Passwort oder Biometrie – oder besser beides?

Passwörter das Sicherheitskonzept der Wahl, die Biometrie holt aber auf. Beide Verfahren haben Vor- und Nachteile, eine Kombination ist sinnvoll.

Werden Passwörter sinnvoll angewandt, bieten sie ein hohes Maß an Sicherheit. Im Vergleich dazu gelten biometrische Verfahren aber als innovativere Methode zur Authentifizierung. Tatsächlich habe beide Methoden Vor- und Nachteile und können nicht durch die jeweils andere ersetzt werden. Sie lassen sich aber so kombinieren, dass sie sich optimal ergänzen.

Passwörter auf dem Prüfstand

Vom grundlegenden Konzept her leisten Passwörter seit Jahrzehnten gute Dienste, jedoch sind einige Regeln zu befolgen. So sollte das Passwort aus mindestens acht Zeichen bestehen und dabei Buchstaben, Zahlen und Sonderzeichen sowie Groß- und Kleinschreibung beinhalten. 

Begriffe, Namen, Zahlenreihen oder gar Haustiernamen kommen von vornherein nicht in Frage. Genau diese sind aber sehr beliebt, weil sich niemand ein kompliziertes Passwort merken kann – und schon gar nicht für jedes Benutzerkonto ein eigenes Passwort, auch eine Grundregel. 

Ebenfalls nicht empfehlenswert ist es, Passwörter auf einem Klebezettel an den Monitor zu heften. Zudem sollten Passwörter immer wieder einmal geändert werden. Das Speichern der aktuellen Passwörter in einer Datei auf dem Desktop, etwa unter dem Namen „Passwörter.doc“, ist jedenfalls nicht zielführend. Passwörter müssen verwaltet werden, aber auf sichere Weise. Laut einer Bitkom-Studie von 2014 nutzt aber nur jeder vierte Internutzer hierzu einen Passwort-Manager.

Immer wieder werden Passwörter gestohlen. 2014 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) rund 16 Millionen kompromittierte Benutzerkonten bei bekannten Online-Dienstleistern entdeckt. Wie ist so etwas möglich?

Eigentlich sollte es nicht möglich sein. Passwörter werden nicht im Klartext gespeichert, sondern nur deren Hash-Werte. Hash-Verfahren wie MD5 oder SHA1 berechnen aus einem Klartext eine kryptische Prüfsumme, aus der sich nicht der Eingabewert rekonstruieren lässt. 

Anhand des Hash-Werts können Passwörter also nicht berechnet, aber sie könnten erraten werden, da Hash-Funktionen reproduzierbar sind. Durch die Umwandlung eines offensichtlichen Passworts in einen Hash-Wert, könnte dieser mit einer Liste gestohlener Passwort-Hash-Werte verglichen werden. Dann könnte der Hacker daraus auf das Passwort des Benutzers schließen. Da Rechenleistung immer bezahlbarer wird, können Hacker Millionen von möglichen Passwörtern pro Sekunde überprüfen, bis das richtige dabei ist.

Biometrie als Ausweg aus der Passwort-Problematik?

Die Biometrie als mögliche Alternative beseitigt zwar einige konzeptbedingte Probleme der Passwort-Authentifizierung. Als kompletter Ersatz zum Passwort taugen biometrische Verfahren wie Spracherkennung oder Fingerabdruck-Technologie aber auch nicht, da hier andere Probleme auftauchen, etwa weil sie teilweise ungenau arbeiten.

Das Passwort wird uns noch eine Weile erhalten bleiben, aber künftig auch in Kombination mit biometrischen Verfahren.

Biologische Unregelmäßigkeiten ermöglichen bei der Fingerabdruck-Methode eine eindeutige Zuordnung. Sie erschweren die Erkennung aber wiederum, weil nicht jeder Fingerabdruck so stark ausgeprägt ist, dass er eindeutig gescannt werden kann. Umwelteinflüsse und Hauteigenschaften sind auch Faktoren, die Fingerabdruck-Scans erschweren. 

Ein gravierendes Problem betrifft die eigentliche Paradedisziplin der Biometrie: die Sicherheit. So lassen sich Fingerabdrücke – die überall hinterlassen werden – reproduzieren, indem man sie abfotografiert und nachmodelliert. Wird nun der Benutzer ausspioniert, lassen sich damit die Sicherheitssysteme knacken, an denen er sich authentifiziert. So gelang es Mitgliedern des Chaos Computer Clubs (CCC) im Jahr 2013, die biometrische Sicherheitsfunktion Apple Touch ID des iPhone 5 zu knacken.

Eine wesentlich jüngere Authentifizierungs-Technologie ist die Gesichtserkennung, bei der charakteristische Gesichtszüge wie der Abstand zwischen Augen, Mund und Nase analysiert werden. Änderungen der äußeren Erscheinung des Benutzers können aber die Resultate beeinträchtigen. Gesichtsoperationen, Kosmetika und Kopf- oder Gesichtsbekleidung können die Identifikation eines registrierten Nutzers erschweren. Selbst Iris-Scan-Systeme lassen sich durch Abfotografieren der Augen in hoher Auflösung austricksen.

Biometrische Verfahren arbeiten nicht fehlerfrei

Biometrie eignet sich zudem – im Gegensatz zu starken Passwörtern – nicht zur Generierung kryptographischer Schlüssel, um eine verschlüsselte Datei zu schützen. Hinzu kommt, dass keine biometrische Methode letztlich perfekt arbeitet. So treten zwei grundlegende Kategorien von Fehlern auf: die Falschrückweisungsrate (FRR) und die Falschakzeptanzrate (FAR). 

Erstere ist für die Benutzer ärgerlich und für den Helpdesk aufwändig. Die letztere Fehlerkategorie bedeutet, dass einer nicht berechtigten Person der Zugriff gewährt wird. Biometrische Systeme müssen daher einer aufwändigen Sicherheitsprüfung unterzogen werden.

Darüber hinaus können auch die nicht-biometrischen Komponenten des Systems für Angriffe anfällig sein, etwa wenn die Kommunikation zwischen externen Fingerabdruck-Scannern und PC-Software abgefangen wird.

Passwortschutz und Biometrie erhöhen die Sicherheitsbarriere

Das Passwort wird uns noch eine Weile erhalten bleiben, aber künftig auch in Kombination mit biometrischen Verfahren. Ein intelligentes mehrstufiges Sicherheitskonzept kann sich die Vorteile beider Philosophien zunutze machen. Unberechtigte Nutzer, die versuchen einzudringen, haben es dadurch zumindest deutlich schwerer. 

Die Erfüllung der lang ersehnten Verheißung hundertprozentiger Sicherheit lässt aber vorerst auf sich warten. Was nicht heißen soll, dass sich die Sicherheitsindustrie von genau diesem Ziel abbringen lassen sollte.

Über den Autor:
Larry Hamid ist als CTO in der Mobile Security Group von Imation tätig. Hamid, der 34 Patente besitzt, kam 2011 als Chief Architect zu Imation. Er berät das Unternehmen in Bereichen wie Produktarchitektur, geistiges Eigentum und Sicherheit.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im März 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close