Biometrische Authentifizierungsmethoden – wie sicher sind sie wirklich?
Authentifizierung betrifft heutzutage jeden Bürger. Mehrfach täglich müssen wir uns unterschiedlichen Authentifizierungsprozessen unterziehen. Das beginnt bei der Eintrittskontrolle und Passworteingabe bei der Arbeit und setzt sich nahtlos im Privatbereich fort. Im Web waren jahrelang Passwörter die einzige Möglichkeit, um sich in Betriebssystem oder Websites einzuloggen. Auch heute werden noch vorwiegend Passwörter für die Authentifizierung genutzt. Doch die Flut an Kennwörtern scheint nicht abzureißen: Windows-Login, Online-Banking, Amazon-Konto, PayPal, eBay, Facebook, E-Mail, Zeiterfassung – diese Liste lässt sich beliebig fortsetzen. Wer soll hier noch den Überblick über seine Passwörter bewahren? Erschwerend hinzu kommt, dass Passwörter aus Sicherheitsgründen eigentlich alle 90 Tage erneuert werden sollten, was das Passwort-Wirrwarr perfekt macht. Biometrische Authentifizierung scheint hier eine willkommen Alternative.
Biometrische Authentifizierungsmethoden – was ist das?
Das Wort Biometrie stammt aus dem Griechischen und bedeutet so viel wie
„Messung menschlicher Merkmale“. Biometrische Verfahren werden genutzt, um Personen anhand ihrer individuellen Eigenschaften zu identifizieren. Hierzu werden die einzigartigen, körperlichen Merkmale des Individuums genutzt. Gängige biometrische Körpermerkmale, die aktuell für IT-gestützte Authentifizierung genutzt werden, sind Fingerabdrücke, Gesichtsgeometrie, Iris und Handvenenstruktur. Allesamt haben allerdings einen entscheidenden Nachteil gegenüber dem altbewährten Passwort: wenn biometrische Daten geklaut und in Umlauf gebracht werden, können diese nicht einfach geändert werden.
Windows 10 benötigt bereits kein Passwort mehr
Das in Windows 10 integrierte Windows Hello bietet eine einfache Möglichkeit, um sich per Fingerabdruck-, Gesichts- oder Iriserkennung anzumelden. Microsoft verspricht Sicherheitsstandards auf Enterprise Niveau, ohne ein Kennwort eingeben zu müssen. Viele Apps und Webanwendungen unterstützen Windows Hello bereits. An die Entsperr-Hardware stellt Microsoft hohe Anforderungen. So könne beispielsweise nur Tiefenkameras für die Gesichtsentsperrung verwendet werden, welche die Entfernungen und Raum erfassen können.
Gesichtsscan – ein alter Hut und teilweise ziemlich unsicher
Gesichtserkennung beherrschen Smartphones bereit seit vielen Jahren. Die Entsperrung mit dem eigenen Gesicht ist praktisch und funktioniert bei aktuellen Smartphones erstaunlich gut. Allerdings ist die einfache Gesichtserkennung nicht unbedingt die erste Wahl unter den biometrischen Authentifizierungen. Bei älteren und günstigen Smartphones und Webcams beruht die Gesichtserkennung nämlich lediglich auf einer 2D-Kamera. Häufig lässt sich eine solche 2D-Gesichtserkennung durch das Vorhalten eines Fotos ganz einfach überlisten. Das klappt nicht selten sogar mit dem Facebook Profilbild.
3D-Gesichtserkennung bietet mehr Sicherheit
Bei der 3D-Gesichtserkennung können aufgrund eines räumlichen Scanverfahrens wesentlich mehr Informationen erfasst werden als bei der 2D-Methode. Hierzu werden mitunter Infrarot Sensoren unterstützend zur Kamera eingesetzt. Dabei können teilweise mehrere hunderttausende einzelne Gesichtspunkt binnen weniger Sekunden registriert und gespeichert werden. Zu den besseren Beispielen einer gut funktionierenden und sicheren Gesichtserkennung gehört Apples Face ID, die auf einer 3D-Erkennung beruht. Apple Face ID kommt im iPhone X, iPhone XR ,iPhone XS/Max sowie in den iPad Pro Modellen der dritten Generation zum Einsatz. 3D-Gesichtsscanner lassen sich zwar teilweise immer noch mit 3D-Masken aus dem 3D-Drucker austricksen, stellen damit aber eine wesentlich größere Hürde für Betrüger dar.
Die Logitech Brio Webcam ist sowohl mit optischen als auch mit Infrarot-Sensoren ausgestattet und ermöglicht so eine schnelle und sichere Gesichtserkennung mit Windows Hello.
Big Brother is watching you
In anderen Ländern gehört Gesichtserkennung in der Öffentlichkeit bereits zum Standard. Während wir in Deutschland den Komfort der Gesichtserkennung bei Logins mit dem eigenen Smartphone vielleicht noch zu schätzen wissen, hört der Spaß für die meisten spätestens dann auf, wenn Staat oder Unternehmen gezielt Gesichtserkennung einsetzen.
