Du bist nicht mit dem Internet verbunden.
Wissen

Sicherheitsrisiko Fingerabdruck

Der Fingerabdruckscanner ist die schnellste Methode, das Smartphone zu entsperren, aber definitiv nicht die sicherste. Noch schlimmer sind Iris-Scanner. Ein Blick auf die Sicherheitsfeatures deiner Finger, den Rechtsraum Schweiz und warum das Victory-Zeichen zum kompletten Verlust deiner Sicherheit führen kann.

Mittlerweile hat sich der Fingerabdruck als Mittel zur Entsperrung von Smartphones etabliert. Geräte ohne entsprechenden Scanner gelten als altmodisch oder technologisch unterlegen. Experten in Punkto Information Security aber läuft es eiskalt den Rücken runter, wenn sie an den Fortschritt der biometrischen Daten als Authentifizierungsfaktor denken. Und «Biometrische Daten als Authentifizierungsfaktor» ist ein blöder Begriff, weil den versteht eh keiner. Also, Erklärung.

  • Biometrische Daten: Alles, was in deinem Körper ist und irgendwie einzigartige Daten liefern kann. Also Fingerabdrücke, Iris, Gehirnströme, Zehenabdrücke, DNA, deine Stimme etc.
  • Authentifizierungsfaktor: Etwas, das du benutzt, um auf einen geschützten Raum oder geschützten Dienst zugreifen zu können. Zum Beispiel Schlüssel, PIN, Badge, Passwort etc.

In diesem Artikel rede ich über die biometrischen Daten von Fingerabdrücken und ein bisschen über Iris, weil alle Argumente für und gegen die Fingerabdrücke können mit wenig Umdenken auch auf die Iris angewendet werden.

Die grosse Unsicherheit der Fingerabdrücke

In Film und Fernsehen ist es ein Leichtes, einen Fingerabdruck zu imitieren. Irgendwas mit Staub und Tesafilm. Manchmal sogar mit Wachs oder Gesichtspuder. Im echten Leben kann das aber nicht so einfach sein, oder?

Richtig, denn du brauchst etwas Zeit und einen Baumarkt (oder das Angebot von Galaxus). Hacker Jan Krissler alias Starbug vom Chaos Computer Club ist Experte auf dem Gebiet des Fingerprint Fakings. In einem Video demonstriert er, wie er mit einfachsten Mitteln den biometrischen Sensor des iPhones aushebelt.

Das Problem liegt aber nicht nur darin, dass der Fingerabdruck relativ einfach auszuhebeln ist, sondern in einer Threat Analysis. Eine solche Bedrohungsanalyse ist etwas, das viele Firmen und Privatnutzer erfahrungsgemäss etwas stiefmütterlich behandeln. Oft werden dann Sachen wie «russische Hacker» und «chinesisches Staatshacking» erwähnt, das aber unreflektiert und ohne gross weiterzudenken. Im Alltag ist das eher etwas wie «Aber ich habe ja nichts zu verbergen» oder «Wer will schon an meine Fotos ran?» auch wieder ohne einen Hauch kritischen Hintergedanken und ohne den Gedanken daran, was denn kaputt ist, wenn es denn passieren würde.

Im Wesentlichen ist eine Threat Analysis die gut erforschte Antwort auf die Fragen «Was passiert, wenn eine Sicherheitsvorkehrung scheitert?» Also, was, wenn dein Fingerabdruck gefälscht wird? Dicht gefolgt von Fragen wie «Was wenn alle meine Bilder in meiner iCloud oder meinem Google Drive öffentlich sind?» Willst du mir ehrlich sagen, dass das nicht peinlich wäre? Meine Kollegin hat vor kurzem Nacktbilder von sich selbst auf Google Drive erwähnt. Sie sind zwar für ihren Freund gedacht aber Google hat die netterweise via Photos App in ihre Drive kopiert.

Per Fingerabdruck auf dem Handy kann jeder auf ihre Nacktselfies zugreifen. Will sie das? «Definitiv nicht», sagt sie. Voilà, threat analysis. «Naja, die Bilder in Unterwäsche würden mich jetzt nicht so stören, wenn sie öffentlich wären. Weil sie sind schön inszeniert und alles. Aber die Bilder, die ich für mein Diätprojekt gemacht habe… die wären peinlich», fügt sie an.

