Biometrie und Passwörter - Fiktion versus Realität

Computer und Sicherheits-Wissen Artikel 23


Tech-Writer Uwe

Tech-Writer Uwe am 29.06.2015



Gesamt: 85
Dieses Jahr: 85
Diesen Monat: 17
Diese Woche: 8
Heute: 2


Passwörter dienen dem Zugangs- und Datenschutz. Sie Schützen unser Bankkonto, Handy, Social-Media-Accounts und natürlich auch die Daten in Verbindung mit einer Verschlüsselung. Passwörter sind die einzige Barriere zwischen uns und Dritten, die Zugriff auf unser geschütztes Leben erlangen wollen. Die Wirksamkeit des Schutzes steht und fällt mit der Qualität und der Schnittstelle der Passwörter.


Copyright und Lizenz: Selbst erstellte Grafik über Biometrie und Passwörter.

Qualität

In einem vorangegangen Blog bin ich bereits auf die Regeln für gute Passwörter eingegangen, die ich hier nochmals wiederhole. Du solltest folgende Anforderungen an ein Passwort erfüllen:

  • #3_dUskcn38_!++>wL76$n3()k$UUx7# - JA!!! So in der Art und Länge sollte ein zeitgemäßes Passwort aussehen. DOCH – kannst Du es dir merken? Ohne vernünftiges Passwort kannst du die Verschlüsselung direkt vergessen. Bau dir inhaltliche Blöcke wie beispielsweise erst mal ein Startzeichen wie # oder _ oder ! dann irgendein einfaches Standardpasswort wie superpass und da einfach den ersten Teil klein, den zweiten Teil groß und mit Unterstich, Raute oder einem sonstigen Sonderzeichen getrennt, in der Art super_PASS. Das ganze wird nun kombiniert mit irgendeiner Telefonnummer. Dann sieht dass Passwort schon wie folgt aus (#super_PASS!883635#). Bau dir Passwortbestandteile, die du nach Belieben verbinden und zum Schluss mit einer ID vergeben kannst. Zum Beispiel kann dein eBay-Passwort dann in der Form #super_PASS!883635_eBay# sein. Falls irgend möglich sollte dein Passwort mindestens 32 Zeichen lang sein, aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen.
  • Eine alternative ist auch das Passwort als Phrase zu definieren. Das sieht dann in etwas so aus. "Meine Katze legt ihr Ei immer im Wohnzimmer und ich krieg die Krise dabei". Nun immer den ersten Buchstaben eingebettet in Sonderzeichen: !MKliEiiWuIkdKd_883635!. Suche einfach eine Regel, mit der du die Passwörter im Kopf behälst und nicht aufzuschreiben musst.
  • Alternativ nochmals Eigenwerbung. Hier kannst du den abylon KEYSAFE zur Passwortverwaltung verwenden. Gib dem abylon KEYSAFE einmalig ein absolut kryptisches Passwort und verwalte alle anderen Passwörter im abylon KEYSAFE. Selbstverständlich gibt es auch hier viele Angebote von anderen Herstellern, die das gleiche genauso gut oder auch besser abbilden. Beim abylon KEYSAFE kannst du auch ganz auf ein Passwort verzichten und beispielsweise deine EC-Karte oder USB-Stick als Sicherheitsschlüssel einsetzen.
  • Verwende NIE und ich meine NIE und es gibt auch kein aber NIE NIE NIE ein Passwort zweimal für unterschiedliche Einsatzgebiete. So solltest du beispielsweise dein eBay-Passwort nicht für dein PayPal oder E-Mailprovider verwenden. Wenn Hacker in den Besitzt deines eBay-Passwortes kommen, testen sie das auch bei PayPal oder bei deinem E-Mailprovider. Deshalb auch die Regel wie unter Punkt 1 gesagt eine ID vergeben. So zum Beispiel für eBay: #super_PASS!883635_eBay# und für PayPal: #super_PASS!883635_PP#
  • Meine Tipps zur Passwortvergabe sind nicht optimal aber im Alltag für den normalen Anwender deutlich realistischer einzusetzen als sonstige kryptische Zeichen, die sich niemand merken kann. Im Notfall verdopple einfach das Passwort, um mehr Zeichen zu erreichen (z. B.: #super_PASS!883635_eBay_super_PASS!883635_eBay#. Alles ist besser als 123456 oder PASSWORT.

Mit der Zeit wirst du deine eigenen Techniken und Regeln entwickeln, die dir auch in Fleisch und Blut übergehen. Verschlüsselung und Zugangsschutz sollte für dich kein Tabuthema mehr sein. Was wer wie mit deinen Daten anfangen und gegen dich verwenden kann ist kaum abzuschätzen. Du glaubst gar nicht, wie schnell dir scheinbar harmlose Dateien zum Verhängnis werden können.

Biometrie

Immer beliebter werden biometrische Schnittstellen zur Passworteingabe. Egal ob per Fingerabdruck beim PC oder Gesichtserkennung beim Handy. Angenehm ist, dass ich mir kein Passwort mehr merken, sondern ausschließlich meine körperlichen Merkmale hinhalten muss. Angenehm ist dies auch für Kriminelle und Strafverfolgungsbehörden, die deutlich Einfacher die Schutz-Barriere durchbrechen können.

Biometrische Merkmale sind im Gegensatz zu konventionellen Passwörtern KEIN Geheimnis. Biometrie unterliegt klaren mathematischen Regeln, die zum einen mit technischen Mitteln abgegriffen und somit umgangen werden können und zum anderen bist du selber auch kein Geheimnis. Kriminelle und auch Strafverfolgung können dich mit einfachen Mitteln zur Freigabe von Zugängen zwingen.

Biometrisch basierter Zugangsschutz ist nur in Filmen sicher und niemals im realen Leben. Sie erfüllen nicht die Hauptregel des „Geheimnisses“ wie Passwörter. Ein Passwort in der Form von 123456 ist allemal besser wie ein biometrischer Zugangsschutz.

Gefahren

Passwörter können selbstverständlich auch bei der Eingabe mit Keyloggern abgegriffen werden. Der Zugangsschutz bei allen abylonsoft – Produkten beinhaltet deshalb einen Passwortscrambler, der die Eingabe zerhackt und für Angreifer deutlich schwerer zu knacken macht. Maximaler Schutz ist die Kombination von einem guten konventionellen Passwort mit einem Token (Hardwareschlüssel). Hier wird das Geheimnis aus zwei getrennten Systemen zusammengestellt und ist kaum zu knacken.

Das ein biometrischer Zugangsschutz gleich keinem Zugangsschutz ist, sollte klar sein. Aber jedes Gerät, jede Tür, jede App, die zum Entsperren deine biometrischen Daten erfasst kann diese auch an Dritte weiterleiten. Damit stellst du kriminellen und staatlichen Organen freiwillig weitere wichtige Daten von dir zur Verfügung, die gegen dich verwendet werden können.

Sogar Spiele-Apps sammeln bereits in Form von beispielsweise Spaß-Lügendetektoren diese Daten. Es gibt unzählige sinnlose Apps (vor allem für Kinder), die alle möglichen Daten sammeln und an Dritte übertragen. Inzwischen bin ich sogar davon überzeugt, dass komplette Profile von Kindheit an über die Bevölkerung erstellt werden.

Biometrie stellt auch sicher, dass Du persönlich den Zugang freigeschaltet hast. Ausreden in der Form, "mir wurde das Passwort gehackt oder entwendet" sind nicht mehr möglich. Nun stell dir vor, wie schuldig du bist, wenn sich Kriminelle mit deinen biometrischen Daten Zugang verschaffen? Stell dir vor, wie Polizisten mit einer normalen Schulbildung mit diesen Beweisen gegen dich umgehen?

Fazit

Das insbesondere staatliche Institutionen auf biometrische Zugangssperren Wert legen, liegt auf der Hand. Biometrie ist kein Geheimnis und kann von staatlicher Seite leicht umgangen werden. Für Personen, die ihre Daten insbesondere vor staatlichen Zugriff schützen wollen, ist Biometrie ein absolutes „No Go“.

Wie bereits unter dem Punkt Gefahren erläutert, können biometrische Daten zu Überwachungszwecken auch deutlich einfacher von staatlicher Seite gesammelt werden. Glaubst du wirklich, dass deine biometrischen Daten beim Entsperren des Handys NICHT an Dritte übermittelt werden?

Impessum des Autor Kontakt zum Autor