Was ist die beste Authentication? Part 3 – Biometrische Verfahren

Ja, das musste sein. So schön der dritte Teil aus «Wissen – Haben – Sein» hätte werden können, so gross ist seit Jahren meine Enttäuschung über das Umgehen mit dem Sein. Mittlerweile reichen Fotos, um die Fingerabdrücke nachzubilden und so ist die Handhaltung einer deutschen Politikerin sehr verständlich, wenn Sie die Fingerkuppen aufeinander legt. Biometrische Daten werden überall gleichmässig verteilt, auf mobilen Devices, Ausweisen oder Pass-Kontrollen bei der Einreise und der Betroffene hat eigentlich keine Kontrolle über die Verwendung dieser Informationen.

Auch in der letzten Woche gab es wieder einige Ernüchterung: Face-ID Lebenderkennung aufgehebelt und Biometrie-DB im Netz.

So eindeutig der Fingerabdruck auch sein mag, es müssen in der Praxis Toleranzen gewährt werden, damit die Erkennungsraten praxistauglich bleiben. Die Zuverlässigkeit der Leser ist im Alltag auch nicht so berauschend, denn Sie müssen günstig und super klein bleiben. Ein Kletterausflug am Wochenende kann dann schon eine echte Herausforderung für die Technik werden. Und dann möchte ich eigentlich nicht, dass mein Fingerabdruck bei Google oder Apple oder sonst wo auf der anderen Seite des Teichs landen. Klar müssen wir solche Daten am Flughafen eh abgeben, aber wer sagt uns, dass diese Daten nicht genutzt werden, um im Zweifelsfall unser mobile Device zu entsperren oder sonst auf Cloud-Dienste zuzugreifen. Sicher können wir uns auch sein, dass die Daten aus dem Pass entsprechend abgeglichen werden. Das aktuelle Beispiel von Grossbritannien, in welchem wahrscheinlich Daten aus dem Schengen-Raum an die USA weitergegeben werden, wundert mich nicht¹. Aber das ist alles eine Frage des Rechts und nicht mein Thema. Aber muss ich das alles forcieren, privaten Unternehmen geben oder gar im Unternehmen hinterlegen? Für die Annehmlichkeiten als Benutzer oder weil es „en vogue“ ist? Hier wird es für mich auch aus der Sicht der Privacy schwierig.

Wie viele Firmen haben dann nach der Hälfte des Arbeitslebens meine Daten und was machen die damit? Wie gut sind die Daten dort geschützt und werden diese dann gelöscht? Laut GDPR ganz sicher und die Schweizer Gesetze werden sich da anlehnen – sicher bald…?

Also Knackpunkt sind Datenbanken und wohin die Daten von diesen DBs fliessen. Die Kommunikation zur Übertragung des digitalen Musters und die Identity selber.

Beim Fingerprint sind es früher hauptsächlich optische Verfahren gewesen, die ein Bild erzeugten. Heute sind es eher kapazitative Sensoren, die die Rillen messen, in denen Luft ist und wo die Haut aufliegt. Aktuell nehmen Ultraschallscanner Einzug in die mobilen Geräte.

Bei Face-Recognition werden recht viele (30’000) Gesichtspunkte als 3D Modell gespeichert. FaceID oder Windows Helo.

Als Übersicht gibt es aktuell folgende Varianten der biometrischen Erkennung und der Biometrie:

• Fingerabdruck
• Handvenenscanner
• Iriserkennung
• Stimmerkennung
• Retina-Scanning
• Gesichtserkennung
• Tippverhalten

Letztendlich werden die Daten lokal oder in Datenbanken als spezifischer Score via Fuzzy-Logic mit Biometric-Hash-Algorithmen gespeichert². Die Mathematik wollen wir hier aber noch aussen vorlassen³. Auch den Themen Falschakzeptanzrate und Falschzurückweisungsrate widmen wir uns im nächsten Artikel des Bio-Teils.

Die einzelnen biometrischen Merkmale sind prinzipiell sehr eindeutig und als Basis eine gute Möglichkeit der eindeutigen Identifikation, aber abgesehen davon ist hier auch die Kombination von mehreren Faktoren wichtig. Denn selbst Venenscanner haben ihre Lücken: 35C3 – starbug.

Mit diesen Hinweisen vom CCC erhält man einen Einblick in die aktuellen Probleme mit den biometrischen Verfahren. Einige Hinweise zu den Gefahren vom CCC, wenn man sich auf media.ccc.de es bizzeli umschaut.

• Facerecognition lässt sich mit Fotos knacken. Das lässt die Selfie-Fans und ihre Posts unter einem neuen Licht erscheinen, denn sie stellen freiwillig den Schlüssel zu ihrem Haus zur Verfügung. Und auch mit dem Posting von Fingern sollte man im Netz zurückhaltend sein. Plakate von Politikern sind da ein besonderer Quell der Freude inklusive Iris.
• Decken sie die Frontkamera des Smartphones ab, Reflexionen im Auge bei Smartphones können die device-PIN verraten.
• Gyroskop-Daten auslesen hilft auch, um an die PIN des geliebten Rechenknechts zu gelangen.
• Kommunikation: Sniffing der Netzwerkverbindung oder der USB-Verbindung liefern direkt die digitalen Muster. Dann kann man diese Daten dem System vorgaukeln, ist sogar noch praktischer – nur Bits und Bytes und kein Bastelnachmittag.
• Fingerkuppen-Attrappen aus Holzleim nachbauen, schon eher ein alter Hut
• Kontaktlinsen lassen sich mit «neuer» Iris im Netz bestellen, kostet aber etwas.

Ich bin natürlich für Blutanalyse: «Blut ist ein ganz besonderer Saft.». Aber mehrmals täglich pieken, das wird zum Schluss dann noch ein Tattoo und was mit DNA-Daten gemacht wird, ist auch sehr heikel. Der Arbeitgeber könnte im Zweifelsfall die DNA der Mitarbeiter nach Erbkrankheiten durchforsten, Versicherungen die Lebenserwartung bestimmen und die Beschäftigung davon abhängig machen. Wir wissen heute einfach noch nicht, wer was wann aus unseren Informationen schlussfolgern könnte und deshalb bin ich hier sehr skeptisch. Die Realität hat die Befürchtungen und Phantasien der Menschen schon oft überholt.

Wie man in diesem Artikel sieht, gibt es für mich doch einige grosse und grundlegende Probleme mit den biometrischen Authentisierungs-Verfahren. Deswegen bin ich persönlich kein Freund davon. Es gibt andere, für den User sicherere Verfahren.

Passwords oder Kennworte, wenn es dann sein muss, aber mit 12 Char Komplexität oder mehr. Wer an dem Thema nicht vorbeikommt, muss sich um eine Password-Management-Lösung umschauen. Eine sichere AuthN (2FA) an diesem System. Und am Besten, der User kennt dann die unterschiedlichen Credentials nicht, sondern benutzt diese nur.

Vorsicht bei der Beurteilung der Password-Qualität auf Online-Testseiten wie hier: www.betterbuys.com/estimating-password-cracking-times/ Bitte die Rainbow Table nicht mit echten Passwords füttern.

Ausnutzung der SSO-Möglichkeiten mit SAML, kerberos, usw. oder generellen Portallösungen für den Zugriff auf die Ressourcen reduzieren die Eingabe und die Anzahl der unterschiedlichen UserID/password-Kombinationen. Immer das Gleiche geht gar nicht.

Aus Smart Cards und dem Schlüsselpaaren kann man keine Rückschlüsse auf eventuelle Erbkrankheiten ziehen. Und wenn Smart Cards nicht funktionieren, dann gibt es genügend alternative OTP-Verfahren. Zertifikatsbasierte Authentisierungsverfahren lassen sich auch für den Zugriff auf unterschiedlichen Systemen sicher einsetzen.

Also ich bin für Mathematik und Chips – und deshalb tauchen wir beim nächsten Mal dort tiefer ein und gönnen uns Diffie-Hellman-Merkel – Rivest-Shamir-Adelman als high-level Betrachtung, also vorerst immer noch ohne Mathematik.

Was wir bei AVANTEC im Bereich Authentisierung anbieten: www.avantec.ch/themen/remote-access-authentication/