Das Nackedei-Problem meiner Kollegin kann aber einfach gelöst werden.

nas_cableporn_e21.jpeg
Wissen
Dominik Bärlocher
Dominik Bärlocher
Dominik Bärlocher
Editor
  • 81Artikel geschrieben
  • 0Fragen gestellt
  • 1Fragen beantwortet
  • 0Bewertungen geschrieben
  • 0Bewertungen kommentiert
  • 0Diskussionen gestartet
  • 0Beiträge geschrieben
Mehr Infos...
  • 20 27

Nach dem Dropbox-Hack: Die Cloud im Eigenheim

Gut, jetzt wo wir mit Holzleim einen Fingerabdruck fälschen können und uns Gedanken darüber gemacht haben, wo wer wie auf was zugreifen soll, kann oder darf, gehen wir einen Schritt weiter.

Du hast eine begrenzte Anzahl Finger

Ein Passwort ist ein dynamisches Objekt. Will heissen, dass du das beliebig oft verändern kannst. Ob du jetzt 123456 als Passwort hast, yA3XKdpa oder CorrectBatteryStapleHorse ist egal. Wichtig ist, dass du dein Passwort beliebig oft ändern kannst. Du kannst deine Passwortstrategie ändern, die Länge, die Zahlen und Satzzeichen. Das alles kannst du innerhalb weniger Sekunden tun.

Original von Randall Monroe/xkcd

Deine Fingerabdrücke hingegen nicht. Du hast genau zehn Fingerabdrücke und die werden dir dein Leben lang erhalten bleiben. Sie ändern sich unter normalen Umständen nicht. Daher: Wenn dir dein Fingerabdruck einmal gestohlen wird, dann ist der für immer unsicher. Wenn ein Angreifer sich also die Mühe macht, dir all deine Fingerabdrücke zu klauen, dann ist die Authentifizierungsmethode für dich gestorben.

Wenn du aber mit dem Abdrucksensor weitermachen willst, dann sind esoterischere Lösungen gefragt. Da wären zehn Zehen, die du noch scannen könntest. Zwei Augen für den Iris-Scanner. Auf einer etwas weniger ernsthaften Seite: Männer haben eine Runde extra. Frauen, ihr habt da leider das Nachsehen.

Und ja, das funktioniert tatsächlich

Aus diesem Witz ist dann Recherche geworden und Reddit User haben allerlei andere Körperteile getestet.

  • Der kleine Zeh funktioniert super
  • Der Ellbogen konnte nicht registriert werden. Zu Beginn ging das gut, dann aber hat der Sensor nicht mehr mitgemacht
  • Zunge funktioniert nicht, egal wie nass sie ist
  • Linker Hoden wird zwar registriert, aber beim Entsperren gab es Probleme
  • Brustwarzen funktionieren beide, selbst wenn nur eine im Gerät registriert wurde

Es wird schlimmer: Ein Hacker braucht nicht mal mehr dein Telefon

Im obigen Video muss ein Angreifer dein Smartphone haben. Ob er das stiehlt oder kurz ausleiht, spielt keine Rolle. Denn Hacker Starbug hat eine neue Attacke aufgezeigt: Er kann deine Fingerabdrücke aus einem anständig hochauflösenden Foto auslesen und dann mittels oben gesehener Technik nachbilden.

Das hat er vor zwei Jahren geschafft. Jüngst hat die Japan Times enthüllt, dass das nun neu und schockierend möglich sei. Forscher am Japan’s National Institute of Informatics (NII) haben das unter Laborbedingungen hingekriegt. Bis auf eine Distanz von etwa drei Meter sei das möglich. Zum Vergleich: Starbug hat sich ein Bild der deutschen Verteidigungsministerin Ursula von der Leyen aus dem Internet gezogen und war im Baumarkt. Seine Forschung ergibt, dass er aus einer Distanz von bis zu sieben Metern für die Authentisierung brauchbare Fingerabdrücke auslesen kann.

Aber eigentlich geht es der Japan Times gar nicht um die Fotos, die zu Fingerabdrücken führen. Denn dieser Nebensatz dürfte hier wohl der wichtigste sein:

But NII says it has developed a transparent film containing titanium oxide that can be attached to fingers to hide their prints, the reports said.

Das NII schreibt im Report, dass es einen durchsichtigen Film entwickelt hat, der Titanoxid enthält. Er kann an Fingern befestigt werden und verdeckt Fingerabdrücke

Die Gefahr, von HD-Kameras aufgenommen zu werden und so den Fingerabdrücken beraubt zu werden, ist anscheinend so gross, dass bereits jetzt Gegenmassnahmen gesucht und gefunden werden.

