Zwei-Faktor-Authentifizierung mittels Biometrie: Funktionsweise und Sicherheitsaspekte
Biometrische Daten kommen in immer mehr Lebensbereichen zum Einsatz. Als „zweiter Faktor“ der Authentifizierung auf Websites und in Apps gelten sie als besonders wirkungsvoll. Dennoch sollten sich Nutzerinnen und Nutzer der Sicherheitsrisiken bewusst sein.
Ein Blick ins iPhone reicht, um das Gerät zu entsperren. Bestellungen können bei cloudbasierten Sprachdiensten wie Amazons Alexa über das eigene Stimmenprofil aufgegeben werden. Und digitale Identitäten wie die „ID Austria“ funktionieren etwa durch das Scannen des Fingerabdrucks. Biometrische Technologien sind aus dem Alltag nicht mehr wegzudenken. Da jedoch auch biometrische Verfahren gehackt werden können, ist es sinnvoll, sie in Form einer Zwei-Faktor-Authentifizierung (2FA) in Kombination mit sicheren Passwörtern zu nutzen.
Hinweis
Was genau unter biometrischen Technologien zu verstehen ist und welche unterschiedlichen Typen derzeit in Verwendung sind, lesen Sie im Beitrag „Biometrische Authentifizierung: Anmeldung via Körpermerkmale“.
Wie funktionieren biometrische Daten?
Im Grunde wird bei der Verwendung biometrischer Technologien zwischen unveränderbaren, physischen Charakteristika – äußere Merkmale wie das Gesicht oder der Fingerabdruck – und veränderbaren, verhaltenstypischen Kennzeichen wie etwa der Stimme unterschieden. Diese Merkmale sind einzigartig und immer nur einer bestimmten Userin oder einem bestimmten User zuzuordnen. Beispielsweise haben nicht einmal eineiige Zwillinge denselben Fingerabdruck.
Hinweis
Beim Versuch, Zwillinge via Gesichtserkennung auseinanderzuhalten, versagen Smartphones jedoch häufig. Das mag unter anderem ein Grund dafür sein, dass eine PwC-Studie von 2020 zu dem Ergebnis kam, dass Userinnen und User biometrische Authentifizierungen mittels Fingerabdruck als deutlich sicherer einstufen als die Gesichtserkennung. Laut Apple liegt aber – zumindest bei ihren eigenen Technologien – die Chance einer Überschneidung zweier Fingerabdrücke bei 1 : 50.000, wohingegen die Wahrscheinlichkeit, dass die Face ID eine Nutzerin oder einen Nutzer mit einer anderen Person verwechselt, 1 : 1.000.000 beträgt.
Biometrische Daten dienen ebenso wie Passwörter oder PIN-Codes der Authentifizierung einer Nutzerin oder eines Nutzers und werden zum Entsperren von Geräten beziehungsweise zum Anmelden für Apps und andere Systeme verwendet. Auch in Ausweisdokumenten kommen häufig biometrische Daten zum Einsatz: In österreichischen Reisepässen ist seit 16. Juni 2006 ein biometrisches Reisepassfoto zur Identitätsprüfung verpflichtend. Dieses ist zusätzlich in elektronischer Form auf dem Chip im Reisepass gespeichert. Weiters werden darauf seit dem 30. März 2009 auch zwei Fingerabdrücke gespeichert. Um solche Daten nutzen zu können, benötigen Systeme:
- Einen Sensor zum Erfassen biometrischer Daten: Je nach Biometrietyp werden unterschiedliche Technologien verwendet. Fingerabdruck-Scanner prüfen die individuellen Rillen in der Fingerkuppe, Stimmerkennungen analysieren die Schallwellen in der Stimme, und Gesichtserkennungen vergleichen physische Merkmale im Gesicht.
