Nach Angaben der Forschungszusammenfassung tragen die erfassten Schwingungen „unverwechselbare biometrische Signaturen, die für die Kopf- und Gesichtsstruktur jedes Trägers einzigartig sind". Das System nutze die im Headset eingebauten Bewegungssensoren, um diese Signale aufzunehmen, und gewinne robuste biometrische Merkmale aus den Verhältnissen zwischen den harmonischen Frequenzen. Ein adaptives Filterverfahren reduziere Verzerrungen durch Bewegung, während auf Aufmerksamkeit basierende Deep-Learning-Modelle eine durchgehende und genaue Authentifizierung über XR-Sitzungen hinweg sicherstellen sollen.
Für VitalID wurde ein Patent angemeldet, das nun zur Lizenzierung angeboten wird. Vermarktet wird es gezielt für den Einsatz in Headsets, etwa auf Ebene eines SDK oder des Betriebssystems.
Mit seinem ungewöhnlichen Ansatz erinnert VitalID an frühere passwortlose Lösungen. Vor rund einem Jahrzehnt versuchte SkullConduct, die Nutzererkennung in Brillencomputern über die Schallleitung im Schädel zu lösen. Das als Authentifizierungs-Armband für IT- und OT-Umgebungen vertriebene Nymi Band wiederum kann Elektrokardiogramm-Daten (EKG) zur Authentifizierung heranziehen.
VitalID zielt damit weder darauf, die Zukunft sämtlicher Authentifizierung zu sein, noch stellt es einen klaren Fortschritt gegenüber Bisherigem dar. Relevant ist es vor allem für Headsets, die jenseits von Single Sign-On (SSO), Mehr-Faktor-Authentifizierung und teils biometrischem Eye-Tracking kaum standardisierte Verfahren bieten. Bis auf Weiteres bleiben FIDO-basierte Methoden, SSO, Passkeys und andere bewährte Verfahren erste Wahl.
Ralph Rodriguez, President und Chief Product Officer der Identitätssicherheitsfirma Daon, sagte gegenüber Dark Reading, sein Unternehmen nehme Verfahren wie VitalID „sehr ernst". Statt lediglich eine weitere biometrische Option ohne echten Vorteil zu bieten, schlage die Forschung „ein passives, eingebautes, kontinuierliches Authentifizierungssignal vor, das die bereits in handelsüblichen XR-Headsets vorhandenen Bewegungssensoren nutzt, anstatt zusätzliche Hardware oder eine ausdrückliche Nutzeraktion zu verlangen".
VitalID sei richtig verstanden als Signal zur fortlaufenden Bestätigung und erneuten Authentifizierung innerhalb einer XR-Sitzung — nicht als vollständiger Ersatz für alles Übrige rund um Identität, etwa Identitätsprüfung, Kontowiederherstellung oder phishingresistente Kryptografie. Es funktioniere als Teil eines umfassenderen Authentifizierungssystems, sei aber gerade im immersiven Umfeld besonders wertvoll.
„Ich denke, irgendeine Form dieser einzigartigen Kategorie wird mit der Zeit zunehmend notwendig, besonders in Umgebungen wie XR, in denen Authentifizierung kein einmaliges Ereignis an der Eingangstür bleiben kann", so Rodriguez. Wenn XR-Headsets zum Zugang zu Unternehmensanwendungen, Kollaborationswerkzeugen, Finanzdiensten und Gesundheitsdaten würden, verschiebe sich die Frage von „Wer hat sich zu Beginn angemeldet?" hin zu „Ist dieselbe vertrauenswürdige Person noch immer anwesend?". Rutgers stelle das Problem ausdrücklich so dar, und diese Sichtweise sei richtig.
