Technik

Fingerabdruck, PIN oder Passwort? So schützt man Smartphones vor Spionen

Fingerabdruck-Scanner können überlistet werden.

Fingerabdruck-Scanner können überlistet werden.

(Foto: Apple)

Die Fingerabdruck-Scanner in iPhones und anderen Handys sind nicht so sicher, wie viele annehmen. Mit ein paar Tricks können sie überlistet werden. Doch auch Alternativen wie Wischmuster und PIN haben ihre Schwächen.

Glaubt man den Experten des Chaos Computer Clubs (CCC), sind Fingerabdruck-Scanner, wie sie im iPhone und anderen Smartphones vorkommen, leicht auszutricksen. Wie CCC-Mitglied Jan Krissler auf dem Chaos Communication Congress (31C3) demonstrierte, lassen sich Fingerabdrücke schon anhand von Fotos aus mehreren Metern Entfernung rekonstruieren. Zum Beweis zeigte er einen Fingerabdruck von Verteidigungsministerin Ursula von der Leyen.

Privatpersonen haben zwar kaum etwas zu befürchten, trotzdem weckt der CCC mit seiner Kritik an der mangelnden Sicherheit biometrischer Authentifizierungsverfahren auch Bedenken bei Smartphone-Nutzern, die ihr Gerät per Fingerabdruck gesperrt haben. Ist die Sicherung des eigenen Handys mit biometrischen Merkmalen überhaupt zu empfehlen oder sollte man auf Passwort, PIN oder Wischmuster umsatteln?

Apple hat mit dem iPhone 5S den Fingerabdruck-Scanner salonfähig gemacht, die Touch-ID-Funktion ist auch bei den neuen iPhones an Bord. HTC, Samsung und zuletzt Huawei folgten dem Beispiel und brachten den Finger-Leser auch zu Android. Doch ob durch eine Wischbewegung wie bei Samsung oder durch einfaches Finger-Auflegen wie bei Apple, HTC und Huawei: Kritiker haben schon früh gezeigt, dass die Technologie zwar bequem, aber nicht fälschungssicher ist. Krisslers Vortrag ist jetzt nur ein weiterer Beweis dafür. Grund zur Panik gibt es kaum, denn die von den Experten vorgestellten Methoden sind aufwändig und erfordern Zeit, Fachkenntnis und die richtige Ausrüstung. Trotzdem könnte es sinnvoll sein, zusätzlich zum Finger-Scan noch eine PIN-Abfrage zu aktivieren.   

PIN oder Passwort am sichersten

Es gibt Alternativen zum Fingerabdruck, doch auch die haben ihre Schwächen, allen voran die Gesichtsentsperrung, die Google mit Android 4.0 eingeführt hat. Dass diese eher Spielerei als wirkliche Sicherheitsmaßnahme ist, ist kein Geheimnis. Ein Foto des Besitzers reicht unter Umständen aus, um die Sperre zu umgehen, und mehr noch: Google warnt davor, dass sogar jemand mit ähnlichen Gesichtszügen das Telefon womöglich entsperren könnte. Entscheidender aber ist: Bei schlechtem Licht gerät die Gesichtsentsperrung schnell an ihre Grenzen.

Das ist beim gerne genutzten Wischmuster zwar nicht der Fall, allerdings gibt es hier ein anderes Problem: Wischspuren auf dem Display können das heimliche Muster verraten, ein potenzieller Dieb muss es nur mit dem Finger nachziehen, um die Sperre zu knacken. Deshalb sollte das Display möglichst immer sauber sein. Außerdem neigen viele Nutzer dazu, ein einfaches und leicht zu erratendes Muster zu verwenden. Kreativität ist bei dieser Methode daher das oberste Gebot.  

Ähnliches gilt auch für die Sicherung per Zahlencode, auch wenn diese schwerer zu knacken ist: Die PIN kann ebenfalls anhand von Fingerabdrücken auf dem Display rekonstruiert werden, nur die Reihenfolge der Zahlen verraten die Spuren nicht. Außerdem gilt: je länger, desto besser. Die PIN sollte aus mehr als vier Ziffern bestehen und nicht so leicht zu erraten sein. Am sichersten fährt man immer noch mit einem Passwort, das Zahlen, Buchstaben und Sonderzeichen enthalten darf. Hier steht aber die Bequemlichkeit im Weg: Kaum jemand möchte jedes Mal, wenn er sein Smartphone in die Hand nimmt, erst umständlich ein Passwort eingeben.

Hundertprozentige Sicherheit kann aber keine dieser Methoden geben. Wie Heise Online bereits im Juli 2014 berichtete, konnten Forscher der TU Berlin den Bildschirminhalt von Smartphones über die Frontkamera anhand der Spiegelung in Brillen und Augen auslesen und so an Passwörter und PIN-Nummern gelangen. Auch Fingerabdrücke konnten mit der Kamera erfasst werden. Wer sich zusätzlich absichern möchte, hat deshalb bei Android und iOS die Möglichkeit, alle Daten auf dem Smartphone zu verschlüsseln und sie somit gegen Zugriff von Unbefugten zu schützen. Beim iPhone und iPad geht das über die "Code-Sperre" im Einstellungsmenü unter dem Punkt "Allgemein", bei Geräten mit Android 5.0 findet man den Punkt ebenfalls im Einstellungsmenü im Bereich "Sicherheit" und dort unter "Verschlüsselung".

Quelle: n-tv.de

Mehr zum Thema