind nur bedingt durch den Nutzer kontrollierbar, hängen häufig von externen Reizen ab und zeigen ein teilweise unvorhersagbares Verhalten. Die parallele Benutzung der primären Sehfunktion und einer Kontroll- oder Steuerungsfunktion könnte zu einem Konflikt führen. In der Regel denkt der Mensch nicht über seine Blickbewegungen nach. Sie passieren mehr oder weniger automatisch und geschehen häufig unbewusst.

Gewählte Blickrichtungen oder das Anstarren von Objekten garantieren zudem nicht, dass die Aufmerksamkeit oder die gedankliche Konzentration des Nutzers tatsächlich dem erfassten Objekt gilt. In der Trennung von bedeutungshaltigen und bedeutungslosen Blickpunkten oder auch zwischen intuitiven und natürlichen Augenbewegungen liegt die Herausforderung eines blickbasierten Eingabesystems. Wird diese Trennung seitens der Anwendung nicht durch zusätzliche Mechanismen geregelt, kann es zu unerwünschten Eingaben und zur Unbenutzbarkeit des Systems führen. Jacob [24] definiert für dieses Verhalten das „Midas Touch“-Problem. Es besteht, wenn das System Blickpunkte des Nutzers als Eingabekommando auffasst, obwohl der Nutzer diese lediglich zu Zwecken der Wahrnehmung fixiert hat. In solch einem System wäre es nicht möglich Blickpunkte zu setzen, ohne damit gleichzeitig einen Befehl auszuführen. Das System sollte seinen Nutzern dementsprechend die Möglichkeit geben, anzuzeigen, dass es sich um eine bewusste und bedeutungshaltige Augenbewegung handelt und sollte dafür eine geeignete Auswahlmethode bei der Eingabe anbieten (siehe auch Abschnitt 2.3.2).

Ein weiteres Problem besteht in der zwangsläufig durch die Anatomie des Auges verursachte Ungenauigkeit bei der Blickaufzeichnung. Da das Auge während einer Fixation ständig kleine Zitterbewegungen ausführt (siehe Abschnitt 2.1) und die Fovea centralis lediglich einen Bereich von circa einem Grad abdecken kann, kommt es unabhängig von Messungenauigkeiten seitens des Eye Tracking -Systems zu Abweichungen in der Blickkoordinate. Je nach Abstand des Auges zum Bildschirm und je nach Monitorauflösung kann die Ungenauigkeit ausreichend sein, um kleine Objekte wie Scrollbars oder Buttons nicht mehr zuverlässig auswählen zu können. Bei einer Entfernung von beispielsweise 63,5 cm zwischen Auge und Bildschirm entspricht die mögliche Ungenauigkeit von einem Grad ungefähr einer Breite von 1,2 cm [49] auf dem Monitor. Hinzu kommen Messungenauigkeiten der Eye Tracker, die heutzutage circa bei 0,45 Grad liegen [@5]. Eye Tracking -Systeme zeigen zudem steigende Ungenauigkeiten, je länger der Kalibrierungsprozess zurückliegt. Kalibrierungsdrift kann zu einer Verfälschung der Eingaben führen und erhöhten Aufwand durch eine zwischenzeitlich erneut notwendige Kalibrierung bedeuten [30]. Im Design von blickbasierten Eingabeanwendungen sollte dementsprechend darauf geachtet werden, dass auszuwählende Bereiche groß genug und ausreichend tolerant für geringfügige Blickabweichungen sind. Nach einer Untersuchung von Ware, C. und Mikaelian H. [44] sinkt ansonsten die Eingabegeschwindigkeit während die Anzahl der Eingabefehler rapide ansteigt.

Zusätzlich sollten Faktoren berücksichtigt werden, die auf die Individualität des einzelnen Menschen zurückzuführen sind. Beispielsweise können Müdigkeit, Drogenkonsum oder auch der Koffeinpegel die Eigenschaften von Blickbewegungen kurzfristig beeinflussen. Je nach Alter und Geschlecht sowie durch unterschiedliche Gewohnheiten und Fertigkeiten führt nicht jeder Mensch exakt identische Blickbewegungen aus. Weiter kann der normale Weg der Blickreflexion durch Brillen oder Kontaktlinsen abgelenkt und beeinträchtigt werden. [@7] Äußere Einflüsse wie variierende Lichtbedingungen können laut Zhu et al. [50] zudem das korrekte Erkennen des Auges verhindern. Aufgrund der Positionsbestimmung der Pupille durch das Ausleuchten des Auges mit aktivem Infrarotlicht (bright pupil effect), kann externe Lichteinstrahlung auf das Auge zu einer Abschwächung des Kontrastes führen. Das Resultat könnte den Abbruch der Messung bedeuten. Auch durch zu starke Kopfbewegungen kann es zu Problemen in der Positions- und Blickerkennung kommen. Das System sollte daher bei unterbrochenem Signal oder Verlust der Pupille aus dem Suchfeld mit einer entsprechenden Rückmeldung für den Nutzer reagieren. Idealerweise verfügt der Eye Tracker über zusätzliche Erkennungsalgorithmen (z.B. Ortung der Pupille anhand der Position im Gesicht) und erlaubt kleinere Kopfbewegungen.

Ein Eye Tracking -System und insbesondere seine Software darf nicht zu sensibel auf minimale Unterschiedlichkeiten in den Eingabedaten reagieren und sollte möglichst viele verschiedene Eingabefälle behandeln können. Menschen mit Abnormalitäten z.B. in Form von übergroßen Pupillen oder mit speziellen Augenkrankheiten (z.B. Amplyopia, umgangssprachlich „lazy eye“ [31]) würden wohl Schwierigkeiten bei einer Authentifizierung haben und sollten daher eine alternative Authentifizierungsmöglichkeit angeboten bekommen.

2.3.2 Auswahlmethoden bei der Eingabe

Die wohl am meist verbreitete Eingabemethode im Feld der blickbasierten Eingabe stellt die dwell time Methode dar. Sie wurde 1987 von Ware und Mikaelian [44] vorgestellt und bezeichnet die Dauer, in der ein Objekt kontinuierlich durch die Augen fixiert wird. Um die Auswahl eines Objektes auszulösen, muss es vom Nutzer mindestens für diese festgelegte Zeitspanne fokussiert werden. Dabei spielt die richtige Wahl der dwell time eine wichtige Rolle. Um unerwünschte Objektselektionen (Midas-Touch- Problem) zu vermeiden, sollte die Zeitspanne größer sein als die übliche Fixationsdauer von unabsichtlichen Blickpunkten (ca. 200 – 600 ms). Gleichzeitig leidet aber mit einem zu groß gewählten Wert die Geschwindigkeit der Bedienung, und der Nutzer wird zu anstrengenden lang anhaltenden Fixationen gezwungen. Ein typischer dwell- Wert liegt zwischen 600 und 1000 Millisekunden [30]. Ein Überschreiten des dwell- Wertes sollte seitens der Anwendung durch eine geeignete Rückmeldung angezeigt werden, z.B. indem der gewählte Bereich seine Farbe oder Größe verändert oder ein akustisches Signal ertönt. Der Nutzer kann den Auswahlprozess durch Fokussieren eines anderen Objektes dann abbrechen oder durch Halten des Blickes die Auswahl bestätigen. Diese Form der Objektauswahl kann bei ausreichend geringer dwell- Zeit eine schnelle Interaktion ermöglichen, insbesondere für Menschen, denen aufgrund einer Behinderung lediglich die Augen zur Kommunikation zur Verfügung stehen, und die keine zusätzlichen Auswahlgeräte wie Tasten oder Knöpfe bedienen können.

Besteht die Möglichkeit, die Objektselektion durch ein zusätzliches Gerät in Form eines Tastendrucks auf der Tastatur zu bestätigen, bestehen Ware und Mikaelian [44] zufolge für diese Methode Geschwindigkeitsvorteile. Nachdem ein Objekt durch das Auge fixiert wird, kann die Auswahl sofort durch das Drücken einer Taste bestätigt werden, ohne auf das Ablaufen einer bestimmten dwell -Zeit warten zu müssen. Auch andere Hilfsmittel zur Bestätigung einer Auswahl sind denkbar. Surakka et al. untersuchten in ihrer Studie [41] die Möglichkeit, die Auswahl des fixierten Objektes mittels Muskelanstrengungen im Gesicht, z.B. in Form von Stirnrunzeln, zu quittieren. Auch das Auge selbst scheint in der Lage zu sein, ohne das Abwarten einer dwell- Zeit, Eingaben zu tätigen. Rasmusson et al. [32] verwenden als Auswahlbestätigung ein bewusst durchgeführtes Augenblinzeln oder -zwinkern. Kommerzielle Produkte wie das in Abbildung 4 vorgestellte Visioboard bieten diese Eingabeart ebenfalls an. Es bleibt allerdings anzumerken, dass letztere Methode aufgrund der Funktionsüberladung für das Auge sehr anstrengend sein kann, und einen erheblichen Trainingsaufwand im Vorfeld benötigt. Systeme, die außer der Blickaufzeichnung Muskelbewegungen des Gesichtes zur Auswertung nutzen, kommen in der Regel nicht ohne zusätzlich angebrachte Messinstrumente aus. Falls eine Tastatur oder ein manuell zu bedienender Knopf als paralleles Bestätigungsinstrument eingesetzt werden kann, sollte daher diese Methode aus Gründen der Einfachheit gewählt werden.

Eine neuartige Eingabemethode, welche ohne Fixationen und dwell -Zeit auskommt, stellt das von Drewes und Schmidt [11] vorgestellte Konzept der Blickgesten (Gaze Gestures) dar. Hier werden keine einzelnen Fixationen durch einen Tastendruck bestätigt, sondern Gesten bestehend aus einer Abfolge von Blickpunkten eingegeben. Anhand eines Gestenalphabetes werden die Blickfolgen speziellen Kommandos zugeordnet, welche verschiedene Bedeutungen haben und Aktionen auslösen können. Die Dauer einer parallel gedrückten Taste signalisiert dabei dem System den Zeitraum der aktiven Blickeingabe. Blickgesten versprechen robust gegen Kalibrierungsdrift und unweigerliche Messungenauigkeiten zu sein, da zur korrekten Erkennung der Geste lediglich das Einhalten gewisser Blickwinkel nötig ist und nicht das „Treffen“ eines bestimmten Punktes. Da EyePassShapes das Konzept der Blickgesten verwendet, wird dieses in Abschnitt 3.2 noch einmal näher erläutert.

2.3.3 Chancen und Stärken von Eye Gaze Interaction

Entgegen der Bedenken und Probleme bei der Verwendung des Auges als aktives Eingabemedium (siehe Abschnitt 2.3.1) existieren zahlreiche wissenschaftliche Erkenntnisse, welche die Eingabe mittels Blickbewegungen als adäquates und nützliches Instrument in der Mensch-Maschine-Interaktion ansehen. Sibert und Jacob [38] bezeichnen die Eingabe per Auge als eine bequeme und natürliche Art und Weise mit dem Computer in den Dialog zu treten. Sie stellten in einer Studie fest, dass das Auge ein schnelleres Auswahlmittel sein kann, als ein herkömmliches Zeigegerät in Form einer Computer-Maus. Das Potential der natürlichen Schnelligkeit der Augenbewegungen gilt es in Bezug auf das Design von Authentifizierungssystemen zu nutzen. Außerdem ist es der Mensch normalerweise gewohnt, während der Ausführung von Blickbewegungen eine Menge anderer Aufgaben parallel zu erledigen. Daher ist anzunehmen, dass die Kombination der Blickeingabe mit einer parallel zu bedienenden Taste eine nur geringe zusätzliche Anstrengung für den Anwender darstellt.

Weiter kann davon ausgegangen werden, dass der Mensch durchaus in der Lage ist, zumindest für einen gewissen Zeitraum, seine Blickbewegungen bewusst zu kontrollieren. Just und Carpenter [25] bestätigen, dass Menschen ihre Konzentration und ihren Blick auf ihre aktuelle Arbeitsumgebung richten und ihn nicht zufällig wandern lassen. Drewes und Schmidt [11] zeigten in ihrer Studie zudem, dass Nutzer in der Lage sind, komplexe Blickgesten absolut willentlich zu vollziehen. Abgesehen davon sind unsere Blicke ein zentrales zwischenmenschliches Kommunikationsmittel. Das Bewusstsein, dass der Blick vom Kommunikationspartner registriert und interpretiert wird, veranlasst den Menschen zu einer gewissen Kontrolle seiner Blickbewegungen.

Ein großes Potenzial liegt zudem in der Uneinsehbarkeit der Nutzereingaben seitens Dritter. Im Vergleich zur manuellen Eingabe auf Touchpads oder Nummernfelder ist die Eingabe mittels Blickbewegungen ungleich schwerer durch klassisches shoulder surfing zu entlarven. Kumar et al. [28] sehen in der blickbasierten Eingabe von Passwörtern eine Möglichkeit die Einfachheit der Bedienung für den Nutzer beizubehalten und gleichzeitig die Schwierigkeit des Beobachtens durch Angreifer immens zu erhöhen. Zwar ist es nicht unmöglich, durch das Ablesen der Augen auf das Eingegebene zu schließen, allerdings müsste der Beobachter dazu eine frontale Position zum Nutzer einnehmen, was den klassischen Eigenschaften von shoulder surfing widerspricht. Natürlich könnte auch eine angebrachte Kamera die Augenbewegungen filmen, wobei anzumerken bleibt, dass der Kamerastandort nicht sehr flexibel gewählt werden könnte und sich im direkten Sichtfeld des Nutzers befinden müsste. Nach De Luca et al. [7] dürften sich zusätzliche Schwierigkeiten für den Angreifer durch die Vermischung von natürlichen und bewussten Augenbewegungen ergeben. Der Angreifer müsste in einem Filterprozess versuchen, genau diejenige Blicksequenz, welche der Authentifizierung dient, aus den normal entstanden Blickbewegungen vor und nach dem Authentifizierungsprozess herauszusuchen. Bei der Authentifizierung mit einer zusätzlichen Taste zur Signalisierung des Start und Endpunktes könnte eine zweite Kamera die Zeitspanne der Eingabe aufzeichnen, wobei auch hier zu bemerken ist, dass die parallele Aufzeichnung zweier Kameras und die zeitliche Synchronisation der Aufnahmen einen beträchtlichen Aufwand darstellen würde.

