Sensation :: Glas ist nicht sicher

by Volker Weber

Da baut also jemand ein Smartphone mit einem Fingerabdrucksensor. Der hat den Vorteil, dass man nicht immer wieder eine PIN eingeben muss. Wer Kinder hat oder jemanden kennt, der Kinder hat, der weiß, dass jedes Kind die PIN der Eltern kennt, weil es die Eltern bei der Eingabe immer wieder beobachtet und ein großes Interesse daran hat, diese PIN zu kennen. So einen Fingerabdruck nachzuahmen fällt dem Kind da schon etwas schwerer.

Einen Fingerabdrucknachahmungsexperten gibt es natürlich auch. Der zeigt, dass er Fingerabdrücke nachahmen kann. Und schließt dann daraus, dass Fingerabdrücke gänzlich ungeeignet sind, ein Smartphone abzusperren.

Übertragen wir das mal auf unsere Wohnungen. Dort sind Löcher drin, durch die Licht einfällt. Damit es in der Wohnung nicht nass oder kalt wird, sind die Löcher mit Glas verschlossen. Das hat nebenbei die Eigenschaft, dass man durch die Löcher nicht einfach in die Wohnung eintreten kann. Ich bin sicher, es findet sich ein Glasbruchexperte, der nachweisen kann, dass Glas gänzlich ungeeignet für diese Aufgabe ist. Nur ein rundum geschlossener Stahlbetonkasten, etwa 30 Meter verbuddelt, mit einer Tresortür und mehreren geeigneten Schlössern versehen, kann als ausreichend sicher angesehen werden.

Ich bin kein Fingerabdrucknachahmungsexperte. Aber ich bin relativ sicher, dass ich spielend leicht nachweisen kann, dass der mechanische Aufbau einer Expertenhand gänzlich ungeeignet ist. Nur falls sie sich an meinem ungeeigneten Fingerabdrucksensor zu schaffen macht.

Wie heißt das Sprichwort? Die Kirche im Dorf lassen.

Comments

Danke und +1

Werner Motzet, 2013-09-23

wie recht Du doch so oft hast.

Thomas Köster, 2013-09-23

Verständlich. Klar. Vowe.

Thomas Lang, 2013-09-23

Das sehe ich ähnlich. Problematisch ist aus meiner Sicht nur, dass Apple sagt ihr Glas sei Panzerglas und besser als das der anderen. Leider kann man es aber mit dem gleichen Stein einwerfen wie alle anderen auch. Man muss lediglich etwas fester werfen (weil die Auflösung des Abdrucks höher ist).

Ingo Küper, 2013-09-23

Schön erklärt. Echtes Tageslicht in Wohnungen - total überbewertet. Schlauheit von Kindern - oft unterbewertet. Daumensensor spart Erinnerungszeit, stellt im Kontext klar wer Gerät nutzen darf und wer nicht. Gegenteil von Teilen. Na dann. Weitermachen.

Jörg Oyen, 2013-09-23

Richtig. Aber man darf schon etwas überrascht sein, dass sich der "very high level of security" von Touch ID mit einem neun Jahre alten Trick überwinden lässt.

Oliver Regelmann, 2013-09-23

Wieso soll man überrascht sein? Glas lässt sich mit einem Hammer zertrümmern. Er muss nur groß genug sein. Zur Not halt 5 Megatonnen.

Volker Weber, 2013-09-23

Klasse Text!

Allerdings wäre ich auch überrascht, wenn Apple diesen offensichtlichen Fall nicht getestet hätte.

Also unabhängig davon, dass die TouchID bei dem beschriebenen notwendigen Aufwand für mich immer noch sicherer ist als die meisten PIN-Codes ... zweifele ich die grundsätzliche Machbarkeit soweiso noch an solange der CCC nicht den kompletten Prozess veröffentlicht hat.

Harald Gaerttner, 2013-09-23

Ist das Problem nicht eher, dass Apple es als Sicherheits-Feature anpreist? Und auch - meines Wissens nach - einen Preis zum Knacken ausgelobt hat?
Davon ab: nicht jedes Kind kennt die PIN seiner Eltern, da bin ich mir absolut sicher.

Ingo Seifert, 2013-09-23

Das Sicherheitsniveau mag ausrechend sein für die meisten iPhone-Nutzer.
Aber Apple bewirbt Touch ID so: "Put your finger on the Home button, and just like that your iPhone unlocks. It’s a convenient and highly secure way to access your phone."
Ein "highly secure way" ist es nun aber wohl nur noch, wenn man sich um Angriffe durch die eigenen Kinder sorgt. (Wobei ein talentierter Teenager auch die Anleitung zu Fingerabdrucknachbau, die der CCC vor Jahren veröffentlich hat, durcharbeiten könnte.) Kann man Touch ID aber noch für solche Nutzer als "hoch sicher" bezeichnen, die etwas aggressiveren Angreifern vorbeugen möchten?
Apple schreibt weiterhin: "The sensor uses advanced capacitive touch to take a high-resolution image from small sections of your fingerprint from the subepidermal layers of your skin." (http://support.apple.com/kb/HT5949?viewlocale=en_US&locale=en_US) Wenn dieses CCC-Video stimmt, dann ist es mit diesem subepidermischen Hautscan nicht sehr weit her.
Apple liefert nicht das Sicherheitsniveau, das es verspricht. Das ist das Problem.

Andreas Schmidt, 2013-09-23

Ich kann sehen, dass es Leute gibt, die damit ein Problem haben. Ich lache sie trotzdem aus.

Volker Weber, 2013-09-23

Recent comments

Volker Gronau on AP Steering in der nächsten Fritz-Software at 17:45
Axel Koerv on AP Steering in der nächsten Fritz-Software at 16:33
Volker Weber on Kleines Update zu ginlo at 12:45
Marco Siedler on Kleines Update zu ginlo at 12:43
Stephan Perthes on Soyuz-Flug zur ISS und zurück at 11:45
Bill Buchan on Ein kleines persönliches Update at 10:05
Oliver Regelmann on Is Watson Workspace dead or only resting? at 09:02
Oliver Barner on Unfallfolgen :: Ab jetzt geht es bergauf at 09:01
Henning Kunz on Ein kleines persönliches Update at 08:59
Christian Tillmanns on Soyuz-Flug zur ISS und zurück at 08:41
Richard Schwartz on Huntress at 04:10
John Keys on ginlo auf Android at 22:54
Amy Blumenfield on Unfallfolgen :: Ab jetzt geht es bergauf at 20:55
Stephan Perthes on Last-Minute-Geschenk :: udoq-Qi-Lader at 19:51
Johannes Koch on Words to live by at 19:29
Volker Weber on ginlo auf Android at 18:45
Wolfgang Kulhanek on ginlo auf Android at 18:40
Sami Bahri on ginlo auf Android at 17:45
Volker Weber on Words to live by at 17:23
Jens Nullmeyer on Words to live by at 17:17
Volker Weber on Soyuz-Flug zur ISS und zurück at 17:14
Maik Endler on Soyuz-Flug zur ISS und zurück at 15:31
Pavel Zheltobryukhov on Soyuz-Flug zur ISS und zurück at 14:30
Lars Berntrop-Bos on ginlo auf Android at 13:53
Christopher Schmidt on ginlo auf Android at 13:52

Ceci n'est pas un blog

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Contact
Publications
Stuff that works
Amazon Wish List
Frequently Asked Questions

rss feed  twitter  amazon

Local time is 17:47

visitors.gif

buy me coffee