Das Recht in der Schweiz

Nur so....zum entsperren des Smartphones mittels Fingerabdrucks kann man gezwungen werden, bei einem Passwort muss man dies jedoch nicht nennen. Nur so zum Thema Sicherheit ;)

Dieser Kommentar wurde von User bluefisch200 auf meinen Text zum Thema Speed-Tuning für Android hinterlassen. Als ich nach einer Quelle gefragt habe, hat mir bluefisch200 einen Link zum Onlinemagazin Mashable geschickt, in dem von einem amerikanischen Richter berichtet wird, der als erster die legale Klassifizierung und Differenzierung von Fingerabdrücken amtlich hat werden lassen:

  • Passwörter, PIN und Muster sind Wissen und daher vom 5. Zusatzartikel zur Verfassung der Vereinigten Staaten geschützt.
  • Fingerabdrücke sind Beweismittel wie DNA oder ein physischer Schlüssel, deren Herausgabe erzwungen werden kann

Bluefisch200 schliesst daraus, dass das in der Schweiz auch so ist.

«Dem ist nicht so», sagt Martin Steiger. Er ist Anwalt mit Kanzlei in Zürich, der sich auf Fälle im digitalen Raum spezifiziert hat. Der Präzedenzfall aus den USA sei spannend, betreffe aber nicht direkt den schweizerischen Rechtsraum und könne deshalb nicht einfach eins zu eins auf die Schweiz angewendet werden.

Die Schweizer Polizei darf dich nicht zwingen, dein Handy zu entsperren. Bild: Kapo ZH / Facebook

Im Gegenteil: «Niemand muss sein Handy entsperren, wenn er oder sie dazu aufgefordert wird, egal ob mit Passwort oder Fingerabdruck», sagt Steiger. Sogar ein entsprechender Durchsuchungsbefehl könne theoretisch angefochten werden, wobei ihm aber noch kein Fingerabdruck-Fall in der Schweiz bekannt sei. Er gehe aber davon aus, dass sich den Strafverfolgungsbehörden diese Frage in der Schweiz schon gestellt habe. Selbst wenn die Polizei auf ein «freiwillig» entsperrtes Handy zugreifen könne, heisse das noch nicht, dass die Beweise vor Gericht verwertet werden könnten.

Ähnlich verhält es sich mit der Abnahme von Fingerabdrücken: Die Polizei darf die Fingerabdrücke abnehmen, doch du kannst dich weigern. Dann kann die Staatsanwaltschaft das mit einem entsprechenden Entscheid als Zwangsmassnahme nachholen. Doch trotz der Abnahme der Abdrücke dürfe die Polizei sie, so Steiger, nicht verwenden, um ein Handy zu entsperren. Also scheitert Starbugs Methode spätestens da. «Aber: Der Schweizer Rechtsstaat nimmt oft die Haltung ‹Der Zweck heiligt die Mittel› ein. Daher wäre ich nicht überrascht, wenn eine zum Entsperren verwendete Fingerattrappe vor Gericht für zulässig erklärt würde», sagt Steiger.

Doch der Anwalt warnt: «Häufig fragt die Polizisten schon beim Erstkontakt mit Beschuldigten nach Passwörtern und PIN. Oder auch danach, dass ein Handy mit Fingerabdruck entsperrt wird.» Diese Fragen müssen aber nicht beantwortet werden. Im Zweifelsfall sollten Beschuldigte zumindest vorläufig die Aussage verweigern und ihr Handy nicht entsperren. Dafür brauche es keinen Grund, denn in einem Rechtsstaat gelte der Grundsatz: «Keiner ist verpflichtet, sich selbst zu belasten».

Das könnte dich auch interessieren

meitu_teaser_0221.jpeg
Wissen
Dominik Bärlocher
Dominik Bärlocher
Dominik Bärlocher
Editor
  • 81Artikel geschrieben
  • 0Fragen gestellt
  • 1Fragen beantwortet
  • 0Bewertungen geschrieben
  • 0Bewertungen kommentiert
  • 0Diskussionen gestartet
  • 0Beiträge geschrieben
Mehr Infos...
  • 45 33

Sicherheitswarnung: Meitu – Die App schleudert deine persönlichen Daten nach China

381A028021.jpeg
Wissen
Dominik Bärlocher
Dominik Bärlocher
Dominik Bärlocher
Editor
  • 81Artikel geschrieben
  • 0Fragen gestellt
  • 1Fragen beantwortet
  • 0Bewertungen geschrieben
  • 0Bewertungen kommentiert
  • 0Diskussionen gestartet
  • 0Beiträge geschrieben
Mehr Infos...
  • 25 14

