Biometrische Daten nur zum Entsperren eines privaten Schlüssels verwenden

Vielfältige Aspekte der Multi-Faktor-Authentifizierung

[datensicherheit.de, 25.08.2016] Beim Thema Online-Authentifizierung kommt auch die biometrische Variante ins Spiel. Laut einer jüngst von Visa veröffentlichte Studie würden zwei Drittel der befragten Europäer die biometrische Authentifizierung bei Online-Transaktionen verwenden. Was man aber genau unter Multi-Faktor-Authentifizierung wie der biometrischen versteht, wie diese funktioniert und ob sie wirklich sicher ist, erörtert Petteri Ihalainen von GlobalSign in einem Blog-Beitrag.

Als anfällig erwiesen: SMS-Code als zweiter Faktor

Der Begriff Multi-Faktor-Authentifizierung zeigt demnach an, dass zum Nachweis der Identität eines Online-Benutzers mehr als ein Faktor verwendet werden muss. Ein üblicher zweiter Faktor kann also ein SMS-Code sein, der an eine registrierte Mobilfunknummer des Benutzers gesendet wird (oft als „Einmalpasswort“ bezeichnet). Diese weitverbreitete Methode habe sich, kritisch betrachtet, allerdings als anfällig erwiesen, so Ihalainen. Sie werde inzwischen von Institutionen wie dem NIST (National Institute of Standards and Technology) abgewertet.

Grundsätzlich gebe es drei Kategorien von Faktoren:

• etwas, was man kennt (z.B. ein Passwort)
• etwas, was man besitzt (z.B. einen Token, ein Handy, eine Smartcard)
• etwas, was man ist (z.B. Fingerabdruck)

Ein Fingerabdruck sei, dank der Verbreitung von Fingerabdruck-fähigen Smartphones auf dem Markt, der häufigste biometrische Faktor. Weitere Beispiele für biometrische Faktoren seien Gesicht, Netzhaut (Auge), Herzschlag, Stimme, Verhalten usw. Diese erleichterten den Authentifizierungsprozess.

Die Authentifizierungsphase

Ein „iPhone“ z.B. gewähre nun nicht automatisch Zugang zum Bankkonto, denn Apple und die entsprechenden Banksysteme arbeiteten völlig getrennt voneinander. Um also die Lücke zu schließen und Zugang zum Konto per Fingerabdruck zu gestatten, müsse man als Erstes einen Identitätsanbieter (wie etwa GlobalSign) nutzen. Dieser ermögliche es der Bank, auch andere Authentifizierungsmethoden als die eigenen Einmalpasswort-Generatoren zu akzeptieren.
Als Nächstes brauche man eine App wie „MePin“ auf seinem Smartphone. Wenn man diese App heruntergeladen hat, den Browser startet und auf die eigene Banking-Website zugreift, führe der Identitätsanbieter eine sogenannte „User Driven Federation“ durch. Man müsse sich in der Authentifizierungsphase zuerst mit den Banking-Zugangsdaten authentifizieren und dann etwas wie z.B. die eigene Mobilfunknummer eingeben. Der Identitätsanbieter der Bank sende dann eine Authentifizierungsanforderung an die Smartphone-App, den Fingerabdruck anzufordern. Könne man den Fingerabdruck anstatt des Tokens zur Authentifizierung gegenüber der Bank verwenden.

Biometrie schützt privaten Schlüssel

Ihalainen: „Betrachtet man oben beschriebenen Ablauf, gewinnt man den Eindruck, der Fingerabdruck ist der Schlüssel, der die Tür zur Website entriegelt. Das aber ist falsch.“
Im obigen Szenario ersetze der Fingerabdruck einen PIN-Code. In der App gebe es einen privaten Schlüssel (PKI), der die Antwort an den Identitätsanbieter kryptografisch signiere. Diesen Schlüssel könne man mittels PIN-Code, Fingerabdruck oder Gesichtserkennung schützen. Das sei der korrekte Weg, biometrische Authentifizierung für Online-Dienste zu implementieren. Dabei verließen die biometrischen Daten das Gerät nicht.

Authentifizierung per Smartphone genießt hohen Aktenztanzwert

Stellt man sich einen durchschnittlichen Nutzer vor, der sich nicht unbedingt im Detail mit Sicherheitsvorkehrungen auskennt, so vertraut dieser laut Ihalainen darauf, dass die Bank sich darum kümmert. Was ihn viel mehr interessiere sei, ob ein System bequem und benutzerfreundlich ist.
Komplexe Passwörter, die alle 90 Tage geändert werden müssten, seien „ein Albtraum“. Man könne zudem davon ausgehen, dass Einmalpasswort-Token, die Zahlenfolgen mit sechs bis acht Ziffern generierten, im Alltag nicht immer die tauglichste Alternative seien. Token hätten (wie andere kleine Dinge) den „fatalen Hang“, gerne auf „Nimmerwiedersehen“ zu verschwinden.
Wenn man mithilfe der Biometrie etwas nutzen könne, das man ohnehin Dutzende Male am Tag in der Hand hält (und nicht erst seit „Pokémon Go“) wäre das für die Authentifizierung ungleich praktischer. Zudem sei diese Variante benutzerfreundlich und genieße einen hohen Akzeptanzwert.

Kritik an der Verwendung biometrischer Daten

Der Kritikpunkt, der in Bezug auf biometrische Daten am häufigsten genannt werde sei, dass man diese Art von Daten nicht verändern könne. „Das stimmt, wenn auch mit kleinen Ausnahmen“, betont Ihalainen. Sei aus irgendwelchen Gründen die biometrische Vorlage eines Daumenabdrucks durchgesickert, gebe es so etwas wie „löschbare biometrische Daten“ (Cancelable Biometrics), bei denen die biometrischen Merkmale verzerrt und auf eine neue Vorlage abgebildet würden.
Ein weiterer wunder Punkt sei die Privatsphäre. Nicht jeder wolle sich bei einem biometrischen System registrieren lassen. Biometrische Daten gälten als sehr persönlich und bereits das Registrieren werde unter Umständen als Eingriff in die Privatsphäre empfunden.
In der Informationstechnik sei „nichts zu 100 Prozent sicher“. Sicherheitsforscher hätten bereits nachgewiesen, dass es ziemlich einfach sei, einen biometrischen Sensor zu täuschen. Natürlich hätten die Anbieter von biometrischen Authentifizierungslösungen ihre Software verbessert. Ein Beispiel dafür: Es sei jetzt möglich, statische Bilder eines Gesichts zur Gesichtserkennung zu verwenden.
Die biometrische Authentifizierung sei sicherlich bequem. Trotzdem rät Ihalainen dazu, biometrische Daten zum Entsperren von etwas Anderem (z.B. eines privaten Schlüssels innerhalb einer PKI) zu verwenden. Geht dann ein Gerät verloren, könne man es einfach entfernen und den PKI-Schlüssel sperren.

Weitere Informationen zum Thema:

GlobalSign Blog, 19 Jan 2016
5 Things to Consider Before Using Biometric Authentication