Um die Vorteile bzgl. der Beobachtbarkeit zu erhalten, ist es notwendig, eine geeignete Form der Rückmeldung des Systems zu wählen. Anders als bei der puren Auswahl von Objekten, z.B. auf einer Bildschirm-Tastatur (Eye Typing), darf bei der Passwort-Eingabe nichts auf den ausgewählten Bereich oder auf die eingegebene Blickbewegung schließen lassen. Das Feedback der Bildschirmausgabe sollte demzufolge keine Rückschlüsse auf die Nutzereingabe zulassen, sondern lediglich als Hilfestellung für eine korrekte Eingabe dienen. Denkbar wären hierbei ein akustisches Signal oder eine Verfärbung des Eingabefeldes, wenn die Eingabe korrekt war.

2.4 Anwendung von Eye Tracking in der Praxis

Heutzutage werden videobasierte Eye Tracking -Systeme in vielen Bereichen der Wissenschaft und Wirtschaft eingesetzt: Hauptsächlich zu Analysezwecken, z.B. um die Wahrnehmung von Werbeplatzierungen auf Webseiten, die Sichtbarkeit von Bandenwerbung bei Großveranstaltungen (siehe Abbildung 7) oder die Aufmerksamkeit unterschiedlicher Regalanordnungen in einem Supermarkt zu messen. In der Softwareentwicklung wird versucht, mit Hilfe von Blickmustern möglichst nutzerfreundliche und übersichtliche Designvorgaben zu entwickeln, und in der Leseforschung können Texte und Bedienungsanleitungen auf ihre Verständlichkeit hin überprüft werden [@8]. Interaktive blickbasierte Interfaces, insbesondere im Bereich der Texteingabe, werden zwar seit längerem intensiv erforscht [30], der Einsatz in Authentifizierungsprozessen als aktive Eingabemethode darf dennoch als relativ neu angesehen werden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 7: Messung der Blickkonzentration von Zuschauern während eines Tennisspiels. Quelle [@8].

Ob ein System auf dem freien Markt große Verbreitung finden wird, ist nicht zuletzt abhängig von den Kosten, die den Unternehmen durch die Umrüstung ihrer Geräte auf eine neue Technologie entstehen. Im idealen Fall können bereits existierende Geräte weiterverwendet werden oder durch geringe Erweiterungen an den neuen Standard angepasst werden. In den vergangenen 20 Jahren sind die Preise für Elektronikartikel bei stetig steigender Qualität stark gefallen. Die Zeitschrift Computerwoche [@1] verglich dazu Geräte von 1988 mit Geräten von 2008. Vergleichbare Kameras kosten heute noch knapp die Hälfte des damaligen Preises (inflationsbereinigt) und haben teilweise Leistungssteigerungen im tausendfachen Bereich erfahren. Aktuell sind kommerzielle Eye Tracking -Systeme noch sehr teuer und bewegen sich preislich zwischen 5000 und 40000 US-Dollar pro Stück. Untersuchungen zeigen aber, dass auch hier in naher Zukunft Preissenkungen zu erwarten sind. Laut Kumar [27] machen nicht die mittlerweile niedrigen Materialkosten den Hauptanteil des hohen Preises aus. Vielmehr enthalten die Geräte hohe Entwicklungskosten und aufgrund noch zu geringen Absatzes hohe Händlerprovisionen. Ein flächendeckender Einsatz beispielsweise in Geldautomaten würde die Preise senken und die Technologie auf Dauer auch für andere Anwendungen finanzierbar machen. Ein hilfreicher Trend zur Realisierung von Eye Tracking im Alltag könnte die zunehmende Integration von hoch auflösenden Kameras in Hardwaregeräten (z.B. Monitoren) sein. Verschiedene Notebooks (z.B. Apple IBook mit Isight [@3]) besitzen beispielsweise bereits eine integrierte Webcam, die mit einer relativ billigen Infrarot LED aufgerüstet werden könnte, um mit entsprechender Software als Eye Tracker zu fungieren. Damit könnte die Authentifizierung mittels Eye Tracking nicht nur an öffentlichen Terminals, sondern auch bei sensiblen webbasierten Anwendungen, wie z.B. Online-Banking in Großraumbüros oder Internetcafés, Einzug halten.

