<< Themensammlung Netzwertig

Unter netzwertig veröffentlichen wir in unserem Blog Einschätzungen zu aktuellen digitalen Geschäftsmodellen und IT-Trends, Meldungen, Analysen, Reviews und Specials.

11.09.13Leser-Kommentare

Ende des Passwort-Chaos' in Sicht: Warum Apples Touch ID einen genauen Blick wert ist

Der Fingerabdrucksensor Touch ID in Apples neuem iPhone 5S könnte der Anfang vom Ende von Passwörtern sein. Und das ist gut so.

Mir ist es heute nicht mehr möglich, ohne einen Passwortmanager wie LastPass, iPIN, KeyPass oder 1Password zu überleben. Mit Dutzenden Web-Diensten, für die ich im Idealfall jeweils ein neues Passwort anlegen soll, ist es schlicht nicht möglich, noch die Übersicht zu behalten. Trotz Möglichkeiten wie Login mit Facebook, Twitter oder seit Kurzem auch Google+ verlangen mittlerweile nahezu alle Startups und Apps, die ich zuletzt installiert habe, wieder ein eigenes Passwort. Es wird eher wieder schlimmer als besser.

Ein Passwort-Manager ist da nicht nur eine gute Idee, sondern eine Notwendigkeit, das Geld für die Lizenz für 1Password und Co. gut investiert. Apples gestern vorgestellte Touch ID für das neue iPhone 5S allerdings scheint mir ebenfalls einen Blick wert zu sein: Der neue Fingerabdrucksensor, in den Home Button des Smartphones integriert, fällt dem Nutzer im Prinzip nicht einmal mehr auf. Er muss ihn auch nicht interessieren. Der Anwender drückt einfach eine Taste und das Gerät entsperrt. Ein Sicherheitsschlüssel entfällt und ebenso das lästige Eintippen des AppStore-Passworts, das Touch ID ebenfalls ersetzt.

 

Abdruck wird lokal gespeichert

Spinnt man den Gedanken zu Ende, dann liegt es nahe, dass Apple die Touch-ID-Funktion in nicht all zu ferner Zukunft auch um Dritt-Apps erweitern kann: App-Accounts ließen sich dann für den Anwender mit einem Fingerabdruck freischalten. Das Passwort würde nur noch im Hintergrund vergeben werden, ohne dass der Nutzer dies merkt: Die App generiert einfach einen Schlüssel und schickt ihn an das Telefon, das ihn mit dem Fingerabdruck verknüpft. Alles Weitere ist Aufgabe des Passwort-Managers. Eine Manipulation durch die App wird stark erschwert, wenn diese nur das Passwort senden, aber nicht darauf zugreifen darf.

Apple tat gut daran, explizit darauf hinzuweisen, dass der Fingerabdruck auf keinen Apple-Servern und auch nicht in der iCloud gespeichert wird, sondern nur in der Secure Enclave auf dem A7-Chip des iPhone 5S. Zu hundert Prozent sicher ist der Fingerabdruck natürlich auch dort nicht. Cyberkriminelle oder staatliche Spürhunde könnten ihre Mittel finden - so wie sie jeden Passwortmanager im Prinzip auch auslesen könnten.

Nichts ist wirklich sicher

Einige Meldungen der vergangenen Wochen zeigen, dass Passwörter keine höhere Sicherheit bieten und auch Passwortmanager zuweilen Probleme haben. Ein neues HackerTool kann TrueCrypt-Passwörter in Sekunden knacken. Bei Google Chrome wurde offenbar, dass der Browser Kennwörter in seinem Passwortmanager im Klartext speichert. Und selbst LastPass, das Passwörter auf einem sicheren Server ablegt, hatte kürzlich eine kleinere Sicherheitslücke zu beklagen. Ungemach droht allerdings auch von staatlicher Stelle: Der US-Geheimdienst wollte vom kürzlich geschlossenen E-Mail-Dienst Lavabit offenbar den Zugang zu HTTPS-Daten und Passwörtern der Nutzer.

