1. Foren
  2. Kommentare
  3. Foto
  4. Alle Kommentare zum Artikel
  5. › Sicherheitssysteme gehackt: Passwörter…

Fundamentales Problem

  1. Thema

Neues Thema Ansicht wechseln


  1. Fundamentales Problem

    Autor: 3dgamer 28.12.14 - 14:07

    Ein biometrischer Schlüssel ist einmal kompromittiert nutzlos. Ein Passwort kann geändert werden, ein Fingerabdruck nicht. Ich finde biometrische Schlüssel unsinnig.

  2. Re: Fundamentales Problem

    Autor: M. 28.12.14 - 14:16

    Einerseits das, andererseits macht man das sehr berechtigte 'überall unterschiedliche Secrets nutzen'-Konzept kaputt. Auch wenn man das Venenabbild nicht per Kamera auslesen kann - spätestens wenn man sich an zwei verschiedenen Zugangskontrollen A und B mit Venenscan ausweist, kennt damit A zwangsläufig den Schlüssel zu B und umgekehrt. Normalerweise würde man für A und B unterschiedliche Passwörter, Crypto-Tokens, whatever verwenden.

    There's no sense crying over every mistake,
    you just keep on trying 'till you run out of cake.

  3. Re: Fundamentales Problem

    Autor: Oldy 28.12.14 - 15:03

    M. schrieb:
    --------------------------------------------------------------------------------
    > Einerseits das, andererseits macht man das sehr berechtigte 'überall
    > unterschiedliche Secrets nutzen'-Konzept kaputt. Auch wenn man das
    > Venenabbild nicht per Kamera auslesen kann - spätestens wenn man sich an
    > zwei verschiedenen Zugangskontrollen A und B mit Venenscan ausweist, kennt
    > damit A zwangsläufig den Schlüssel zu B und umgekehrt. Normalerweise würde
    > man für A und B unterschiedliche Passwörter, Crypto-Tokens, whatever
    > verwenden.

    Das kann man kombinieren. Den Venenscanner als Multiplikator einer Variablen.

  4. Re: Fundamentales Problem

    Autor: johnsonmonsen 28.12.14 - 15:04

    Hallo zusammen,

    der fundamentale Unterschied, welcher mir beim Vergleich von biometrischen Systemen mit herkömmlichen Passwörtern aufgefallen ist, ist dieser, dass sich die biometrischen Merkmale (Iris, Fingerabdruck, Sprachmuster, Gesichtsform) auch außerhalb eines Authentifizierungsvorganges, quasi direkt, von der Person abnehmen lassen. Ein Passwort hingegen, geht man davon aus, dass es im Gedächtnis seines Trägers verwahrt wird, kann (ohne die Anwendung von Gewalt oder, wie auch immer gearteter, Hinterlist) nur beim Eingeben, also während des Authentifizierungsvorganges, abgegriffen werden. Nehmen wir an, das Eingabesystem ist hierbei nicht komprommitiert.

    Ich war doch erstaunt über die Auswertung der Fingerabdrücke mittels Kamera mit Teleobjektiv. Und selbst ein Venenscan kann, notwendige Technologie vorausgesetzt, sicher irgendwann angefertigt werden, ähnlich wie mit einer Kamera bei den Daktylogrammen. Anfertigen, duplizieren, probat anwenden - so wie eine Kopie des Fingerabdrucks einer Person, welche zur Täuschung eines Scanners benutzt wird.

    Auch wenn ich mich jetzt sehr weit aus dem Fenster gen Zukunft lehne, wird es letztlich nur eine Möglichkeit geben - nämlich eine Art von biometrischem "In-Vivo-Verfahren", um eine Person automatisiert sicher zu identifizieren. Man stelle sich eine chemische Verbindung vor, die, nur im Zusammenhang mit klar differenzierbaren Eigenheiten der DNS der zu identifizierenden Person, zu unmittelbaren, kurzfristigen und auslesbaren Veränderungen der entsprechenden biometrischen Daten führt. Außerdem, bei Anwendung auf nöch höherer Sycherheitsstufe, könnte sich jede Dosis des "Identifizins" minimal unterscheiden und - ähnlich wie bei einer TAN - nur einmal funktionieren. Hat die Zusammensetzung einer jeden solchen Dosis desweiteren eine spezifische Haltezeit im Organismus, kann sogar die biologische Halbwertszeit als weiterer Identifikationsschlüssel dienen. Für stationäre Anwendungen, vor allem Authentifizierung in Dienststellen/am Arbeitsplatz wäre das eine gute Lösung, wie ich finde. Oder ein Hund, der einen am Geruch erkennt ;-D!

    Für die Heimanwendung schwebt mir, gar nicht so weit in der Zukunft, die Auswertung eines EEGs vor. Dazu wird zuvor die Reaktion des Probanden auf gewisse optische oder akustische Schlüsselreize ausgewertet und für die Identifilation eine beliebige Abfolge solcher Reize übermittelt. Die unwillkürliche Reaktion der Gehirnströme könnte den Anwender so relativ sicher erkennen, wie ich mir denken kann. Ganz in Abhängigkeit der Reizsequenz, die einmal für jeden Ausweisvorgang individuell erzeugt wird.

    Soweit meine Ideen. Vielleicht wisst Ihr mehr über die potenzielle Anwendbarkeit oder Euch fallen schon Schwachstellen auf. Mal ganz abseits der ethischen Implikationen ;-).

    Viele Grüße :-)!

  5. Re: Fundamentales Problem

    Autor: garrisson 28.12.14 - 15:24

    Das Problem hat weniger mit biometrischen Schlüsseln zu tun, sondern eher mit dem Konzept 'Sicherheit'.
    Sicherheit ist etwas relatives, d.h. etwas ist nur so lange sicher bis das Gegenteil beweisen wurde. Eine absolute Sicherheit gibt es praktisch nie, egal in welchem Bereich der Wissenschaft.
    Wenn man sagt, dass biometrische Schlüssel Unsinn sind, nur weil sie kompromittiert werden können, dann muss man das selbe von Passwörtern sagen. Denn diese können genauso kompromittiert werden(sind in Datenbanken gespeichert(verschlüsselt-egal nur eine Frage der Zeit), man kann Leute zwingen sie herauszugeben).

    Und klar, man hat nur einen Fingerabdruck(bzw. 10), aber ist absolut utopisch zu glauben, dass jemand für jede Anwendung ein anderes Passwort(20 Zeichen ohne logische Folge zwischen den Passwörtern) sich im Kopf merken kann => muss irgendwo hinterlegt werden.

    Zudem das Anwendungsgebiet:
    Auf einem Smartphone ist das Verwenden eines Fingerabdrucks/Retinascans bestimmt "sicherer" als das Verwenden eines 4-stelligen Passcodes(geschätzt 98% aller Anwender). Man erhöht damit also die individuelle Sicherheit für den Nutzer; das das Verfahren unkompromittierbar sein muss, davon hat niemand geredet(Ok, vielleicht der CCC).
    Auf andere Anwendungsgebiete würde das wahrscheinlich aber nicht zutreffen.

    Das war jetzt etwas viel, einfach nur paar spontane Gedanken dazu.

    PS: auch biometrische Schlüssel können "geändert" werden: anderer Finger, andere Methoden der biometrischen Identifikation(z.b. DNA, Falten in Hand etc. braucht nur genug Fantasie und tech. Machbarkeit).

  6. Re: Fundamentales Problem

    Autor: elgooG 28.12.14 - 15:49

    Also ich muss da durchaus zustimmen, dass Fingerabdrücke für sich alleine gesehen völliger Unsinn sind. Sie sind wie ein nie veränderbares Kennwort, das man sogar überall in seiner Umwelt hinterlässt, nicht zuletzt sogar am Fingerabdrucksensor selbst. Ein Smartphone ist noch dazu völlig damit übersät davon.

    Die einzige Sicherheit die ein Fingerabdruck wirklich bietet, ist dass er nur im eigenen Bewegungsradius der betroffenen Person verfügbar ist. Man kann diesen also nicht quer über die Welt abgreifen wie es bei Kennwörtern der Fall ist. Damit kann man durch einen Fingerabdruck ein Passwort durch diese zusätzliche Hürde sicherer machen.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite



    1 mal bearbeitet, zuletzt am 28.12.14 15:50 durch elgooG.

  7. Re: Fundamentales Problem

    Autor: __destruct() 28.12.14 - 16:54

    Ob sie quer über die Welt abgreifbar sind, sei mal dahingestellt. Das spielt nämlich gar keine Rolle. Wie du schon gesagt hast, befinden sich oftmals dort, wo der Fingerabdruck gebraucht wird, bereits valide Fingerabdrücke oder im Falle des Smartphones zumindest ein valider Fingerabdruck. Natürlich sind das oft nur Fragmente, aber erstens reichen oft Fragmente bereits aus und zweitens kann man aus genug Fragmenten ein Ganzes rekonstruieren.

  8. Re: Fundamentales Problem

    Autor: Niantic 28.12.14 - 19:31

    elgooG schrieb:
    --------------------------------------------------------------------------------
    > Die einzige Sicherheit die ein Fingerabdruck wirklich bietet, ist dass er
    > nur im eigenen Bewegungsradius der betroffenen Person verfügbar ist. Man
    > kann diesen also nicht quer über die Welt abgreifen wie es bei Kennwörtern
    > der Fall ist. Damit kann man durch einen Fingerabdruck ein Passwort durch
    > diese zusätzliche Hürde sicherer machen.

    Ging es in diesem und dem anderen artikel zu diesem thema heute nicht genau da rum dass sich finderabdruecke etc auch von photos nehmen lassen? Damit kann der fingerabdruck eben doch quer durch die welt abgegriffen werden, zb von der hauptkamera des smartphones oder eben einem klassischen photo. Damit kann xing chinamann eben doch deinen fingerprint klauen

  9. Re: Fundamentales Problem

    Autor: /mecki78 29.12.14 - 02:10

    3dgamer schrieb:
    --------------------------------------------------------------------------------
    > Ein biometrischer Schlüssel ist einmal kompromittiert nutzlos.

    Nein, ist er nicht. Sinnlos ist es nur, wenn man NUR einen biometrischen Schlüssel verwendet, was aber dort wo wirkliche Sicherheit von Bedeutung ist eigentlich nie der Fall ist. Benutzt man aber so einen Schlüssel zusammen mit einem Passwort oder PIN, dann erhöht das durchaus die Sicherheit gegenüber nur einem Passwort, weil man jetzt eben zwei Faktoren fälschen/kennen muss und die auch noch zu einander passen müssen (Passwort von Person A und Fingerabdruck von Person B nützen dir nichts).

    Auch geht es um die Frage, wozu der Schlüssel letztlich gut ist. Wenn ich dir sage, mein Finger öffnet eine Tür und du hast meinen Abdruck, dann nützt dir das gar nichts, wenn du nicht weißt welchen Tür. Ich kann leicht an den Fingerabdruck von hunderter Personen kommen, aber schließen die überhaupt irgendwas auf und wenn ja, was? Du musst also schon ganz gezielt an den Fingerabdruck einer ganz bestimmten Person besorgen und wissen wozu der am Ende wirklich gut ist. Findest du z.B. ein iPhone auf der Straße und das ist per Fingerabdruck gesichert, dann nützt es dir gar nichts, dass du den Sensor im iPhone eigentlich sehr einfach überlisten kannst, weil du nicht weißt wem es gehört. Und selbst wenn du es wüsstest, du kaum seinen Fingerabdruck parat hast und je nach Person auch nicht derart einfach besorgen kannst. D.h. trotz der "Schwäche" des Verfahrens hält es dich erstmal davon ab, an die Daten auf dem Telefon zu kommen und mehr soll es ja gar nicht.

    /Mecki

  10. Re: Fundamentales Problem

    Autor: Anonymer Nutzer 29.12.14 - 02:49

    Oder man läßt den schrott und verwendet ein sicheres passwort.

    Muss man nur mal wieder anfangen den menschen samt hirn zu fordern...angefangen in der schule und früher.


    Unglaublich das vor 30 Jahren die leute noch mehr als nur ihre eigene Telefonnummer im kopf behalten konnten und heute die masse schon bei der eigenen nummer passen muss.

  11. Re: Fundamentales Problem

    Autor: __destruct() 29.12.14 - 04:23

    Zu jeder Zeit waren die meisten Menschen dumm.

  12. Re: Fundamentales Problem

    Autor: Wallbreaker 29.12.14 - 06:59

    garrisson schrieb:
    --------------------------------------------------------------------------------
    > Und klar, man hat nur einen Fingerabdruck(bzw. 10), aber ist absolut
    > utopisch zu glauben, dass jemand für jede Anwendung ein anderes Passwort(20
    > Zeichen ohne logische Folge zwischen den Passwörtern) sich im Kopf merken
    > kann => muss irgendwo hinterlegt werden.

    Ich habe für alles, für jedes Anwendungsgebiet, sehr lange und komplexe Passwörter. Selbst eines meiner Verschlüsselungs-Passwörter hat über 60 Stellen. Und das ist sogar einfach zu merken, ist alles eine Frage der Herangehensweise bzw. des Systems. Ist einfach erlernbar, ganz gleich wie komplex ein Passwort auch sein mag, es wird einfach zu merken sein. Man braucht ein System mit festen Regeln, dann weis man zu jeder Zeit wo welche Zahlen, Sonderzeichen etc. hinkommen, in dem jeweiligen Passwort oder auch z.B. Satz den man gewählt hat.

    > Zudem das Anwendungsgebiet:
    > Auf einem Smartphone ist das Verwenden eines Fingerabdrucks/Retinascans
    > bestimmt "sicherer" als das Verwenden eines 4-stelligen Passcodes(geschätzt
    > 98% aller Anwender). Man erhöht damit also die individuelle Sicherheit für
    > den Nutzer

    Kommt drauf an. Also wenn die PIN-Sperre bspw., nach wenigen Falscheingaben blockiert oder ein Delay nutzt, dann nutzt das herzlich wenig dass sie nur 10000 mögliche Varianten hat. In jedem Fall wird das zu aufwändig und zu komplex, trotz einer an sich lächerlichen PIN.
    Und über komplexe Passwörter braucht man dabei erst gar nicht reden, da das ohnehin Komplexitäten erreicht die alles sprengen.
    Allerdings der Einwand hinsichtlich individueller Sicherheit macht Sinn, und Systeme die bspw. jedem Individuum eine völlig eigens kreierte Kennung ermöglichen, hätte Potenzial.
    Mir schwebt da konkret eine Art virtuelles Interface vor, welches nur der Nutzer sehen kann während der Eingabe.
    Die Eingabe könnte dann über eine verdeckte Vorrichtung für die Hände erfolgen, die nicht einsehbar ist und somit bspw. ermöglichen würde, eine individuelle dreidimensionale Kennung zu erstellen bzw. zu zeichnen. Somit könnte man auf Menschen eingehen, indem sie dass nutzen könnten was sie sich gut merken können. Natürlich mit Mindestvorgaben an Komplexität hinsichlich der Sicherheit, die das Konstrukt live bewerten und Tipps geben würden.



    2 mal bearbeitet, zuletzt am 29.12.14 07:11 durch Wallbreaker.

  13. Re: Fundamentales Problem

    Autor: Anonymer Nutzer 29.12.14 - 07:37

    Die vierstellige PIN ist wohl noch die am häufigsten genutzte Methode um ein Handy zu sperren.
    Und man muss einfach bei nüchterner Betrachtung sagen, dass es sich dabei definitiv um kein starkes Passwort handelt. Das unsicherste bleiben aber diese unsäglich umgesetzten Muster Kennungen und natürlich auch Face-To-Unlock ;-)

  14. Re: Fundamentales Problem

    Autor: raphaelo00 29.12.14 - 09:36

    Gibt auch 6x6 muster. Das erste ist trotzdem immer "Muster anzeigen" auszuschalten.

  15. Re: Fundamentales Problem

    Autor: Anonymer Nutzer 29.12.14 - 10:49

    Tzven schrieb:
    --------------------------------------------------------------------------------
    > Die vierstellige PIN ist wohl noch die am häufigsten genutzte Methode um
    > ein Handy zu sperren.
    > Und man muss einfach bei nüchterner Betrachtung sagen, dass es sich dabei
    > definitiv um kein starkes Passwort handelt. Das unsicherste bleiben aber
    > diese unsäglich umgesetzten Muster Kennungen und natürlich auch
    > Face-To-Unlock ;-)

    Wie schon gesagt wurde, eine pin ist sicherer als jedes biometrische system, sofern man die eingabeversuche begrenzt bzw. Ein delay einbaut.

    Fingerabdrücke kann man mit Glück direkt am Gerät abnehmen.

    Gesichtserkennung gibt sich meist auch mit einem foto und ein paar tricks zufrieden.

    Die mustererkennung ist auch nicht viel besser, mit Glück hat man das wischmuster direkt als fettspur auf dem screen.


    Die besten verifizierungsmethoden sind immernoch die welche man nicht so einfach abgreifen kann und die eben nur mit dem original funktionieren und nicht mit einer billigen kopie.
    An die pin kommt man eben nur wenn man das opfer bei eingabe ausspioniert oder mit gewalt vom opfer erpresst.

    Das beste schloss bringt nix wenn man die Schlüssel überall rum liegen läßt.

  16. Re: Fundamentales Problem

    Autor: Peter(TOO) 29.12.14 - 13:30

    /mecki78 schrieb:
    -> Findest du z.B. ein iPhone auf der Straße und
    > das ist per Fingerabdruck gesichert, dann nützt es dir gar nichts, dass du
    > den Sensor im iPhone eigentlich sehr einfach überlisten kannst, weil du
    > nicht weißt wem es gehört.

    So ein iPhone ist normalerweise mit Fingerabdrücken des Besitzers übersäht.
    Möglicherweise sogar geschützt im Innern, wenn er die SIM-Karte selbst eingesetzt hat. Bei Nicht-iPhones sollte man sich auch die austauschbare Batterie ansehen oder die Speicherkarte.

    Hmmm .... also nur mit Latexhandschuhen arbeiten oder vom Verkäufer einsetzen lassen ...

  17. Re: Fundamentales Problem

    Autor: Meiniger 29.12.14 - 14:04

    Peter(TOO) schrieb:
    --------------------------------------------------------------------------------
    > /mecki78 schrieb:
    > -> Findest du z.B. ein iPhone auf der Straße und
    > > das ist per Fingerabdruck gesichert, dann nützt es dir gar nichts, dass
    > du
    > > den Sensor im iPhone eigentlich sehr einfach überlisten kannst, weil du
    > > nicht weißt wem es gehört.
    >
    > So ein iPhone ist normalerweise mit Fingerabdrücken des Besitzers
    > übersäht.
    > Möglicherweise sogar geschützt im Innern, wenn er die SIM-Karte selbst
    > eingesetzt hat. Bei Nicht-iPhones sollte man sich auch die austauschbare
    > Batterie ansehen oder die Speicherkarte.
    >
    > Hmmm .... also nur mit Latexhandschuhen arbeiten oder vom Verkäufer
    > einsetzen lassen ...

    Wie oft muss das noch Diskutiert werden? Fingerabdrücke auf dem Gerät sind zu wenig Scharf bzw. nicht gut genug um damit TouchID zu umgehen.

    Weiter hast du nur 5 (10?) Versuche, dazu kommt das der Besitzer das Gerät schon lang gesperrt hat, sollte er den Verlust bemerkt haben.

  18. Re: Fundamentales Problem

    Autor: Peter(TOO) 29.12.14 - 14:09

    Fundamental ist zuerst einmal die Kosten/Nutzen-Rechnung.
    Wenn ich eine SMS schreiben will, wird das Handy unbrauchbar, wenn ich mich da zuerst 15 Minuten lang authentifizieren muss! Beim Haupttresor eine Bank sieht das aber anders aus.
    Der fundamentale Fehler aller Systeme ist, dass sie zumindest an einen eingeweihten Kreis, die Daten wieder herausgeben! Wirklich sicher wäre nur die Speicherung in einem schwarzen Loch, da hat dann keiner Zugriff auf die Information.
    Der Trick besteht also immer darin, entweder in diesen eingeweihten Kreis zu kommen oder dem System vorzumachen, dass man dazu gehört. List und Tücke gehört aber seit je her zum Leben, das nutzen schon Tiere, Bakterien und Vieren.
    Ein 100%tiger Schutz ist also irgendwie gegen das Leben.

    Grundsätzlich hat man nur die Möglichkeit die Hürden möglichst hoch und mehrstufig zu machen.

  19. Re: Fundamentales Problem

    Autor: __destruct() 29.12.14 - 21:13

    Eine 4-stellige PIN bekommt man bei einmaliger Beobachtung vollständig raus.

  20. Re: Fundamentales Problem

    Autor: plutoniumsulfat 29.12.14 - 21:26

    klappt nur nicht, wenn es offline ist.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. WEGMANN automotive GmbH, Veitshöchheim
  2. operational services GmbH & Co. KG, Frankfurt am Main, Zwickau, Dresden
  3. Bayerische Versorgungskammer, München
  4. Datema Software & Beratung GmbH, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 117,99€
  2. (u. a. Resident Evil Village für 49,99€, Wochenangebote (u. a. Resident Evil 7 Gold Edition für...
  3. (u. a. Xiaomi Redmi Note 9 128GB 6.53 Zoll FHD+ inkl. Kopfhörer für 179,90€, Xiaomi Mi 10T...
  4. (u. a. Eufy Smart-Home-Produkte, Xiaomi Redmi Note 9T 5G 64GB, 6.53 Zoll FHD+ DotDisplay 90Hz für...


Haben wir etwas übersehen?

E-Mail an news@golem.de