You're not connected to the Internet.
Know-how

Security risk fingerprint and iris scanners

Fingerprint scanners are the quickest way to unlock your phone, but they are certainly not the most secure. Iris scanners carry even more of a security risk. Here, we give you the low-down on the role your finger plays in security, Switzerland’s take on the legal side of things and why the peace sign can jeopardise your security.

These days, fingerprint technology is the established way to unlock smartphones. Devices without such a scanner seem old-fashioned or technologically inferior. But experts in the field of information security are horrified when they think about the advances in biometric data as an authentication factor. The term ‘biometric data as an authentication factor’ is pretty useless anyway, as no one understands it. This is what it really means:

  • Biometric data: any part of your body that can somehow deliver unique data. We’re talking fingerprints, iris, brain waves, dental images , DNA, your voice, etc.
  • Authentication factor: something that you use to access a protected area or service. This could be a key, PIN, badge, password, etc.

In this article, I’ll be talking about biometric data from fingerprints and occasionally from the iris. The reason I’m mentioning both is that all arguments for and against fingerprints can, with a bit of thought, apply to the iris as well.

The great uncertainty surrounding fingerprints

On TV and in films it’s easy to fake a fingerprint. You just need a bit of powder and sticky tape. Sometimes even wax and face powder will do the job. But surely it’s not as straightforward as that in real life, is it?

That’s right, because you definitely need a bit of time and a DIY store (or just trusted Galaxus). Hacker Jan Kirssler, alias Starbug from Chaos Computer Club, is the expert when it comes to faking fingerprints. In one particular video he demonstrates how he leverages an iPhone’s biometric sensor with the simplest means.

The problem is not just that fingerprints are relatively easy to leverage. There is also the issue of threat analysis. Experience has shown that threat analysis is something many companies and private users treat as secondary in importance. They often mention Russian hackers and Chinese state hacking without really giving it much thought. In everyday terms, that is like saying “But I don’t have anything to hide” or “Who wants my photos anyway?”. Most people don’t give it a moment’s thought or stop to consider what might get damaged if they were hacked.

Essentially, a threat analysis is the well-researched answer to the question “What happens if a security measure fails?”. For example, what if a fingerprint is faked? This is closely followed by questions like “What happens if all my photos in iCloud or my Google Drive are made public?” Do you really mean to say that wouldn’t be embarrassing? My colleague recently mentioned the time when she had naked photos of herself on Google Drive. They were only intended for her boyfriend but Google was nice enough to copy them to her Drive via Photos App.

Fingerprint technology allows anyone to access those naked selfies on your iPhone. Is that something you want? “Definitely not!” my colleague exclaimed. There you go. Threat analysis. “Well, I wouldn’t be too bothered about photos of me in my underwear being published. Because they were already staged and everything. But the photos I took to help me with my diet… that would be embarrassing,” she added.

The good news is that my colleague’s ‘in the buff’ problem can be easily solved.

Now that we know it’s possible to falsify a fingerprint with wood glue and we’ve thought about where and how it can be accessed and by whom, we’re ready for the next step.

You only have a limited number of fingers

A password is a dynamic object. That means that you can change it as often as you need to. It doesn’t matter if you have 123456, yA3XKdpa or CorrectBatteryStapleHorse as a password. What is important is that you can change it as often as you want. You can change your password strategy or even the length, numbers and punctuation marks. It only takes a few seconds.

Original by Randall Monroe/xkcd

It’s not the same story when it comes to your fingerprints. You only get 10 fingerprints, which have to last you a lifetime. Bear in mind that they don’t normally change. Now imagine your fingerprint were stolen – you would always have a security issue. Should the attacker go to the effort of stealing all your fingerprints then this authentication method is over for you.

If you still want to use a touch sensor, you’re asking for esoteric solutions. You have 10 toes you could still scan, and you have two eyes for the iris scanner. On a less serious note, men have another option. Ladies, I’m afraid this one isn’t open to you.

And yes, that does actually work

What started as a joke lead to research and Reddit User tested various different body parts.

  • The small toe works really well.
  • The elbow couldn’t be registered. It started well, but then the sensor didn’t want to play along.
  • The tongue didn’t work, no matter how wet it was.
  • The left testicle could be registered but there were problems when it came to using it to unlock the device.
  • Both nipples worked, even if only one was registered to the device.

It gets worse – a hacker doesn’t even need your phone any more

In the video above, attackers need to have your smartphone. Whether they steal it or briefly borrow it is of no relevance, as demonstrated by hacker Starbug’s new attack. He can capture fingerprint data from a decent, high-definition photograph and then recreate it using the technology shown above.

This is what he did two years ago. The Japan Times recently disclosed that there are now new and shocking ways of capturing biometric data. Researchers at Japan’s National Institute of Informatics (NII) were able to recreate fingerprints in laboratory conditions. They managed to capture data when they were three meters away from their target. To put this in context, Starbug used a photograph of German Defence Secretary Ursula von der Leyen from the Internet and got his tools from a DIY store. His research showed he could capture fingerprint data for authentication from a distance of seven meters.

However, the focus of the Japan Times wasn’t on photographs that can be used to extract fingerprints. Instead, this was the key takeaway from their article:

But NII says it has developed a transparent film containing titanium oxide that can be attached to fingers to hide their prints, the reports said.

The risk of being photographed by HD cameras and having fingerprints stolen seems to be so great that Japan is now researching and discovering countermeasures.

What the law in Switzerland has to say about it

As far as security goes, you can be forced to unlock your smartphone using fingerprint technology, but you don’t have to divulge a password. Just saying ;).

This is the comment user bluefisch200 left in response to my article on Speed tuning for Android. When I asked for a source, bluefisch200 sent me a link to online magazine Mashable, which reported that an American judge was the first to legally rule on classifying and differentiating fingerprints:

  • Passwords, PINs and samples are knowledge and therefore protected by the Fifth Amendment in the US.
  • Fingerprints are evidence like DNA or a physical key, which citizens can be compelled to hand over.

Bluefisch200 concluded that the same applies in Switzerland.

“That is not the case“, says Martin Steiger, a lawyer at a law office in Zurich, who specialises in digital cases. He found the precedent in the US fascinating but explained that it did not directly apply to Swiss law. This means that the US precedent can’t automatically be used in similar cases in Switzerland.

Swiss police can’t force you to unlock your phone. Image: Kapo ZH / Facebook

On the contrary: “No one is obliged to unlock their phone if they are asked to, whether by using a password or fingerprint technology”, says Steiger. Even a search warrant could be contested. However, Steiger is not as yet aware of any fingerprint cases in Switzerland. He assumes that the country’s law enforcement agencies have already considered this. Explaining further, he says that if the police captured a ‘voluntarily’ unlocked phone, the evidence could not necessarily be used in court.

The situation is similar when it comes to taking fingerprints. The police are allowed to take your fingerprints, but you can refuse. With the relevant decision, the public prosecutor’s office can later request your fingerprints as a coercive measure. However, according to Steiger, even once the police have successfully taken fingerprints, they are not allowed to use them to unlock a phone. This is as far as Starbug’s method can go. “However, the rule of law in Switzerland often adopts a ‘the end justifies the means’ approach. This is why I would not be surprised if a dummy finger for unlocking devices were permitted by law”, says Steiger.

But the lawyer warns that "The police often ask defendants for their passwords and PIN during their first contact. Or later on they may ask them to unlock the phone using fingerprint technology." But these questions don’t have to be answered. When in doubt, defendants should at the very least refuse to give information and not unlock their phone. Steiger explains that they don’t need to give a reason, as the maxim “No person is to be compelled to accuse themselves” applies in a constitutional state.

You may find this interesting:

meitu_teaser_0221.jpeg
Know-how
Dominik Bärlocher

Dominik Bärlocher

Senior Editor

To user profile
  • 44 33

Sicherheitswarnung: Meitu – Die App schleudert deine persönlichen Daten nach China

381A028021.jpeg
Know-how
Dominik Bärlocher

Dominik Bärlocher

Senior Editor

To user profile
  • 26 17

WhatsApp-Sicherheitslücke – Der Erfinder spricht über «fundamentales Problem der Kryptographie»

whatsapp_teaser21.jpeg
Know-how
Dominik Bärlocher

Dominik Bärlocher

Senior Editor

To user profile
  • 35 44

Sicherheitslücke in WhatsApp – Forscher entdeckt Hintertür, Facebook ist es egal

User

Dominik Bärlocher

Journalist. Author. Hacker. My subjects generally revolve around Android or Apple’s iOS. I also feel strongly about IT security. In this day and age, privacy is no longer a minor matter but a strategy for survival.

73 comments

User Shiga

1-Faktor Authentisierungen sind und bleiben unsicher, besser 2-3 Faktor Authentisierungen.

27.01.2017
Report abuse

You must log in to report an abuse.

User arthurfrey

Zum Handy entsperren eine besätigungs SMS versenden, ah ne moment.

30.01.2017
Report abuse

You must log in to report an abuse.

User alvincita

This article is just adding fear to 99% of the readers who won't be targeted by someone with the amount of equipment like shown in he first video to hack their phone.
Maybe if you are a Russian drug lord with millions and a lot of ilegal stuff you might want to take extra precautions of what you store and make accesible from your phone.

For the rest of the world a fingerprint on the iPhone is really safe.

For the rest of your digital world use complex pass and 2FA.

08.02.2017
Report abuse

You must log in to report an abuse.

User alvincita

Something went wrong with the above comment and is strangely translated. I will paste it from another user, but it would be cool to be able to edit your own comments.

08.02.2017
Report abuse

You must log in to report an abuse.

User alvincita

This article is just adding fear to 99% of the readers who won't be targeted by someone with the amount of equipment like shown in he first video to hack their phone.
Maybe if you are a Russian drug lord with millions and a lot of ilegal stuff you might want to take extra precautions of what you store and make accesible from your phone.

For the rest of the world a fingerprint on the iPhone is really safe.

For the rest of your digital world use complex pass and 2FA.

08.02.2017
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User XXXXXX

Übrigends Finger können auch abgehackt werden. Dein Gehirn zu entnehmen führt wahrscheinlich zur Löschung aller Daten? Wobei der Fortschritt bei der Gehirnwellen auslesung in den Letzten Jahren auch beachtliche Erfolge erziehlte^^

27.01.2017
Report abuse

You must log in to report an abuse.

User SRR24x7

Genau, jetzt kommen die neusten Fahrzeuge mit Internetzugriff (tip: "jeep hack" im Netz suchen) und in ein paar Jahren kommen dann die Chips fürs Hirn. So direkt mit Internetzugriff und Recordern, damit der Staat jederzeit überprüfen kann was du die letzten sechs Monate gemacht hast. :D

29.01.2017
Report abuse

You must log in to report an abuse.

User Anonymous

Hey, so unrealistisch ist das gar nicht: aktuelle Herzschrittmacher haben alle einen WLAN-Zugang. Und da der ganze Schrittmacher von den Behörden zertifiziert und freigegenben werden muss, kann man nicht einfach Sicherheitspatches einspielen. Neu-Zertifizierungen dauern ewig und kosten ne Menge Geld...

26.02.2017
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User retofischer

Wir sollten aber dennoch das Szenario "Gezielter Angriff" von dem sehr viel wahrscheinlicheren Szenario "Gerät verloren" unterscheiden. Und als Sicherheit, dass bei letzterem nicht jeder an seine Daten kommt ist der Fingerabdruck Scanner der Geräte durchaus eine geeignete Massnahme.

