GlobalSign Blog

04 Feb 2016

Was Sie bei biometrischer Authentifizierung bedenken sollten

Das Prinzip des 'Einloggens' wird schon lange mit der Eingabe eines Passwortes gleichgesetzt. Ein Passwort zu besitzen, das man im Gedächtnis behalten kann, wurde als Goldstandard angesehen, bis Hacker in der Lage waren, dieses zu erraten oder zu cracken. Darüber hinaus wählen wir gerne Passwörter, die zu einfach sind wie 'Passwort' oder den Namen unserer Katze oder unseres Kindes oder unseren Geburtstag. Und wir neigen dazu, für alle unsere Konten das gleiche Passwort zu verwenden. Es ist viel aufwendiger sich eine Anzahl von Passwörtern zu merken, als nur ein Passwort für alles zu verwenden. Dies erleichtert zwar unser Leben, aber es macht auch einem Hacker das Leben leichter.

Als Ergebnis daraus wurde die Idee geboren, sich über neuere Wege zu authentifizieren. Wie wäre es, wenn Sie sich statt mit 'etwas, was Sie kennen' einzuloggen, sich mit 'etwas, was Sie sind' (biometrische Daten) oder 'etwas, was Sie tun' (Verhaltensdaten) einloggen? Es sind diese Überlegungen die die Identity und Access Management (IAM) Technologie weiterentwickelt haben.

Unternehmen wie Meontrust bieten komfortable Möglichkeiten, um über die Funktionen Ihres Geräts die biometrische Authentifizierung für Online-Dienste zu implementieren. Das biometrische Verfahren kann durch die Verwendung einer IAM-Lösung leicht mit anderen Methoden kombiniert werden.

Es ist für größere Unternehmen heutzutage nicht mehr ungewöhnlich, Zugang zu ihren Netzwerken mit einer Smartcard oder einem Fingerabdruck-Lesegerät sowie einem Passwort zu geben. In der Verbraucherwelt kommen auch vermehrt neue Authentifizierungsmethoden zum Einsatz, wie beispielsweise das Scannen von Fingerabdrücken bei unseren mobilen Geräten. Denken Sie an das iPhone und das innovative Touch-ID.

Wie sicher ist es, sich mit einem Fingerabdruck einzuloggen?

Biometrische Daten sollten tatsächlich als Benutzernamen und nicht als Passwörter angesehen werden. Nur als Beispiel: Das Einloggen in ein Konto mit einem Fingerabdruck kann riskant sein. Hier sind ein paar Dinge, die Sie beachten sollten, bevor Sie für sich oder Ihr Unternehmen biometrische Authentifizierung einrichten.

Biometrische Daten können gestohlen werden

Hat man Ihnen schon einmal gesagt, dass Sie Ihre Passwörter nicht aufschreiben sollen, da sie sonst gestohlen werden könnten? Sie hinterlassen Ihre Fingerabdrücke überall und Ihr Fingerabdruck kann genauso einfach gestohlen werden. Das glauben Sie nicht?

Schauen Sie sich dieses Video vom Chaos Computer Club an, wie Touch ID auf einem iPhone5s gehackt wird.

Man könnte meinen, dass beim iPhone6 die Sicherheit verbessert wurde. Aber tatsächlich scheint es so, dass nichts getan wurde, um das Problem zu beheben. Um sich in Ihr Handy einzuhacken müsste natürlich auch Ihr Handy gestohlen worden sein. Aber die Technologie ist einfach einzusetzen und dies könnte bedeuten, dass Ihr Gerät gefährdet sein könnte, sobald es gestohlen wurde.

Es wurde auch entdeckt, dass Ihr Fingerabdruck durch Fotografien gestohlen werden kann. Das bedeutet, dass Sie noch nicht einmal etwas berühren müssen, um gefährdet zu sein. Sie müssen nur ein hochauflösendes Bild von Ihrem Fingerabdruck irgendwo online gespeichert haben.

Biometrische Daten sind schwer zurückzusetzen

Untersuchungen zur Sicherheit haben Methoden gezeigt, mit denen man biometrische Daten aus der Ferne abfragen kann, ähnlich wie ein Keylogger Tastatureingaben aufzeichnet. Wenn biometrische Daten kompromittiert werden, können die Folgen weitreichend sein. Wenn ein Kennwort kompromittiert wird, können Sie es zurücksetzen. Wenn Ihr Fingerabdruck kompromittiert wird, brauchen Sie für den Reset ein scharfes Messer - und das verbessert nicht die Kundenerfahrung. Andere biometrische Daten, wie beispielsweise Blutgefäßmuster, Netzhaut, EKG-Muster etc. sind noch schwieriger zu ändern bzw ist dies sogar unmöglich.

Biometrische Daten sind 'etwas, was Sie sind' und nicht 'etwas, was Sie kennen'

Es gibt darüber hinaus rechtliche Erwägungen bei der Verwendung von biometrischen Daten als Verfahren der Ein-Faktor-Authentifizierung. Diese Überlegungen sind von Land zu Land verschieden. Beispielsweise schützt Sie in den Vereinigten Staaten der 5. Verfassungszusatz davor, dass Sie bei einer Verkehrskontrolle das Passwort für Ihr Handy preisgeben müssen. Wenn Sie aber einen Fingerabdruck-Scanner bei Ihrem Handy verwenden, sind Sie nicht geschützt und Sie können gezwungen werden, Ihr Handy mit Ihrem Fingerabdruck zu entsperren. Dies liegt an den rechtlichen Unterschieden zwischen 'etwas, was Sie kennen' und 'etwas, was Sie sind'.

Biometrische Daten haben Falschakzeptanzraten

Bei biometrischen Daten gibt es immer eine Falschakzeptanzrate (FAR) oder eine Falschrückweisungsrate (FRR). Die FAR besagt, wie oft jemand, der nicht anerkannt werden sollte, tatsächlich anerkannt wurde. Die meisten biometrischen Systeme behaupten, dass ihre FARs in den Bereichen von 1 zu 10.000 bis 1 zu 1.000.000 liegen.

Ein Hacker kann eine Kopie der vom System gesammelten biometrischen Merkmale eines Benutzers verwenden, um gefälschte biometrische Daten zu erstellen, die das Einloggen ermöglichen. Dies nennt man einen physikalischen Spoof-Angriff und kann mit einem Hacker verglichen werden, der jemanden beim Aufschreiben seines Passworts beobachtet und dieses kopiert.

Wenn ein Hacker keinen Zugang zu den biometrischen Merkmalen (Ihrem Fingerabdruck) hat, kann er immer noch Zugang erhalten, indem er ein gefälschtes biometrisches Merkmal durch intelligentes Raten (mit komplexen Algorithmen) erstellt oder indem er eine echte Probe von ungültigen Benutzern verwendet. Dies kann man sich so vorstellen, als wenn man ein Wörterbuch verwendet, um Ihr Passwort herauszufinden.

Empfehlungen für die Verwendung biometrischer Daten

Auch mit den obigen Überlegungen im Hinterkopf soll dies nicht heißen, dass biometrische Daten keinen Platz im Identity und Access Management (IAM) haben. Biometrische Daten stellen einen komfortablen zusätzlichen Faktor bei der Authentifizierung Ihrer Identität oder für den Zugang zu sicheren Daten, wie Ihrem privaten Schlüssel, dar. Genauso gut könnten Sie auch ein Zertifikat verwenden, um Ihre Identität oder sogar ein Mobiltelefon zu authentifizieren. Im Optimalfall würden Sie ein System implementieren, das wie folgt aussieht:

  • Das System fährt bis zu einem Willkommens-Bildschirm hoch, der keine Benutzer-ID zeigt. Dies würde die Wahrscheinlichkeit reduzieren, einen Benutzernamen zu erraten.
  • Wischen Ihres Fingerabdrucks oder Scannen Ihrer Netzhaut loggt Sie nicht in Ihr System ein. Dies würde nur Ihre Benutzer-ID aufrufen. Noch einmal: Biometrische Daten sind Ihre Identität. Sie könnten hier auch Zertifikate als eine Form der ID einfügen. Lesen Sie dieses Whitepaper zu Zertifikatbasierter Authentifizierung für weitere Informationen.
  • Nachdem jetzt Ihre Benutzer-ID auf dem Bildschirm steht, können Sie sich zur stärkeren Authentifizierung mit 'etwas, was Sie kennen oder haben' authentifizieren. Die maskierte Benutzer-ID schafft eine zusätzliche Sicherheitsebene.

Biometrische Daten sind bequem und es gibt viele leichter greifbare Ziele für Leute mit kriminellen Neigungen. Sie sollten vor der Implementierung von biometrischen Daten zur Ein-Faktor-Authentifizierung unbedingt die rechtlichen Konsequenzen und Risikofaktoren, die mit dieser Methode verbunden sind, kennen. Biometrische Verfahren sind in der Regel einfach für den Endanwender und können die Kundenerfahrung verbessern. Mit einer IAM-Lösung können Sie die geeignete Methode zur Authentifizierung eines Benutzers wählen - von sozialen Identitäten bis hin zu Smartcards. Biometrische Daten können eine Alternative sein, oder neben anderen Methoden als zusätzlicher Faktor fungieren.

Laden Sie unser Whitepaper herunter und erfahren Sie mehr über Identity und Access Management für das Extended Enterprise.

von Lea Toms

Artikel teilen

Jetzt Blog abonnieren