Biometrische Authentifizierung

Sicherer als Passwörter?

Verwenden Nutzer Passwörter, die sie sich gut merken können, sind diese meist auch einfach zu er­raten. Hacker haben dann leichtes Spiel. Da bietet sich die biometrische Authentifizierung, die gegenüber Kennwörtern als ­sicherer gilt, geradezu an. Doch wie zuverlässig und anfällig für ­Manipulationen sind diese Systeme?

Iris-Scan

Doch wie anfällig für ­Manipulationen sind biometrische Authentifizierungssysteme wie der Iris-Scan?

Der Kombination aus Nutzername und Passwort – etwa für den Log-in bei Internetdiensten oder für den Zugriff auf private sowie unternehmenseigene Hardware und Daten – mangelt es seit einiger Zeit an Komfort und Sicherheit. Aufgrund der Menge an PINs und Kennwörtern neigen viele Nutzer dazu, eine besonders einprägsame Version zu verwenden und dann auch gleich für alle erdenklichen Seiten und Profile. Oder, wenn doch eine ausgeklügelte Kombination aus Ziffern und Buchstaben gewählt wird, die sich nicht mehr ohne weiteres merken lässt, auf einem Post-it zu notieren. Eine Mehrheit der Smartphone-Nutzer verwendet erst gar keine Sperre, weil die PIN-Abfrage zu lange dauert oder zu umständlich ist.

So kommt es, dass die biometrische Erkennung – also die Identifizierung anhand eindeutiger und individueller biologischer Merkmale wie dem Fingerabdruck, der Augeniris und Netzhaut oder Stimme – an Beliebtheit zunimmt. Die Vorteile liegen auf der Hand: Das Auswendiglernen von Passwörtern ist passé und die Eindeutigkeit ist scheinbar auch gleich mitgegeben. Schließlich lassen sich anhand biologischer Merkmale Menschen zweifelsfrei identifizieren. Denn jedes biometrische Muster ist einmalig auf der Welt und somit personengebunden, also auch nicht übertragbar. Anders als PIN-Nummern, die jederzeit an andere weitergegeben werden können.

Verfahren, die das Passwort ersetzen

Der Einsatz eines Fingerabdrucksensors ist das am häufigsten verwendete Verfahren.  Bekannt geworden durch die Strafverfolgung, existiert es seit rund 100 Jahren und hat längst Einzug im Massenmarkt erhalten. Kaum ein Hardware-Hersteller – sei es Smartphone, Tablet oder Notebook – verzichtet heute auf die Funktion der Touch-ID, der im mobilen Alltag eine entscheidende Rolle zukommt. Statt das Gerät mit einem Passwort zu entsperren, gewährt jener Fingerabdruck mit den richtigen Fingerrillen den Zugang. Da jeder Fingerabdruck einzigartig ist, beweist er mit hoher Wahrscheinlichkeit die Identität des Nutzers.

Bei diesem Vorgang scannen Sensoren auf Basis von kapazitiver, optischer, thermischer oder Ultraschalltechnik innerhalb von Sekunden die sogenannten Minutien, also Linienverläufe, Wirbel, Schlingen oder Verzweigungen des Fingerabdrucks. Allgemein sind 14 Minutien ausreichend, um diese mit vorhandenen Referenzdaten zu vergleichen und einen Menschen zweifellos zu identifizieren.

Die Zuverlässigkeit der in gängigen Geräten verwendeten Sensoren ist jedoch umstritten und der Schutz somit fraglich. Vor allem das Smartphone ist übersät mit Fingerabdrücken, die z. B. nach einem Diebstahl einfach kopiert und zum Einlesen manipuliert werden können. Ganz zu schweigen davon, dass auf dem Sensor selbst ein Abdruck hinterlassen wird, von dem ein Duplikat erzeugt werden kann. Kritisch ist auch die Tatsache, dass die biometrischen Daten auf dem Gerät selbst oder mitunter sogar in der Datenbank des Herstellers gespeichert werden. Somit lässt sich niemals ganz ausschließen, dass die Daten in die falschen Hände geraten.

Ganz ähnlich funktioniert eine Gesichtserkennung: Hochauflösende Kameras scannen das Gesicht einer Person, mithilfe von Bildanalyseverfahren und Algorithmen werden spezielle Attribute, die sich über die Mimik nicht verändern, also obere Kante der Augenhöhlen, Wangenknochen oder Mundpartie, mit dem Originalbild abgeglichen. Häufig kommt dabei das Elastic-Graph-Matching zum Einsatz, bei dem ein Gitternetz über das Gesicht gelegt wird, um Referenzmerkmale zu erfassen.

Ein drittes Verfahren, bei dem auf einen Scan-Vorgang gesetzt wird, fokussiert die Iris oder Netzhaut (Retina). Dabei erfasst ein Infrarotlicht Muster und Textur der Iris. Weil sich die Struktur im Laufe eines Lebens nicht verändert, soll die Fälschungssicherheit höher sein als beispielsweise beim Fingerabdruck. Dennoch ist Manipulation möglich, denn der Scanner kann nicht immer zwischen einem echten Gesicht und einer hochauflösenden Fotografie unterscheiden.