Es klingt nach einem Vorteil für biometrische Daten, Fingerabdrucksensoren oder, wie auf der IFA vorgestellt: der eigene Herzschlag. Ein Armband namens Nymi will den Herzschlag des Nutzers erkennen, der ebenso wie der Fingerabdruck oder die Iris einmalig sein soll. Solange die Identifizierung bei diesen Scannern schnell von Statten geht und die Daten verschlüsselt lokal und nicht auf irgendwelchen dubiosen Servern gespeichert werden, klingt die Technik einem Passwort zumindest nicht unterlegen. Bei den Entwicklungszyklen heutiger Smartphones dürfte es nur eine Frage von Monaten sein, bis die Konkurrenz etwas Ähnliches anbieten wird wie Touch ID. Dann könnte den Passwörtern auch auf Android oder Windows Phone der Kampf angesagt werden. Ich würde ihnen keine Träne nachweinen.

Kommentare

  • Michael

    11.09.13 (09:52:17)

    Finger ab, Alles weg... so ein misst aber auch;-)

  • Joachim

    11.09.13 (10:04:10)

    Krass, dass hier - und auch sonst nicht wirklich sichtbar - niemand Touch ID kritisiert. Wann haben wir "offiziell" erfahren, dass die NSA auch auf Smartphones zugreifen kann? Vor 2 Tagen? Und heute freuen sich alle, dass eben diese Geräte endlich auch unsere biometrischen Daten speichern. Gratulation auch zu der reflektierten Einschätzung Passwörter böten keine höhere Sicherheit. Das stimmt zwar, dafür gebe ich im Idealfall bei einem Passwort aber keine persönlichen Daten ab. Und zur Sicherheit von Fingerabdrücken kann man eventuell ja mal den CCC befragen. Abgesehen von digitalem Diebstahl gibt es nämlich noch ganz realen und der mag aufwändiger sein, allerdings auch einfacher. Und spannend wäre mal zu wissen wie du im Falle des Diebstahls deinen Fingerabdruck zurücksetzt. Gerade von netzwertig hätte ich mehr erwartet, aber vielleicht variiert das auch von Autor zu Autor.

  • Jürgen Vielmeier

    11.09.13 (11:57:29)

    Jepp, wir haben unterschiedliche Meinungen hier bei Netzwertig. "Wann haben wir “offiziell” erfahren, dass die NSA auch auf Smartphones zugreifen kann?" Lass mich raten: Das hat dich nicht dazu verleitet, dein Smartphone nicht mehr zu benutzen oder zumindest eine bessere Sicherheitslösung zu verwenden? "Und spannend wäre mal zu wissen wie du im Falle des Diebstahls deinen Fingerabdruck zurücksetzt." Etwas auf einem Gerät zurücksetzen, das ich gar nicht mehr habe? Ja, das wäre spannend.

  • Das Skar

    11.09.13 (12:07:02)

    Zumindest ich habe mir am Rande Gedanken darüber gemacht http://www.diekrabbelei.de/2013/09/11/jobs-schlecht-gemacht/

  • Peter Berg

    11.09.13 (12:26:06)

    Wie und wo Apple den Fingerabdruck wie sicher speichert, kann niemand sagen. Interessant auch für Kriminelle. Hier ein interessanter Artikel über die Einschätzung der Risiken von Shuman Ghosemajumder http://www.businessinsider.com/iphone-fingerprint-tech-flaws-2013-9 Abgesehen davon - habe mir vor einigen Tagen in die Fingerkuppe geschnitten. Man muss gar nicht den ganzen Finger verlieren, um für längere Zeit oder immer vom eigenen iPhone abgeschnitten zu sein.

  • MarcA

    11.09.13 (19:20:08)

    Ich bin mal gespannt, wie sich der Sensor in der Praxis entwickelt vor allem bezüglich Sicherheitslücken aber auf der Präsentation sah es ja schonmal vielversprechend aus!

  • Opitz

    11.09.13 (20:46:49)

    Es ist kein Problem, Apple den eigenen Fingerabdruck lokal speichern zu lassen. Apple ist ein vertrauenswürdiges Unternehmen, das sicher keinen Missbrauch zulassen würde. Bei Apple ist es kein Problem. Die Sicherheit ist hundertprozentig gewährleistet. An der Entwicklung waren Ingenieure beteiligt! Wie kann es da nicht sicher sein?

  • Phil

    11.09.13 (21:59:41)

    > Ein neues HackerTool kann TrueCrypt-Passwörter in Sekunden knacken. So wie ich den Artikel auf pcwelt.de lese, ist die Aussage nicht ganz korrekt, zumindest werden wichtige Infos hier vorenthalten. 1) Das Tool ist nicht neu, sondern es ist nur eine neue Version 2) Es geht nicht um eine Unsicherheit von TrueCrypt, denn das Tool nutzt eine herkömmliche BrueForce-Attacke, es werden also alle Kombinationsmöglichkeiten für Passwörter durchprobiert 3) Die "Sekunden" gelten für den Fall, dass das Passwort in einem Wörterbuch steht!!!! Da ist das Tool keine Besonderheit und TrueCrypt nicht die Schwäche, sondern die Person vorm PC! Relevant ist: > Im für die Hacker ungünstigsten Fall benötigen diese mit oclHashcat-plus 0.15 rund fünf Tage, um Ihr Truecrypt-Passwort zu knacken, wenn dieses nur acht Zeichen lang ist und nur Buchstaben des Alphabets in Kleinschreibung enthält In dem Fall kann man für jedes Zeichen, welches hinzukommt, die Zeit, die für das Knacken benötigt wird, mit 26 (Anzahl der Buchstaben im Alphabet) multiplizieren. Also 5 Tage bei 8 Zeichen => 130 Tage bei 9 Zeichen. Kommen Großbuchstaben und Sonderzeichen hinzu wird es um ein vielfaches schwerer. Also mal keine falsche Panik hier verbreiten. Gerade in Anbetracht des NSA-Skandals ist natürlich immer Vorsicht bei der Wahl von Passwörtern und bei Verschlüsselung angesagt! http://en.wikipedia.org/wiki/Password_strength

  • Georg

    13.09.13 (18:27:09)

    Ich stelle mir das ja so vor: Schüler registriert sich über sein Protzhandy bei Dropbox, möchte am Windows-PC an den Account heran...kennt aber das Passwort nicht. Im Unternehmen werden iPhones eingesetzt und der Sensor genutzt. Die IT-Abteilung wird ihren Spaß haben, diese Sensoren zu reparieren. Solange dieser kaputt ist, kommt der Mitarbeiter an keine Daten ran. Nutzt er am Desktop Windows oder Linux oder auch einen älteren Mac, darf er sich auch weiterhin das Passwort merken. Was ist dadurch gewonnen? Sicherlich werden auch zukünftige Macs kompatible Sensoren haben. Das bedeutet dann: Möchte man auf seine Daten zugreifen, muss man sich am Desktop und mobil fest an Apple binden. Als ob Apple kompatible Sensoren zulassen wird! Jedes US-Gericht wird bestätigen, dass der Apple-Sensor der allererste Fingerabdrucksensor der Welt ist und nur Apple diese Funktion weltweit nutzen darf. Ganz ehrlich: Wer will so etwas haben? Ein Passwort-Manager, der die gespeicherten Passwörter selbst an den eigentlichen Besitzer nicht herausrückt, und noch dazu nur für ein System verfügbar ist?

Diesen Beitrag kommentieren:

Die Kommentare können nur zwischen 9 und 16 Uhr
freigeschaltet werden. Wir bitten um Verständnis.

Um Spam zu vermeiden, schreiben Sie bitte die Buchstaben aus diesem Bild in das nebenstehende Formularfeld:

Das könnte Sie auch interessieren

Förderland-Newsletter

Wissen für Gründer und Unternehmer