{"id":1533,"date":"2013-08-19T10:00:47","date_gmt":"2013-08-19T10:00:47","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=1533"},"modified":"2020-02-26T18:26:57","modified_gmt":"2020-02-26T16:26:57","slug":"das-gefalschte-ich-konnen-wir-biometrischer-authentifizierung-vertrauen","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/das-gefalschte-ich-konnen-wir-biometrischer-authentifizierung-vertrauen\/1533\/","title":{"rendered":"Das gef\u00e4lschte Ich: K\u00f6nnen wir biometrischer Authentifizierung vertrauen?"},"content":{"rendered":"

Jeden Tag l\u00f6sen Millionen von Computern das immer wieder gleiche Problem, das f\u00fcr sie eigentlich sehr kompliziert ist. All diese Maschinen versuchen herauszufinden, ob es wirklich Sie sind, der sie bedient, oder jemand anderes. Die beliebteste Technologie ist dabei die Passworteingabe. Allerdings ist es recht einfach, ein Passwort zu stehlen, und es kann auch schnell einmal vergessen werden. Die bekannten Probleme mit Passw\u00f6rtern<\/a> zeigen, dass eine andere Technik zur Authentifizierung ben\u00f6tigt wird. Eine sehr einfache und attraktive M\u00f6glichkeit ist die biometrische Authentifizierung, bei der Sie einfach Ihren Finger auf einen Scanner legen oder in eine Kamera blicken oder eine Passwort-Phrase in ein Mikrofon sprechen. Ihre Finger, Augen und Stimme haben Sie immer dabei und sie k\u00f6nnen nicht gestohlen werden, richtig? Leider gibt es auch bei dieser sch\u00f6nen M\u00f6glichkeit zahlreiche Dinge, die dagegen sprechen, und deshalb verwenden wir immer noch nicht unseren Fingerabdruck, um uns bei Google einzuloggen oder Geld am Geldautomaten abzuheben.<\/p>\n

Ich werde einige der Probleme detailliert ansprechen, doch zun\u00e4chst eine kurze Zusammenfassung: Der Abgleich ist bei solche Systeme immer ungenau, es ist meist unm\u00f6glich, das \u201ePasswort\u201c zu \u00e4ndern, und es ist kompliziert, eine wirklich sichere Verschl\u00fcsselung basierend auf einem biometrischen \u201ePasswort\u201c zu implementieren. Beim Schritt vom Konzept zur Implementation im echten Leben, stellt man zwangsl\u00e4ufig ein offensichtliches und sehr wichtiges Problem fest: Es ist mit den einfachsten und g\u00fcnstigsten Mitteln m\u00f6glich, die meisten biometrischen Charakteristiken zu f\u00e4lschen.<\/p>\n

\"K\u00f6nnen<\/a><\/p>\n

Gefahr durch Fremde<\/b><\/p>\n

Der gro\u00dfe Unterschied zwischen biometrischen Authentifizierungsverfahren und normalen Passwort-basierten Methoden ist, dass bei den biomterischen keine perfekte \u00dcbereinstimmung zwischen dem Original-Muster (Master) und dem \u00fcberpr\u00fcften Muster vorliegt. Man kann einfach keine zwei komplett identischen Fingerabdr\u00fccke des gleichen Fingers bekommen und bei Gesichtern wird das Ganze noch schwieriger. Gesichtscharakteristiken k\u00f6nnen sich ver\u00e4ndern oder unlesbar werden, abh\u00e4ngig von der Beleuchtung, der Tageszeit, einer Brille, einem Bart, ger\u00f6teten Augen, Make-Up und nat\u00fcrlich vom Alter. Auch die Stimme wird von zahlreichen Faktoren beeinflusst, zum Beispiel einer Erk\u00e4ltung. Unter diesen Bedingungen ist es extrem schwer, ein System zu entwickeln, dass dem legitimen Besitzer immer Zugriff gew\u00e4hrt und Fremde immer aussperrt.<\/p>\n

Um dieses Problem zu l\u00f6sen, versucht jedes biometrische System, die gescannten Muster von allen tempor\u00e4ren oder unn\u00f6tigen St\u00f6rungen zu s\u00e4ubern. Dabei bleiben effektiv nur Charakteristiken \u00fcbrig, \u00fcber die ein mathematischer Vergleich get\u00e4tigt werden kann. Nichtsdestotrotz sollte selbst dieses \u201eSkelett\u201c mit hoher Wahrscheinlichkeit mit dem Original \u00fcbereinstimmen. Bei Medium-Sicherheitssystemen wird es als normal angesehen, dass unter 10.000 Anmeldeversuchen einmal ein Fremder zugelassen und der legitime Anwender bei einem von 50 Versuchen abgelehnt wird. Wenn es allerdings um mobile Ger\u00e4te geht, die sich laufend in einer anderen Umgebung befinden (mit anderen Lichtverh\u00e4ltnissen), und bei denen Vibrationen die Fehlerrate dramatisch erh\u00f6hen, sieht es anders aus: Deshalb versagt die Gesichtserkennung von Android in 30 bis 40 Prozent aller F\u00e4lle.<\/p>\n

\"Riconoscimento<\/a><\/p>\n

Ein Passwort f\u00fcr das ganze Leben<\/b><\/p>\n

Wenn Sie Ihr Passwort vergessen oder es gestohlen wird, \u00e4ndern Sie es einfach. Wenn Sie Ihre Schl\u00fcssel verlieren, lassen Sie ein neues Schloss einbauen. Doch was k\u00f6nnen Sie tun, wenn Ihr Bankkonto mit einem Bild Ihrer Handfl\u00e4che \u201eabgesperrt\u201c ist, wie es bei einigen brasilianischen oder japanischen Banken der Fall ist, und die Datenbank der Handfl\u00e4chenbilder gestohlen wird?<\/p>\n

Es ist schlie\u00dflich extrem schwer, Ihre Handfl\u00e4che zu \u00e4ndern. Selbst wenn Handfl\u00e4chenf\u00e4lschungen heute noch nicht angefertigt werden, kann niemand garantieren, dass es in f\u00fcnf oder zehn Jahren keine daf\u00fcr passenden Techniken geben wird. Ihre Handfl\u00e4che wird dann immer noch da sein.<\/p>\n

Dieses fundamentale Problem k\u00f6nnte teilweise durch Fingerabdr\u00fccke gel\u00f6st werden \u2013 Sie k\u00f6nnen nur zwei bis vier Finger eintragen, statt aller zehn Finger, so dass Sie einige \u00fcbrig haben, um das Passwort zu \u00e4ndern. Doch der Vorrat ist recht begrenzt, vielleicht sogar zu begrenzt, wenn man die menschliche Lebenserwartung bedenkt. Hacks von Online-Konten<\/a> passieren viel zu oft, so dass es etwas erschreckend ist, diese mit wertvollen biometrischen Informationen zu sichern. Die Tatsache, dass die meisten Dienste nur \u201eSkelette\u201c, biometrische Derivate speichern, macht das Ganze nicht gerade einfacher \u2013 zahlreiche Studien belegen, dass es m\u00f6glich ist, zum Beispiel einen Fingerabdruck nachzubilden, der zwar mit dem Original nicht genau \u00fcbereinstimmt, die Passwort-Pr\u00fcfung aber dennoch besteht.<\/p>\n

\"Impronte<\/a><\/p>\n

Zudem bringt die biometrische Online-Authentifizierung Bedenken hinsichtlich der Privatsph\u00e4re mit sich. Biometrische \u201ePassw\u00f6rter\u201c identifizieren Sie ganz klar als Sie selbst, und damit wird es unm\u00f6glich, zwei getrennte Profile auf dem gleichen Sozialen Netzwerk zu haben. Denn eine Seite hat genug M\u00f6glichkeiten, herauszufinden, dass es sich um die gleiche Person handelt. Streng genommen haben hunderte, vielleicht sogar tausende Anwender parktisch die gleichen nicht zu unterscheidenden Merkmale, doch mit der Hilfe von Geo-IPs und anderen Metadaten, die mit Anwenderanfragen mitgesendet werden, kann ein einzigartiges Profil f\u00fcr jeden Anwender erstellt werden. Wenn es jemand schafft, biometrische Authentifizierung bei jedem beliebten Internet-Dienst einzurichten, wird das Online-Verfolgen von Anwendern<\/a> kinderleicht.<\/p>\n

Ein digitales Schlie\u00dffach<\/b><\/p>\n

Passw\u00f6rter (und potenziell auch biometrische Daten) werden haupts\u00e4chlich genutzt, um den Zugriff auf verschiedene Ger\u00e4te und Dienste zu regeln. Das zweite beliebte Einsatzgebiet ist, den Zugriff auf gespeicherte Daten zu beschr\u00e4nken. Im zweiten Fall ist es allerdings schwer, biometrische Daten zu nutzen.<\/p>\n

Wenn Sie Ihre Dokumente in ein mit Fingerabdruck gesichertes Schlie\u00dffach legen, sind Ihre Daten durch die W\u00e4nde des Schlie\u00dffachs gesch\u00fctzt, und Sie m\u00fcssten schon einen starken Bohrer verwenden, um am Fingerabdruck-Schloss vorbei an die Dokumente zu kommen. Wenn es nur um den Zugriff auf Ihren Computer geht, ist es jedoch l\u00e4cherlich einfach, den Passwort-Schutz zu umgehen, deshalb ist das Computer-\u00c4quivalent der Stahlw\u00e4nde des Schlie\u00dffachs die Verschl\u00fcsselung. Und damit kommen die Komplikationen. Wenn Sie etwas mit einem Passwort verschl\u00fcsseln, wird mit Ihrem Passwort ein spezieller Schl\u00fcssel generiert. Wenn Sie nur ein einziges Zeichen des Passworts \u00e4ndern, entsteht ein komplett anderer, nutzloser Verschl\u00fcsselungs-Schl\u00fcssel. Doch das biometrische \u201ePasswort\u201c ist bei jedem Zugriffsversuch etwas anders, deshalb ist es so schwer, solch ein \u201ePasswort\u201c direkt f\u00fcr die Verschl\u00fcsselung zu verwenden. Deshalb verlassen sich die existierenden \u201eDigital-Schlie\u00dff\u00e4cher\u201c auf Cloud-basierte Hilfe \u2013 die biometrische Abstimmung passiert auf dem Server, und wenn sie erfolgreich ist, stellt der Server den Schl\u00fcssel zur Verf\u00fcgung. Nat\u00fcrlich enth\u00e4lt diese Methode die Gefahr eines massiven Datenlecks: Ein gehackter Server k\u00f6nnte zu Kompromittierung sowohl der Schl\u00fcssel als auch der biometrischen Daten f\u00fchren.<\/p>\n

Biometrik im echten Leben<\/b><\/p>\n

Abgesehen von Science-Fiction-Filmen und milit\u00e4rischen Entwicklungen, k\u00f6nnen wir uns zwei F\u00e4lle biometrischer Authentifizierung vorstellen, die auch Sie betreffen k\u00f6nnen. Manche Banken testen bereits neue Systeme \u2013 sie k\u00f6nnten Scans von Handfl\u00e4chen bei Geldautomaten sowie Stimmerkennung bei telefonbasierten Diensten einf\u00fchren. Die zweite Art der beiometrischen Sicherheit im echten Leben sind eingebaute Scanner in elektronischen Ger\u00e4ten. Die Handy-Kamera kann das Gesicht erkennen und ein Sensor erkennt den Fingerabdruck. Einige Systeme nutzen auch Stimmerkennung. Neben den genannten generellen Problemen haben diese Implementierungen in Ger\u00e4ten f\u00fcr Privatanwender zus\u00e4tzliche Einschr\u00e4nkungen, etwa durch die CPU-Leistung, den Preis des Sensors und die physikalischen Abmessungen \u2013 um diese Einschr\u00e4nkungen auszugleichen, m\u00fcssen die Entwickler die Systemsicherheit und die Robustheit opfern. Deshalb ist es so einfach, manche Scanner mit einer Gelatine-Form oder einem nassen Papier zu t\u00e4uschen, auf dem mit einem normalen Drucker ein Fingerabdruck ausgedruckt wurde<\/a>. Und wenn es um den Profit geht, k\u00f6nnten einige Betr\u00fcger zudem ganz einfach einen gef\u00e4lschten Finger<\/a> produzieren \u2013 solche kriminellen Maschen gibt es bereits. Andererseits m\u00fcssen legitime Anwender oft mehrfach versuchen, ihre Finger zu scannen, um Zugang zu bekommen \u2013 denn der Sensor funktioniert oft nicht richtig, wenn der Finger feucht ist, eingekremt wurde, nicht ganz sauber ist oder Kratzer und Brandwunden hat.<\/p>\n

\"Falsificazione<\/a><\/p>\n

Gesichtserkennungssysteme schaffen es nur selten, ein echtes Gesicht von einem Foto zu unterscheiden (obwohl manche Systeme die Lebendigkeit pr\u00fcfen, zum Beispiel, ob die Augen zwinkern). Doch wenn Sie Ihr Gesicht nutzen, um Ihr Handy freizuschalten, ist das Ganze bereits abh\u00e4ngig von den Lichtverh\u00e4ltnissen und der Umgebung, so dass Sie die Authorisierung nicht noch mit zus\u00e4tzlichen Pr\u00fcfungen erschweren m\u00f6chten. Und Sie sollten das Ganze absichern (mit einem guten, alten Passwort), denn im Dunkeln k\u00f6nnen Sie Ihr Ger\u00e4t mit der Gesichtserkennung nicht entsperren.<\/p>\n

Die meisten Entwickler von Stimmerkennungssystemen behaupten, dass diese F\u00e4lschungen erkennen k\u00f6nnen \u2013 sowohl Aufnahmen als auch Stimmenimitatoren. Tats\u00e4chlich schaffen nur die besten Systeme alle daf\u00fcr ben\u00f6tigten und eine hohe Rechenleistung voraussetzenden Pr\u00fcfungen. Manche Forscher sagen<\/a>, dass eine Stimmver\u00e4nderungs-Software solche Stimmerkennungssysteme in 17 Prozent aller F\u00e4lle t\u00e4uschen kann. Es ist kompliziert, eine vollst\u00e4ndige Echtzeitanalyse auf einem mobilen Ger\u00e4t zu implementieren, so dass auch hier die Hilfe der Cloud in Anspruch genommen wird. Doch Cloud-basierte Authentifizerung ist langsamer, ben\u00f6tigt eine Internet-Verbindung und kann durch andere Angriffe, etwa Man-In-The-Middle-Attacken, kompromittiert werden. \u00dcbrigens ist eine Man-In-The-Middle-Attacke vor allem f\u00fcr Stimmerkennungssysteme gef\u00e4hrlich, denn es ist es viel einfacher, eine Stimmaufnahme zu erhalten, als andere biometrische Daten.<\/p>\n

Die Kombination der praktischen Probleme f\u00fcr legitime Anwender mit der mangelhaften Sicherheit, h\u00e4lt die biometrische Authentifizierung noch davon ab, im mobilen Bereich zum Standard zu werden und traditionelle Passw\u00f6rter und Tokens zu ersetzen. Sichere und zuverl\u00e4ssige Identit\u00e4tspr\u00fcfung mit biometrischen Daten ist unter kontrollierten Bedingungen bereits m\u00f6glich, etwa bei Grenzkontrollen an Flugh\u00e4fen oder dem Eingang in ein B\u00fcrogeb\u00e4ude. Doch mit einem Smartphone in der zittrigen Hand funktioniert sie nicht \u00fcberall genau so gut.<\/p>\n","protected":false},"excerpt":{"rendered":"

Jeden Tag l\u00f6sen Millionen von Computern das immer wieder gleiche Problem, das f\u00fcr sie eigentlich sehr kompliziert ist. All diese Maschinen versuchen herauszufinden, ob es wirklich Sie sind, der sie<\/p>\n","protected":false},"author":32,"featured_media":1536,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[55,630,631,19],"class_list":{"0":"post-1533","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-android","9":"tag-fingerabdruck","10":"tag-gesichtserkennung","11":"tag-iphone"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/das-gefalschte-ich-konnen-wir-biometrischer-authentifizierung-vertrauen\/1533\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/android\/","name":"android"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/1533","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=1533"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/1533\/revisions"}],"predecessor-version":[{"id":22558,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/1533\/revisions\/22558"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/1536"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=1533"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=1533"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=1533"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}