Biometrische Identifikation – Bye bye Passwort und jetzt alles sicher?
Dieser Beitrag wurde von Jonas Stalder für secnovum verfasst.
Wie funktioniert Biometrie?
Als biometrisches Merkmal wird eine Eigenschaft bezeichnet, welche uns anhand unserer biologischen/anatomischen Eigenheiten eindeutig identifiziert. Die uns Menschen ureigenste Eigenheit dürfte bekannt sein: Unser Gesicht, mit welchem wir uns gegenseitig schon von weitem Erkennen.
Obwohl unser Körper oder unser Verhalten viele Eigenheiten aufweist, eignet sich aber bei Weitem nicht jede davon als biometrisches Merkmal für die computergestützte Erkennung. Computer werden nicht, wie wir, mit den nötigen Sensoren und der Software geboren. Sie müssen dafür programmiert werden. Auch sind sie bis dato noch wenig Flexibel bei der Erkennung. Deshalb müssen für eine Eignung ein paar Kriterien erfüllt werden:
- Einerseits sollte ein „gutes“ biometrisches Merkmal möglichst einzigartig Am Beispiel des Fingerabdruckes: Es sollte möglichst keinen fremden Fingerabdruck geben, der mich fälschlicherweise identifiziert.
- Dann sollte das Merkmal konstant, also nicht von Alter, Zustand oder Messzeitpunkt abhängig sein. Die bekannten Kletterer-Finger funktionieren nach einem ausgiebigen Training an der Wand in der Regel einiges schlechter zur Erkennung.
- Ein weiteres Kriterium ist die Messbarkeit: Es muss möglich sein, das Merkmal effizient mit Sensoren zu erfassen und mit einer Referenz zu vergleichen. Ganzkörper-Scanner haben Ihre Tücken, wenn das Referenzabbild im T-Shirt-Sommer aufgenommen wurde und der Zutritt dann im Daunenjacken-Winter erfolgt.
- Zu guter Letzt bleibt noch die Universalität: Möglichst alle Menschen (also Messobjekte) sollten das Merkmal aufweisen. Das Beispiel mag konstruiert erscheinen, aber die Form der Weisheitszähne wäre ungeeignet, da viele von uns schlicht keine oder gleich viele mehr besitzen.
Die verschiedenen Technologien der biometrischen Authentisierung funktionieren alle sehr unterschiedlich. Das Auswerten eines Fingerabdrucks unterscheidet sich stark vom Venen-Scan. Trotzdem sollten alle vertrauenswürdigen Verfahren/Produkte eines gemeinsam haben: Sie speichern nur die minimal nötige Teilmenge an Informationen über ein biometrisches Merkmal. Wenige Eigenheiten/Stellen des Fingerabdrucks reichen um eine Identifizierung zu ermöglichen. Aus diesen Informationen sollte der Fingerabdruck anschliessend aber nicht wiederherstellbar sein. Wer seine Finger für einen hochauflösendes 3D-Abbild hergibt, muss sich damit abfinden, dass diese Information böswillig missbraucht werden kann. Es könnte im Nachhinein schwierig werden einen Entlastungsbeweis leisten zu können. Schliesslich handelt es sich ja um den eigenen Fingerabdruck, welcher die Identität bestätigt und nicht um ein Passwort welches den Zugang sichert.
„Gute“ biometrische Merkmale…
- … sind leicht anzuwenden. Augenzwinkern oder Handauflegen reicht.
- … können schnell angewendet werden, vor allem wenn dies repetitiv notwendig ist.
- …sind schwer zu reproduzieren und weiterzugeben.
- … können nicht willentlich und beliebig geändert werden. Sie bleiben ein Leben lang so wie es die Natur vorsieht.
- … sind ein Produkt unsere Biologie und in gewissem Masse abhängig von der „körperlichen Ausgangslage“.
- … können auch gegen den Willen des Nutzers angewendet werden.
- … weisen von Natur aus die Identität des Besitzers nach.
Konventionelle Verfahren wie Passwörter…
- … sind eher umständlich zu handhaben, besonders bei komplexen Passwörtern und kleinen Tastaturen.
- … dauern bei der Eingabe und werden zur Hälfte falsch eingegeben.
- … können durch weitersagen leicht vervielfältigt / weitergegeben werden.
- … können ohne grösseren Aufwand geändert werden.
- … sind synthetisch erzeugt und können absolut beliebig und nicht nachvollziehbar gewählt werden.
- … die Anwendung gegen den Willen des Nutzers ist eher schwierig.
- … identifizieren anhand des Passworts den Nutzer. Durch die Kenntnis des Passworts allein lassen sich aber keine Rückschlüsse auf den Benutzer ziehen.
