Sicherheit

Biometrische Authentifizierung - die bessere Alternative?

17.10.2016
Von Petteri Ilahainen
Gerade für das Online-Banking würden viele Nutzer lieber auf biometrische Authentifizierung für den Zugang setzen als auf ein Passwort. Aber ist das biometrische Verfahren sicherer?
Biometrische Authentifizierung per Fingerabdruck-Erkennung
Biometrische Authentifizierung per Fingerabdruck-Erkennung
Foto: mirtmirt - Shutterstock.com

Wenn man über Multi-Faktor-Authentifizierung spricht, ist damit gemeint, dass für den Identitätsnachweis eines Nutzers mehr als ein Faktor verwendet wird. Ein zweiter Faktor kann beispielsweise ein SMS-Code sein, der an eine registrierte Handynummer des Benutzers gesendet wird. Das bezeichnet man oft auch als Einmal-Passwort. Diese Methode ist zwar sehr verbreitet, aber auch ziemlich anfällig

Man unterscheidet drei Arten von Faktoren:

• Etwas, das Sie kennen (beispielsweise ein Passwort)

• Etwas, das Sie besitzen (ein Token, ein Handy, eine Smartcard)

• Etwas, das Sie sind (etwa ein Fingerabdruck)

Biometrische Daten fallen unter die Kategorie "Etwas, das Sie sind”. Ein Fingerabdruck ist, dank der Verbreitung von Fingerabdruck-fähigen Smartphones auf dem Markt, der mittlerweile am häufigsten verwendete biometrische Faktor.

Weitere Beispiele für biometrische Faktoren sind Gesicht, Netzhaut (Auge), Herzschlag, Stimme, Verhalten – und eines Tages vielleicht sogar die DNA.

Sicherer Weg: Per Fingerabdruck auf Online-Banking zugreifen?

Nehmen wir Apples iPhone als Beispiel. Es gewährt nicht automatisch den Zugriff auf ein Bankkonto. Apple und die entsprechenden Banksysteme arbeiten völlig getrennt voneinander. Wie also die Lücke schließen und den Zugang zu einem Konto per Fingerabdruck gestatten?

Dazu braucht man als erstes einen Identitätsanbieter wie eine der verschiedenen Zertifizierungsstellen. Dieser Anbieter gestattet es einer Bank, auch andere Authentifizierungs-Methoden zu akzeptieren als die eigenen Einmal-Passwort-Generatoren. Als Nächstes braucht man eine App wie MePin auf dem Smartphone. Wenn Sie die App heruntergeladen haben, den Browser starten und dann auf die entsprechende Banking-Website zugreifen, führt der Identitätsanbieter eine sogenannte User Driven Federation durch.

Das heißt, dass der Benutzer sich in der Authentifizierungs-Phase zunächst mit seinen Banking-Zugangsdaten authentifiziert und dann etwas wie die Handynummer eingibt. Der Identitätsanbieter der Bank sendet dann eine Authentifizierungs-Anforderung an die Smartphone-App, die wiederum den Fingerabdruck anfordert. Der Benutzer berührt den dazu vorgesehenen Kreis auf dem eingangs erwähnten iPhone. Dann wird eine Antwort an den Identitätsanbieter gesendet. Et voilà, jetzt kann der Nutzer seinen Fingerabdruck anstatt des Tokens zur Authentifizierung gegenüber der Bank verwenden.

Man könnte nun meinen, der Fingerabdruck sei der Schlüssel, der die Tür zur Website entriegelt. Aber im obigen Szenario ersetzt er lediglich einen PIN-Code. In der App gibt es einen privaten Schlüssel (PKI), der die Antwort an den Identitätsanbieter kryptografisch signiert. Diesen Schlüssel kann man mittels PIN-Code, Fingerabdruck oder Gesichtserkennung schützen. Das ist der korrekte Weg, biometrische Authentifizierung für Online-Dienste zu implementieren. Die biometrischen Daten als solche verbleiben auf dem Gerät.

Vorteil und Nachteil biometrischer Authentifizierung

Ein Nutzer, der sich nicht mit den Details der Sicherheitsvorkehrungen auskennt, vertraut darauf, dass die Bank sich darum kümmert. Komplexe Passwörter, die alle 90 Tage geändert werden müssen, sind ein Albtraum. Und Einmal-Passwort-Token, die Zahlenfolgen mit 6 bis 8 Ziffern generieren, sind auch keine alltagstaugliche Alternative.

Wenn man mithilfe von Biometrie etwas verwenden kann, was man ohnehin dutzende Male am Tag in der Hand hält, wäre das zur Authentifizierung ungleich praktischer.

Häufigster Kritikpunkt in Bezug auf biometrische Daten ist, dass man diese Art von Daten nicht verändern kann. Das stimmt, wenn auch mit kleinen Ausnahmen. Ist aus irgendwelchen Gründen die biometrische Vorlage eines Daumenabdrucks sozusagen durchgesickert, gibt es so etwas wie 'löschbare biometrische Daten' (cancelable biometrics): Die biometrischen Merkmale werden verzerrt und auf eine neue Vorlage abgebildet.

Ein weiterer wunder Punkt ist die Privatsphäre. Nicht jeder will sich bei einem biometrischen System registrieren lassen. Biometrische Daten werden als sehr persönlich empfunden und schon das Registrieren unter Umständen als Eingriff in die Privatsphäre wahrgenommen.

In der Informationssicherheit ist nichts zu 100 Prozent sicher. Sicherheitsforscher haben bereits gezeigt, dass es ziemlich einfach ist, einen biometrischen Sensor zu täuschen. Es empfiehlt sich daher, biometrische Daten wie Benutzernamen und nicht wie Passwörter zu verstehen.

Ein paar Risiken in Kürze skizziert:

Biometrische Daten stehlen?

Es ist kein wirklich neuer Hinweis, Passwörter besser nicht aufzuschreiben. Fingerabdrücke hingegen hinterlassen wir alle überall. Und sie können genauso gestohlen werden wie Passwörter. Wie ein solcher Angriff funktioniert, hat beispielsweise der Chaos Computer Club für Touch ID auf einem iPhone 5S demonstriert. Zwar muss das Gerät dazu gestohlen werden, aber dann ist das Ganze nicht mehr allzu schwierig.

Und auch das ist inzwischen Realität: einen Fingerabdruck durch Abfotografieren zu stehlen. Der physisch hinterlassene Fingerabdruck ist dazu nicht mehr nötig. Es reicht völlig aus, wenn ein hochauflösendes Bild des betreffenden Fingerabdrucks irgendwo online gespeichert ist.

Biometrische Daten sind schwer zurückzusetzen

Inzwischen sind eine ganze Reihe von Methoden bekannt geworden, mit denen sich biometrische Daten kompromittieren lassen. Im März dieses Jahres beispielsweise haben zwei Forscher an der Michigan State University gezeigt, wie sich mithilfe eines Tintenstrahldruckers, einer speziellen Tinte und dem entsprechendem Papier ein Smartphone in 15 Minuten oder weniger hacken lässt. Wird ein Kennwort kompromittiert, lässt es sich zurücksetzen. Bei einem Fingerabdruck ist das nicht unmöglich, aber ungleich komplizierter. Andere biometrische Daten, beispielsweise Blutgefäßmuster, Netzhaut, EKG-Muster, sind noch schwieriger zu ändern. Wenn überhaupt.

Biometrische Daten: 'etwas, das Sie sind' und nicht 'etwas, das Sie kennen'

Es gibt darüber hinaus rechtliche Erwägungen, wenn man biometrische Daten als Verfahren der Ein-Faktor-Authentifizierung verwendet. Die gesetzlichen Vorgaben sind dabei von Land zu Land verschieden. Beispielsweise schützt einen in den Vereinigten Staaten der 5. Verfassungszusatz davor, bei einer Verkehrskontrolle das Handy-Passwort preisgeben zu müssen. Haben Sie aber den Fingerabdruck-Scanner auf dem Smartphone verwendet, kann man Sie tatsächlich dazu zwingen, Ihr Handy mit Ihrem Fingerabdruck zu entsperren. Das liegt an den juristischen Unterschieden zwischen 'etwas, das Sie kennen' und 'etwas, das Sie sind'.

Biometrische Daten und die Falschakzeptanzraten

Bei biometrischen Daten gibt es immer eine sogenannte Falschakzeptanz- (FAR) oder Falschrückweisungsrate (FRR). Die FAR besagt, wie oft jemand, der nicht erkannt werden sollte, dennoch erkannt wurde. Die meisten biometrischen Systeme nehmen für sich FARs in Anspruch, die in den Bereichen von 1 zu 10.000 bis 1 zu 1.000.000 liegen.

Ein Hacker wäre in der Lage, eine Kopie der vom System gesammelten biometrischen Merkmale eines Benutzers zu verwenden, um gefälschte biometrische Daten zu erstellen und sich dann mit diesen Daten einzuloggen. Das bezeichnet man als physikalischen Spoof-Angriff. Man kann sich das in etwa so vorstellen, als wenn man jemanden beim Notieren des Passworts beobachtet und es so kopiert. Hat ein Hacker keinen direkten Zugriff auf biometrische Merkmale, kann er trotzdem mithilfe komplexer Algorithmen und durch intelligentes Raten gefälschtes biometrisches Material erstellen.

Biometrische Daten verwenden – aber wie?

Auch mit den obigen Überlegungen im Hinterkopf soll das nicht heißen, dass biometrische Daten keinen Platz im Identity und Access Management (IAM) haben. Biometrische Daten sind ein durchaus komfortabler zusätzlicher Faktor bei der Authentifizierung und für den Anwender praktisch. Außerdem gibt es wahrlich leichter zu erreichende Angriffsziele.

Trotzdem raten wir dazu, biometrische Daten zum Entsperren von etwas anderem wie beispielsweise einem privaten Schlüssel innerhalb einer PKI zu verwenden. Geht dann ein Gerät verloren, kann man es einfach entfernen und den PKI-Schlüssel sperren. Sich allein auf die biometrische Authentifizierung zu verlassen, hat etwas von „Mission Impossible“. (Macwelt)

Zur Startseite