Tobias Scheible Cyber Security & IT-Forensik Dozent
Fingerabdruckscanner eines Notebooks

Fingerabdruck oder Passwort – was ist sicherer?

Fingerabdruckscanner versprechen bequeme Sicherheit - es müssen keine komplizierten Passwörter mehr gemerkt werden. Und spätestens seit das iPhone 5s mit dieser Funktionalität ausgestattet ist, ist diese Technik nun gefühlt allgegenwärtig. Aber ist ein Fingerabdruckscanner wirklich besser als ein Passwort?

Donnerstag, 17. Oktober 2013
12 Kommentare

Ich besitze ein ProBook von HP [ nicht zu verwechseln mit dem MacBook Pro von Apple 😉 ], welches mit einem Fingerabdruckscanner ausgestattet ist. Anfangs war es ganz cool, den Rechner mit dem Finger zu entsperren. Allerdings funktionierte der Scan nicht immer und auch die Software für die Konfiguration war eher mäßig. Mit Windows 8.1 wird von Haus aus eine bessere Unterstützung zur Verfügung stehen, dadurch wird keine zusätzliche Software benötigt. Diese Unterstützung wird der Technik den Weg in immer mehr Geräte ebnen.

Im mobilen Bereich waren biometrische Lösungen eher noch selten anzutreffen, meistens bei speziellen Business-Tablets oder speziellen Lösungen. Dies hat Apple mit der TouchID nun geändert. Im neuen iPhone 5s ist der Home-Button ein Fingerabdruckscanner, mit dem das Gerät entsperrt werden kann. Wahrscheinlich werden bald auch andere Hersteller nachziehen und diese Technik integrieren.

Funktionsweise

Bei einem Scan eines Fingerabdrucks werden die einzelnen Papillarlinien (Linien eines Fingerabdrucks) eines Fingers erfasst und ein Muster daraus berechnet. Dieses Muster wird mit den bereits gespeicherten Mustern in einer Datenbank verglichen. Kommt es zu einer Übereinstimmung, wird der Benutzer erfolgreich identifiziert. Wer mehr über die Funktionsweise von Fingerabdruckscannern wissen möchte, sollte einen Blick in das Dokument Fingerabdruckerkennung des BSI – Bundesamt für Sicherheit in der Informationstechnik – werfen.

Sicherheit

Die Stärke der Sicherheit ist wie fast immer vom Funktionsumfang der verwendeten Geräte und der Art der Softwareimplementierung abhängig. Einfache Scanner lassen sich bereits mit einem ausgedruckten Fingerabdruck auf einer Folie überlisten. Komplexere Geräte können verschiedene Faktoren wie die Durchblutung oder den Sauerstoffgehalt messen und so erkennen, ob es sich um einen „lebendigen“ Finger handelt. Die meisten Geräte sind aber eher einfach und können mit einem künstlichen Finger überlistet werden. Bereits 2006 hat der CCC gezeigt, wie einfach es ist, so einen Fingerabdruck zu fälschen:

Geheimhaltung

Ein Sicherheitsmerkmal für eine Authentifizierung muss immer ein Geheimnis sein. Sobald es Dritten bekannt ist, können diese die Authentifizierung unerlaubt durchführen. Bereits 2008 ist es dem Chaos Computer Club gelungen, den Fingerabdruck des damaligen Innenministers Wolfgang Schäuble zu „besorgen“. Ein Glas Wasser auf einer Konferenz hat dafür gesorgt, dass jetzt jeder den Fingerabdruck herunterladen kann. Das Beispiel zeigt, dass ein Fingerabdruck nicht geheim gehalten werden kann. Auch der mehrmalige Einsatz eines Fingerabdrucks sorgt dafür, dass dieser immer weniger ein Geheimnis ist. Zum Beispiel ist der Fingerabdruck in Ausweise integriert und wird in Unternehmen und öffentlichen Einrichtungen für die unterschiedlichsten Zwecke verwendet (Mensa Essen, bezahlen, Ausweis, …).

Bei einer Bekannten wird der Fingerabdruck in ihrem Unternehmen verwendet, um die Zugangskontrolle von Türen zu steuern. Hierbei ist nicht klar, nach welchen Sicherheitsstandards und an welchen Orten dieses Unternehmen die Fingerabdrücke gespeichert hat. Sind vielleicht sogar externe Firmen in die IT-Systeme mit involviert? Und was passiert, nachdem ein Mitarbeiter aus dem Unternehmen ausscheidet?

Austauschbarkeit

Sobald ein Fingerabdruck einmal geklaut worden ist, stellt sich die Frage, wie damit umgegangen werden muss. Natürlich muss dieser gesperrt werden und darf nicht mehr verwendet werden. Klar kann man einfach einen anderen Finger nehmen – sobald aber alle zehn Finger „gestohlen“ sind, wird es eng. Der Vorteil, dass ein Fingerabdruck individuell und nicht veränderlich ist, wird hier zum Nachteil. Ein Passwort, das geknackt worden ist, kann einfach nicht mehr verwendet werden und ein beliebiges neues vergeben werden. Eine geklaute Kreditkarte kann einfach gesperrt werden und man bekommt eine neue mit einer neuen Kreditkartennummer.

Fazit

Der Fingerabdruck ist ein „Geheimnis“, das überall, wo man sich befindet, verteilt wird. Für jeden Dienst muss der gleiche Abdruck verwendet werden und damit besitzt dieser das notwendige Wissen, um auf alle anderen Dienste zugreifen zu können. Nicht veränderbare „Geheimnisse“, wie Fingerabdrücke, sind aus meiner Sicht untauglich für ein Sicherheitssystem. Ein Passwort einzugeben, ist zwar komplizierter als einen Fingerabdruck zu scannen, bietet aber auch mehr grundsätzliche Sicherheit. Wer Sicherheit möchte, muss auch einen gewissen Aufwand dafür in Kauf nehmen. Dank diverser Hacker-Angriffe und Snowdens Enthüllungen, steigt diese Grenze aber kontinuierlich …


Weitere interessante Artikel zum Thema Fingerabdruckscanner:
+ Zeit – Fingerabdrücke, srsly?
+ Netzwertig – Warum Apples Touch ID einen genauen Blick wert ist
+ Lookout – Warum ich Apples TouchID gehackt habe, und trotzdem denke, dass sie super ist.
+ MBe-consulting – Der Fingerabdruck als biometrisches Erkennungsmerkmal bei physischen Zutrittslösungen
+ Gericht billigt Fingerabdrücke im Pass
+ CCC – Biometrie

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog und in meinem Fachbuch. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

Juliane am 21. Oktober 2013 um 14:53 Uhr

Hey,
Spannender Beitrag!
Ich bin auch der Meinung, dass man sich besser mit Passwörtern identifizieren sollte, als mit seinem Fingerabdruck.
Zwar ist es leichter sich einfach mit seinem Fingerabdruck zu registrieren, aber am Ende haben wir doch nicht mehr als 10 Stück, welche nicht austauschbar und nicht einfach „neu“ gemacht werden können.
Ich denke, dass es ein wichtiges Gut unseres Lebens ist, womit wir nicht so lässig umgehen sollten.
Danke für diesen Beitrag, dadurch habe ich nun eine ganz andere Sicht auf diese Dinge!
Liebe Grüße
Juliane

Rainer am 23. Oktober 2013 um 14:13 Uhr

Beim Fingerabdruck bin ich sehr skeptisch… Man hinterläßt überall seinen Fingerabdruck (Bankautomat, Türgriff,…). Für viele wird es eine Leichtigkeit sein, diesen zu bekommen. Ich denke wie im Beitrag auch, dass ein Passwort doch sicherer ist.

Daniel am 24. Oktober 2013 um 10:38 Uhr

Interessanter Artikel. Ich war nie ein großer Fan von Fingerabdrucksscanner, da ich mich nie wirklich sicher damit gefühlt habe. Ich dachte immer nur, dass es Paranoia wegen der ganzen Hollywoodfilme sei, aber ich habe es jetzt mal dank des Videos selbst ausprobieren können und siehe es, es klappt. Jetzt habe ich eine schöne Argumentationshilfe, danke

Werner am 25. Oktober 2013 um 15:56 Uhr

Ich kann mich deinem Fazit nur anschließen. In der heutigen Zeit nach dem Spionage-Skandal noch Geräte mit Fingerabdruck-Scanner auf den Markt zu bringen halte ich für besonders unklug.