Eine der wenigen nichtvisuellen Methoden ist die Sprach- und Stimmerkennung, die durch die individuelle Ausprägung von Stimmbändern sowie Mund, Nase und Lippen möglich wird. Gemessen und abgeglichen werden die Tonvibrationen der Stimme bei festgelegten Wörtern oder ganzen Sätzen. Einen Schwachpunkt stellt die empfindliche Akustik dar, die durch mögliche Hintergrundgeräusche gestört ist.

Vielfältige Anwendungsszenarien

Galten Irisscanner am Eingang hochsicherer Gebäude in Filmen vor einigen Jahren noch als Science-Fiction-Technologie, gehören sie heute zur Praxis. Neben Samsung setzt auch Microsoft mit Windows Hello wahlweise auf den Iris- bzw. Gesichtsscann der Nutzer. Nötig sind dafür spezielle (Infrarot-)Kameras, die beispielsweise anhand kleiner Bewegungen wie einem Zwinkern ein reales Gesicht von einem Foto unterscheiden können.

Doch die Einsatzszenarien sind längst nicht mehr auf den physischen Zugang – etwa im Fitnessstudio oder bei Dauerkarten für Stadien und Zoos – beschränkt. Auch andere Geschäftsbereiche und der Verbraucher selbst haben – spätestens seit Einführung des biometrischen Personalausweises, bei dem die Fingerabdrücke hinterlegt werden können – das Potential der Biometrie erkannt. So interessieren sich Kunden beispielsweise zunehmend für das bezahlen per Fingerabdruck. Eine repräsentative Befragung im Auftrag des Bitkom hat ergeben, dass sich bereits 81 Prozent der Deutschen vorstellen können, in Zukunft mit dem Fingerabdruck bargeldlose Bezahlvorgänge abzusichern. Gut ein Drittel (36 Prozent) würden den Iris-Scan des Auges nutzen, um eine Zahlung zu autorisieren. Und einer Überprüfung anhand des Stimmprofils würde knapp ein Viertel (22 Prozent) zustimmen.

Dies ist ein Artikel aus unserer neuen Print-Ausgabe. Bestellen Sie ein kostenfreies Probe-Abo frei Haus.

Mastercard gab bereits im Frühjahr bekannt, künftig die Verifikation für Online-Transaktionen per Selfie zu ermöglichen. Durch das Blinzeln auf dem Foto soll vermieden werden, das ein Bild vor die Kamera gehalten wird. So wolle man für Kunden Passwörter und Zahlencodes überflüssig machen. Google hingegen erprobt seit einigen Monaten das Verfahren „Hands Free Payment“. Käufer müssen dem Händler gegenüber nur äußern „Ich zahle mit Google“. Portemonnaie und Smartphone bleiben in der Tasche, anhand der Initialen und einem hinterlegten Portraitfoto lässt sich die Identität überprüfen.

Sicherheitsbedenken sind groß

Biometrische Verfahren dienen vor allem dem Komfort, als alleinige Authentifizierung sind sie nur bedingt tauglich und eingeschränkt zuverlässig. Der Chaos Computer Club hat mehr als einmal vorgeführt, wie sich das Touch-ID am iPhone austricksen lässt. Daher sollten die biologischen Merkmale nicht als Passwortersatz betrachtet, sondern bereits eine Stufe vorher, als Benutzername oder -ID, eingesetzt werden. Schließlich handelt es sich um Kennzeichen der Identität. Also lieber auf eine Kombination aus Passwort und Biometrie zurückgreifen, denn eine Zwei-Faktor- oder Multifaktor-Authentifizierung erhöht den Schutz. Darüber hinaus müssen Unternehmen Sorge tragen, dass die hinterlegten Daten sicher übertragen und gespeichert werden. Gelangt ein Hacker an die vom System gesammelten Informationen, gelingt es mit mehr oder weniger aufwendigen Verfahren, eine Fälschung anzulegen. Vorfälle, bei denen Millionen von Datensätzen mit Fingerabdrücken geklaut wurden, sind bereits aus den USA bekannt.

Wird ein Kennwort kompromittiert, kann dieses  unkompliziert zurückgesetzt werden. Wird jedoch der Fingerabdruck gehackt, ist das schon schwieriger. Nahezu aussichtlos ist es, wenn der Netzhautscan in die falschen Hände gerät. Aus diesem Grund sind rechtliche Vorgaben zum Datenschutz biometrischer Daten notwendig und Unternehmen wie Verbraucher sollten sich Gedanken darüber machen, welche persönlichen Erkennungszeichen in der digitalen Welt gespeichert werden sollen.


Bildquelle: Thinkstock/ iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok