Security

Mein Körper, das Passwort

Wie viel leichter wäre das Leben, wenn es keine Passwörter oder PINs gäbe? Seine Daten kann man auch anders schützen: mit Biometrie.

11.01.2016
14_Körper Passwort_iStock_000023390459_Large

Hand aufs Herz: Wie viele Ihrer Passwörter, die Sie tagtäglich oder auch nur gelegentlich benötigen, haben Sie im Kopf? Oder haben Sie das ein oder andere vielleicht doch irgendwo auf einem Zettel stehen oder ins Smartphone programmiert? Oder nutzen Sie gar überall dasselbe Passwort? Experten raten zu einzigartigen Zeichenketten, die aus einer bunt zusammengewürftelten Menge an Buchstaben, Zahlen und Sonderzeichen bestehen. Nur: Wer kann sich das alles merken?

Vermutlich ist das auch der Grund, warum in Hitlisten der beliebtesten Passwörter regelmäßig Zeichenfolgen wie „1234“ oder schlicht „passwort“ auf den ersten Rängen landen. Die Bequemlichkeit siegt über die Sicherheit. Das muss aber gar nicht sein. Denn der menschliche Körper bringt von Haus aus bereits einige unverwechselbare Merkmale mit, die – richtig eingesetzt – vor einer Verwechslung schützen und im Zweifel den Zugriff auf sensible Daten sichern.

Allerdings bieten nicht alle Merkmale gleich viel Schutz vor Missbrauch. Die folgende Skala bietet einen kleinen Eindruck davon, welche Merkmale geeignet sind, um damit Schatzkammern zu versiegeln – oder eben eher nicht.

Der Klassiker: der Fingerabdruck (Schutzstufe 1 von 10)
Der Abdruck der Papillarleisten am Endglied unserer Finger ist bei jedem Menschen weltweit einmalig. Kaum verwunderlich, dass die Technologie, mit der sich Fingerabdrücke messen und abgleichen lassen, weit verbreitet ist. Nur sicher ist sie leider nicht. Der Chaos Computer Club bewies bereits 2005 mit einer Attrappe vom Abdruck Wolfgang Schäubles, dass sich dieses Sicherheitsmerkmal leicht fälschen lässt. Das liegt vor allem daran, dass wir praktisch überall unsere Fingerabdrücke hinterlassen und damit die perfekte Vorlage für Fälschungen liefern. Schäubles Abdruck etwa stammte von einem Wasserglas . In Smartphones ist der Fingerabdruckscanner mittlerweile trotzdem weit verbreitet , weil er einfach zu bedienen ist.

Das Sicherheits-Selfie: die Gesichtserkennung (Schutzstufe 2 von 10)
Zur Gesichtserkennung vergleicht ein Computer ein erfasstes Bild des Nutzers mit einer Datenbank. Weil sich auch unsere Gesichtsformen unterscheiden und persönlich zugeordnet werden können, ist eine Identifizierung über dieses Verfahren ebenfalls möglich – aber nicht unbedingt sicherer als ein Fingerabdruckscan. So gelang es dem Forscher Jan Krissler von der TU Berlin problemlos, ein System mit Hilfe von hochauflösenden Fotos auszutricksen. Prominentes Opfer: Angela Merkel . Aber auch Nichtprominente müssen um die Sicherheit ihres Gesichts bangen, denn ein Foto ist schnell heimlich geschossen und reicht dann unter Umständen aus, um Zugang zum vermeintlich geschützten System zu erhalten – etwa einem Rechner mit Windows 10 .

Hand drauf: Fingergeometrie (Schutzstufe 3 von 10)
Die Proportionen unserer Finger und Handflächen sind ebenso unverwechselbar wie das Muster unserer Fingerspitzen. Diesen Umstand machen sich Handflächenscanner zunutze, indem sie diese Werte messen und zur Identifikation nutzen. Vorteil: Ob die Finger sauber oder dreckig sind, spielt keine Rolle, auch ein Pflaster am Finger tut der Sicherheit hier keinen Abbruch. Nachteil: die Größe. Um die komplette Hand zu scannen ist eine entsprechend große Auflagefläche notwendig, die beispielsweise auf Mobilgeräten nur selten gegeben ist. Als Zugangskontrolle zu einem Firmengelände ist das Verfahren jedoch durchaus brauchbar.

Schwarz auf weiß: Schrifterkennung (Sicherheitsstufe 4 von 10)
Die Art zu Schreiben oder Tasten auf einer Tastatur zu drücken, ist gelernt und veränderbar, daher grundsätzlich nicht so sicher wie ein angeborenes Merkmal. Allerdings lässt sich die individuelle Schrift und auch das Tipp-Muster deutlich schwerer fälschen als ein Fingerabdruck. Denn im Vergleich zum Linienmuster gehört dazu eine längere Beobachtung und Auswertung – was gleichzeitig die Verwendung im Alltag schwierig macht. Denn um eine Fehlerkennung zu verhindern, muss das Prüfsystem mit relativ umfangreichen Daten gefüttert werden, die es als Vergleichswert heranziehen kann. Dafür kann sich das Ergebnis sehen lassen.

Lauscher auf: Ohrmuschelabdruck (Sicherheitsstufe 5 von 10)
Auch wenn es auf den ersten Blick nicht so aussieht: Auch unsere Ohren sind einzigartig. Selbst eineiige Zwillinge weisen verschiedene Formen auf. So lassen sich ähnlich wie beim Finger einzigartige Abdrücke fertigen und als Kontrollelement verwenden. Allerdings dürfte die Verwendung hier ein limitierender Faktor sein: Wer presst sich schon das Telefon ans Ohr, bevor er ein Gespräch startet? Und ein Lauschen am Computerbildschirm würde in der Bahn wohl schnell für Irritationen sorgen. Das Verfahren an sich wäre relativ sicher, die Erfolgsaussichten für die Massenanwendung sind aber eher gering.

Läuft bei dir: Ganganalyse (Sicherheitsstufe 6 von 10)
Ganz im Gegensatz zur umständlichen Ohr-Authentifizierung ist die Gang-Analyse der Hochschule Darmstadt eine äußerst unauffällige Form der persönlichen Identifikation: Die Forscher nutzen die Bewegungs- und Beschleunigungssensoren in Smartphones, um den Gang des Besitzers zu analysieren und als Code festzulegen. Zieht er das Telefon aus der Tasche, ist es bereits entsperrt. Macht sich jedoch ein Dieb damit aus dem Staub, verweigert das Telefon den Zugriff, weil das Schrittmuster nicht mit der Vorgabe übereinstimmt. Nachteil des Systems: Bei einer längeren Bewegungspause fehlen die Daten für die Identifikation – und der Nutzer muss wieder zum PIN greifen. Für Bewegungsmuffel wäre die Diebstahlsicherung daher eine gute Gelegenheit, sich aktiv zu betätigen.

Sprach- und Stimmerkennung (Sicherheitsstufe 7 von 10)
Im Vergleich mit den anderen biometrischen Sicherungsmerkmalen bietet die Stimme einen entscheidenden Vorteil: Sie lässt sich relativ leicht übertragen. Daher ist die Stimmerkennung ideal geeignet, um Informationen aus der Ferne abzufragen. Die Volksfürsorge-Versicherungsgruppe etwa nutzt diese Sicherheitsmaßnahme , um Außendienstmitarbeitern telefonischen Zugriff auf verschiedene Informationen zu gewähren. Für den Schutz von Daten auf einem Gerät ist das Verfahren hingegen weniger geeignet: Das laute Vorlesen von Schlüsselwörtern trägt im Meeting oder im Großraumbüro vermutlich nicht dazu bei, sich beliebt zu machen.

Unter die Haut: Venenerkennung (Sicherheitsstufe 8 von 10)
Was man nicht sieht, kann man auch nicht so einfach fälschen. Dazu zählt beispielsweise das Venenmuster der Handfläche, das bei jedem Menschen unterschiedlich ist. Ein Verfahren erkennt mittels Infrarotlicht und Bildsensor den Verlauf der Blutgefäße unter der Haut und kann es zur Authentifizierung von Personen mit einem entsprechenden Referenzmuster vergleichen. Fujitsu hat auf der CeBIT 2015 seine Venenerkennung mit dem System „PalmSecure“ an Notebooks oder bei Zugangsschleusen für ein Rechenzentrum demonstriert. Aber auch ein einzelner Finger reicht bereits aus. Mit einem entsprechenden Sensor sind etwa rund 100.000 Geldautomaten in Brasilien ausgestattet. Der große Vorteil der Venenerkennung: Das Merkmal bleibt konstant, während sich etwa Stimme, Gang oder Schrift im Lauf der Zeit verändern können.

Schau mir in die Augen, Kleines: Retinascan (Sicherheitsstufe 9 von 10)
Als derzeit sicherstes Verfahren im Bereich der biometrischen Merkmale gilt der Retina- oder Augenhintergrundscan. Dabei misst ein Scanner die Blutgefäße hinter dem Augapfel und gleicht sie mit einer Datenbank ab. Da sich dieses Muster praktisch nicht fälschen lässt, ist die Methode besonders im Hochsicherheitsbereich im Einsatz – für den täglichen Gebrauch ist es eher nicht gedacht.

Die Mischung macht’s: Biometrie plus Passwort gleich Sicherheit (Sicherheitsstufe 10 von 10)
Wie immer und überall im Bereich der IT-Security gilt: Vollkommener Schutz ist nicht möglich. Kein System ist absolut sicher und auch der menschliche Körper lässt sich täuschen oder täuschend echt imitieren. Um die Messlatte in Sachen Sicherheit noch ein Stückchen höher zu legen, bleibt also kaum ein anderer Weg, als verschiedene Merkmale und Vorkehrungen miteinander zu kombinieren – und am besten kein Passwort zu verwenden, das aus den Ziffern „1234“ besteht.

Security RSS Feed abonnieren