Ich persönlich hoffe, dass noch niemand meinen Abdruck hat und werde auch in Zukunft dafür sorgen, dass es so bleibt.

Gruss Werner

sebi am 31. Oktober 2013 um 19:48 Uhr

gutes Video zur Veranschaulichung. Ich bin ganz klar für das passwort da können einfach keine technischen Fehler passieren

Joshua am 6. November 2013 um 12:41 Uhr

Ich bin auch der Meinung das der Fingerabdruck, besonders heutzutage, nicht sicher ist. Zwar ist es, wie gesagt, einfacher sich mit dem Fingerabdruck zu resgistrieren, aber wir haben ja nur 10 von denen und man kann sie ja nicht ewig austauschen. Deshalb werde ich auch in Zukunft lieber das Password benutzen. Danke für den tollen Artikel.

Ben am 8. November 2013 um 15:10 Uhr

Schon erstaunlich wo die Zeit so hingeht. Ein Fingerabdruck ist zwar einzigartig jedoch denke ich schnell zu kopieren. Ob das dann sicherer ist weiß ich nicht…

Bitskin am 13. November 2013 um 18:57 Uhr

Mir persönlich sind Fingerabdrücke zu intim und zu unsicher. Ich möchte nicht, dass mein Fingerabdruck irgendwo im Internet landet. Eine PIN lässt sich ändern aber ein Fingerabdruck bleibt für immer.

Jenna am 18. Dezember 2013 um 16:22 Uhr

Hallo,
Wie auch die anderen schließe ich mich dem Fazit gerne an. Gerade weil der Fingerabdruck so einfach zu besorgen ist, machen mich Fingerabdruckscanner schon skeptisch: Es braucht keine skrupellosen Räubermethoden um an sein Zeil zu kommen. Und auch die Änderungs- und Sperrthematik ist eine wichtige Sache. Man sollte nicht zu bequem sein, um sich um Sicherheit zu kümmern. Sei es ein normales Passwort oder auch die Verbindung des Passwort mit 2-Faktor-Authentifizierung, man kann auch so schon für einen hohen Grad an Sicherheit sorgen.

Isabella am 18. März 2014 um 11:55 Uhr

Als erstes kurz ein Lob für das Design dieses Blogs. Sieht echt klasse und einfach mal anders aus.

Nun zum Thema Passwort Vs. Fingerabdruck

Pro Fingerabdruck:
-definitiv sicherer
-irgendwie „cool“ 😉

Contra Fingerabdruck:
-erschwingliche Technik wird nicht soooo korrekt arbeiten dass es jedesmal auf Anhieb klappt. Somit dauert es länger bis man drin ist
-was wenn man unterwegs ist, Notebook zuhause, man ruft die Frau an weil man Daten benötigt aber sie ist nicht im System hinterlegt und kommt somit nicht rein? Hm, blöd.

hm…ich bleib lieber beim guten, alten Passwort 😉

Carsten am 20. Juni 2014 um 10:44 Uhr

Aus meiner Sicht ist das kein Grund zur Panik und ich halte TouchID für besser als keinen Code zu verwenden bzw. eine simplen vier stelligen.
Wenn ich hier so einige Kommentare lesen, dann stell ich mir das Leben derer sehr lustig vor –> immer ein Tuch dabei, um die Fingerabdrücke von allen angefassten Gegenständen abzuwischen oder zu verwischen. Ich glaube manche nehmen sich hier für viel zu wichtig. Wenn ich will dann bekomme ich auch euren Code / Passwort vom Smartphone durch Beobachtung, stehle es danach und schon hab ich euch.

Kreditkarte mit Fingerabdruckscanner? › Cyber Security Blog am 25. Januar 2015 um 11:33 Uhr

[…] gleichen Schlüssel verwenden würde und wüsste, er ist irgendwo im Umlauf. In meinem Artikel „Fingerabdruck oder Passwort – was ist sicherer?“ bin ich auf die Problematik bereits näher […]

Schreibe einen Kommentar!

Hilfe zum Kommentieren und Hiweise

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen, eine Gefährdung anderer Besucher darstellen oder keinen sinvollen Inhalt beinhalten, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und damit ich direkt Kontakt aufnehmen kann. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.