Der Scan vom Finger ist vielleicht der Nachfolger vom Passwort – doch der Fingerabdruck ist unsicher und hat seine ganze eigenen Schwächen. Damit andere nicht Zugang zum eigenen Account erhalten, müssen Informationen geheimgehalten werden. Das ist beim Passwort genau so wie beim Fingerabdruck. Japanische Forscher haben nun aus einem Foto erfolgreich den Fingerabdruck exportiert.
Der Fingerabdruck ist unsicher, sobald es ein gutes Foto gibt!
Wissenschaftler vom National Institute of Informatics aus Japan haben einen Fingerabdruck erfolgreich isolieren können. Vorlage dafür war ein Foto, welches aus 3 Metern Entfernung geschossen wurde. In der Vergangenheit, im genauen auf dem 31. Chaos Computer Congress in Hamburg, wurde bereits der Fingerabdruck von Ursula von der Leyen extrahiert. Vorlage war ebenfalls ein Bild aus 3 Metern Entfernung.
Hochauflösende Bilder, auf denen die Handflächen abgebildet sind, bringen den Schlüssel zum Account gleich mit.
Der Diebstahl eines Accounts ist auch trotz Fingerabdruck möglich!
Will man den Fingerabdruck-Sensor überlisten, so ist der zu betreibende Aufwand verhältnismäßig hoch. Die Tüftler aus Hamburg und Japan zeigen aber: Es geht! Daher lässt sich bereits jetzt erahnen: Auch der Fingerabdruck ist nicht DIE Lösung der Authentifizierung.
Der Fingerabdruck ist unsicher – deshalb sollte er trotzdem verwendet werden!
Der Fingerabdruck und das Passwort sollten nicht als “entweder oder” angesehen werden. Beides in Kombination sichert den Account um ein vielfaches mehr ab. Keine aktuelle, verbreitete Lösung verspricht eine extrem hohe Sicherheit. Die Kombination von verschiedenen Methoden hebt die Sicherheit eines Accounts aber auf ein ganz anderes Level. Ob es dann das Passwort und der Fingerabdruck ist, oder der Fingerabdruck und eine SMS bleibt dem Nutzer überlassen.
Der Fingerabdruck ist unsicher – meine Meinung!
Im Moment ist klar: Der Aufwand einen Fingerabdruck so vom Foto extrahieren zu können, damit eine Authentifizierung erfolgreich ist, ist enorm – aber verhältnismäßig erfolgsversprechend. Bei einem Passwort bin ich mir nicht bewusst ob ich nah dran bin oder meilenweit von der Lösung entfernt.
Die Kombination beider Authentifizierungsmethoden macht es für den Angreifer aber bedeutend schwieriger – auch wenn nicht unmöglich – einen Account zu übernehmen. Die Zwei-Faktor-Authentifizierungsmethoden von Amazon und Twitter haben also durchaus ihre Daseinsberechtigung – der Fingerabdruck ist jedoch noch keine Option!
Weitere Informationen und Quellen
[2] 31C3: CCC-Tüftler hackt Merkels Iris und von der Leyens Fingerabdruck (heise)
[1] Scientists Extract Fingerprints from Photos Taken From up to Three Meters Away (bleepingcomputer)