Fingerabdrücke sind auch nicht sicher

07.03.2006
Microsofts "Fingerprint Reader" verschlüsselt nicht das eingescannte Bild des Fingerabdricks.

Das Erfassen der Kapillaren auf der Fingerkuppe galt bisher eigentlich als eine sichere Methode, um die Identität des Users zu verifizieren. Nun hat aber ein finnischer Forscher auch dieses System umgangen. Er zeigte, wie man einen Fingerabdruck "stehlen" kann und demonstrierte es auf dem Microsoft "Fingerprint Reader", also an einem Authentifizierungsgerät, das der Konzern bereits seit September 2004 vertreibt.

Eigentlich verhindert der Fingerprint Reader, dass nicht autorisierte Personen Zugriff auf den daran angeschlossen PC erhalten, aberMicrosoft hat es nicht als ein Security-Gerät vermarktet sondern als ein Werkzeug zum bequemen Zutritt zu abgesicherten Websites - ohnen sich Kennungen und Passwörter merken zu müssen. In der Tat, Microsoft warnt sogar auf der eigenen Website, den Fingerprint Reader nicht zum Schutz von sensitiven Daten zu verwenden.

Dies wollte Mikko Kiviharju, ein Forscher beim finnischen Heer, genauer unter die Lupe nehmen. In der vergangenen Woche statt gefundenen Black Hat Europe-Konferenz berichtete er, dass das vom Fingerabdruckscanner aufgenommene Bild nicht verschlüsselt wird. Damit könnte es Hacker sehr einfach stehlen und missbrauchen, um sich etwa in den PC einloggen.

Werkzeuge, die so etwas ausspionieren, gibt es genug am Markt: so genannte "sniffer" erschnüffeln sich den gesamten Datenverkehr. "Der Microsoft Fingerprint Reader kann so leicht gehackt werden", glaubt Kiviharju. Sobald sich der Dieb im Besitz des unverschlüsselten Fingerabdrucks befindet, erhält er nicht nur Zugang zum PC des Bestohlenen, sondern kann sich auch auf sein Online-Bank-Konto zugreifen.

Zur Startseite