WhatsApp-Sicherheitslücke – Der Erfinder spricht über «fundamentales Problem der Kryptographie»

whatsapp_teaser21.jpeg
Wissen
Dominik Bärlocher
Dominik Bärlocher
Dominik Bärlocher
Editor
  • 81Artikel geschrieben
  • 0Fragen gestellt
  • 1Fragen beantwortet
  • 0Bewertungen geschrieben
  • 0Bewertungen kommentiert
  • 0Diskussionen gestartet
  • 0Beiträge geschrieben
Mehr Infos...
  • 35 44

Sicherheitslücke in WhatsApp – Forscher entdeckt Hintertür, Facebook ist es egal

phishing_teaser21.jpeg
Wissen
Dominik Bärlocher
Dominik Bärlocher
Dominik Bärlocher
Editor
  • 81Artikel geschrieben
  • 0Fragen gestellt
  • 1Fragen beantwortet
  • 0Bewertungen geschrieben
  • 0Bewertungen kommentiert
  • 0Diskussionen gestartet
  • 0Beiträge geschrieben
Mehr Infos...
  • 233 60

Auf der Spur der digitec Phishing Mails

digitec_phishing_mails21.jpeg
Wissen
Dominik Bärlocher
Dominik Bärlocher
Dominik Bärlocher
Editor
  • 81Artikel geschrieben
  • 0Fragen gestellt
  • 1Fragen beantwortet
  • 0Bewertungen geschrieben
  • 0Bewertungen kommentiert
  • 0Diskussionen gestartet
  • 0Beiträge geschrieben
Mehr Infos...
  • 275 82

Was die digitec Phisher wirklich wollen

Image sizer
Produktwissen
Dominik Bärlocher
Dominik Bärlocher
Dominik Bärlocher
Editor
  • 81Artikel geschrieben
  • 0Fragen gestellt
  • 1Fragen beantwortet
  • 0Bewertungen geschrieben
  • 0Bewertungen kommentiert
  • 0Diskussionen gestartet
  • 0Beiträge geschrieben
Mehr Infos...
  • 25 19

Blackphone 2 – Ein Android-Smartphone für die Sicherheit

User

Dominik Bärlocher

Journalist. Autor. Hacker. Meine Themen haben meist mit Android oder Apples iOS zu tun. Auch die IT-Security liegt mir am Herzen, denn in unserer Zeit ist der Datenschutz keine Nebensache mehr, sondern eine Überlebensstrategie.

72 Kommentare

User Shiga

1-Faktor Authentisierungen sind und bleiben unsicher, besser 2-3 Faktor Authentisierungen.

27.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User arthurfrey

Zum Handy entsperren eine besätigungs SMS versenden, ah ne moment.

30.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User alvincita

This article is just adding fear to 99% of the readers who won't be targeted by someone with the amount of equipment like shown in he first video to hack their phone.
Maybe if you are a Russian drug lord with millions and a lot of ilegal stuff you might want to take extra precautions of what you store and make accesible from your phone.

For the rest of the world a fingerprint on the iPhone is really safe.

For the rest of your digital world use complex pass and 2FA.

08.02.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User alvincita

Something went wrong with the above comment and is strangely translated. I will paste it from another user, but it would be cool to be able to edit your own comments.

08.02.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User alvincita

This article is just adding fear to 99% of the readers who won't be targeted by someone with the amount of equipment like shown in he first video to hack their phone.
Maybe if you are a Russian drug lord with millions and a lot of ilegal stuff you might want to take extra precautions of what you store and make accesible from your phone.

For the rest of the world a fingerprint on the iPhone is really safe.

For the rest of your digital world use complex pass and 2FA.

08.02.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User retofischer

Wir sollten aber dennoch das Szenario "Gezielter Angriff" von dem sehr viel wahrscheinlicheren Szenario "Gerät verloren" unterscheiden. Und als Sicherheit, dass bei letzterem nicht jeder an seine Daten kommt ist der Fingerabdruck Scanner der Geräte durchaus eine geeignete Massnahme.

28.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User jeevanandk

Blöd nur befinden sich diese genau auf dem verlorenen Gerät, während ein Passwort nicht beiliegen sollte. Wer einen da bestiehlt weiss man auch nicht.

30.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Anonymous

Übrigends Finger können auch abgehackt werden. Dein Gehirn zu entnehmen führt wahrscheinlich zur Löschung aller Daten? Wobei der Fortschritt bei der Gehirnwellen auslesung in den Letzten Jahren auch beachtliche Erfolge erziehlte^^

27.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User SRR24x7

Genau, jetzt kommen die neusten Fahrzeuge mit Internetzugriff (tip: "jeep hack" im Netz suchen) und in ein paar Jahren kommen dann die Chips fürs Hirn. So direkt mit Internetzugriff und Recordern, damit der Staat jederzeit überprüfen kann was du die letzten sechs Monate gemacht hast. :D

29.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Drachenherz

Dominik, danke für den interessanten Artikel. Jetzt kann ich ja endlich damit aufhören, mein iPhone in der Öffentlichkeit mit meinem Penis zu entsperren - eine Erleichterung. :-D :-D (Was hab ich bei dem Abschnitt gelacht :'-) )

28.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User BlackHeart

Frage: Musstest du die Hoden jeweils auch randrücken? :-)

29.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User kochasiech

Wie stehts mit "Windows Hello?" Auch eine schlechte Idee?

27.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Dominik Bärlocher

Bei der Gesichtserkennung stellen sich die selben Fragen, wie bei jedem anderen Biometrie-Faktor auch:

* Wie viele Gesichter hast du?
* Wie einfach kannst du dein Gesicht wechseln?

Softwareseitig kann viel erreicht und verschlüsselt und so werden, aber wenn der verschlüsselte Faktor unsicher ist, dann nutzt das alles wenig. Ein Beispiel. Wenn du als Passwort einfach den Buchstaben "a" nimmst, dann kannst du den noch so gut verschlüsseln, geknackt wird das Ding mit relativer Leichtigkeit.

27.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User shoffmeister

Die Anzahl der Instanzen des Faktors ("wie viele Gesichter") ist irrelevant. Die entscheidende Frage ist, wie gut die Kontrolle über den Faktor ist.

Ich zeige das Abbild meines Gesichtes jeden Tag in der Öffentlichkeit, ich fasse alles mögliche an - mithin verliere ich unmittelbar und sofort die Kontrolle über wesentliche Aspekte des Faktors und hänge davon ab, dass der Schutzgeber (Biometrie-Sensor) sinnvoll funktioniert.

28.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User shoffmeister

Gesicht wechseln? Wozu? Dann auch Gehirn wechseln bei Passwort-Wechsel?

Die Staatsparanoia im Artikel ist sinnfrei - es wird genügend Akteure geben, welche bei hinreichender Motivation den (Schutz)Faktor extrahieren können, ob man will oder nicht. Ob das mit etwaigen *Grundrechten* vereinbar ist, ist davon komplett losgelöst. Ein mit Grundrechten kompatibler Faktor kann einfach auch nur der Buchstabe "a" als Kennwort sein. Grundrechte haben aber nichts mit technischem Schutz zu tun.

28.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User BlackHeart

Ok, ok aber Gesichtzüge nachzubauen und ein Auge 1:1 nachzubauen ist ja wohl etwas schwieriger als ei Fingerabdruck vom selbigen Smartphone zu fälschen...

28.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User shoffmeister

Wozu _nachbauen_? Dumme Sensoren verwenden nur ein plattes Bild im sichtbaren Spektrum.

Vernünftige Sensoren validieren mehr - Wärme (im für Menschen nicht sichtbaren Spektrum), Pulsschlag (mit Dynamik über Zeit), Tiefeninformation (quasi 3D via z.B. time-of-flight), elektrischer Widerstand (ist das Haut oder Plastik?) ...

Billiger wird es so nicht, höchstens zuverlässiger.

Und nun versuchen wir bei feuchtem Zürcher Hochnebel und Sackkälte mit dem linken Daumen die Haustür aufzusperren...

28.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User winters3

Sehr für Artikel, der vielen die Augen öffnen sollte.

27.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User matrixo

So ein Mist... als ob dass jeder könnte. Und die vielen Geräte hat msn ja immer dabei 😝

28.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User ursdaniel

Der aufwand so einen fingerabdruck kopie zu machen ist so gross,das können die meisten gar nicht,auch mit dem video.
Und was ist an einem handy intressand wenn ich es verliere oder es wegkommt,sperre i h es eh so schnell wie möglich,und wichtige daten habe ich auf dem handy nicht also easy nehmen.oder gibt es leute die so vor angst dirchs leben gehen

30.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User winters3

versuch doch über euren Teller hinaus zu denken..um euer Konto leerzuräumen, oder eure Identität anzumnehmen sind viele sehr einfallsreich.Nur weil ihr nichts zu schützen habt, respektive denkt zu haben, ist eure Haltung fahrlässig und etwas anhnungslos...

30.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User prim-o-o-sqw

Und warum genau sollten Iris-Scanner noch schlimmer sein? Fakten bitte.

27.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User BlackHeart

Iris Scanner sind bestimmt nicht unsicherer als Fingerabdrücke, welche übrigens genau auf dem Gerät zu finden sind welches geknackt werden soll..

28.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User SRR24x7

Nicht schlimmer, sondern hat schlicht die gleichen Probleme.
Theoretisch noch schlechter, da man nur zwei Iriden hat aber praktisch vorteilhaft, da die Augen in der Regel keine Gegenstände berühren und quasi Kopien hinterlassen.
(Deinen Fingerabdruck kann ich an praktisch jedem Gegenstand den du in der Hand hattest sichern.)

28.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User BlackHeart

Eben, sage ich ja... Kopiere Mal Gesichtszüge und Auge. Wesentlich schwieriger als Fingerabdrücke. Auch wenn man alles knacken kann wen man möchte, der Iriscan ist m.M. deutlich sicherer.

29.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User SRR24x7

Von "wesentlich schwieriger" und "deutlich sicherer" würde ich keines falls sprechen.
Das ganze Thema um biometrische Daten galt mal als revolutionär, so einmalige Merkmale direkt am Körper., mit denen man einen Menschen sofort und eindeutig identifizieren kann.
Irgendwann hat man dann aber gemerkt, dass das eben doch nicht so das gelbe vom Ei ist und sich teilweise extrem leicht knacken lässt.

29.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User SRR24x7

Seit wenigen Jahren sind wir jetzt am Punkt angekommen, dass jeder mit einfachsten Mitteln Fingerabdrücke kopieren kann. Gute Kamera, schnell etwas basteln und los gehts.
Dennoch verwenden Kriminologen diese weiterhin jeden Tag. Ich warte nur noch darauf, bis jemand irgendwann "eindeutig" einem Verbrechen überführt wird, obwohl er ein wasserdichtes Alibi hat, dank gefälschten Fingerabdrücken möglich.
Und es ist nur eine Frage der Zeit bis gleiches mit der Iris passieren wird.

29.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User jörgkaufma

Gut zu wissen und wichtig, dass das Problem diskutiert wird. Mein Prinzip: Auf mobile Geräte, welche ich ausser Haus nehme kommen keine heikle Daten. Auch über Email, WhatsApp, etc. werden keine heikle Daten übertragen. Sie bleiben separiert, sind wo nötig extra gesichert, auch wenn es unbequem ist.

28.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User SRR24x7

Och Email ist kein Problem, einfach S/MIME oder PGP verwenden, dann geht das schon.
WhatsApp ist natürlich keine gute Idee aber es gibt bessere Alternativen. Die wohl naheliegenste ist Signal (da praktisch identisch, WhatsApp benutzt immerhin das Signal Protokoll, auch wenn das viele nicht wissen) aber das geht bis zu XMPP basierten System runter, gibt viel Auswahl.
Mobile Geräte einfach mit einem anständigen Passwort schützen. (Und kein Muster oder Pin!) :)

28.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Anonymous

Sind neuere iPhones auch noch so einfach knackbar? Die letzten Berichte findet man von iPhone 6.

iPhone 6s und iPhone 7 haben ja TouchID Generation 2... dazu finde ich bisher keine Infos.

27.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User BlackHeart

Regel Nr. 1: Hände Weg von Apple.

29.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Spl4tt

TouchID Gen2 ist genau auch ein optischer Sensor, daher wohl genau gleich einfach zu knacken. Schwieriger zu knacken wirds erst bei kapazitiven Sensoren und erst recht bei Ultraschall Sensoren (Welche hoffentlich bald standard sind)

30.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User beginner99

Einfach ist relativ. Das ganze Video ist wie im CSI wo Analysen die in Realität Tage und Wochen dauern in 5 sek. erledigt sind. Durchaus möglich das die wochenlang geprobt haben, um diese Technik zu optimieren. Das Risiko hier ist eher klein, da jemand es gezielt auf mich abgesehen haben muss.

28.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User beginner99

...und wenn man im Visier von Hackern ist, dann dürfte der Fingersprint-Scanner das kleinste Problem sein. Viel schlimmer sind Software oder hardware Sicherheitslücken, wo man ungezielt die Masse angreifen kann. Da kann es jeden Treffen. Also für die Breite Masse sehe ich kein Problem, als Promi/Politiker usw. würde ich aber mehr Vorsicht walten lassen.

28.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User shoffmeister

Bester Schutz: Angriffsfläche minimieren, unter dem Radar bleiben, den Anreiz für targetted und splatter Angriffe minimieren.

Wenn das, warum auch immer, nicht mehr geht (Reiche, Politiker, Straftäter, Terroristen), dann wird es ... teuer, aufwendig, mühsam.

28.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User SRR24x7

Ja du gehst in der Masse unter.
Gut nur, dass der neben dir auch so denkt. Und der direkt eins weiter auch noch.
Somit spielt es keine Rolle wen ich mir als Ziel auswähle, weil alle sich sagen "mich trifft es eh nicht". Und am Ende erwischt es dann eben doch dich. Tja Pech gehabt. :P
Dank Leuten wie dir geht den Kriminellen wenigstens nie die Arbeit aus. Sonst wäre die auch noch arbeitlos, echt schlimm das. :D

29.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User beginner99

Kriminelle Hacker, die einfach Geld machen wollen, gehen auf die Masse oder vielleicht in sehr selten Fällen auf einen "high-roller". Letzteres bin ich nicht und bin sicherer unterwegs als die Masse. Ist Ihnen klar wieviele Leute gar keine Sicherheit auf dem Smartphone haben und wieviele nur ein Muster? Selbst der Pin ist nicht toll, da man den auch sehen kann durch mehr Dreck auf dem Display an den bestimmten stellen. Fingerprint sensor ist da def. besser.

30.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User beginner99

Einen wird es Treffen, aber ist wie beim Autofahren. Man kann beeinflussen, wie gross das Risiko ist, getroffen zu werden. Ein Restrisiko bleibt aber immer ausser man verzichtet aufs Internet oder Auto.

30.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User CGiBiNx64

*Thumbs up*
Guter Artikel, vielen Dank! Hier könnte sich manche Seite ein riesen Stück abschneiden davon :)
So über alles möchte ich evt. nur noch anfügen, das Passwort Bild mit "AlphaWaschmaschineRoomZero" sollte mit etwas Vorsicht angeschaut und weiteres darüber recherchiert werden.

28.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Anonymous

Gleich neben dem Link zu diesem Artikel macht Digitec Werbung für Chrome OS und im Sortiment sind lauter Smartphones mit Fingerabdruck-Scanner. Auch finde ich gewisse Absätze in diesem Artikel für einen Onlineshop unpassend, zumal ich selber von Digitec für einen Kommentar verwarnt wurde.

29.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User olivermart

Hi Dominik, danke für deine interessanten Artikel!

30.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User shoffmeister

Dass Bioemetrie schwierig ist, weiss man seit Spione Augäpfel auf Kugelschreiber in Iris-Scanner halten -
schneier.com/blog/archives/...

Was aber hat das zu tun mit Akteuren (z.B. Staatsgewalt), welche die Herausgabe von Informationen erzwingen wollen?

28.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User begg2k10

Ist meines Erachtens eher theoretisch orientiert und in der Praxis kaum anwendbar. Hacker habens auf die Masse abgesehen und nicht auf Einzelfälle - also ist dieses Szenario eher weniger massentauglich (Aufwand zu gross).

28.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User user137

Anhand des Artikels scheint ein Pattern oder ein PIN mehr sicher zu sein - blöd ist nur, das diese 2 kann man eventuell mitschauen, als sie eingetippt werden.... Fingerprint ist nicht ganz so einfach. Vielleicht mal weniger CSI schauen ;-) eventuell wichtige daten mit zusätzlichen Passwort sichern.

28.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User jeevanandk

Aber man kann ihn jederzeit und unlimitiert abändern. Den Fingerabdruck findet man überall auch am Gerät selbst.

30.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User FIFAADG

....können schon, wird aber praktisch kaum gemacht. Die meisten Leute haben 2-3 unkomplizierte Passwörter (auf alle benutzte Dienste). Diese sind viel weniger sicher als einen Fingerabdruck.

30.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Mr.Shin-Chan

Nun wer D*ckpics von mir sehen will, nur zu. Aber mal ganz ehrlich, hätte ich solche schlimmen sensiblen Daten, würde ich schauen, dass ich die Daten unwiederherstellbar vernichten würde und das ohne am Speichermedium zu sein. Als Staatsfeind hätte ich auch kein FB oder Google/Apple-Konto...