28.01.2017
Report abuse

You must log in to report an abuse.

User jeevanandk

Blöd nur befinden sich diese genau auf dem verlorenen Gerät, während ein Passwort nicht beiliegen sollte. Wer einen da bestiehlt weiss man auch nicht.

30.01.2017
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User Drachenherz

Dominik, danke für den interessanten Artikel. Jetzt kann ich ja endlich damit aufhören, mein iPhone in der Öffentlichkeit mit meinem Penis zu entsperren - eine Erleichterung. :-D :-D (Was hab ich bei dem Abschnitt gelacht :'-) )

28.01.2017
Report abuse

You must log in to report an abuse.

User BlackHeart

Frage: Musstest du die Hoden jeweils auch randrücken? :-)

29.01.2017
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User kochasiech

Wie stehts mit "Windows Hello?" Auch eine schlechte Idee?

27.01.2017
Report abuse

You must log in to report an abuse.

User Dominik Bärlocher

Bei der Gesichtserkennung stellen sich die selben Fragen, wie bei jedem anderen Biometrie-Faktor auch:

* Wie viele Gesichter hast du?
* Wie einfach kannst du dein Gesicht wechseln?

Softwareseitig kann viel erreicht und verschlüsselt und so werden, aber wenn der verschlüsselte Faktor unsicher ist, dann nutzt das alles wenig. Ein Beispiel. Wenn du als Passwort einfach den Buchstaben "a" nimmst, dann kannst du den noch so gut verschlüsseln, geknackt wird das Ding mit relativer Leichtigkeit.

27.01.2017
Report abuse

You must log in to report an abuse.

User shoffmeister

Die Anzahl der Instanzen des Faktors ("wie viele Gesichter") ist irrelevant. Die entscheidende Frage ist, wie gut die Kontrolle über den Faktor ist.

Ich zeige das Abbild meines Gesichtes jeden Tag in der Öffentlichkeit, ich fasse alles mögliche an - mithin verliere ich unmittelbar und sofort die Kontrolle über wesentliche Aspekte des Faktors und hänge davon ab, dass der Schutzgeber (Biometrie-Sensor) sinnvoll funktioniert.

28.01.2017
Report abuse

You must log in to report an abuse.

User shoffmeister

Gesicht wechseln? Wozu? Dann auch Gehirn wechseln bei Passwort-Wechsel?

Die Staatsparanoia im Artikel ist sinnfrei - es wird genügend Akteure geben, welche bei hinreichender Motivation den (Schutz)Faktor extrahieren können, ob man will oder nicht. Ob das mit etwaigen *Grundrechten* vereinbar ist, ist davon komplett losgelöst. Ein mit Grundrechten kompatibler Faktor kann einfach auch nur der Buchstabe "a" als Kennwort sein. Grundrechte haben aber nichts mit technischem Schutz zu tun.

28.01.2017
Report abuse

You must log in to report an abuse.

User BlackHeart

Ok, ok aber Gesichtzüge nachzubauen und ein Auge 1:1 nachzubauen ist ja wohl etwas schwieriger als ei Fingerabdruck vom selbigen Smartphone zu fälschen...

28.01.2017
Report abuse

You must log in to report an abuse.

User shoffmeister

Wozu _nachbauen_? Dumme Sensoren verwenden nur ein plattes Bild im sichtbaren Spektrum.

Vernünftige Sensoren validieren mehr - Wärme (im für Menschen nicht sichtbaren Spektrum), Pulsschlag (mit Dynamik über Zeit), Tiefeninformation (quasi 3D via z.B. time-of-flight), elektrischer Widerstand (ist das Haut oder Plastik?) ...

Billiger wird es so nicht, höchstens zuverlässiger.

Und nun versuchen wir bei feuchtem Zürcher Hochnebel und Sackkälte mit dem linken Daumen die Haustür aufzusperren...

28.01.2017
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User winters3

Sehr für Artikel, der vielen die Augen öffnen sollte.

27.01.2017
Report abuse

You must log in to report an abuse.

User matrixo

So ein Mist... als ob dass jeder könnte. Und die vielen Geräte hat msn ja immer dabei 😝

28.01.2017
Report abuse

You must log in to report an abuse.

User ursdaniel

Der aufwand so einen fingerabdruck kopie zu machen ist so gross,das können die meisten gar nicht,auch mit dem video.
Und was ist an einem handy intressand wenn ich es verliere oder es wegkommt,sperre i h es eh so schnell wie möglich,und wichtige daten habe ich auf dem handy nicht also easy nehmen.oder gibt es leute die so vor angst dirchs leben gehen

30.01.2017
Report abuse

You must log in to report an abuse.

User winters3

versuch doch über euren Teller hinaus zu denken..um euer Konto leerzuräumen, oder eure Identität anzumnehmen sind viele sehr einfallsreich.Nur weil ihr nichts zu schützen habt, respektive denkt zu haben, ist eure Haltung fahrlässig und etwas anhnungslos...

30.01.2017
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User prim-o-o-sqw

Und warum genau sollten Iris-Scanner noch schlimmer sein? Fakten bitte.

27.01.2017
Report abuse

You must log in to report an abuse.

User BlackHeart

Iris Scanner sind bestimmt nicht unsicherer als Fingerabdrücke, welche übrigens genau auf dem Gerät zu finden sind welches geknackt werden soll..

28.01.2017
Report abuse

You must log in to report an abuse.

User SRR24x7

Nicht schlimmer, sondern hat schlicht die gleichen Probleme.
Theoretisch noch schlechter, da man nur zwei Iriden hat aber praktisch vorteilhaft, da die Augen in der Regel keine Gegenstände berühren und quasi Kopien hinterlassen.
(Deinen Fingerabdruck kann ich an praktisch jedem Gegenstand den du in der Hand hattest sichern.)

28.01.2017
Report abuse

You must log in to report an abuse.

User BlackHeart

Eben, sage ich ja... Kopiere Mal Gesichtszüge und Auge. Wesentlich schwieriger als Fingerabdrücke. Auch wenn man alles knacken kann wen man möchte, der Iriscan ist m.M. deutlich sicherer.

29.01.2017
Report abuse

You must log in to report an abuse.

User SRR24x7

Von "wesentlich schwieriger" und "deutlich sicherer" würde ich keines falls sprechen.
Das ganze Thema um biometrische Daten galt mal als revolutionär, so einmalige Merkmale direkt am Körper., mit denen man einen Menschen sofort und eindeutig identifizieren kann.
Irgendwann hat man dann aber gemerkt, dass das eben doch nicht so das gelbe vom Ei ist und sich teilweise extrem leicht knacken lässt.

29.01.2017
Report abuse

You must log in to report an abuse.

User SRR24x7

Seit wenigen Jahren sind wir jetzt am Punkt angekommen, dass jeder mit einfachsten Mitteln Fingerabdrücke kopieren kann. Gute Kamera, schnell etwas basteln und los gehts.
Dennoch verwenden Kriminologen diese weiterhin jeden Tag. Ich warte nur noch darauf, bis jemand irgendwann "eindeutig" einem Verbrechen überführt wird, obwohl er ein wasserdichtes Alibi hat, dank gefälschten Fingerabdrücken möglich.
Und es ist nur eine Frage der Zeit bis gleiches mit der Iris passieren wird.

29.01.2017
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User jörgkaufma

Gut zu wissen und wichtig, dass das Problem diskutiert wird. Mein Prinzip: Auf mobile Geräte, welche ich ausser Haus nehme kommen keine heikle Daten. Auch über Email, WhatsApp, etc. werden keine heikle Daten übertragen. Sie bleiben separiert, sind wo nötig extra gesichert, auch wenn es unbequem ist.

28.01.2017
Report abuse

You must log in to report an abuse.

User SRR24x7

Och Email ist kein Problem, einfach S/MIME oder PGP verwenden, dann geht das schon.
WhatsApp ist natürlich keine gute Idee aber es gibt bessere Alternativen. Die wohl naheliegenste ist Signal (da praktisch identisch, WhatsApp benutzt immerhin das Signal Protokoll, auch wenn das viele nicht wissen) aber das geht bis zu XMPP basierten System runter, gibt viel Auswahl.
Mobile Geräte einfach mit einem anständigen Passwort schützen. (Und kein Muster oder Pin!) :)

28.01.2017
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User Anonymous

Sind neuere iPhones auch noch so einfach knackbar? Die letzten Berichte findet man von iPhone 6.

iPhone 6s und iPhone 7 haben ja TouchID Generation 2... dazu finde ich bisher keine Infos.

27.01.2017
Report abuse

You must log in to report an abuse.

User BlackHeart

Regel Nr. 1: Hände Weg von Apple.

29.01.2017
Report abuse

You must log in to report an abuse.

User Spl4tt

TouchID Gen2 ist genau auch ein optischer Sensor, daher wohl genau gleich einfach zu knacken. Schwieriger zu knacken wirds erst bei kapazitiven Sensoren und erst recht bei Ultraschall Sensoren (Welche hoffentlich bald standard sind)

30.01.2017
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User beginner99

Einfach ist relativ. Das ganze Video ist wie im CSI wo Analysen die in Realität Tage und Wochen dauern in 5 sek. erledigt sind. Durchaus möglich das die wochenlang geprobt haben, um diese Technik zu optimieren. Das Risiko hier ist eher klein, da jemand es gezielt auf mich abgesehen haben muss.

28.01.2017
Report abuse

You must log in to report an abuse.

User beginner99

...und wenn man im Visier von Hackern ist, dann dürfte der Fingersprint-Scanner das kleinste Problem sein. Viel schlimmer sind Software oder hardware Sicherheitslücken, wo man ungezielt die Masse angreifen kann. Da kann es jeden Treffen. Also für die Breite Masse sehe ich kein Problem, als Promi/Politiker usw. würde ich aber mehr Vorsicht walten lassen.

28.01.2017
Report abuse

You must log in to report an abuse.

User shoffmeister

Bester Schutz: Angriffsfläche minimieren, unter dem Radar bleiben, den Anreiz für targetted und splatter Angriffe minimieren.

Wenn das, warum auch immer, nicht mehr geht (Reiche, Politiker, Straftäter, Terroristen), dann wird es ... teuer, aufwendig, mühsam.

28.01.2017
Report abuse

You must log in to report an abuse.

User SRR24x7

Ja du gehst in der Masse unter.
Gut nur, dass der neben dir auch so denkt. Und der direkt eins weiter auch noch.
Somit spielt es keine Rolle wen ich mir als Ziel auswähle, weil alle sich sagen "mich trifft es eh nicht". Und am Ende erwischt es dann eben doch dich. Tja Pech gehabt. :P
Dank Leuten wie dir geht den Kriminellen wenigstens nie die Arbeit aus. Sonst wäre die auch noch arbeitlos, echt schlimm das. :D

29.01.2017
Report abuse

You must log in to report an abuse.

User beginner99

Kriminelle Hacker, die einfach Geld machen wollen, gehen auf die Masse oder vielleicht in sehr selten Fällen auf einen "high-roller". Letzteres bin ich nicht und bin sicherer unterwegs als die Masse. Ist Ihnen klar wieviele Leute gar keine Sicherheit auf dem Smartphone haben und wieviele nur ein Muster? Selbst der Pin ist nicht toll, da man den auch sehen kann durch mehr Dreck auf dem Display an den bestimmten stellen. Fingerprint sensor ist da def. besser.

30.01.2017
Report abuse

You must log in to report an abuse.

User beginner99

Einen wird es Treffen, aber ist wie beim Autofahren. Man kann beeinflussen, wie gross das Risiko ist, getroffen zu werden. Ein Restrisiko bleibt aber immer ausser man verzichtet aufs Internet oder Auto.

30.01.2017
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User CGiBiNx64

*Thumbs up*
Guter Artikel, vielen Dank! Hier könnte sich manche Seite ein riesen Stück abschneiden davon :)
So über alles möchte ich evt. nur noch anfügen, das Passwort Bild mit "AlphaWaschmaschineRoomZero" sollte mit etwas Vorsicht angeschaut und weiteres darüber recherchiert werden.

28.01.2017
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User Anonymous

Gleich neben dem Link zu diesem Artikel macht Digitec Werbung für Chrome OS und im Sortiment sind lauter Smartphones mit Fingerabdruck-Scanner. Auch finde ich gewisse Absätze in diesem Artikel für einen Onlineshop unpassend, zumal ich selber von Digitec für einen Kommentar verwarnt wurde.

29.01.2017
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User bkeleanor

"In einem Video demonstriert er, wie er mit einfachsten Mitteln...." Dude! echt jetzt. Ich habe nicht eines der Geräte die er benutzt um den Dummy herzustellen. Ausserdem bezweifle ich, dass man vom Gerät einen so schönen Fingerabdruck bekommt wie im Video dargestellt.

30.01.2017
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User shoffmeister

Dass Bioemetrie schwierig ist, weiss man seit Spione Augäpfel auf Kugelschreiber in Iris-Scanner halten -
schneier.com/blog/archives/...

Was aber hat das zu tun mit Akteuren (z.B. Staatsgewalt), welche die Herausgabe von Informationen erzwingen wollen?

28.01.2017
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User begg2k10

Ist meines Erachtens eher theoretisch orientiert und in der Praxis kaum anwendbar. Hacker habens auf die Masse abgesehen und nicht auf Einzelfälle - also ist dieses Szenario eher weniger massentauglich (Aufwand zu gross).

28.01.2017
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User user137

Anhand des Artikels scheint ein Pattern oder ein PIN mehr sicher zu sein - blöd ist nur, das diese 2 kann man eventuell mitschauen, als sie eingetippt werden.... Fingerprint ist nicht ganz so einfach. Vielleicht mal weniger CSI schauen ;-) eventuell wichtige daten mit zusätzlichen Passwort sichern.

28.01.2017
Report abuse

You must log in to report an abuse.

User jeevanandk

Aber man kann ihn jederzeit und unlimitiert abändern. Den Fingerabdruck findet man überall auch am Gerät selbst.

30.01.2017
Report abuse

You must log in to report an abuse.

User FIFAADG

....können schon, wird aber praktisch kaum gemacht. Die meisten Leute haben 2-3 unkomplizierte Passwörter (auf alle benutzte Dienste). Diese sind viel weniger sicher als einen Fingerabdruck.

30.01.2017
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User Mr.Shin-Chan

Nun wer D*ckpics von mir sehen will, nur zu. Aber mal ganz ehrlich, hätte ich solche schlimmen sensiblen Daten, würde ich schauen, dass ich die Daten unwiederherstellbar vernichten würde und das ohne am Speichermedium zu sein. Als Staatsfeind hätte ich auch kein FB oder Google/Apple-Konto...

28.01.2017
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User SRR24x7

Für mich nichts neues, da kommt ihr schon zwei Jahre zu spät, ich habe die Präsentation auf der 31C3 damals live gesehen. (33C3 letzten Monat war auch wieder interessant.) Aber trotzdem schön, dass Digitec das Thema mal noch etwas bekannter macht. Ich empfehle einen Passwortmanager zu benutzen. ;)

28.01.2017
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User BlackHeart

Es wäre schön wenn der Verfasser Stellung zu seiner Einleitung nehmen würde. Ich möchte Fakten sehen und hören warum der Iris-Scan (HP Elite x3, Lumia 950, Windows Hello) mit Augen und Gesichtzugerkennung "noch schlimmer" sein soll als Fingerabdruckscanner. Fakten her!

29.01.2017
Report abuse

You must log in to report an abuse.

User BlackHeart

Wie hier bereits desöfteren erwähnt: Einen Fingerabdruck zu fälschen geht einfach. Auge und Gesichtszüge in 3D nachzubauen dürfte wohl echt niemand machen wollen und können. Oder warum soll der Irisscan schlimmer sein? Weil wir zwei Augen und zehn Finger haben? Bullshit

29.01.2017
Report abuse

You must log in to report an abuse.

User Dominik Bärlocher

Hey Blackheart und Co

Ich bin damit einverstanden, dass die Iris wesentlich komplexer zu fälschen ist als ein Fingerabdruck. Genau wie ich damit einverstanden bin, dass ein 10 Zeichen langes Passwort mit Zahlen und Sonderzeichen schwerer zu knacken ist als ein 8 Zeichen langes. Das Problem hast du selbst schon erkannt: Du gehst schon gar nicht davon aus, dass die Iris unfälschbar ist.

Das führt zu einer Reihe Problemen:

* Wenn jemand zu einer deiner Augen Zugang hat, hat er in der Regel Zugang zu beiden
* Auf Fotos ist in der Regel auch immer mehr als ein Auge
* Die der Biometrie inhärenten Probleme bestehen weiter
* Augen sind noch schwieriger auszutauschen als die Fingerabdrücke
* Du hast zwei Augen, aber zehn Finger

Was ich in den Kommentaren hier rauslese, ist dass viele Sicherheit von der Komplexität des Authentisierungsfaktors abhängig machen. Dem ist aber nur so lange so, wie er nicht geknackt wird. Sobald das der Fall ist, dann ist die Komplexität zweitrangig und die Änderung des Faktors hat oberste Priorität. Körperteile zu ändern, ist wesentlich schwieriger als von tM6PtKVjUe zu sCAd55LTQC zu wechseln.

30.01.2017
Report abuse

You must log in to report an abuse.

User lukasgabi6

Das ist doch aber nur ein Problem wenn biometrische Authentisierung die einzige möglichkeit ist, oder verstehe ich das falsch?

Und dass Passwörter sicherer sind ist ja eigentlich ein altes Thema, das Problem ist ja immer ein abwägen von Sicherheit vs Convenience. Fingerprint sensoren haben wahrscheinlich unter dem Strich im Schnitt alle Smartphones und PCs sicherer gemacht, wenn man bedenkt dass viele zuvor gar keine Sperre am Gerät hatten.

31.01.2017
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User schrottbox83

Danke für diesen Bericht.
Anmerkung: Wir alle geben brav unsere Fingerabdrücke im Pass, oder bei der nächsten Einreise in gewisse Länder ab (Datenbanken). Wenn dann in Zukunft Kreditkarte, Bankkonto, Wohnung, Auto, Handy, PC, etc per Finger frei wird, viel Spass. Hoffen wir die IT ist nicht vom VBS.

05.02.2017
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User Chreguva

Ich will, dass keiner mit meinem Handy telefoniert wenn es gestohlen wird. Mehr Sicherheit brauche ich wirklich nicht.

27.01.2017
Report abuse

You must log in to report an abuse.

User Darkflame_11

^hat nicht verstanden.

28.01.2017
Report abuse

You must log in to report an abuse.

User GrafChromato

^hat den Spass am Exhibitionismus noch nicht entdeckt... :-D

28.01.2017
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment


Please log in.

You have to be logged in to create a new comment.

Corporate logo