Broken Access: On the Challenges of Screen Reader Assisted Two-Factor and Passwordless Authentication

Die Studie „Broken Access" identifiziert mittels des Evaluierungsrahmens AWARE erhebliche Sicherheits- und Zugänglichkeitslücken bei screenreader-gestützten Zwei-Faktor- und passwortlosen Authentifizierungsmethoden, die blinde und sehbehinderte Nutzer anfällig für verschiedene Angriffe machen.

Das Wesentliche

🎧 Der blinde Passagier: Warum digitale Schlösser für blinde Menschen oft kaputt sind

Stellen Sie sich vor, Sie gehen durch eine riesige, moderne Stadt (das Internet). Für die meisten Menschen ist diese Stadt gut beleuchtet, und die Schilder sind klar lesbar. Aber für blinde und sehbehinderte Menschen ist diese Stadt dunkel. Sie nutzen daher eine unsichtbare, aber lebenswichtige Stimme – den sogenannten Screen Reader (Bildschirmvorleseprogramm). Diese Stimme liest ihnen vor, was auf dem Bildschirm steht, damit sie sich zurechtfinden können.

Das Problem, das die Forscher in dieser Studie untersucht haben, ist wie folgt: Die Stadt hat viele neue, hochsichere Türschlösser (Passwörter, Zwei-Faktor-Authentifizierung), aber die Stimme des blinden Passagiers kann die Anweisungen an diesen Schlössern oft nicht richtig verstehen oder liest sie sogar falsch vor.

1. Das Problem: Ein verschlüsseltes Schloss mit einer kaputten Anleitung

Bisher haben Sicherheitsingenieure ihre Türschlösser nur für Menschen mit sehenden Augen gebaut. Sie haben nicht bedacht, dass blinde Menschen die Anweisungen nur hören können.

Die Forscher haben ein neues Werkzeug namens AWARE entwickelt. Man kann sich AWARE wie einen Test-Dummy vorstellen, der blind ist und eine Stimme hat. Dieser Dummy probiert alle möglichen Türschlösser aus und protokolliert, ob die Stimme die Anweisungen korrekt versteht.

Das Ergebnis war erschreckend:

• Die Stimme stolpert: Bei normalen Texten (wie Nachrichtenartikeln) versteht die Stimme etwa 75 % des Gesagten. Aber bei Sicherheitsanfragen (wie "Geben Sie Ihren Code ein") sinkt das Verständnis oft auf unter 22 %.
• Die Analogie: Es ist, als würde Ihnen ein Touristführer sagen: "Drücken Sie den roten Knopf links vom blauen Schild." Aber weil der Führer stolpert, sagt er: "Drücken Sie den roten... äh... blaue... links vom..." Sie wissen nicht mehr, was zu tun ist.

2. Die Gefahren: Wie Hacker die Lücken nutzen

Da die Anweisungen oft unklar sind oder die Stimme Fehler macht, entstehen gefährliche Lücken. Die Forscher haben fünf Hauptgefahren identifiziert, die man sich wie folgt vorstellen kann:

• Der falsche Wegweiser (Phishing):
  Ein Hacker baut eine gefälschte Bankfiliale, die der echten zum Verwechseln ähnlich sieht. Für sehende Menschen ist der Unterschied im Namen (z. B. bankofamerica vs. bankoffamerica) sofort sichtbar.

  • Das Problem: Die Stimme des Screen Readers liest diese Namen oft so ähnlich vor, dass der blinde Nutzer den Unterschied gar nicht hört. Es ist, als würde ein Hacker ein Schild mit "BANK" aufhängen, das fast genauso aussieht wie das echte, nur dass die Buchstaben in der Vorlesung identisch klingen. Der Nutzer gibt sein Passwort an den falschen Mann weiter.

• Der Lärm im Ohr (Benachrichtigungs-Müdigkeit):
  Stellen Sie sich vor, jemand hämmert ununterbrochen an Ihre Tür und schreit: "Bestätigen Sie! Bestätigen Sie!" Irgendwann sind Sie so müde und genervt, dass Sie die Tür öffnen, nur um Ruhe zu haben.

  • Das Problem: Hacker senden blinden Nutzern hunderte von Bestätigungs-Nachrichten. Da die Stimme oft nicht klar sagt, wer die Nachricht sendet, oder der Nutzer durch die Flut an Informationen überfordert ist, klickt er aus Erschöpfung auf "Zustimmen".

• Der Dieb im Hintergrund (Shoulder Surfing):
  Wenn Sie ein Passwort eingeben, liest die Stimme es laut vor. Wenn Sie Kopfhörer tragen, ist das okay. Aber wenn Sie zwei Geräte nutzen (z. B. am Laptop arbeiten und den Code auf dem Handy empfangen), kann die Stimme auf einem der Geräte laut werden.

  • Das Problem: Ein Hacker in der Nähe kann das Passwort einfach mithören, während die Stimme es laut vorliest. Es ist, als würde man sein Geheimnis in einer lauten Bibliothek flüstern.

• Der Doppelgänger (Concurrent Login):
  Ein Hacker versucht gleichzeitig, sich in Ihr Konto einzuloggen, genau in dem Moment, in dem Sie es auch tun.

  • Das Problem: Die Stimme des Screen Readers liest oft nur die neueste Nachricht vor. Wenn der Hacker eine Nachricht sendet, die die echte überdeckt, denkt der Nutzer, es sei seine eigene Anfrage, und bestätigt den Hacker.

• Der unsichtbare Schlüssel (FIDO/Passkeys):
  Moderne Schlüssel (wie USB-Sticks) sollen sehr sicher sein. Aber die Stimme sagt oft nicht genau, wo man den Schlüssel einstecken muss oder welche Taste man drücken soll.

  • Das Problem: Der Nutzer muss raten. Wenn er falsch rät, könnte er versehentlich einem Hacker den Schlüssel geben, ohne es zu merken.

3. Die Lösung: Bessere Schilder und klügere Stimmen

Die Studie schlägt vor, dass die Architekten der digitalen Welt (die Entwickler von Sicherheits-Systemen) ihre Pläne ändern müssen:

1. Klare Anweisungen: Die Anweisungen müssen so einfach und eindeutig sein, dass sie auch von einer Maschine (dem Screen Reader) perfekt vorgelesen werden können. Keine verwirrenden Symbole oder versteckten Texte.
2. Die Stimme muss aufwachen: Die Screen Reader selbst müssen schlauer werden. Sie sollten Warnungen aussprechen wie: "Achtung! Diese Website sieht der echten Bank ähnlich, aber der Name ist leicht anders!" oder "Stopp! Jemand versucht, sich gerade einzuloggen."
3. Zeit geben: Blinde Menschen brauchen mehr Zeit, um Anweisungen zu hören und zu verarbeiten. Die Zeitlimits für Codes sollten länger sein.

Fazit

Die Studie zeigt uns, dass wir in einer Welt voller digitaler Sicherheit leben, die für blinde Menschen oft wie ein Labyrinth mit unsichtbaren Wänden ist. Die Türschlösser sind zwar stark, aber die Anweisungen, wie man sie öffnet, sind unverständlich.

Die Botschaft ist klar: Sicherheit darf nicht auf Kosten der Zugänglichkeit gehen. Wenn wir blinden Menschen helfen, ihre digitalen Türen sicher zu öffnen, machen wir das Internet für alle sicherer. Es braucht eine Zusammenarbeit von Sicherheits-Experten, Blindenführern und Technikern, um diese Lücken zu schließen.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „Broken Access: On the Challenges of Screen Reader Assisted Two-Factor and Passwordless Authentication" auf Deutsch:

1. Problemstellung

In einer zunehmend digitalen Welt sind Webdienste für blinde und sehbehinderte Menschen von großer Bedeutung. Die Sicherheit dieser Interaktionen wird jedoch oft übersehen, da etablierte Authentifizierungsmethoden primär auf sehende Nutzer ausgelegt sind.