2.5 Schlussfolgerungen für EyePassShapes

Klassische Eingabemethoden wie die PIN-Eingabe auf einer Tastatur oder einem Touchpad sind aufgrund ihrer Einfachheit und Schnelligkeit die überwiegend eingesetzten Authentifizierungs-arten. Praktiziert in öffentlichen Räumen sind die Nutzereingaben jedoch häufig ohne große Anstrengungen mittels shoulder surfing einsehbar. In den vergangenen Jahren wurden zahlreiche Systeme entworfen, die es sich zum Ziel gemacht haben, resistent gegen diese Art von Attacken zu sein (siehe auch Kapitel 4). Viele dieser Systeme erhöhen mit zusätzlichen Sicherheitsanstrengungen aber auch die Schwierigkeit zur einfachen und intuitiven Bedienung. So werden entweder komplexe Anforderungen an den Nutzer gestellt, wie z.B. von Wilfong, G. T. [46] in Form von mathematischen Rechenaufgaben, oder die Nutzerfreundlichkeit wird durch die hohe Anzahl an notwendigen Schritten für ein erfolgreiches Einloggen reduziert. Beim Ansatz von Wiedenbeck et al. [45] muss der Nutzer beispielsweise im Vorfeld ausgesuchte Symbole in mehreren Durchläufen wieder erkennen und - aufgrund ihrer geometrischen Anordnung - valide Bereiche in Form einer konvexen Hülle ausmachen. Schwierige und langwierige Authentifizierungsprozesse haben jedoch zur Folge, dass höhere Fehlerraten zu erwarten sind, und die Benutzer diese Methoden langfristig ablehnen werden. Bei fehleranfälligen Systemen sind in der Regel außerdem zusätzlich hohe Support- und Servicegebühren, z.B. in Form eines Kundenservices, zu erwarten.

Die Technologie des Eye Trackings bringt gute Voraussetzungen mit sich, die Anforderung an die Sicherheit bzgl. der Resistenz gegen shoulder surfing zu erfüllen und gleichzeitig den User nicht vor zu komplexe Aufgaben zu stellen. Thorpe et al. [43] bezeichnen die blickbasierte Passworteingabe als eine Möglichkeit, unbeobachtbare Passwörter einzugeben. Sibert und Jacob [38] kommen zu der Erkenntnis, dass Blicke im Vergleich zu klassischen Methoden ein sehr schnelles Eingabemedium sein können. Zusätzlich erscheint aufgrund der geraden und kantigen Art von Blickbewegungen die Eingabe von PassShapes mit den Augen als ideal. Denn PassShapes bestehen ebenfalls nur aus geraden Linien und sollen im Folgenden genauer betrachtet werden. Es bleibt anzumerken, dass der in diesem Kapitel gegebene Überblick über den Bereich des Eye Trackings nicht vollständig sein kann und sich nur auf wesentliche Punkte konzentriert, welche auch für EyePassShapes relevant sind.

3 Authentifizierungssystem Eye PassShapes

Die Authentifizierung an öffentlich zugänglichen Automaten und Terminals ist mit vielen Vorteilen für deren Nutzer verbunden. Auf relativ unkomplizierte Art und Weise können Kunden unabhängig von Öffnungszeiten schnell und individuell in hoher Kapazität bedient werden. Die unabhängige und flexible Art der Abwicklung von Geschäftsprozessen, insbesondere in Verbindung mit Zahlungskarten, ist weit verbreitet und wird vermutlich größtenteils bedenkenlos von deren Nutzern angewandt. Allerdings birgt jede Authentifizierung aufgrund der Öffentlichkeit und der Einsehbarkeit des Vorgangs auch ein Sicherheitsrisiko. Zumal Menschen dazu neigen, sich zugunsten einer erhöhten Merkfähigkeit nicht immer an die sicherheitsrelevanten Richtlinien im Umgang mit PINs zu halten.

EyePassShapes berücksichtigt diese sicherheitskritischen Merkmale und versucht durch die Kombination zweier bereits existierender Konzepte ein Authentifizierungssystem mit erhöhter Sicherheit für öffentliche Räume zu schaffen. Das Konzept der PassShapes [7] verspricht zum einen eine erhöhte Merkfähigkeit der Authentifizierungsmittel, zum anderen erscheint die Eingabe mittels Blickgesten [11] geeignet, um die Nutzereingaben gegen shoulder surfing zu schützen. EyePassShapes wurde erstmals von De Luca et. al [9] vorgestellt und soll im Folgenden einschließlich der zugrunde liegenden Konzepte detailliert behandelt werden.

3.1 Das PassShape–Konzept

Das PassShape -Konzept wurde mit dem Ziel entwickelt, ein Authentifizierungssystem zu schaffen, das seinen Nutzern leicht erinnerbare Authentifizierungsmittel zur Verfügung stellt. Studien zufolge ([8] und [9]) haben viele Nutzer Probleme, sich PINs und Passwörter in Form von logisch nicht zusammenhängenden Zahlen und Zeichen zu merken. Die Folge ist, dass entweder komplexe Eselsbrücken gebildet werden müssen oder der Schwierigkeitsgrad der Passwörter zugunsten einer höheren Memorierbarkeit von den Nutzern heruntergesetzt wird. Einfache Passwörter wie Namen oder Geburtsdaten können aber leicht mit „D ictionary Attacks“4 oder durch einfaches Erraten kompromittiert werden. Der grafikbasierte Ansatz der PassShapes verspricht eine hohe Einprägsamkeit beim Nutzer und soll ein Ausweichen auf unsichere Passwörter verhindern. Gleichzeitig verspricht er einen ähnlich großen Passwortraum wie herkömmliche PINs und dürfte somit keine erheblichen Abstriche in der Sicherheitsleistung machen müssen. Das Konzept wurde in einer vorhergehenden Arbeit [8] entworfen und wird im Folgenden in seinen Grundzügen erklärt.

