Ein Einblick in biometrische Verfahren

9th September 2018
Posted By : Victoria Chercasova
Ein Einblick in biometrische Verfahren

Innerhalb weniger Jahre hat sich die Biometrie von einer Nischen-Sicherheitstechnologie zu einer essenziellen Komponente in modernen Smartphones entwickelt. Mit Touch ID hat Apple die Authentifizierung per Fingerabdruck für jedermann eingeführt und damit eine Welle von biometrischen Sicherheitsfunktionen in Mainstream-Geräten ausgelöst. Sein jüngstes iPhone X hat Apple zudem mit einer Gesichtserkennungsfunktion ausgestattet, die mit Infrarotsensoren arbeitet. 

Ist die Gesichtserkennung wirklich die Zukunft der biometrischen Sicherheit, oder ist diese Technologie noch nicht für die breite Masse tauglich? Und was die Authentifizierung per Fingerabdruck anbelangt: Wird sie auf lange Sicht Relevanz haben?

Komfortable Sicherheit

Schon seit Jahrzehnten werden Passwörter zur Authentifizierung an Computersystemen genutzt, warum also sollte man jetzt auf Biometrie umschwenken? Die einfache Antwort lautet: Komfort. Die biometrische Authentifizierung auf Basis von Fingerabdruck-, Iris- oder Gesichtserkennung ist viel bequemer als die Eingabe von Passwörtern, und in der Praxis führt mehr Komfort zu mehr Sicherheit.

Ein wirklich sicheres Passwort, das aus einer langen Kette zufällig gewählter Zeichen und Zahlen bestehen sollte, stellt zwar grundsätzlich eine extrem sichere Form der Authentifizierung dar, jedoch fällt es schwer, ein solches Passwort festzulegen und sich zu merken. Aus diesem Grund erstellen die Nutzer oft leicht zu erratende Passwörter wie „abc123“ oder bewahren ihre Passwörter an einem leicht zugänglichen Ort auf – was den Zweck eines Passworts zunichte macht.

Biometrische Sicherheitsverfahren identifizieren uns anhand angeborener Merkmale, das heißt, es kann uns nicht mehr passieren, dass wir unsere Passwörter vergessen oder verlieren. Biometrie erfordert auch keine Eingabe langer Zeichenketten; wir können einfach einige unserer unverkennbaren physischen Merkmale (Augen, Finger oder Gesicht) scannen lassen. Mittlerweile sind solche biometrischen Entsperrmechanismen bei Smartphones gang und gäbe.

Biometrische Verfahren sind jedoch nicht uneingeschränkt sicher. Denn tatsächlich ist es unter Umständen leichter, die Fingerabdrücke einer Person zu nehmen, als ihr das Passwort zu stehlen, das sie sich in ihrem Gedächtnis eingeprägt hat. Jedoch genießen Geräte und Systeme mit biometrischen Authentifizierungsmechanismen aufgrund des hohen Komforts, den sie bieten, eine höhere Nutzerakzeptanz, was dann insgesamt in einem höheren Maß an Sicherheit resultiert.

Fingerabdruckscanner vs. Gesichtserkennung

Zwei der beliebtesten biometrischen Systeme sind heutzutage Fingerabdruckscanner und Gesichtserkennung. Beide Methoden bieten klare Vor- und Nachteile und kommen bereits in vielen aktuellen Smartphones sowie Verbrauchergeräten zum Einsatz.

Fingerabdruckscanner – Bis Apple mit seinem 2013 erschienenen iPhone 5s den benutzerfreundlichen Fingerabdrucksensor Touch ID veröffentlichte, nutzten viele von uns gar kein Passwort auf dem Smartphone. Die wenigen Nutzer, die eines festgelegt hatten, verwendeten allenfalls eine einfache Mustersperre oder einen kurzen vierstelligen PIN. Mit Einführung der schnellen und einfachen Fingerabdruckerkennung, die standardmäßig aktiviert war, trat Apple eine biometrische Revolution los.

Fingerabdruckscanner arbeiten meist entweder optisch oder kapazitiv. Optische Fingerabdrucksensorensenso fotografieren im Grunde den Fingerabdruck und gleichen das Foto dann mit einem gespeicherten Fingerabdruck ab. Der Vorteil ist, dass eine einfachere Integration möglich ist. Verschmutzungen, ein Fettfilm und Verunreinigungen können jedoch zu Schwierigkeiten bei der Erkennung führen. Außerdem können optische Sensoren leichter getäuscht werden als kapazitive Sensoren (durch Vorhalten eines Bildes eines Fingerabdrucks).

Bei der kapazitiven Fingerabdruckerkennung wird durch Messung elektrischer Spannung ein Bild des Hautreliefs (Rücken und Täler) des Fingers aufgenommen. Da hier wirklich ein Finger aufgelegt werden muss, ist eine Täuschung sehr viel schwieriger. Außerdem sind kapazitive Fingerabdruckscanner unempfindlicher gegenüber Staub und Verunreinigungen, wobei auch hier Wasser auf der Oberfläche den Erkennungsprozess beeinträchtigen kann. Es sollte jedoch erwähnt werden, dass sich kapazitive Sensoren im Laufe der Zeit stärker abnutzen als kontaktlose optische Sensoren, sofern keine besonderen Vorkehrungen getroffen werden (zum Beispiel Aufbringen einer schützenden Beschichtung). Die meisten Smartphones, darunter auch die iPhones von Apple, verwenden kapazitive Sensoren zur Fingerabdruckerkennung.

Wie einzigartig sind Fingerabdrücke? Die Antwort ist komplizierter, als man zunächst denken würde. Die einzelnen Rücken und Täler auf unseren Fingern sind zwar nahezu eindeutig; aber sobald eine dreidimensionale Form auf eine zweidimensionale Oberfläche übertragen wird, können Fehler auftreten.

Bei Fingerabdruckscannern kann dies sogar noch ausgeprägter sein. Wenn wir unseren Finger auf eine kleine zweidimensionale Fläche drücken, kommt es zu beträchtlichen Verzerrungen. Noch dazu muss ein Fingerabdruckscanner, der in einem Verbrauchergerät verbaut wird, eine gewisse Fehlertoleranz aufweisen, damit ein Gerät auch dann entsperrt werden kann, wenn der Finger leicht schwitzig ist oder in einem anderen Winkel auf den Bildschirm gedrückt wird. Apple schätzt, dass dadurch die Wahrscheinlichkeit eines Fehlers bei der Authentifizierung mittels Fingerabdruck bei einem iPhone bei 1 zu 50.000 liegt.

Zudem ist ein entsprechend motivierter Krimineller in der Lage, zum Beispiel vom Smartphone selbst einen Fingerabdruck zu nehmen, ein Silikonmodell eines Fingers zu erstellen und sich damit dann Zugang zu einem per Fingerabdruck gesicherten System zu verschaffen. Aus diesem Grund scheiden Fingerabdruckscanner zwar als sicheres Authentifizierungsverfahren für Unternehmens-, Industrie- oder geschäftskritische Systeme aus. Aufgrund ihres hohen Komforts eignet sich die Authentifizierung per Fingerabdruck aber immer noch für die meisten Verbraucheranwendungen. Darüber hinaus können durch Kombination von Fingerabdruckscannern mit anderen Sicherheitsmechanismen (zum Beispiel Passworteingabe) äußerst sichere Zwei- oder Drei-Faktor-Authentifizierungsverfahren für Unternehmenssysteme und andere Anwendungen geschaffen werden, die ein hohes Maß an Sicherheit erfordern.

Gesichtserkennung – Mit dem iPhone X hat Apple ein neuartiges System zur Gesichtserkennung eingeführt, das dank Infrarotsensoren noch sicherer arbeitet. Durch die Tiefensensortechnologie können die früheren Schwächen der Gesichtserkennung überwunden werden – zum Beispiel, dass sie ganz einfach durch Vorhalten eines Fotos ausgetrickst werden konnte.

Android-Smartphones sind schon seit geraumer Zeit mit Gesichtserkennung als Authentifizierungsoption ausgestattet, aber aufgrund von Sicherheitsproblemen wurde sie nie offensiv als Funktion beworben. Android-Geräte verwenden ein Foto des Gesichts des Nutzers und die Gesichtserkennungsalgorithmen von Google, um eine Übereinstimmung zu finden.

Neuere Android-Smartphones von Samsung ergänzen die Gesichtserkennung durch einen Iris-Scan – dadurch lässt sich die Einzigartigkeit weiter erhöhen, da selbst genetisch identische Personen wie Zwillinge unterschiedliche Irismuster besitzen. Im Gegensatz zum Gesicht verändert sich die Iris auch nicht mit zunehmendem Alter oder je nach Gesundheitszustand und kann nicht durch Haare oder Make-up verändert werden.

Gesicht und Iris sind zwar nahezu eindeutig, aber bildbasierte biometrische Technologien lassen sich mithilfe hochauflösender Fotos täuschen und werden außerdem durch die Umgebungsbeleuchtung beeinflusst. Bei Reisepasskontrollen am Flughafen, wo das Umgebungslicht reguliert und bei den Passagieren sorgfältig auf Täuschungsversuche geachtet wird, mag dies akzeptabel sein, aber bei Mobilgeräten wie Smartphones ist das problematisch.