28.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User SRR24x7

Für mich nichts neues, da kommt ihr schon zwei Jahre zu spät, ich habe die Präsentation auf der 31C3 damals live gesehen. (33C3 letzten Monat war auch wieder interessant.) Aber trotzdem schön, dass Digitec das Thema mal noch etwas bekannter macht. Ich empfehle einen Passwortmanager zu benutzen. ;)

28.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User BlackHeart

Es wäre schön wenn der Verfasser Stellung zu seiner Einleitung nehmen würde. Ich möchte Fakten sehen und hören warum der Iris-Scan (HP Elite x3, Lumia 950, Windows Hello) mit Augen und Gesichtzugerkennung "noch schlimmer" sein soll als Fingerabdruckscanner. Fakten her!

29.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User BlackHeart

Wie hier bereits desöfteren erwähnt: Einen Fingerabdruck zu fälschen geht einfach. Auge und Gesichtszüge in 3D nachzubauen dürfte wohl echt niemand machen wollen und können. Oder warum soll der Irisscan schlimmer sein? Weil wir zwei Augen und zehn Finger haben? Bullshit

29.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Dominik Bärlocher

Hey Blackheart und Co

Ich bin damit einverstanden, dass die Iris wesentlich komplexer zu fälschen ist als ein Fingerabdruck. Genau wie ich damit einverstanden bin, dass ein 10 Zeichen langes Passwort mit Zahlen und Sonderzeichen schwerer zu knacken ist als ein 8 Zeichen langes. Das Problem hast du selbst schon erkannt: Du gehst schon gar nicht davon aus, dass die Iris unfälschbar ist.

Das führt zu einer Reihe Problemen:

* Wenn jemand zu einer deiner Augen Zugang hat, hat er in der Regel Zugang zu beiden
* Auf Fotos ist in der Regel auch immer mehr als ein Auge
* Die der Biometrie inhärenten Probleme bestehen weiter
* Augen sind noch schwieriger auszutauschen als die Fingerabdrücke
* Du hast zwei Augen, aber zehn Finger

Was ich in den Kommentaren hier rauslese, ist dass viele Sicherheit von der Komplexität des Authentisierungsfaktors abhängig machen. Dem ist aber nur so lange so, wie er nicht geknackt wird. Sobald das der Fall ist, dann ist die Komplexität zweitrangig und die Änderung des Faktors hat oberste Priorität. Körperteile zu ändern, ist wesentlich schwieriger als von tM6PtKVjUe zu sCAd55LTQC zu wechseln.

30.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User lukasgabi6

Das ist doch aber nur ein Problem wenn biometrische Authentisierung die einzige möglichkeit ist, oder verstehe ich das falsch?

Und dass Passwörter sicherer sind ist ja eigentlich ein altes Thema, das Problem ist ja immer ein abwägen von Sicherheit vs Convenience. Fingerprint sensoren haben wahrscheinlich unter dem Strich im Schnitt alle Smartphones und PCs sicherer gemacht, wenn man bedenkt dass viele zuvor gar keine Sperre am Gerät hatten.

31.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User bkeleanor

"In einem Video demonstriert er, wie er mit einfachsten Mitteln...." Dude! echt jetzt. Ich habe nicht eines der Geräte die er benutzt um den Dummy herzustellen. Ausserdem bezweifle ich, dass man vom Gerät einen so schönen Fingerabdruck bekommt wie im Video dargestellt.

30.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User schrottbox83

Danke für diesen Bericht.
Anmerkung: Wir alle geben brav unsere Fingerabdrücke im Pass, oder bei der nächsten Einreise in gewisse Länder ab (Datenbanken). Wenn dann in Zukunft Kreditkarte, Bankkonto, Wohnung, Auto, Handy, PC, etc per Finger frei wird, viel Spass. Hoffen wir die IT ist nicht vom VBS.

05.02.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User 01andiplayz

Titel wenn ich einen Artikel verfassen würde:

"Warum mir diese ganzen Sicherheitsrisiken egal sind"

30.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Chreguva

Ich will, dass keiner mit meinem Handy telefoniert wenn es gestohlen wird. Mehr Sicherheit brauche ich wirklich nicht.

27.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Darkflame_11

^hat nicht verstanden.

28.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User GrafChromato

^hat den Spass am Exhibitionismus noch nicht entdeckt... :-D

28.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.


Bitte melde dich an.

Du musst angemeldet sein, um einen neuen Kommentar zu erfassen.

Corporate logo