In China beispielsweise erfassen mehrere Millionen Kameras auf öffentlichen Plätzen, in Einkaufszentren oder innerhalb von staatlichen Einrichtung täglich Unmengen an Gesichtsdaten. Verstöße wie beispielsweise das Überqueren einer Kreuzung bei einer roten Ampel können so umgehend und rigoros sanktioniert werden. Sogar in Schulen kommen Gesichtserkennungssysteme zum Einsatz. Das Essen in der Kantine bezahlen oder Bücher ausleihen – alles per Gesichtsscan. Nahezu überall werden die Menschen dort überwacht. Selbst vor der Toilette macht der Überwachungsstaat nicht Halt: für Klopapier muss man in China sein Gesicht herhalten:
Aber auch in den USA oder Großbritannien hat sich die flächendeckende Videoüberwachung innerhalb des öffentlichen Raums etabliert. Angesichts dieser totalen Überwachung sind viele zurecht verunsichert. In Deutschland gibt es (glücklicherweise) rechtliche Hürden, die eine derartige Massenüberwachung einschränken. Darüber hinaus sehen die deutschen Bürger den Einsatz von Gesichtserkennungssystemen weitaus skeptischer. Laut einer repräsentativen Umfrage der Verbraucherzentrale Nordrhein-Westfalen stehen beispielsweise über 3 von 4 der Befragten einer Überwachung im Supermarkt ablehnend gegenüber. Allerdings gibt es auch bereits in Deutschland zahlreiche Pilotprojekte, bei denen beispielsweise in Bahnhöfen Gesichtserkennungssysteme zur Terrorabwehr erprobt werden. Ebenso experimentieren vielen Unternehmen mit Gesichtserkennung für die gewerbliche Nutzung, darunter unter anderem die Deutsche Post oder die Real-Supermärkte.
Iris-Scan
Eines der ersten erfolgreichen Geräte mit Iris-Scanner war 2017 das Samsung Galaxy S8 , auch einigen weiteren Samsung Geräten wie beispielsweise dem Galaxy S9 (Plus) oder dem Galaxy Tab S4 kommt er zum Einsatz. Bei der Authentifizierung per Iris-Scan tastet ein für die Augen ungefährlicher Laser die bei jedem Menschen einzigartige Regenbogenhaut um die Pupille ab. Der Abstand zum Iris Scanner darf dabei allerdings nicht zu groß sein. Der Iris-Scan bietet eine bessere Sicherheit als 2D-Gesichtserkennung. Um die Iris-Erkennung zu überlisten, bedarf es schon eines sehr hochauflösenden Infrarot-Fotos der jeweiligen Iris sowie eine speziellen Kontaktlinse.
Fingerabdruck – bei Smartphones inzwischen gang und gäbe
Was vor ein paar Jahren noch wie eine Zukunftsvision anmutete, ist für viele Nutzer inzwischen Realität – der Fingerabdruck, mit dem man sich schnell und einfach authentifiziert. Bei neuen Smartphones gehört er inzwischen zum gängigen Standard. Die Authentifizierung via Fingerabdruck gilt grundsätzlich als relativ sicher. Aber auch vom Fingerabdruck können gewieften Betrügern eine Kopie erstellen.
Einfache Fingerabdruckscanner sind nicht zu 100% sicher
Bei einem Fälschungsversuch wird die Struktur eines vollständigen Fingerabdrucks (zum Beispiel von einem Glas oder direkt vom Display des Smartphones) erfasst und auf eine Attrappe übertragen. Ein ziemlich aufwändiger Vorgang, weshalb sich die Gefahr für den Privatnutzer in Grenzen hält. Anders sieht es hingegen aus, wenn Fingerabdrücke von Behörden, zum Beispiel bei der Erfassung von Nicht-EU-Bürgern, erfasst werden. Zur Sicherheitslücken könnten also insbesondere die Datenbanken werden sein, auf denen die biometrischen Daten gespeichert sind. Cyberkriminelle könnten mit einem Angriff auf die entsprechenden Datenbank auf einen Schlag eine Vielzahl von Fingerabdrücken stehlen.
Ultraschall und 3D-Scanner erhöhen mit „Lebenderkennung“ die Sicherheit
In den meisten Smartphones kommen aktuell noch kapazitive Fingerabdruckscanner zum Einsatz, deren Funktionsweise auf elektrischen Spannungsunterschieden einer Siliziumschicht beruht. Sicherer sind Fingerabdrucksensoren in aktuellen Top Smartphones, die zusätzlich Ultraschall, Infrarottechnik und 3D-Daten nutzen. Sie bieten einen Lebenderkennung, können also unterscheiden, ob tatsächlich ein echter Finger oder eine Attrappe aufgelegt wird. Ein weiterer Vorteil von Ultraschallsensoren ist, dass sie unter dem Displayglas verbaut werden können.
Fingerabdruckscanner nachrüsten
Viele Notebooks und Tablets verfügen ebenso über den praktischen den praktischen Fingerprint-Sensor. Auch der PC lässt sich ganz einfach um einen Fingerabdruckscanner erweitern. Hierbei greift man entweder auf externe Scanner zurück, die via USB mit dem Computer verbunden werden oder man nutzt ganz einfach eine Tastatur/Maus mit integriertem Fingerprint Scanner.
Handvenenauthentifizierung gilt als besonders sicher
Unternehmen sind immer auf der Suche nach der sichersten Authentifizierungsmethode für die allgemeine Sicherheit, den Datenzugriff oder den physischen Zugang. Einige entscheiden sich für Biometrie in Form von Fingerabdruckerkennung, Gesicht- oder Iris- beziehungsweise Retinascans. Allerdings zeigen Tests, dass diese extrem genauen Methoden auch nicht vollkommen fälschungs- und diebstahlsicher sind. Die Handvenenauthentifzierun bietet als Antwort auf die weltweit steigende Nachfrage vom staatlichen bis zum privaten Bereich eine berührungslose, bedienungsfreundliche und hygienische Lösung zur Identitätsbestimmung durch Handvenenauthentifizierung.
Wie funktioniert die Handvenenauthentifizierung?
Durch Nahinfrarotlicht werden Venenmuster in der Handinnenfläche einer Person erfasst, das mit einem zuvor registrierten Muster abgeglichen wird. Das sauerstoffarme Hämoglobin in den Handvenen absorbiert das Licht, wodurch die Reflexion verringert wird und die Venen als schwarzes Muster erscheinen. Bei jedem Menschen ist das Venenmuster einzigartig und weist einzigartige Charakteristika auf, so dass nicht einmal Zwillinge das gleiche Muster vorweisen können. Die Venenstruktur wird nur vom Sensor des Gerätes erfasst, wenn das sauerstoffarme Hämoglobin in den Handvenen aktiv fließt. Führende Anbieter von Handvenenscannern ist Fujitsu. Erfahren Sie mehr über die Fujitus PalmSecure Handvenenauthentifizierung
Kuriose Biometrische Authentifizierungsmethoden
Neben Gesicht, Augen, Fingern und Venen gibt es weitere potenzielle biometrische Merkmale, die für eine Authentifizierung in Betracht gezogen werden können.
Der Körpergeruch als Ausweis?
Kann uns der PC bald riechen? Die Bundesdruckerei arbeitet an einer Personenidentifikation, die auf Basis des individuell einzigartigen Körpergeruchs funktioniert. Realisieren soll das ein Sensor, der menschliche Ausdünstungen elektronisch messen kann. Für diese Technologie wurde bereits ein Patent angemeldet.
Die Kniescheibe
Nicht nur äußerliche Merkmale des Körpers können zur eindeutigen Identifizierung genutzt werden, sondern auch innerliche. Innere Körperteile wie Knochen oder Organe sind von Mensch zu Mensch ebenso einzigartig wie beispielsweise der Fingerabdruck. Computerwissenschaftler an der Lawrence Technological University ist es gelungen, ein Verfahren zu entwickeln, das Personen anhand ihrer Kniescheibe identifizieren kann. Hierbei werden mithilfe von Röntgenstrahlen winzige Verformungen der Kniescheibe erkannt und mithilfe eines Algorithmus analysiert.
Erkennt uns unser Auto bald am Gesäß?
Eine Gruppe von Forschern am Advanced Institute of Industrial Technology in Tokio hat einen Autositz entwickelt, mit dem Fahrer im Sitzen identifiziert werden können. Der Trick besteht darin, dass das System mit 360 Sensoren den auf den Sitz ausgeübten Druck misst. Jeder Sensor misst den Druck eigenständig, um Schlüsseldaten wie den höchsten Druckwert, den Kontaktbereich auf dem Sitz und andere Faktoren zu erfassen. Nach Angaben der Hersteller konnte das System während des Experiments Fahrer mit einer Genauigkeit von 98% identifizieren.
Der Multi-Biometrie-Ansatz gilt als zukunftsweisend
Hierbei werden mehrere biometrische Merkmale miteinander kombiniert, was die Sicherheit dieser Methode sehr stark erhöht. Unter Einbeziehung mehrerer Merkmale (z. B. Fingerabdruck, Iris und Gesicht) wird die Gefahr von Manipulationen deutlich reduziert. Multibiometrische Authentisierung liegt eindeutig im Trend. Denn immer mehr Menschen haben sich bereits an die biometrische Verfahren gewöhnt. Unternehmern reagieren auf die Nachfrage nach biometrischer Authentifizierung, sehen aber gleichzeigt auch die Schwachstellen dieser Methode und sind stets bestrebt sie zu verbessern. Multibiometrische Authentifizierungsmodelle könnten Sicherheit als zukünftig weiterhin verbessern.