PassShapes basieren auf der Annahme [7], dass viele Nutzer bei der Eingabe einer PIN auf einer Tastatur oder einem Nummernfeld sich nicht die PIN selbst sondern nur die geographische Anordnung der zu drückenden Tasten in einer gewissen Reihenfolge merken. Dieses gedankliche Muster aus geraden Verbindungslinien ähnelt einer simplen Strichzeichnung und bildete die Basis der PassShapes (siehe Abbildung 8, links). Nach Standing [40] kann das 4 Dictionary Attacks („Wörterbuchangriff“) bezeichnen die Methode mithilfe einer Passwortliste oder eines Wörterbuches Passwörter durch Ausprobieren aller Einträge zu entschlüsseln. Effektiv ist diese Methode daher besonders bei sinnvollen Zeichenkombinationen. [@18] menschliche Gedächtnis Grafiken und Bilder sehr gut verinnerlichen. Den Vorteil dieses photographischen Gedächtnisses galt es auszunutzen, weshalb auf eine PIN als Authentifizierungsmittel verzichtet und direkt die resultierende Grafik verwendet wurde (siehe Abbildung 8, rechts). In einer anschließenden Studie wurde bestätigt, dass sich PassShape s - insbesondere nach mehrmaliger Anwendung - besser aus dem Gedächtnis abrufen lassen als PINs.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 8: Die PIN 0759 wird mit einem geografischen Muster verknüpft (links) und bildet das PassShape (rechts).

PassShapes können aus senkrechten, waagrechten und um 45 Grad gedrehter Geraden bestehen. Es ergeben sich also acht mögliche Richtungen (siehe Abbildung 9, rechts) für den nächsten Strich (im Folgenden mit „ Stroke “ bezeichnet), wobei zur besseren Darstellung und für die Einprägsamkeit als Bild in unserem Fall Strokes in entgegen gesetzter Richtung ausgeschlossen wurden. Auf einen Stroke nach rechts kann also unmittelbar kein Stroke nach links folgen. Auch doppelte Strokes in die gleiche Richtung wurden ausgeschlossen. Da ein Stroke beliebig lang sein darf, könnte vom Nutzer eventuell nicht klar unterschieden werden, ob es sich um ein oder zwei Strokes handelt. Auf einen Stroke nach rechts kann also kein Stroke nach rechts folgen. Um die Nutzerfreundlichkeit zu erhöhen, fordern PassShapes vom Nutzer keine Eingabe bestimmter Stroke -Längen. Lediglich die Richtung ist entscheidend, wobei jeder Stroke einen Winkelbereich von 45 Grad abdeckt. Dadurch ist gewährleistet, dass PassShapes vielfältig auf verschiedenen Displaygrößen in verschiedenen Auflösungen eingesetzt werden können. Auch die Nutzer können bei der Eingabe der Zeichnungen frei skalieren und müssen sich lediglich in den richtigen Winkelbereichen bewegen. Ein Algorithmus in der Authentifizierungssoftware muss dann die erkannten Strokes übersetzen und prüfen, ob die Eingabe korrekt war. Die Umwandlung des PassShapes in eine Abfolge von Zeichen erfolgt nach dem Schema in Abbildung 9. „U“ steht für „UP“, „D“ für „Down“, „L“ für „Left“, „R“ für „Right“. Die Zahlen für die diagonalen Geraden orientieren sich dabei an der Zahlenbelegung des Nummernblocks einer Computertastatur. Jedes PassShape kann also durch eine Zeichenkette bestehend aus diesen vier Buchstaben und aus den Zahlen 1, 3, 7 oder 9 repräsentiert werden. Für die Übersetzung und die Erkennung des PassShapes ist es aber nicht notwendig, dass das PassShape zusammenhängend als Form eingegeben wird, sondern lediglich die richtige Reihenfolge der Strokes muss erfüllt sein. Auch die einzelne separate Eingabe der jeweiligen Strokes sollte von der Authentifizierungssoftware korrekt verarbeitet werden können. In der durchgeführten Nutzerstudie (Kapitel 6) können die verwendeten Prototypen mit beiden

Abbildung 9: Strichzeichnungen werden in Zeichenketten umgewandelt. Die Zeichnung (links) entspricht der Zeichenkette 1LULU (beginnt mit rotem Stroke). Quelle [8] (rechts).

Ein weiterer großer Vorteil der PassShapes ist die interne Repräsentation. Durch die Umwandlung der Zeichnungen in simple Zeichenketten können sämtliche bisher auf alphanumerische Passwörter oder PINs angewandte Sicherheitstechniken wie Transport-protokolle oder Verschlüsselungsverfahren einfach weiter verwendet werden. Außerdem entstehen keine erhöhten Transportlasten durch die Repräsentation als Grafik und eventuelle Umrüstungskosten bei Soft- oder Hardware entfallen.

3.2 Interaktion mittels Blickgesten

Gesten als Eingabemethode für Computer zu benutzen ist bereits mehrfach erforscht worden. Als Begründer gelten Goldberg und Richardson [17], die 1993 das Gestenalphabet Unistroke vorstellten. Die Gesten ähneln stark tatsächlichen Buchstaben, bestehen alle aus geraden Linien und können schnell gezeichnet werden. Große Verbreitung findet auch eine Erweiterung des Internetbrowsers Firefox, welche es erlaubt, mit der Maus spezielle Gesten zu zeichnen und dadurch Befehle auszuführen (siehe Abbildung 10).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 10: Mausgeste für den Befehl „Zurück“ (links), Mausgeste für den Befehl „Vor“ (rechts). Quelle [@10].

Gesten bestehen in der Regel aus einer festgelegten Abfolge von geradlinigen Strichen. Isokoski [22] überträgt das Gestenkonzept auf die blickbasierte Eingabe und implementiert das System Minimal Device Independent Text Input Method (MDITIM). Anhand der Fixierung von Zielen außerhalb des Bildschirmes in einer gewissen Reihenfolge und der entsprechenden Übersetzung durch ein Gestenalphabet gelingt es ihm, einzelne Buchstaben einzugeben. Allerdings stellt er Schwierigkeiten für den Nutzer fest. Ziele außerhalb des Bildschirms sind schwierig zu fixieren, wenn sich andere potenziell interessante Objekte in der Nähe befinden. Drewes und Schmidt [11] entwickelten diesen Ansatz weiter und ersetzten die bei Isokoski fest positionierten Blickziele durch einen Gestenerkennungsalgorithmus, der die Blickpunkte in Relation zueinander setzt und daraus eine Geste erkennt. Da die Berechnung auf relativ zueinander stehenden Positionspunkten basiert, ist die Methode der Blickgesten robuster gegen Kalibrierungsdrift und Messungenauigkeiten. Dies erlaubt größere Freiheiten in der Abstandswahl zwischen Auge und Bildschirm. Abbildung 11 verdeutlicht die Zuordnung der Augenspur zur entsprechenden Blickgeste. Sobald die Augenspur eine Gittergrenze überschreitet wird sie in eine der acht möglichen Richtungen übersetzt. Der letzte Blickpunkt gilt dann wieder erneut als Ausgangspunkt für die Berechnung des nächsten Zeichens.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 11: Maus oder Augenspur wird auf Gitterpunkte abgebildet und in acht Richtungen übersetzt. Quelle [12].

Generell teilt sich der Prozess der Gesteneingabe zum einen Teil in eine Gestenerkennung und zum anderen Teil in die Übersetzung der erkannten Geste mithilfe eines vorher definierten Alphabets auf. In der Usability-Studie in Kapitel 6 wird die Methode der blickbasierten Gesteneingabe anhand eines Prototyps, der es erlaubt PINs durch Blickgesten zu realisieren, mit EyePassShapes verglichen. Die genaue Funktionsweise dieses Prototyps sowie das verwendete Gestenalphabet wird in Kapitel 6.1.3 vorgestellt.

3.3 EyePassShapes

EyePassShapes bedient sich der eben vorgestellten Konzepte und versucht durch die Vorteile des einen Ansatzes die Nachteile des anderen auszugleichen. So verspricht das PassShape -Konzept ein Authentifizierungsmittel, das leicht memorierbar und schnell einzugeben ist. Allerdings kann es genauso gut durch Dritte ausgespäht werden, wenn es auf herkömmliche Weise - vergleichbar mit der PIN-Eingabe - auf einem Touchscreen eingegeben wird. Blickgesten haben den Vorteil der uneinsehbaren Augeneingabe. Andererseits erfordern sie von seinen Nutzern auch eine erhöhte Erinnerungsleistung, denn zusätzlich zur gemerkten PIN muss die dazugehörige Geste vorher gelernt und bei der Eingabe aus dem Gedächtnis abgerufen werden. Je nach Anzahl der einzugebenden Gesten kann die Authentifizierung sehr lange dauern.

Das Ergebnis ist EyePassShapes: Die PassShapes -Eingabe mittels Blickbewegungen.

Im Folgenden wird das neuartige Authentifizierungssystem in seinem Aufbau und seiner Funktionsweise vorgestellt, während in Kapitel 5 und Kapitel 6 eben vermutete Vorteile auf ihre Stichhaltigkeit hin überprüft werden.