• Lücke: Bestehende Forschung und Implementierungen vernachlässigen die spezifischen Sicherheits- und Zugänglichkeitsanforderungen von Nutzern, die auf Screenreader angewiesen sind.
• Herausforderung: Blinden Nutzern fehlen oft visuelle Hinweise, die bei der Erkennung von Phishing, der Unterscheidung von ähnlichen URLs oder der Vermeidung von „Shoulder Surfing" (Abhören über die Schulter) helfen.
• Ziel: Das Paper untersucht, ob und wie moderne Zwei-Faktor-Authentifizierung (2FA), Multi-Faktor-Authentifizierung (MFA) und passwortlose Verfahren (z. B. Passkeys/FIDO) für Screenreader-Nutzer sicher und zugänglich sind. Es wird das Konzept der „Screen-Reader-unterstützten Authentifizierung" modelliert, um systematisch Sicherheitsrisiken und Zugänglichkeitsbarrieren zu identifizieren.

2. Methodik: Das AWARE-Framework

Die Autoren entwickelten einen neuen Evaluierungsansatz namens AWARE (Authentication Workflows Accessibility Review and Evaluation). Dies dient als Vorstufe zu aufwendigen Nutzerstudien und ermöglicht eine frühe Identifizierung von Problemen.

• Ansatz: Semi-automatisierte Analyse.
  • Datenerfassung: Screenreader-Ausgaben (Sprachausgabe) während des Durchlaufens von Authentifizierungsworkflows werden aufgezeichnet.
  • Verarbeitung: Die Audioaufnahmen werden mittels IBM Watson Speech-to-Text in Text umgewandelt.
  • Analyse: Der generierte Text wird mit dem Originaltext verglichen, um die Verständlichkeit (Comprehensibility) zu messen (mittels Kosinus-Ähnlichkeit und TF-IDF-Vektorisierung).
• Testumgebungen: Die Studie deckt drei Szenarien ab:
  1. Terminal (PC) mit Screenreadern.
  2. Kombination aus Terminal (PC) und Smartphone mit Screenreadern.
  3. Smartphones mit integrierten Screenreadern.
• Getestete Technologien:
  • Screenreader: JAWS, NVDA, Dolphin, ChromeVox (PC); VoiceOver (iOS), TalkBack (Android).
  • Authentifizierungsmethoden: Verschiedene Varianten von 2FA (OTP per SMS/Anruf, Push-Benachrichtigungen, TOTP-Apps wie Google Authenticator, Authy, WinAuth) und passwortlose Methoden (FIDO-MFA, Passkeys, Microsoft Select-Confirm).
• Bedrohungsszenarien: Das Framework simuliert reale Angriffe:
  • Phishing (URL-Verwechslung).
  • Concurrent Login (gleichzeitige Login-Versuche).
  • Notification Fatigue (Benachrichtigungserschöpfung).
  • Shoulder Surfing (Abhören der Sprachausgabe).
  • Cross-Service-Angriffe und Downgrading-Angriffe.

3. Wichtige Beiträge

1. Konzeptualisierung: Einführung des Modells „Screen-Reader-unterstützte Authentifizierung" als eigenständiges Forschungsgebiet.
2. Framework (AWARE): Bereitstellung eines kosteneffizienten, semi-automatisierten Tools zur Bewertung von Sicherheits- und Zugänglichkeitsproblemen, das Entwicklern hilft, Designs vor teuren Nutzerstudien zu optimieren.
3. Systematische Evaluation: Erste umfassende Analyse von 12 realen 2FA-Methoden über 6 verschiedene Screenreader in drei unterschiedlichen Gerätekombinationen.
4. Erkenntnisse zu Schwachstellen: Identifikation kritischer Lücken, die zeigen, dass Screenreader-Nutzer einem höheren Risiko ausgesetzt sind als sehende Nutzer.

4. Ergebnisse und Erkenntnisse

A. Zugänglichkeit und Verständlichkeit (Comprehensibility)

• Drastischer Abfall: Während Screenreader bei allgemeinen Texten (z. B. Nachrichtenartikeln) eine Verständlichkeit von 74–90 % erreichen, sinkt diese bei Authentifizierungsanweisungen oft auf unter 50 % (in einigen Fällen nur 2–20 %).
• Ursachen: Inkompatible Schnittstellen, fehlende Alternativtexte, unklare Strukturierung und das Fehlen von visuellen Hinweisen, die für Screenreader nicht übersetzbar sind.
• Spezifische Probleme:
  • CBI (Conflict Between Instructions): Konflikte, wenn z. B. ein Anruf für einen OTP-Code die Sprachausgabe des Screenreaders unterbricht.
  • NPO (Numeric Pronunciation of OTP): OTPs werden oft als ganze Zahlen („eintausendzweihundert...") statt ziffernweise („eins-zwei-drei-vier") vorgelesen, was bei längeren Codes verwirrend ist.
  • UCO/UCEOB: Unfähigkeit, OTPs oder Sicherheitsmeldungen außerhalb des Browsers (z. B. Windows-Sicherheitsdialoge bei FIDO) vorzulesen.

