Smartphone-Authentifizierung: Stirbt das Passwort aus?

Vor kurzem erhielten unsere Kollegen von ESET UK eine Anfrage von der Journalistin Karenina Velandia, die an einem Artikel zum Thema Authentifizierungsmethoden arbeitete. Konkret wollte sie eine Meinung bezüglich der Sicherheit und Effektivität verschiedener Alternativen zur Entsperrung von Smartphones einholen.

Ihre Fragen bezogen sich grundlegend auf vier Methoden:

  • Fingerabdruck
  • Iriserkennung
  • On-Body-Detection Trageerkennung
  • „Traditionelles Passwort“

1. Fingerabdruck

Fingerabdruck-Scanner zur Entsperrung von Smartphones sind nichts Neues. Häufig wird die Technologie allerdings als unsicher eingestuft, weil es verschiedene Möglichkeiten gibt, einen solchen Scanner auszutricksen. So kann man beispielsweise mithilfe eines Objekts, das eine Person angefasst hat, deren Fingerabdruck relativ leicht kopieren und den Scanner mit einer Nachbildung austricksen. Außerdem können Schwachstellen in der Software dazu führen, dass Angreifer an die auf dem Gerät gespeicherten Abdrücke gelangen.

Zum Teil wird die Frage nach der Sicherheit von Fingerabdrücken auch obsolet – z.B. wenn man bedenkt, dass es auf iPhones möglich ist, statt des Fingerabdrucks weiterhin den Code für die Entsperrung zu nutzen. In diesem Fall handelt es sich also eher um ein cooles zusätzliches Feature, das dem Nutzer die Identifizierung zwar erleichtert, in Bezug auf die Sicherheit aber keinen wirklichen Unterschied macht.

2. Iriserkennung

Bei der Iriserkennung handelt es sich ebenfalls um eine biometrische Authentifizierungstechnologie, allerdings gibt es bislang kein Smartphone auf dem Markt, das diese Methode anwendet (wenngleich Fujitsu auf dem diesjährigen Mobile World Congress einen Smartphone-Prototypen mit eingebautem Iris-Scanner vorgestellt hat). Ähnlich wie beim Fingerabdruck-Scanner kann man davon ausgehen, dass die Sicherheit dieser Technologie stark von der verwendeten Hard- und Software abhängen wird. Allerdings ist es vermutlich schwieriger bzw. aufwändiger, diese Art der Authentifizierung auszutricksen – es sei denn natürlich, man ist Tom Cruise.

3. On-Body-Detection

Die On-Body-Detection ist eine „smarte“ Sperrfunktion, die Google für Android-Geräte eingeführt hat. Das Smartphone wird gesperrt, sobald der eingebaute Bewegungssensor erkennt, dass das Telefon getragen wird. Hierbei handelt es sich zwar um ein interessantes Feature, es ist aber genauso wenig eine Authentifizierungsmethode wir die Funktion, das Telefon nach einer festgelegten Zeit automatisch zu sperren. Vielmehr wird der Authentifizierungsmechanismus, der bereits vorhanden ist, aktiviert.

4. Das traditionelle Passwort

Auf dem Smartphone gibt es in der Regel verschiedene Arten von Codes – zu den „traditionellen“ Passwörtern kann man hierbei wohl die PIN und das Kennwort zählen. Während die PIN aus Ziffern besteht, kann man bei einem Kennwort eine Kombination aus Ziffern, Klein- und Großbuchstaben sowie Sonderzeichen verwenden.

Das Passwort als Authentifizierungsmethode hat heutzutage einen schlechten Ruf und gilt oftmals als unsicher. Wenn es um digitalen Zugang beispielsweise zu E-Mail- oder Online-Banking-Accounts geht, stimme ich dem zu und würde in jedem Fall empfehlen, die Sicherheit mithilfe zusätzlicher Schutzmaßnahmen wie einer Multi-Faktor-Authentifizierung zu verstärken.

Geht es hingegen um den physikalischen Zugriff auf Smartphones, empfinde ich ein Kennwort als ziemlich sicher – zumindest, wenn man es mit einer Beschränkung der Eingabeversuche kombiniert. Natürlich besteht bei Passwörtern die Gefahr, dass einem jemand bei der Eingabe über die Schulter schaut, allerdings obliegt es der Verantwortung eines jeden Nutzers, hierauf zu achten.

Fazit

Neue Authentifizierungsmethoden sind – wie jede technologische Entwicklung – natürlich immer spannend. Man sollte allerdings darauf achten, dass die Sicherheit nicht zugunsten des Nutzerkomforts eingeschränkt wird. Ich selbst nutze beispielsweise ein achtstelliges alphanumerisches Kennwort, um mein Smartphone zu entsperren. Zwar muss ich gestehen, dass das manchmal lästig sein kann, mir ist aber bewusst, dass sich jemand, der zusieht, wie ich diesen Code eingebe, die Zeichenfolge nicht so leicht merken kann wie es bei einer vierstelligen PIN der Fall wäre. Und es sind schließlich nur wenige Sekunden mehr, die ich für die Eingabe benötige – und diese wenigen Sekunden sind mir die Sicherheit wert.

Wenn ihr einen ausführlicheren Artikel zu diesem Thema lesen möchtet, empfehle ich euch den englischen Beitrag von David Harley.

Autor , ESET