Fingerabdruck, Iris- und Gesichts-Scan? Wie steht es mit der Sicherheit?

iPhone X (Bild: Apple)

Die meisten Smartphones neuerer Bauart verwenden Fingerabdruck-Scanner. Samsungs Flaggschiff werden zusätzlich mit einem Iris-Scanner ausgestattet und Apples neues iPhone, das iPhone X, hat eine Gesichtserkennung – genau wie übrigens auch Windows 10, sofern der Rechner eine Kamera hat. Wie steht es aber um die Sicherheit? Auf welche der Methoden sollten Nutzer zurückgreifen?

Es gibt einen grundlegenden Unterschied zwischen Fingerabdruck-, Iris- und Gesichts-Scanner auf der einen Seite und einem Passwort, Muster oder PIN auf der anderen Seite. Ersteres sind biometrische Passwörter. Sie kann man nicht vergessen, man muss sie sich nicht einmal merken, die Erkennung geht automatisch und man kann sie nicht wirklich ändern. Letzteres sind Passwörter, die ein wenig nutzerseitigen Aufwand erfordern. Denn man muss sich den Code ausdenken, ihn merken und einigermaßen regelmäßig ändern. Außerdem sollte er einigermaßen kompliziert sein und nicht bei anderen Accounts und Geräten wiederverwendet werden – und nicht aufgeschrieben werden. Denn so ein Passwort ist gleich geklaut, sei es dass der Zettel verloren geht oder ein Keylogger auf der Tastatur das Passwort mitschreibt. Dafür KANN man es eben ändern, wenn es kompromittiert ist.

Die biometrischen Passwörter müssen aufgrund ihrer Nichtänderbarbkeit besonders gesichert sein und funktionieren deshalb etwas als normale Passwörter. Denn sind sie einmal geklaut, kann man sich eben, sehr salopp gesagt und technisch gesehen ein völlig falscher Vergleich, kein neues Gesicht ausdenken. Apple zum Beispiel speichert die Daten deshalb in einem besonders gesicherten Bereich auf dem Prozessor des iPhones ab. Vereinfach gesagt, gleicht der Chip einfach nur den Fingerabdruck oder das Gesicht mit den gespeicherten Daten ab und gibt dann ein automatisch erstelltes, sicheres Passwort an externe Dienste weiter. Ob und wann das iPhone dieses Passwort ändert, bekommt der Anwender gar nicht mit.

Die Sicherheit ist nur so gut, wie es der Nutzer will

Der Unterschied zwischen biometrischem Passwort und normalem Passwort liegt also in der Authentifizierung: Beim normalen Passwort authentifiziert man sich damit, dass man das Passwort weiß. Man kann es deshalb auch weitergeben. Und eben ändern. Beim biometrischen Passwort sind die eigenen körperlichen Merkmale die Authentifizierung, während das eigentliche Passwort separat erstellt wird.

Der Vorteil des biometrischen Passworts: Das Passwort ist sicher, besteht also aus einer zufälligen Folge von Buchstaben, Zahlen und Zeichen, ist sehr lang und wird regelmäßig geändert.

Der Nachteil des biometrischen Passwortes: Die Authentifizierung kann getäuscht werden. Fingerabdrücke hinterlässt man überall und von den meisten Menschen gibt es Fotos, auf denen das Gesicht und die Iris klar zu sehen ist. Zwar erfordert dies etwas Aufwand. Aber das alles kann gefälscht werden und die jeweiligen Sensoren sind eben noch nicht gut genug, um jede Art der Fälschung zu verhindern. Und wie bereits oben geschrieben: Ist das biometrische Passwort einmal geklaut, kann man es nicht mehr ändern.

Der Vorteil des normalen Passworts: Es kann jederzeit geändert werden.

Der Nachteil des normalen Passworts: Kaum jemand verwendet es richtig. Die Grundregeln sind dabei wie folgt: Das Passwort sollte aus mindestens 12 Zeichen bestehen. Es sollte Buchstaben, Zahlen und Sonderzeichen enthalten. Groß- und Kleinschreibung sollte berücksichtigt sein. Es sollte keinem Wort ähneln, das man im Wörterbuch findet. Es sollte regelmäßig geändert werden. Es sollte nicht aufgeschrieben werden. Und es sollte nur für einen einzigen Dienst verwendet werden. Ziemlich unpraktisch also.

Ist das biometrische Passwort dem normalen also Überlegen? Im Grunde muss die Antwort ja lauten. Allerdings gibt es zwei Einschränkungen: Ist man ein wirklich wichtiges Ziel, bei dem sich ein großer Aufwand lohnt, um das biometrische Passwort zu fälschen, sollte man lieber auf andere Methoden zurückgreifen. Und darüber hinaus sind biometrische Passwörter in vielen Ländern aus rechtlicher Sicht nicht so gut geschützt. Die Herausgabe eines PIN-Codes darf man in vielen Ländern verweigern. Die Herausgabe des Fingerabdrucks jedoch nicht.

Tags :

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising