Frage zu Fingerabdruck und Sicherheit

[Domi83]

Hallo zusammen,

ich hoffe mal dass ich hier bei "Sonstige Hard- und Software Fragen" richtig bin, ich wüsste sonst nicht wo ich das Thema einordnen könnte.

Nun hab ich ein Thema über das man sich natürlich streiten kann und wenn es um "Sicherheit" geht, ist es nicht die Frage ob sondern wann so etwas geknackt wird.

Mir geht es also nicht darum, ob ein Fingerabdruck sicher oder unsicher ist, sondern in wie fern er eine gewisse Sicherheit hat.

Ich persönlich bin noch sehr "Oldschool" aufgestellt, habe ein S21 5G (SM-G991B) wo ich aber weiterhin mit Pin und Password arbeite. Einige schauen mich immer an und sagen "hey, du bist IT'ler, nutzt du keinen Fingerabdruck oder Gesichtserkennung?", ne... bin da noch mit PIN oder Passwort unterwegs.

Was aber auch trivial sein kann, wenn irgendwo einer steht und deinen Pin sehen kann. Wenn die Person nur den Finger sieht, hilft das ja schon mal nicht viel weiter. Auch ist eingestellt, dass sich das Gerät nach 20 Versuchen zurücksetzen soll.

Aber die elementare Frage wäre, wie ihr das seht. Hat der Fingerabdruck schon eine gute Sicherheit, oder seid ihr da auch alle noch so eingestellt und sagt "ne, nutze noch Pin und Passwort"?

Einer der Gründe warum mich das Thema interessiert ist "Passkey"... wenn ich irgendwo lese, steht immer "in Verbindung mit Biometrie" etc., aber das hilft mir ja dann nicht, wenn ich so etwas nicht einsetze.

Schon mal vielen Dank für den kleinen aber interessanten Austausch

Gruß, Domi

 

[maik005]

Hat der Fingerabdruck schon eine gute Sicherheit

Ja.

Beiträge automatisch zusammengeführt: 17.02.2024

oder seid ihr da auch alle noch so eingestellt und sagt "ne, nutze noch Pin und Passwort"?

Zur Biometrie musst du immer auch PIN/Muster/Passwort festlegen. Ohne geht die Biometrie nicht.
Damit du das Gerät entsperren kannst wenn es biometrische nicht möglich ist und auch nach einem Neustart musst du es zuerst mit PIN/Muster/Passwort entsperren bevor du die Biometrie nutzen kannst.

Außerdem wird PIN/Muster/Passwort bei der Entsperrung mit Gesichtserkennung oder Fingerabdruck alle x Stunden benötigt.
Ich meine es ist alle 24 Stunden bei Gesichtserkennung und alle 48 Stunden bei Fingerabdrucknutzung.

 

[KleinesSinchen]

Fürchte mich da sehr in die Nesseln setzen zu können. Abteilung "Aluhutträger" und so was.

Biometrie bietet zum Beispiel Null Schutz gegen einen übergriffigen Staat, der das Aussageverweigerungsrecht untergraben möchte. Freund Oberbulle hält das Phone einfach vor dein Gesicht oder deinen Finger auf das Phone. Hoppla. Das war ja schon offen. Wie praktisch.

Das ist für mich das K.O. Argument. Weitere Vertiefung wäre einfach nur Politik und das gehört nicht hier hin.

Außerdem, wenn biometrische Daten kompromitiert werden ist es eher schwierig die mal eben zu wechseln. Ausgetrickts hat man Biometrie-Erkenner auch schon oft genug mit entsprechender Vorbereitung. Da können Millionen Jubelperser mich nicht davon überzeugen, dass das doch alles ach so gut und sicher ist.


Glaubhafte Abstreitbarkeit dürfte kein (extra geschützer) Bereich eines Telefons haben, was bei anderen Angriffen (Knarre am Kopf durch einen Gauner) jegliche Sicherheit aushebelt.

Gegen Auslesen der Daten durch Gelegenheits-/Taschendiebe dürften ein guter (langer) Pin und Biometrie beide recht stark sein.
Da aber, wie oben gesagt ohnehin ein zusätzlicher Schlüssel existiert ist die Biometrie redundant und eine "Komfortfunktion". Ob nun der Fingerabdruck hinterlegt ist oder nicht, die klassische Angriffsfläche wird nicht reduziert.

 

[maik005]

@KleinesSinchen
Das stimmt so auch nicht mehr.
Man kann das Gerät schnell neu starten oder auch Biometrie direkt im Ausschalten Menü sperren.

 

[KleinesSinchen]

@maik005
Was stimmt nicht mehr? Dass der Oberbulle mal eben mein Smartphone beschlagnahmt und mir vor's Gesicht oder an den Finger halten kann?
Wie gesagt, es wird hier leicht politisch. Nur so viel: Das ist schon vorgekommen (zum Glück nicht bei mir).

Die Biometrie bei Android ist keine Sicherheitsfunktion, sondern Komfortfunktion. Bestenfalls schwächt sie die klassisch vorhandene Sicherheit nicht. Ein Fingerabdruck bietet sicher genug Entropie ein extrem guter Schlüssel zu sein, aber darauf kann das System sich ja nicht verlassen. Man muss das Smartphone ja auch mit verletztem Finger nutzen können, also ist der Schlüssel mit niedriger Entropie (Pin, Muster) trotzdem vorhanden.

 

[maik005]

@KleinesSinchen
Setz den Aluhut ab.

 

[Domi83]

Ja.

He he... Ich fragte kurz und knapp und das ist die Antwort

Kommen wir zum allgemeinen und zu der Thematik zurück. Generell geht es mir eher um den Schutz der Daten bei Verlust und auffinden eines 0815 "Diebs", wobei dieser ja auch IT Erfahrungen haben könnte.

Generell geht es mir jetzt nicht darum, ob der Verfassungsschutz, Staatsschutz, BKA, LKA, Polizei (what ever) an mein Handy möchte. WENN die wirklich Interesse an meinen Daten und meinem Handy haben und ich denen gegenüber nichts zu verbergen habe, spricht auch nichts dagegen, dass sie in mein Handy hinein gucken können.

Natürlich ist der Fingerabdruck eine Komfort Funktion und wir IT'ler wissen eins... Sicherheit hört auf, wo Komfort anfängt (und umgekehrt)

Und ja, mir geht es auch darum einen gewissen Komfort zu haben, dass ich nicht immer mein Passwort (oder PIN) eingeben muss, den man schnell abgucken kann, wenn ich ihn eingebe und unaufmerksam bin (kann jedem mal passieren).

Dass natürlich immer PIN/Muster etc. neben der Biometrie drin sein muss, hab ich schon gesehen und ja, diese zeitliche Differenz hab ich auch gesehen (24 Std. bei Gesichtserkennung, 48 Std. bei Fingerabdruck), von daher auch vollkommen OK. Zumal es ja auch doof sein kann, wenn nur ein Finger hinterlegt ist, man keine weitere Möglichkeit hätte, der Finger abfault und man nicht mehr hinein kommt. Alternativ, zweiten Finger registrieren

Generell geht es nur darum, wie kritisch ist die Biometrie?

Als sie ja das erste mal vor X Jahren kam, hat es ja schon gereicht das Foto von Person X vor die Kamera zu halten. Mittlerweile machen die Kameras ja eine Tiefenabtastung, so dass es nicht mehr ganz so einfach ist wie damals und beim Finger ist es ja mit Sicherheit auch besser geworden.

Mir geht es generell nur darum, dass nicht der Kollege aus dem Nachbarbüro an mein Handy geht, seine Nase drauf drückt und sagt "guck mal, bin drin!"... das wäre doof. Wobei der Schuster ja bekanntlich immer die schlechtesten Leisten hat

Gruß, Domi

 

[maik005]

Mittlerweile machen die Kameras ja eine Tiefenabtastung

Nein?
Also die meisten Smartphones nicht.
Das Pixel 8 ist das erste Smartphone mit Gesichtserkennung über die Frontkamera, welche die höchste Sicherheitsstufe von Android hat.

Mir geht es generell nur darum, dass nicht der Kollege aus dem Nachbarbüro an mein Handy geht, seine Nase drauf drückt und sagt "guck mal, bin drin!"... das wäre doof.

Das passiert nicht.

 

[Domi83]

Also die meisten Smartphones nicht.

OK, ich dachte ich hätte mal irgendwo gelesen, dass die Kameras mittlerweile so machen, damit man bei der "Gesichtserkennung" im Bezug auf Biometrie nicht einfach das nächst beste Bild von der Wand nimmt, dieses davor hält und schon ist man drin

Wie gesagt, mir geht es eher darum das nicht jeder "Normalo" an meine Daten kommt.

Wie gesagt, Polizei, Staatsschutz, Verfassungsschutz etc. sind mir da völlig egal. Ich ticke da anders und glaube nicht, dass Corona eine riesige Verschwörung war, ich politisch in unserem eigenen Land verfolgt werde oder sonstiges.

KleinesSinchen hatte es aber auch schon oben angesprochen, ich wollte hier keine politische Debatte anstoßen. Jeder darf denken was er möchte (soll er ja auch) und seine Einstellung oder Meinung haben

Ich denke mir dann auch "leicht übertrieben etc.", aber es gibt halt solche und solche Leute.

Gruß, Domi

 

[KleinesSinchen]

Wie gesagt, mir geht es eher darum das nicht jeder "Normalo" an meine Daten kommt.

Als IT'ler solltest du aber wissen, dass man das "Bedrohungsprofil" dazu sagen sollte. →

"Ist XY sicher?" → Sicher gegen was denn?

Eine Antwort wie "Ja." auf die Frage, ob Biometrie sicher ist, hat die Vorteile, dass sie einfach, schnell, kurz und prägnant ist… aber den gravierenden Nachteil, dass sie – wenn nicht falsch – unvollständig ist.

Jeder darf denken was er möchte (soll er ja auch) und seine Einstellung oder Meinung haben

Ja genau! Und am Besten ohne dafür lächerlich gemacht zu werden.

 

[maik005]

Und am Besten ohne dafür lächerlich gemacht zu werden.

Wenn's denn begründet wäre, aber lassen wir das OT.

 

[Verpeilter Neuling]

Natürlich ist der Fingerabdruck eine Komfort Funktion und wir IT'ler wissen eins... Sicherheit hört auf, wo Komfort anfängt (und umgekehrt)

Sehe ich nur bedingt so. PIN oder Muster kann ein potentieller Dieb, der hinter dir im Bus sitzt mit etwas Glück ausspähen. Wenn er dir dann die Taschen leert, hat er alles, was er braucht. Wenn du im Bus nur mit Fingerabdruck entsperrt hast, kann dir das nicht passieren. Der Komfort kann also situationsabhängig sogar mehr Schutz bedeuten.

 

[Domi83]

PIN oder Muster kann ein potentieller Dieb, der hinter dir im Bus sitzt mit etwas Glück ausspähen.

Top, genau so meinte ich das ja mit diesem Satz von mir...

Was aber auch trivial sein kann, wenn irgendwo einer steht und deinen Pin sehen kann.

Aber dann verstehen wir uns

Als IT'ler solltest du aber wissen, dass man das "Bedrohungsprofil" dazu sagen sollte.

Ich Zitiere mich selbst...

Generell geht es mir eher um den Schutz der Daten bei Verlust und auffinden eines 0815 "Diebs", wobei dieser ja auch IT Erfahrungen haben könnte.

Aber mal ernsthaft... wenn jemand in einem Forum nach der Sicherheit für den Fingerabdruck fragt, geht man dann pauschal bei einem "Bedrohungsprofil" davon aus, dass jemand sein Handy so sicher haben möchte, dass sowohl der Verfassungsschutz als auch alle anderen Behörden (oder US Behörden) da nicht mehr dran kommen sollen??

Natürlich kann niemand sagen was genau gemeint war, dafür kommen wir aus zu vielen unterschiedlichen Sektoren und sprechen dennoch unterschiedliche Sprachen. IT ist eben nicht IT... oder kann jeder IT'ler automatisch hacken?

Es gibt auch IT'ler die bauen dir blind PCs zusammen, können aber nicht programmieren und es gibt die Programmierer die dir blind nen cooles Programm schreiben, aber keine Ahnung von Hardware haben.

Darum ja der Austausch

Pauschal hab ich meine Informationen schon mal bekommen.

Ja, eine gewisse Sicherheit ist da.
Ja, wo Komfort anfängt, hört Sicherheit auf.

Aber wenn ich nur meinen Finger irgendwo drauf lege, sieht man nicht was ich für einen PIN eingeben müsste (oder eben Muster etc.) und es ist auch nie die Frage ob etwas gehackt werden kann, sondern WANN und wie leicht man es den Leuten machen will

 

[Rookie19]

Kommt auf die Situation an. Biometrische Anmeldemethoden haben ihren Reiz, da man sich so schneller anmelden kann. Der Sicherheitsgrad bei VERLUST ist genauso hoch wie bei Pin oder Muster, da der Finder weder meine Passwörter kennt, noch Zugriff auf meine biometrischen Daten hat.

Situationen wo es einen echte Unterschied macht, fallen mir kaum ein. Einzig, wenn das FBI dich wegen deinem illegalen Limonadenstand in Gewahrsam nimmt könnten sie deine Hand nehmen und mit Gewalt dazu bringen dein Gerät zu entsperren. Einen PIN oder Muster müssten sie erstmal aus dir raus bekommen, aber dafür gibts ja Kill-Switch-Apps. Einfach den "falschen" Pin eingeben und das Gerät formatiert sich.

Ein Nachteil von PINs oder Mustern ist halt, dass jemand zuschauen kann, aber da hilft es seine Umgebung im Auge zu behalten.