Biometrie & Co: Wie sicher sind Passwort-Alternativen?


Die großen Datendiebstähle der vergangenen Jahre bei verschiedenen Online-Diensten haben Sammlungen mit Millionen von Passwörtern und anderen Benutzerdaten ins Internet gespült, die seither von Sicherheitsforschern gerne als Basis für ihre Analysen verwendet werden. Dabei zeigen sich immer wieder die Grenzen der Authentifizierung per Passwort.

Das liegt allerdings weniger an den Kennwörtern selbst, als am Umgang der (deutschen) Anwender mit ihnen. Erschreckend viele verwenden ein Standard-Passwort wie „12345678“, benutzen die Namen von Familienmitgliedern oder Begriffe aus Wörterbüchern und/oder setzen ein und dasselbe Kennwort gleich bei mehreren Online-Diensten, Bankwebsites und E-Commerce-Seiten ein. Die IT-Branche macht sich daher bereits seit längerem Gedanken, wie sich die Anmeldung per Passwort durch andere, möglichst einfache Verfahren ersetzen oder zumindest ergänzen ließe. Doch auch sie bieten oft nur eine eingeschränkte Sicherheit.

  1. Passwort-Manager: Software wie 1Password, LastPass oder KeyPass erzeugt mit einem Zufallsgenerator beliebig lange Zeichenkombinationen für jeden Zweck, trägt sie selbsttätig in Online-Masken ein und schützt sie mit einem Masterpasswort. Auf diese Weise entstehen zwar Kennwörter, die auch mit professionellen Hacker-Programmen kaum noch in einer vertretbaren Zeit geknackt werden können.
    Doch sobald sich ein Trojaner auf dem PC einnistet und einen Keylogger installiert, bekommt ein Krimineller durch Mitlesen des Masterpassworts auf einen Schlag Zugriff auf sämtliche Kennwörter eines Benutzers. Abhilfe schafft hier, den Tresor mit einem zweiten Faktor wie einem USB-Token (beispielsweise einem Yubikey) oder einem Einmalpasswort (erzeugt von einer App wie dem Microsoft Authenticator, erhältlich für Android, iOS und Windows Phone). In einem solchen Fall muss der Angreifer neben dem Masterpasswort auch Zugriff auf den zweiten Faktor bekommen.
  2. Gesichtserkennung: Auch die Gesichtserkennung, die viele Mobilgeräte für die Authentifizierung anbieten, lässt sich überlisten. In der einfachsten Form genügt ein Foto des Besitzers, um Zugriff zu erhalten. Wird zusätzlich ein Blinzeln verlangt, lässt sich das meist durch Vorbeiziehen eines Stifts simulieren. Erst neuere 3D-Verfahren, wie sie etwa Windows Hello in Verbindung mit einer Intel RealSense-Kamera verwendet, bieten einen höheren Schutz. Aber auch hier scheint es nicht unmöglich, mithilfe eines 3D-Scans und eines 3D-Druckers die Zugangskontrolle zu überlisten. Der Aufwand ist allerdings so hoch, dass solche Methoden vermutlich nur sehr selten zur Anwendung kommen werden.
  3. Iris-Scan: Die Iris ist bei jedem menschlichen Auge unterschiedlich, selbst bei eineiigen Zwillingen ist sie nicht identisch. Da sie sich zudem nach den ersten Lebensmonaten nicht mehr verändert, eignet sie sich gut zur Authentifizierung – sollte man zumindest meinen. Jan Krissler, ein Sicherheitsforscher von der TU Berlin, der auch Mitglied des Chaos Computer Clubs ist und unter dem Hacker-Namen Starbug auftritt, demonstrierte jedoch bereits vor zwei Jahren, dass es mit Hilfe des hochaufgelösten Fotos einer Person – er verwendete ein Wahlplakat von Angela Merkel – möglich ist, entsprechende Sicherheitssysteme zu überlisten.
  4. Fingerabdruck: Genauso wie eine Iris-Scan lässt sich auch ein Fingerabdrucksensor täuschen. Wieder war es Jan Krissler, der auf Basis eines aus etwa drei Metern Entfernung geschossenen Fotos zeigte, wie einfach entsprechende Zugangssysteme zu knacken sind. Aus mehreren Fotos der Bundesverteidigungsministerin Ursula von der Leyen gewann er ein Abbild ihres Fingerabdrucks, das er anschließend auf eine Fingerattrappe übertrug. Laut Krissler genügen dazu bereits die Bilder einer Smartphone-Kamera, sofern sie eine Auflösung von mindestens zehn Megapixeln erreicht. Der Wissenschaftler bezeichnet übrigens biometrische Verfahren generell als untauglich für die sichere Authentifizierung und vertraut lieber auf Passwörter.
  5. Stimmerkennung: Bei dieser Methode gehen die Meinungen auseinander. Die Hersteller entsprechender Systeme behaupten, sie könnten live gesprochene Wörter von aufgezeichneten Stimmmustern unterscheiden. Zudem würden ihre Produkte nach einem Zufallsverfahren verschiedene Sätze anfordern. Sicherheitsforscher zweifeln die Sicherheit der Systeme jedoch an und weisen darauf hin, dass sich Stimmmuster sogar noch einfacher als Fingerabdrücke oder Irismuster kopieren lassen, da keine räumliche Nähe zu der betreffenden Person erforderlich ist. Stattdessen könne man die Muster etwa aus veröffentlichten Videos, durch angebliche Werbeanrufe oder auch durch das Hacken von Servern gewinnen, auf denen Stimmsamples gespeichert sind. So gelang es 2015 beispielsweise Forschern von der University of Alabama, per Stimmerkennung geschützte Bankkonten zu hacken.
  6. Venenscanner: Diese Geräte scannen mit Infrarotlicht das Venenmuster in einer Hand und gleichen das Ergebnis mit der hinterlegten Aufnahme in einer Datenbank ab. Das Verfahren gilt als verhältnismäßig sicher, vor allem, da es nahezu unmöglich ist, eine originalgetreue Attrappe einer menschlichen Hand herzustellen. Doch das scheint eventuell gar nicht erforderlich zu sein: Mitarbeiter des Schweizer Idiap Research Institute zeigten bereits 2014 in einem Video, wie sie den Sensor mit einem einfachen Ausdruck der Aufnahme eines Venenscanners täuschen konnten.

Unterm Strich bleibt die Erkenntnis, dass auch biometrische Verfahren, die auf die Erkennung eindeutiger Personenmerkmale setzen, sind nicht hundertprozentig sicher. Man sollte sie deshalb jedoch nicht gleich verdammen, sondern durch Koppelung mit anderen Verfahren wie etwa der Passworteingabe, also mit einer Zwei- oder Mehr-Faktor-Authentifizierung, die Hürden für unberechtigte Zugriffe auf wichtige Daten möglichst hoch zu legen.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

 

Comments (0)

Skip to main content