- Eine gespeicherte Originaldatei als Referenz: Damit das System einen Vergleich zwischen den erkannten Merkmalen und dem Referenzmaterial der Nutzerin oder des Nutzers anstellen kann, müssen die jeweiligen Originaldateien auf dem Gerät gespeichert werden. Nutzerinnen und Nutzer legen dazu ein persönliches Profil mit allen notwendigen Informationen an.
- Eine Vergleichssoftware zur finalen Authentifizierung: Wollen Nutzerinnen oder Nutzer ihr Handy entsperren, scannt das Gerät ihr Gesicht oder den Fingerabdruck und vergleicht die Daten mit der hinterlegten Referenzdatei. Stimmen die Merkmale überein, gibt das Smartphone den Zugang frei. Tun sie es nicht, bleibt das Gerät gesperrt.
Biometrische Daten als Teil der 2FA
Biometrische Daten stellen eine ideale Ergänzung zu Authentifizierungsmethoden wie Passwörtern oder PIN-Codes dar. Das bedeutet, dass Geräte oder Applikationen zur Identifikation einer Nutzerin oder eines Nutzers nicht nur die Eingabe des Passworts verlangen, sondern auch den Fingerabdruck beziehungsweise das Gesicht scannen und prüfen.
Hinweis
Warum Passwörter ohne eine Zwei-Faktor-Authentifizierung häufig ein Sicherheitsrisiko darstellen, lesen Sie im Beitrag „Kennwortsicherheit: Der richtige Umgang mit Passwörtern“.
Schwache Passwörter bieten ein hohes Gefahrenpotenzial, da sie leicht geknackt werden können. Idealerweise sollten daher sichere Abfolgen aus mindestens 16 Zeichen gewählt werden, die auch Klein- und Großbuchstaben, Zahlen sowie Sonderzeichen enthalten. Fügen Userinnen und User dieser Identifikationsmethode eine biometrische Authentifizierung hinzu, reduziert sich das Risiko eines unautorisierten Zugriffs auf persönliche Daten signifikant.
Im Vergleich zu sogenannten „unimodalen biometrischen Daten“ – wobei nur ein einziges körperliches Merkmal geprüft wird – bietet die Nutzung einer „multimodalen biometrischen Authentifizierung“ einen weitaus effektiveren Schutz. Dabei werden mehrere unterschiedliche Körpereigenschaften überprüft: Das Smartphone entsperrt sich erst dann, wenn sowohl die Gesichtserkennung als auch der Fingerabdruck zu einer Übereinstimmung kommen.
Hinweis
Die Möglichkeiten der Mehrfaktor-Authentifizierung sind vielfältig. Allgemeine Informationen zu den unterschiedlichen technischen Lösungen finden Sie im Beitrag „Mehrfaktor-Authentifizierung: Überblick über die verschiedenen Technologien“.
Wie sicher sind biometrische Daten?
Wenngleich biometrische Verfahren als äußerst bequeme und sichere Art der Authentifizierung gelten, sind auch sie nicht unfehlbar. Charakteristische Merkmale sind zwar von Mensch zu Mensch verschieden, doch die digitalen Informationen hinter der Biometrie können ausgelesen und dupliziert werden.
Viele biometrischen Daten gelangen über kurz oder lang ins Internet. Fotos und Videos finden sich beispielsweise in sozialen Netzwerken, und auch Stimmprofile werden digital gespeichert. 2014 wurde erstmals nachweislich von einer hochauflösenden Fotografie der Fingerabdruck und die Iris einer Person abgelesen – der biometrische Datensatz konnte in weiterer Folge missbräuchlich verwendet werden.
Nutzerinnen und Nutzer sollten daher mit ihren biometrischen Daten nicht achtlos umgehen und diese nur dort registrieren, wo umfassende Sicherheitsvorkehrungen notwendig sind – zum Beispiel bei Online-Banking-Apps. Durch die vermehrte Nutzung biometrischer Authentifizierungsverfahren ist künftig in diesem Bereich mit einer Zunahme von Datenmissbrauch und cyberkriminellen Aktivitäten auszugehen.
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria