Übersicht
In der Öffentlichkeit kursieren falsche Vorstellungen über biometrische Daten und ihre Verwendung zum Schutz unserer persönlichen Daten. Die meisten Menschen glauben, dass biometrische Verfahren wie Touch ID oder Face ID herkömmliche Passwörter überflüssig machen können. Das ist jedoch weit von der Wahrheit entfernt. Wie hier beschrieben, dienen biometrische Daten lediglich als Komfortfunktion für die Nutzer oder als zweiter Faktor für die Authentifizierung.
Passwörter werden weiterhin benötigt
Jede Software, Cloud-App oder Website, die wir täglich nutzen, erfordert die Erstellung eines Kontos. In der Regel bedeutet dies die Angabe eines Benutzernamens (oder einer E-Mail-Adresse) und eines Passworts. Viele Services bieten auch die Option „Mit Google anmelden“ oder „Mit Facebook anmelden“ an, wodurch die Authentifizierung mithilfe von OAuth- oder OpenID Connect-Protokollen an einen vertrauenswürdigen Drittanbieter delegiert wird. Diese Identitätsanbieter verlangen nicht nur einen Benutzernamen und ein Passwort, sondern erfordern in der Regel auch eine Zwei-Faktor-Authentifizierung (z. B. einen Einmal-Passcode per Textnachricht oder ähnliches). In der Geschäftswelt gibt es eine große Anzahl von häufig genutzten Identitätsanbietern wie Okta, Azure und JumpCloud, die ein anderes Protokoll (SAML 2.0) verwenden, um Single Sign-On (SSO)-Funktionen bereitzustellen. Auch hier erfordert jeder einzelne dieser Anbieter letztlich die Verwendung eines Benutzernamens UND eines Passworts zum Einloggen in seine Systeme.
So funktionieren biometrische Daten auf mobilen Geräten
Nehmen wir als Beispiel iOS. Wenn Sie die Touch ID-Funktion aktivieren, werden Ihre Fingerabdruckdaten von Apple in einem Chipsatz auf dem Gerät gespeichert. Diese Daten sind für Softwareentwickler nicht zugänglich. Softwareentwickler, die Touch ID nutzen möchten, können das Betriebssystem einfach auffordern, den Fingerabdruck abzufragen, und auf ein „Pass“ oder „Fail“ warten. Wenn es sich um einen „Pass“ handelt, können einige der Daten, die der Entwickler im Schlüsselbund gespeichert hat, abgerufen werden (z. B. ein Verschlüsselungsschlüssel oder ein Passwort). Dies kann verwendet werden, um den Passwortbildschirm der App zu umgehen und den Benutzer automatisch anzumelden. Die Verwendung dieses Verfahrens war für den Benutzer einfach bequemer, da er sein Passwort nicht eingeben musste. Aber zwischen dem Schlüsselbund und der App wurde immer noch ein Passwort übergeben.
Was aber, wenn das Passwort für eine bestimmte Anwendung schwach war (z. B. 123456)? Die Tatsache, dass das biometrische Merkmal verwendet wurde, um das Passwort aus dem Schlüsselbund zu ziehen und es an die Anwendung weiterzugeben, trug nicht zur Erhöhung der Sicherheit bei. Wenn die App dieses schwache Passwort erlaubte, kann davon ausgegangen werden, dass ein Angreifer auf der anderen Seite der Welt Ihr Passwort erraten und sich ebenfalls bei derselben App anmelden könnte.
Apps, die biometrische Daten für die Anmeldung verwenden, speichern einfach Ihr Passwort im Schlüsselbund oder in einem sicheren Element auf dem Gerät. Biometrische Daten werden nie direkt in ein Passwort oder einen Schlüssel umgewandelt. Sie können nurz als „Pass“- oder „Fail“-Operationen verwendet werden, um Informationen von der Hardware abzurufen, die zuvor dort von der Anwendung gespeichert wurden. Aus diesem Grund bieten biometrische Daten nur eine Methode der Bequemlichkeit, nicht zusätzliche Sicherheit.
Es ist bekannt, dass Hardwarehersteller wie Apple und Google den Entwicklern von Websites oder Apps niemals die tatsächlichen biometrischen Daten zur Verfügung stellen, die zur Identifizierung der Nutzer verwendet werden. Andernfalls würden die privaten Informationen des Nutzers preisgegeben und die biometrischen Daten einem möglichen Diebstahl oder Hacking ausgesetzt.
Warum ein Passwort letztlich immer erforderlich ist
Der erste Hauptgrund für die Notwendigkeit von Passwörtern ist, dass sie geändert werden können. Wenn Ihr Passwort für einen Service versehentlich durchsickert oder von einem Angreifer gestohlen wird, können Sie Ihr Passwort auf der Zielseite einfach zurücksetzen. Ihren Fingerabdruck oder Ihr Gesicht können Sie jedoch nicht zurücksetzen.
Zweitens ist nur ein starkes und einzigartiges Passwort einem Brute-Force-Angriff gewachsen, da es nur in Ihrem Kopf (oder in einem verschlüsselten Passwortmanager) existiert.
Und schließlich werden bei den sichersten Produkten Ihre Passwortdaten verschlüsselt. Die Verschlüsselung erfordert einen Chiffrierschlüssel, um die gespeicherten Informationen zu entschlüsseln. Ein Schlüssel kann nur aus einem starken Passwort abgeleitet werden, das jedes Mal auf die gleiche Weise eingegeben wird. Ein Verschlüsselungsschlüssel kann nicht direkt aus einem Fingerabdruck abgeleitet werden. Der Grund dafür ist, dass Betriebssysteme Entwicklern keine biometrischen Rohdaten zur Verfügung stellen – andernfalls bestünde die Gefahr, dass Ihr Fingerabdruck der ganzen Welt bekannt wird. Und selbst wenn die biometrischen Rohdaten den Softwareentwicklern zur Verfügung stünden, lägen sie nicht in einer Form vor, die als Verschlüsselungsschlüssel verwendet werden könnte. Die Entschlüsselung funktioniert entweder oder sie funktioniert nicht – der Schlüssel darf nicht einmal um eine einzige 0 oder 1 abweichen. Es ist allgemein bekannt, dass biometrische Daten nie exakt sind, und ein „Pass“ oder „Fail“ eine Schätzung ist. Die Entschlüsselung kann niemals auf Grundlage einer Schätzung durchgeführt werden.
Sie sind nur so stark wie Ihr Passcode
Tatsache ist, dass unter iOS die Touch ID- und Face ID-Funktionen umgangen werden können, indem der Passcode des Geräts eingegeben wird. Für die meisten Menschen ist dies eine 4- oder 6-stellige Zahl. Apple und Android zwingen die Benutzer, diesen Code als Fallback-Mechanismus ständig einzugeben. Wenn also der Passcode Ihres Geräts durchsickert, kann sich ein Angreifer bei Ihrem Gerät anmelden und einen neuen Fingerabdruck erstellen oder Ihre Face ID zurücksetzen. Dies mag viele Benutzer überraschen und Sie dazu ermutigen, einen stärkeren alphanumerischen Passcode auf Ihrem Gerät einzurichten. Es ist wichtig, nach einem Produkt zu suchen, das es Kunden ermöglicht, sich gegen die Verwendung von Touch ID zu entscheiden und die Verwendung biometrischer Daten zu beschränken.
Verschlüsselung zählt
Suchen Sie nach einem Produkt mit Zero Knowledge. Das bedeutet, dass Ihre im Produkt gespeicherten Informationen nur auf Geräteebene verschlüsselt und entschlüsselt werden – unter Verwendung eines Verschlüsselungsschlüssels, der aus Ihrem Master-Passwort abgeleitet wird.
Wenn eine Website, eine App oder ein Dienst Ihnen einfach die Anmeldung ohne Passwort ermöglicht, oder wenn der Dienst keine clientseitige Entschlüsselung durchführt, sollten Sie davon ausgehen, dass Ihre Daten auf den Servern des Anbieters gespeichert werden, und zwar völlig offen. Wenn die Mitarbeiter dieses Unternehmens Ihre Daten einsehen möchten, haben sie die Möglichkeit, dies zu tun. Das bedeutet auch, dass Ihre Daten im Falle eines Fehlers in der Software des Unternehmens theoretisch öffentlich im Internet zugänglich gemacht werden könnten.
Je nach Art der im Dienst gespeicherten Informationen spielt dies für Sie möglicherweise keine Rolle. Im Falle von vertraulichen Dateien, Passwörtern und anderen geheimen Informationen kann dies jedoch verheerende Folgen haben. Private und vertrauliche Informationen sollten auf Geräteebene verschlüsselt werden, und das geht letztlich nur mit einem Verschlüsselungsschlüssel, der von etwas abgeleitet ist, das in Ihrem Kopf ist und das niemand sonst kennt (ein Passwort!).
Es ist äußerst schwierig, ein Zero-Knowledge-Produkt zu entwickeln. Aus diesem Grund tun es die meisten Unternehmen nicht. Für Nutzer und Unternehmen ist es wichtig zu wissen, welche Art von Daten Sie speichern und welches Vertrauen Sie in das Unternehmen haben, das Ihre Daten schützt.
In Bezug auf biometrische Daten besteht die wichtigste Erkenntnis darin, dass eine biometrische Datenquelle Ihre Daten nicht direkt verschlüsseln kann. Daher kann jeder Dienst, der keinen Passwortschutz hat und sich für den Zugriff vollständig auf eine biometrische Kennzeichnung stützt, nicht als vollständig sicher angesehen werden.
Biometrie als zweiter Faktor der Authentifizierung
Als zweiter Faktor für die Anmeldung auf einem Gerät kann die Biometrie für die meisten Anwendungen von Nutzen sein, während gleichzeitig das höchste Sicherheitsniveau gewahrt wird. So können Sie beispielsweise nach der Eingabe eines Passworts oder der Verwendung Ihres Passwortmanagers zur Anmeldung bei einer Website oder Anwendung auf Ihrem Computer aufgefordert werden, sich mit Ihrem Fingerabdruck oder per Gesichtserkennung auf Ihrem Mobilgerät zu authentifizieren.
Für diese Art von Workflow müsste der App- oder Website-Entwickler eine mobile Anwendung oder einen Authentifizierungsdienst eines Drittanbieters integrieren, der biometrische Geräte unterstützt. Um eine biometrische Authentifizierung als zweiten Faktor richtig zuzuordnen, muss es eine Registrierungsfunktion und ein Backend geben, das die Informationen des zweiten Faktors sicher zwischen der Anwendung und den Backend-Servern übermittelt.
Bei der Verwendung von Biometrie als zweiten Faktor basiert das wichtigste Element beim Schutz Ihrer Daten daher auf dem Kommunikationskanal zwischen dem biometrischen Gerät und den Backend-Servern. Ein Hacker, der versucht, in ein durch ein biometrisches Gerät geschütztes Konto einzudringen, wird seine Zeit damit verbringen, die Server zu täuschen, damit sie den Benutzer authentifizieren, anstatt zu versuchen, das Fingerabdrucklesegerät zu knacken. Daher basiert das Vertrauen, das Sie in Ihren Anwendungs- oder Softwareanbieter setzen, nicht nur auf der Tatsache, dass er über eine biometrische Authentifizierung verfügt, sondern auch auf der Implementierungsmethode.
Zusammenfassung
Biometrische Daten werden immer häufiger verwendet, aber es ist wichtig, dass die Öffentlichkeit den Unterschied zwischen der gebotenen Sicherheit und dem gewonnenen Komfort versteht. Jeder einzelne Nutzer und jede Organisation hat eine unterschiedliche Risikoaversion. Biometrische Daten allein können keine Sicherheit bieten, und eine solide Strategie für die Passwortverwaltung ist entscheidend für die Verhinderung von Cyberangriffen und Datendiebstahl.
Mobile Geräte und Desktop-Computer mit biometrischer Authentifizierung bieten einfach eine bequeme Möglichkeit, ein Passwort von der physischen Hardware auf die App zu übertragen, bei der Sie sich anmelden. Mit einem schwachen Passwort oder der Verwendung desselben Passworts für mehrere Anwendungen und Websites setzen Sie sich immer noch der Gefahr von Hacking und Datendiebstahl aus, selbst wenn Sie ein biometrisches Gerät verwenden. Als zweiter Faktor kann die Biometrie jedoch einen bequemen und wertvollen Sicherheitsmechanismus bieten, wenn sie vom Softwareanbieter sicher implementiert wird.
Craig Lurey
CTO, Keeper Security