28. Oktober 2013 - Alternative Zugangskontrolle

Stimme, Herzschlag, Tippverhalten: Wirklich ein Passwort-Ersatz?

Da sich kaum jemand gern Passwörter merkt, stehen alternative Zugangskontrollen hoch im Kurs. Selbst der individuelle Herzschlag wird als Ersatz für lästige Zugangsdaten propagiert. Doch was ist von solchen biometrischen Verfahren zu halten?

stimme-herzschlag-tippverhalten-wirklich-ein-passwort-ersatz.jpeg
Biometrische Merkmale wie der Herzschlag eignen sich nur als zusätzliche Zugangsverfahren, nicht als Ersatz für Passwörter (Bild: Thinkstock)

Biometrie entlastet das Gedächtnis

Mehr als die Hälfte der deutschen Endkunden hätte nichts dagegen, wenn Banken, Krankenkassen, Provider oder Behörden bei der Nutzeranmeldung biometrische Verfahren wie die Fingerabdruckerkennung einsetzen würden, so eine Studie von Nok Nok Labs und dem Ponemon-Institut.

Dieses Ergebnis mag auf den ersten Blick erstaunen. Doch im Grunde ist die Situation klar: Die befragten Nutzer wollen sich nicht für jeden Dienst ein eigenes, komplexes Passwort merken müssen.

Sicherheit der biometrischen Verfahren hinterfragen

Biometrische Verfahren sind sinnvoll, wenn sie für eine Zwei- oder Mehr-Faktor-Authentifizierung genutzt und die biometrischen Daten sicher und datenschutzgerecht verarbeitet werden. Anders sieht es aber aus, wenn die Verfahren eher fehleranfällig sind und den Passwortschutz vollständig ersetzen sollen. Hier ist Vorsicht angezeigt.

Wenn also Angebote ins Unternehmen flattern, die Passwörter überflüssig machen wollen und neuartige Methoden wie

  • die Stimmanalyse,
  • die Analyse des Tippverhaltens oder
  • die Auswertung des Herzschlags

als Zugangsverfahren anbieten, sollten Sie genauer hinschauen. Selbst bei Fingerabdruck-Scannern, die als etablierte Methode erscheinen, sollten Sie hinterfragen, ob sie nun komplett den Passwortschutz ersetzen sollen.

Biometrie kann fehlerträchtig sein

Bedenken Sie, dass biometrische Verfahren nur dann sicher sein können, wenn die Erkennung der biometrischen Muster zuverlässig und die biometrischen Daten gut geschützt sind.

In der Praxis zeigt sich, dass viele biometrische Verfahren noch nicht reif genug sind. So wurden zum Beispiel bereits Verfahren auf Basis einer Gesichtserkennung ausgetrickst, indem der Kamera einfach ein Foto des legitimen Nutzers präsentiert wurde. Die Beschaffung eines Fotos des Nutzers ist dank Internet und sozialen Netzwerken überhaupt keine Schwierigkeit. Aber auch die anderen Formen biometrischer Daten sind in Gefahr.

Biometrie vermeidet nicht den Passwortdiebstahl

Das Beispiel Fingerabdrücke zeigt anschaulich, dass Biometrie das Risiko für den Diebstahl von Zugangsdaten nicht verschwinden lässt, im Gegenteil. So hinterlässt man als Nutzer laufend Fingerabdrücke, die unbefugte Dritte sammeln und verarbeiten könnten, um dann ein Modell des passenden Fingers zu erstellen. Ohne Kontrolle, ob der gescannte Fingerabdruck zu einem lebenden Finger gehört, ist das Umgehen einer Fingerabdruck-Kontrolle durchaus möglich, wie Sicherheitsforscher bereits mehrfach gezeigt haben.

Besteht der Verdacht, dass tatsächlich die biometrischen Daten gestohlen wurden, kann nicht einfach das Passwort zurückgesetzt und ein neues vergeben werden. Die Iris im Auge, die Stimme, der Herzschlag und die Fingerabdrücke lassen sich nicht einfach verändern.

Alternative Zugangsverfahren nur als Ergänzung

Ihr Unternehmen sollte deshalb nur ausgereifte Verfahren, die sich in der Praxis bewährt haben, als biometrische Zugangskontrollen nutzen und dies immer nur als Ergänzung zu anderen Zugangsfaktoren wie einem starken Passwort. Das aber bedeutet, dass Herzschlag & Co. das Passwort nicht ersetzen, sondern eine zusätzliche Sicherheitsschicht bilden könnten. Das Gedächtnis muss also weiterhin mit Passwörtern belästigt werden.

Sensibilisieren Sie die Passwort-Muffel

Machen Sie deshalb die Anhänger alternativer Zugangsverfahren auf die möglichen Sicherheitsprobleme aufmerksam, die bei biometrischen Verfahren auftreten können. Am besten nutzen Sie dazu die Mitarbeiterinformation.


Download:


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, IT-Analyst und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln