Wie sicher ist Apple’s FaceID?

Apple und die FaceID

Mit vielen bunten Features und noch einiges mehr an technischen Spezifikationen, konnte jeder Mensch live mitverfolgen, wie das neue iPhone bzw. die neuen iPhones vorgestellt wurden. Um nicht zwischen das Android und iOS Lager zu geraten, möchte ich nicht weiter auf die Details eingehen, auch wenn ich selbst eher Android Fan bin. Was aber mein Interesse geweckt hat ist definitiv Apple’s Face ID. Wir kennen bereits das Entsperren eines iPhones mit PIN, Passwort, Muster und TouchID (iOS und mittlerweile auch Android). FaceID hingegen scheint auf den ersten Blick neu und innovativ zu sein. Und tatsächlich kam es mir so vor, als habe ich so etwas schon selbst gesehen und genutzt.

Natürlich! Mein altes ASUS Eee PC hatte das. Diese Geräte mit 11 Zoll Displays hatten eine unschlagbare Akkulaufzeit und mein ASUS hatte damals nicht nur eine mobile nVidia Grafikkarte sondern auch FaceID mit in Windows 7 integriert. Hier zumindest der Nachweis des Herstellers:

Funktion der FaceID

Das System muss den Benutzer, der sich authentifizieren muss oder möchte, als Erstes lernen. Es gibt bestimmte Punkte im Gesicht die zueinander ausgemessen werden. Dies scheint für jeden Menschen auf der Erde unterschiedlich zu sein. Ähnlich wie ein Fingerabdruck. Sobald das System das Gesicht „erlernt“ hat, soll es auch schon losgehen und der Login am Smartphone funktioniert über das Aufzeichnen und Analysieren des Gesichtes, welches vor der Kamera zu sehen ist.

Es würde aber den Akku relativ schnell leersaugen, wenn das System laufend nach Gesichtern sucht. Deshalb hat Apple wohl die Möglichkeit geschaffen das „Erkennen“ per Knopfdruck zu realisieren. Praktisch. Aus diesem Gesichtspunkt.

Wie war das noch einmal mit Passwörtern?

Ich habe schon einige Artikel zum Thema Passwörter zusammengestellt und möchte hier noch einmal ein paar Dinge rekapitulieren, denn um zu überlegen, wie sicher die FaceID ist, müssen so einige Fragen beantwortet werden. Aber auch ein paar klare Definitionen von Passwörtern müssen geprüft werden. Und genau hier wird es interessant, denn ein per Definition ist bei der Kombination Username und Passwort, genau ein Teil geheim. Welcher? Richtig, das Passwort. Es bietet den Zugang zu einem System (lassen wir kurz die 2. Faktorauthentifizierung weg).

Das bedeutet ich muss mich bei Windows & Co. mit einem Nutzernamen einloggen, den meine Familie oder meine Kollegen in der Arbeit kennen. Das Passwort ist aber geheim und unter Umständen ausschließlich im Gehirn gespeichert. Ziemlich sicher für die aktuellen Verhältnisse. Was aber hat Apple schon vor der FaceID gemacht? Richtig. TouchID auf die Systeme verteilt. Es ist unglaublich elegant und einfach. Per Fingerabdruck wird die Sperrung aufgehoben. Aber die Rolle des Fingerabdruckes ist ja nun die Rolle des Passwortes? Mist, und jetzt? Wir hatten per Definition ja ein geheimes Element als Passwort, dass im besten Falle nur der Eigentümer kennt.

TouchID als Vorgänger

Jetzt sollte man sich überlegen, wie man mit seinem Passwort umgeht und wie man mit den Fingerkuppen umgeht. Mit meinen Fingern fasse ich meistens alles mögliche an und hinterlasse Spuren. Dadurch teile ich quasi mein Passwort mit meiner Umgebung. Analog dazu würde ich alles, was ich anfasse mit meinem Textpasswort beschmieren. Das ist blöd, und bleibt blöd, auch wenn man mir ein Aluminium Hut vorwirft. Und trotzdem bleibe ich dabei. Der Fingerabdruck ist nur bei Spear Fishing Angriffen im Fokus, da gezielt eine Person ausspioniert wird, aber dies soll auch schon öfter vorgekommen sein.

Ist FaceID jetzt endlich sicher?

Was ist, wenn wir es dem Nutzer noch leichter machen. Er muss nicht einmal mehr seine zweite Hand benutzen, um den Finger auf den Sensor zu legen. Ein Blick in die Kamera genügt und das Smartphone erkennt mich und entsperrt den Bildschirm oder die Anwendung. Was ist jetzt mein Passwort? Richtig! Mein Gesicht. Nachdem ich ein sicheres Passwort nicht weiter nutze und mein iPhone per Fingerabdruck entsperrbar ist, reicht es mir nicht und ich benötige die Freischaltung per Gesicht.

Ist dieses Passwort geheim?

Ganz und gar nicht. Mein Gesicht ist auf jeder Videoüberwachungskamera zu sehen, an der ich vorbeilaufe. Fremde Passanten machen Fotos von Sehenswürdigkeiten in unserer Gegend und unser Gesicht ist mit auf dem Foto. Spearfishing ist hier auch möglich, so wird der Fotograf mit der teuren Spiegelreflexkamera zum Komplizen des Taschendiebs. Das Element zur Authorisierung ist damit öffentlich zugänglich und nicht mehr geeignet für den eigentlichen Zweck.

Fazit

Meine Zusammenfassung

FaceID muss tatsächlich mit einer guten Erkennung punkten, um überhaupt gegen so banale Versuche gewappnet zu sein wie ein Foto oder Video des, sagen wir, „Entsperrungsgesichtes“. Hierzu nutzt Apple das Infrarotbild des Benutzers. Auch dann würde ich es nicht nutzen wollen. Gerade Geräte, die über 1000 USD kosten sind mit großer Wahrscheinlichkeit beliebt bei Taschendieben. Alles was diese tun müssen ist kurz nach dem Diebstahl eine Taste gedrückt halten und mir das Telefon vor mein Gesicht halten. Dann ist es auch schon entsperrt. Niemand muss mir also zusäztlich den Zeigefinger abschneiden, oder gar den Kopf, um das Gerät zu entsperren. Amüssant und gruselig gleichzeitig.

Aber! Apple wird sich vermutlich auch hier weiterentwickeln. Vielleicht ist die Information in diesem Blogbeitrag schon bald obsolet, da die Apple Ingenieure ein paar Lösungen im Ärmel haben, was die hier genannten Probleme anbelangt.

Mein Vorschlag: Finger weg von Touch, Face und was auch immer. Nichts ersetzt ein gutes Passwort, dass ausschließlich über Neuronen und Synapsen definiert ist. Vorläufig!

 

Externe Meinung

Da eine zweite Meinung immer besser ist als eine, habe ich den Security Experten Adrian Janotta zu diesem Thema befragt:

Andre Fritsche: „Ist die Entsperrung des iPhones mittels FaceID sicher?

Adrian Janotta: „Es wird gemunkelt, dass durch die Apple FaceID, die NSA leichter Zugang zu den Nutzerkonten hat. Selbst Kevin MIttnick, Hacker der 90er Jahre, sagt das. Die verwendete Technologie ist für einen Alltagsgebrauch, einfach zu unsicher. Ich muss bereits jetzt schon schmunzeln, wenn ich auf die neuen Vorschläge zur Absicherung des iPhones vom BSI lesen werde.“

 

 

Beitragsbild Social media von Christiaan Colen – CC-BY-SA 2.0

Schreibe einen Kommentar