Um dem Rechnung zu tragen, nutzt das neue Face ID des iPhone X Infrarot-Tiefensensortechnologie, wie sie auch in den RealSense-Kameras von Intel zum Einsatz kommt. Die neue Gesichtserkennung im iPhone nutzt Infrarotsensoren und -beleuchtung, um ein dreidimensionales Bild des Gesichts zu erstellen. Das Gesicht wird erst mithilfe eines Infrarot-Flutlichts beleuchtet. Anschließend werden 30.000 Infrarot-Lichtpunkte auf das Gesicht des Nutzers projiziert. Die Infrarotkamera erfasst dann dieses Infrarotbild und gleicht es mit den Gesichtserkennungsdaten ab, die auf dem Gerät gespeichert sind.

Im Vergleich zu rein visuellen Gesichtserkennungssystemen arbeitet diese Art von Infrarot-Tiefensensorsystem viel präziser. Die Tiefensensoren verhindern, dass das System mithilfe von Fotos getäuscht werden kann, und Apple behauptet, dass Face ID eine Sicherheit von 1 zu 1.000.000 bietet (Touch ID bietet eine Sicherheit von 1 zu 50.000). Da Infrarotlicht über das sichtbare Lichtspektrum hinausgeht, wird es auch nicht von umgebenden Lichtverhältnissen wie Dunkelheit oder hellem Sonnenlicht beeinflusst.

Ist Face ID absolut sicher? Die Technologie lässt sich nicht durch Fotos täuschen und auch nicht durch realistische Masken, die erstklassige Maskenbildner aus Hollywood angefertigt hatten. Jedoch behaupten Forscher aus Vietnam, sie hätten mithilfe von 3D-Druck und physischem Zugang zu einem authentifizierten Benutzer Gesichtsmasken erstellt, die das System überlisten können.

Auch wenn eine Täuschung von Face ID nicht gänzlich ausgeschlossen ist, zeigen die Komplexität und der Aufwand, die dafür erforderlich sind, dass die Gesichtserkennung mittels Infrarot-Tiefensensoren ein legitimes biometrisches Authentifizierungsverfahren darstellt und das nötige Maß an Komfort und Sicherheit für Verbraucheranwendungen bietet.

Entwicklung biometrischer Systeme

Ein sicheres biometrisches System hängt nicht nur von der Auswahl eines sicheren biometrischen Verfahrens ab. Das Speichern und Abrufen biometrischer Daten muss ebenfalls auf sichere Weise erfolgen – und im Idealfall vom restlichen System isoliert.

Touch ID von Apple erreicht dies durch die sogenannte „Secure Enclave“ – ein ARM-basierter Coprozessor mit eigenem dedizierten Flash-Speicher. Fingerabdruckdaten werden durch eine Einweg-Hashfunktion verarbeitet, und der daraus resultierende Hashwert des Fingerabdrucks wird an einem vom restlichen System unabhängigen Speicherort gespeichert. Durch das Hashen des Fingerabdrucks ist ein Rekonstruieren („Reverse-Engineering“) des Fingerabdrucks aus dem Speicher unmöglich. Da Fingerabdruckdaten vom Rest des Systems isoliert gespeichert und verarbeitet werden, kann selbst bei einem kompromittierten Smartphone nicht auf Fingerabdruckdaten und das Fingerabdruck-basierte Authentifizierungssystem zugegriffen werden.

Auch Android-Geräte speichern verschlüsselte Fingerabdruckdaten in einer sicheren Umgebung im System, die als „Trusted Execution Environment“ (TEE) bezeichnet wird. Die TEE ist vom Rest des Systems isoliert und interagiert nicht direkt mit vom Benutzer installierten Anwendungen.

Warum wir auf biometrische Verfahren setzen sollten

Durch ihren Einsatz in den jüngsten Smartphone-Modellen haben Fingerabdruck- und Gesichtserkennungstechnologien an Bekanntheit gewonnen und halten nun zunehmend auch in anderen Verbrauchergeräten Einzug. Insbesondere bei Wearables und Handhelds/Mobilgeräten sorgen sie auf schnelle und komfortable Weise für ein höheres Maß an Sicherheit, indem eine benutzerfreundliche Authentifizierung ermöglicht wird.

Zwar werden biometrische Verfahren allein vielleicht nie so sicher sein wie ein sorgfältig gewähltes Passwort, aber durch den Komfort, den sie bieten, tragen sie in der Praxis zu einem allgemein höheren Sicherheitsniveau bei. Darüber hinaus können sie auch verwendet werden, um bestehende Sicherheitssysteme ganz einfach mit einer Zwei- oder Drei-Faktor-Authentifizierung auszustatten.





Sign up to view our publications

Sign up

Sign up to view our downloads

Sign up

CES 2019
8th January 2019
United States of America Las Vegas, Nevada
Southern Manufacturing & Electronics 2019
5th February 2019
United Kingdom Farnborough
embedded world 2019
26th February 2019
Germany Nuremberg
Wearable Tech Show 2019
12th March 2019
United Kingdom London
AMPER 2019
19th March 2019
Czech Republic Brno Exhibition Centre