Risiken und Gefahren im Umgang mit Biometrie
Biometrische Merkmale zur Authentisierung geniessen allgemein eine hohe Reputation. Sie werden stets mit einem äusserst hohen Sicherheitslevel in Relation gesetzt, was einerseits am spärlichen Wissen über die Technologien und nicht zuletzt auch an Hollywood liegt. Was früher oder unter gewissen Umständen gilt, kann nicht verallgemeinert werden. Biometrische Merkmale haben einige gravierende Schwächen und sind in vielen Fällen sehr viel weniger sicher als ein gut gewähltes Passwort:
- Ein biometrisches Merkmal sollte, aus Sicht der Sicherheit, schwer zu reproduzieren sein. Vor 15 Jahren war es in der Tat schwierig einen Fingerabdruck mit Profil nach einem Vorbild zu erstellen. Wir leben mittlerweile aber in der Zeit der 3D-Drucker, welche mit erschreckender Genauigkeit arbeiten. Man trifft zwar in der freien Wildbahn vermehrt aktuelle Biometrie-Scanner, welche z. B. Adern in Fingern erkennen (Lebenderkennung) und das Duplikat zurückweisen würde. Trotzdem läuft die Thematik auf ein Wettrüsten hinaus.
- Wir besitzen im besten Fall 10 Finger, zwei Augen und zwei Hände mit Venen, welche wir nicht verändern können und wollen. Kommt uns einer dieser Merkmale „abhanden“, sprich, jemand schafft es ein funktionierendes Duplikat zu erzeugen, kann er dieses auf unbestimmte Zeit nutzen. Es gibt keine Möglichkeit einen Fingerabdruck wie ein Passwort zu ändern. Ich kann den Fingerabdruck zwar bei allen Betreibern sperren lassen, aber meine gestohlene Identität bleibt an mir haften. Dies ist umso bedenklicher, da wir zumindest unsere Fingerabdrücke schon an mehr Orten gespeichert haben, als uns vermutlich lieb ist. Kaum jemand reist aktuell noch ohne biometrischen Reisepass in die USA ein. Wer auf diese Datenbank zugreifen kann und was damit möglich ist, entzieht sich unserer Kenntnis.
- Eine grosse Schwäche ist die Nutzung durch Unbefugte: Die meisten Nutzer fragen sich „Wie gross ist die Chance, dass ein anderer Fingerabdruck mein Handy entsperrt?“. Antwort: Nahe von Null. Tägliche Treffer im Lotto bis zum Jahresende dürften wahrscheinlicher sein. Viel bedenklicher ist aber: Wieviele „Willige“ können mich gegen den Willen zur Authentisierung zwingen. Das ist, nötigenfalls mit etwas Vorbereitung, recht einfach. Ein gutes Beispiel ist, stellvertretend, die Face-ID-Technologie von Apple (trifft aber herstellerunabhängig auf alle derartigen Technologien gleichermassen zu): Es dürfte für den Security-Mitarbeiter am Airport nicht schwierig sein, mir das Telefon oder Tablet vors Gesicht zu halten, wenn er an meine Daten kommen möchte. Auch bei der Entwendung dürfte es einem entsprechend motivierten und vorbereiteten Dieb möglich sein, dass Gerät zu entsperren. Eine Hürde, die beim synthetischen Passwort viel höher ist.
- Auch die Gesetzgeber zeigen im Umgang mit biometrischen Verfahren noch grosse Unsicherheiten, was ein besonders abstruser Fall eines Iphone-User in den USA zeigt: Noch vor Kurzem erlaubte es ein US-Gericht Beamten im Dienst die Entsperrung eines Smartphone mittels Fingerabdruck zu erzwingen. Die Freigabe erfolgte gestützt auf die Argumentation, es handle sich um Schlüsselmaterial welches herauszugeben sei. Bei einem Passcode hingegen konnte sich der Beschuldigte auf den 5. Verfassungsartikel berufen, was ihm erlaubte „Wissen“ nicht preisgeben zu müssen. Die Praxis wurde mittlerweile zwar geändert, zeigt aber den, noch etwas unbeholfenen Umgang, mit dem Thema.
- Biometrische Merkmale sind «quasi» öffentliche Informationen. Sie haben eher den Charakter eines Benutzernamens denn eines Passworts. Die einzige Differenz zwischen Benutzernamen und biometrischem Merkmal ist jene, dass das Merkmal schwerer zu reproduzieren ist als die Eingabe des Benutzernamens. Wer sich also unwohl fühlt seinen Mail- oder Bankaccount nur mit dem Benutzernamen einzuloggen, der sollte sich überlegen ob ihm alleine sein Gesichtsscan reicht.
Biometrische Authentisierung sicher nutzen: Worauf muss ich achten?
Trotz aller Bedenken kann die biometrische Authentisierung als verlässliche und bequeme Art der Identifizierung im Alltag ihren Platz finden. Einige Punkte sollten aber beachtet werden:
- Für sensitive Informationen sollte nie nur ein biometrisches Merkmal alleine angegeben werden. Für die hochsichere Anwendung, ist das biometrische Merkmal höchstens dem Benutzernamen gleichzustellen. Ein Passwort oder zumindest PIN muss immer nötig sein.
- Für Informationen und Zugänge, welche nur selten benutzt werden reicht ein konventionelles Verfahren. Der Effizienzgewinn ist bei zwei Logins im Jahr vernachlässigbar und das Passwort funktioniert bei unregelmässiger Anwendung auch verlässlicher.
- Biometrische Informationen sollten nur vertrauenswürdigen Parteien übergeben werden, welche ihre Systeme auf dem Stand der Technik halten und nötigenfalls ausweisen können, wie die Informationen gespeichert werden. Sollte unnötigerweise ein hochauflösendes Abbild der Iris in den falschen Händen geraten kann dies schnell unangenehme Konsequenzen nach sich ziehen.