B. Sicherheitsrisiken und Angriffsvektoren

Die Studie zeigt, dass Screenreader-Nutzer anfälliger für folgende Angriffe sind:

• Phishing: Screenreader können subtile Unterschiede in URLs (z. B. bankofamerica vs. bankoffamerica) oft nicht erkennen und lesen beide ähnlich vor. Nutzer können Links nicht visuell überprüfen.
• Concurrent Login: Bei Push-2FA (z. B. Google, Duo) kann eine Angreifer-Benachrichtigung die legitime überschreiben. Da Screenreader oft nur die neueste Meldung vorlesen, akzeptieren Nutzer fälschlicherweise den Angriff.
• Notification Fatigue: Bei ständiger Benachrichtigung (Spamming) geben Nutzer aus Erschöpfung nach. Screenreader-Nutzer haben oft keine visuelle Übersicht über die Anzahl der Benachrichtigungen.
• Shoulder Surfing: Bei der Nutzung von PC und Smartphone gleichzeitig (z. B. OTP auf dem Handy, Login am PC) ist oft ein Gerät ungeschützt. Die Sprachausgabe des OTPs kann von Angreifern abgehört werden.
• FIDO-Spezifische Angriffe:
  • Display Overlay: Falsche Informationen überlagern legitime Inhalte; einige Screenreader lesen die falschen Daten vor.
  • Cross-Service: Screenreader lesen oft nicht den Dienstnamen in Sicherheitsdialogen, was Angreifern erlaubt, die Authentifizierung für einen anderen Dienst zu manipulieren.

C. Feasibility (Durchführbarkeit)

• Viele Methoden sind für Screenreader-Nutzer nicht durchführbar (z. B. WinAuth, da OTPs als Sternchen dargestellt werden und nicht vorgelesen werden können).
• Andere sind nur teilweise durchführbar (z. B. Google Authenticator mit NVDA/ChromeVox aufgrund von NPO-Problemen).
• FIDO-MFA (mit NVDA) zeigte sich als relativ robust, leidet aber unter unklaren Anweisungen zur Schlüsselplatzierung.

5. Bedeutung und Empfehlungen

• Sicherheitsparadoxon: Maßnahmen, die die Sicherheit für sehende Nutzer erhöhen (z. B. komplexe visuelle Bestätigungen), können für blinde Nutzer zu Sicherheitslücken werden, da sie auf die Sprachausgabe angewiesen sind, die diese Informationen oft verzerrt oder auslässt.
• Empfehlungen für Designer:
  • Klare, konsistente und screenreader-freundliche Anweisungen bereitstellen.
  • Konflikte zwischen Sprachausgabe und anderen Systemereignissen (wie Anrufen) vermeiden.
  • Längere Zeitfenster für Authentifizierungsschritte einplanen.
  • Integration von Phishing-Erkennung und Benachrichtigungs-Management direkt in die Screenreader.
• Empfehlung für Nutzer: Basierend auf den Ergebnissen wird die Kombination aus FIDO-MFA und dem Screenreader NVDA als die sicherste und zugänglichste Option identifiziert.

Fazit: Das Paper belegt, dass aktuelle Authentifizierungssysteme für blinde Nutzer unzureichend sind und erhebliche Sicherheitsrisiken bergen. Es fordert eine interdisziplinäre Zusammenarbeit zwischen Sicherheitsforschern, HCI-Experten und Zugänglichkeitsdiensten, um Systeme zu entwickeln, die sowohl sicher als auch inklusiv sind. Das AWARE-Framework bietet einen praktischen Weg, um diese Probleme bereits im Designprozess zu adressieren.