Wie die Biometrie Kennwörter verdrängt
Immer mehr Menschen nutzen Fingerabdruck und Gesichtserkennung statt eines Passworts, etwa für ihr Smartphone oder beim Online-Banking. Ganz so fälschungssicher, wie viele denken, ist die Methode allerdings nicht.
SAARBRÜCKEN Passwörter sind für die meisten Menschen notwendige Übel. Diese Abneigung wird noch verstärkt durch die Unmengen von verschiedenen Konten, für die eigentlich unterschiedliche Benutzernamen und Kennwörter verwendet werden sollen. Viele Nutzer setzen sich daher über die Expertenratschläge hinweg und verwenden dasselbe oder ein ähnliches Kennwort für mehrere Dienste. Oder eben eines, das sich leicht merken und daher oft genauso leicht erraten lässt.
„Das Problem ist, dass die meisten Menschen immer dasselbe Schema für die Erstellung von Kennwörtern verwenden“, so die Einschätzung des Tüv Rheinland. Die Passwörter seien dadurch leicht vorhersagbar und besonders anfällig für Hackerangriffe. Aus Sicht des Tüvs kann das für die Nutzer fatale Folgen haben. „Zwei Drittel aller Fälle von Datenschutzverletzungen sind die Folge der Verwendung von schwachen oder Standardkennwörtern oder eines Kennwortdiebstahls“, so der Verein. „Und nahezu alle Phishing-Attacken zielen auf die Anmeldedaten von Benutzern ab.“
Die Problematik werde noch dadurch verschärft, dass mit steigernder Rechenleistung auch die Programme zum Knacken von Passwörtern immer schneller arbeiten könnten. „Im Laufe der Zeit werden Kennwörter in bedrohlichem Maß schwächer“, sagt der Tüv. Habe es im Jahr 2000 noch vier Jahre gedauert, ein bestimmtes Kennwort zu knacken, sei dasselbe Passwort im Jahr 2009 bereits in vier Monaten entschlüsselt gewesen. „In der heutigen Zeit können Kennwörter einfach nicht mehr den komplexen Cyber-Bedrohungen standhalten“, so das Fazit des Vereins.
Eine Lösung des Dilemmas kann laut dem Tüv in der Umstellung auf sogenannte biometrische Authentifizierungsmethoden liegen. Dabei werden schwer zu fälschende körperliche Merkmale herangezogen, um Nutzer zu identifizieren. Vielen ist die Technologie schon von modernen Smartphones bekannt, bei denen etwa die Fingerabdrücke, die Regenbogenhaut des Auges – auch Iris genannt –, die Gesichtszüge oder die Stimme eines Menschen zur Authentifizierung genutzt werden. Laut Tüv sind derzeit weltweit bereits über eine Milliarde Geräte im Umlauf, bei denen sich Nutzer per Fingerabdruck identifizieren können.
Auch in Deutschland werden biometrische Verfahren immer beliebter. „In puncto Sicherheit empfindet mehr als die Hälfte diese Art der Identifikation als sicherer als das Passwort“, lautet eines der Ergebnisse einer Umfrage des Marktforschungsunternehmens ECC Köln.
Das gelte insbesondere für Bezahlvorgänge im Internet. 22,9 Prozent der befragten Nutzer hätten sich schon einmal bei einer Online-Bestellung mit biometrischen Merkmalen authentifiziert, weitere 34 Prozent könnten sich das in der Zukunft vorstellen, so das ECC. 71,6 Prozent stimmten außerdem der Aussage zu, dass die biometrische Identifikation für sie praktisch sei, da sie sich dadurch weniger Passwörter merken müssten. Weniger als ein Drittel der deutschen Internetnutzer steht der Technologie laut ECC grundsätzlich eher skeptisch gegenüber.
Bei den Online-Händlern findet die Biometrie ebenfalls Anklang. Mehr als 16 Prozent der Betreiber von Online-Shops haben dem ECC zufolge vor, ihren Kunden in der Zukunft die Möglichkeit zu geben, Zahlungen per biometrischer Authentifizierung zu autorisieren. Weitere 46 Prozent fänden die Technologie zumindest „interessant“und könnten sich vorstellen, sie prinzipiell anzubieten, so die Meinungsforscher. 38 Prozent hätten dagegen vorerst nicht geplant, biometriebasierte Zahlungsmöglichkeiten zu verwenden.
Ganz so fälschungssicher, wie es die Hersteller von Smartphones gerne darstellen, ist die biometrische Authentifizierung allerdings nicht. So haben etwa Experten des Chaos Computer Clubs (CCC) bereits im April vergangenen Jahres am Beispiel des Samsung-Smartphones Galaxy S8 gezeigt, wie sich etwa Gesichtserkennung und Irisscanner überwinden lassen können. Der CCC verwendete dafür das Foto einer Person, vergrößerte die Augenpartie und setzte eine Kontaktlinse auf das Bild, um die Wölbung des Auges zu imitieren. Das Handy ließ sich davon täuschen und gab den Zugang frei. „Wem die Daten auf seinem Telefon lieb sind oder wer sogar daran denkt, mit seinem Telefon bezahlen zu wollen, der greift statt auf die eigenen Körpermerkmale besser auf den bewährten PIN-Code-Schutz zurück“, so die Einschätzung des CCC.
Noch gefährlicher kann es werden, wenn sich Hacker Zugang zu gespeicherten biometrischen Daten auf dem Smartphone verschaffen. Denn – anders als bei einem Passwort – lässt sich der eigene Fingerabdruck nach einem Diebstahl nicht ändern. Cyber-Kriminelle können einmal gestohlene biometrische Daten ein Leben lang nutzen, um im Namen der Opfer ihr Unwesen zu treiben.
In der heutigen Zeit können Kennwörter nicht mehr den komplexen Cyber-Bedrohungen standhalten. Tüv Rheinland