3.3.1 Systemaufbau

Der entwickelte EyePassShapes- Prototyp verwendet das kommerzielle Blickverfolgungs-system ERICA [@6]. ERICA gehört zur Gattung der videobasierten Eye Tracker und funktioniert nach der corneal reflection / pupil centre -Methode (siehe Abschnitt 2.2). Die Erkennungssoftware des Eye Trackers und der in Java implementierte Prototyp laufen auf einem Tablet-PC unter dem Betriebssystem Windows XP. Die Bildschirmauflösung beträgt 1024 x 768 Pixel, und die Messgenauigkeit von ERICA ist mit ± 0,5 Grad angegeben.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 12: Bestandteile und Aufbau des EyePassShapes- System.

Abbildung 12 zeigt die Bestandteile und den Aufbau von EyePassShapes. Die Eye Tracking -Kamera ist auf das Auge des Anwenders gerichtet und liefert mit einer Rate von 60 Hz die X- und Y- Koordinaten der durch den Nutzer fixierten Punkte. Diese Koordinaten können von der entwickelten Software benutzt werden, um Winkel zwischen den Fixationspunkten auszurechnen und Kenntnis über die eingegebenen Blickrichtungen zu erlangen. Als Eingabefeld oder mögliches Blickfeld kann der gesamte Bildschirm genutzt werden. Solange die Kontrolltaste gedrückt bleibt, zeichnet EyePassShapes die Blickbewegungen des Nutzers auf und errechnet daraus die eingegebenen Bestandteile eines PassShapes. Da das System über keine Kopfverfolgung oder Autofokussierung verfügt, ist es wichtig, dass der Nutzer seine Eingaben ohne starke Kopfbewegungen vollzieht. Trotzdem wurde auf eine Vorrichtung in Form einer Kopfstütze verzichtet und stattdessen ein softwareseitiges Warnsystem implementiert. Sobald der Eye Tracker das Auge des Nutzers aus seinem Suchfeld verliert, reagiert die Software und es wird eine Warnmeldung mit dem Hinweis „Signal Lost“ ausgegeben.

3.3.2 Funktionsweise von Eye PassShapes

Bevor EyePassShapes bedient werden kann, ist es notwendig, einen kurzen Kalibrierungsprozess zu durchlaufen. Abwechselnd tauchen dazu kleine Symbole am Bildschirm auf, die der Nutzer fixieren soll. Die Kalibrierung dient der Feinjustierung des Systems und der Anpassung an die minimalen individuellen Unterschiedlichkeiten seiner Nutzer. Auch wenn die Erkennung der PassShapes nicht von exakt getroffenen Blickpunkten abhängt, sondern auf der relativen Beziehung zwischen den Koordinaten beruht, haben Tests im Vorhinein ergeben, dass eine Kalibrierung zur Fehlerreduzierung bei der Eingabe notwendig ist.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 13: Eingabe des PassShape 93U9 mit EyePassShapes.

Abbildung 13 skizziert die Eingabe des PassShapes 93U9 grafisch. Zuerst muss der Nutzer sich an sein PassShape erinnern und sich überlegen welche Blickbewegungen zur Eingabe notwendig sind. Durch die Fixation der Eckpunkte des PassShapes in der richtigen Reihenfolge erkennt EyePassShapes die mit dem Auge gezeichneten Strokes. Um den Stroke „9“ zu erzeugen, blickt der Nutzer beispielsweise von 1. nach 2., für Stroke „3“ von 2. nach 3., für Stroke „U“ von 3. nach 4. und für den letzten Stroke von 4. nach 5. Es ist dabei nicht zwingend, dass der Endpunkt des vorigen Strokes gleichzeitig der Startpunkt für den nächsten zu erkennenden Stroke ist. Die Kontrolltaste kann zwischendurch abgesetzt werden und das PassShape kann in Etappen eingegeben werden. Lediglich die relative Einhaltung der Blickwinkel zu den passenden Strokes des PassShapes ist notwendig, und nicht das exakte Treffen der gelben Hintergrundpunkte. Diese dienen lediglich der leichteren Orientierung und berücksichtigen, dass das menschliche Auge Probleme hat, Fixationspunkte im leeren Raum zu finden.

Abschnitt 6.1.4 geht näher auf die Bedienung des für die Nutzerstudie angefertigten Prototyps ein.

[...]

---

¹ Shoulder surfing bezeichnet das Ausspähen von PINs durch einen Beobachter, der direkt über die Schulter schaut, oder Hilfsmittel wie Ferngläser oder Kameras benutzt. [28]

² Das Delikt „Fälschung von Zahlungskarten“ besitzt laut polizeilicher Kriminalstatistik einen hohen Anteil an Tatverdächtigen ausländischer Herkunft (65,3 %) und wurde als Straftat mit hohem Organisationsgrad eingestuft. [5]

³ Das empfindlichste Zentrum der retinalen Zapfenverteilung wird als Gelber Fleck (Fovea Centralis) bezeichnet. [20]