Sicherheitsforscher haben ein Verfahren zur Auswertung von Tastatureingaben entwickelt, das User anhand ihres Tippverhaltens eindeutig identifizieren soll – auch wenn sie Anonymisierungstools wie Tor nutzen. Ein auf einer Website eingebautes Skript misst initial die Texteingaben und erstellt aus der
einen einzigartigen digitalen Fingerabdruck, anhand dessen der Nutzer bei einem späteren Website-Besuch mit hoher Wahrscheinlichkeit wiedererkannt werden kann.
Einzigartige Charakteristika bei Tastatureingaben dienen als Erkennungsmerkmale (Bild: Ars Technica)
Grundsätzlich lassen sich mit dieser Art der verhaltensbasierten Identifizierung (auch behavioral profiling genannt) Websites sicherer machen. So gehen die Sicherheitsexperten Thorsheim und Moore davon aus, dass Banking-Websites dieses Verfahren einsetzen, um unbefugten Zugang zu Bankkonten zu verhindern. Banking-Betrug ließe sich auf diese Weise ermitteln, auch wenn die Angreifer die korrekten Zugangsdaten besäßen.
Auf der anderen Seite sieht Sicherheitsforscherin und ehemalige Tor-Entwicklerin Runa Sandvik darin eine Gefahr für die Online-Anonymität, insbesondere dann, wenn die Speicherung und der Abgleich von User-Profilen auf mehreren Websites stattfinden. Daraus lasse sich trotz der Nutzung des Anonymsierungsnetzwerks Tor das Surfverhalten über mehrere Internetseiten hinweg beobachten.
Der Sicherheitsforscher Paul Moore hat ein Chrome-Plugin entwickelt, das die Tastatureingaben abfängt, verzerrt und mit einer kleinen Verzögerung an die Website weitergibt. So soll das Tipp-Verhalten verfremdet und Profiling verhindert werden.