Wie sicher ist der Fingerprint (TouchID)?

[hhhmac]

Ich würde gerne ein Thema aus dem Bereich "Sicherheit" zur Diskussion stellen:
Unter anderem auch sogenannte Banking-Apps können häufig durch einen Fingerprint geschützt werden.
Dabei sollte man aber bedenken, dass jeder Nutzer, der einen Zugang zum Handy hat, problemlos einen neuen (z.B. seinen eigenen) Fingerprint anlegen kann!!! Diese Tatsache ist m.E. eine gravierende Sicherheitslücke!!!
Lösung? Für das Hinzufügen eines neuen Fringerprints müsste es eine eigene PIN geben! (Das darf natürlich nicht die PIN für das Entsperren des Handys sein.)
Diese zusätzliche PIN könnte auch sinnvoll sein, wenn ein neuer Handy-Zugangscode vergeben werden soll.

 

[Impcaligula]

Das ein FPR ohne großen Aufwand selber übergangen / ausgetrickst werden kann ist Dir auch bewusst? Wieso zweiten FPR hinzufügen, wenn ich das Original schon Recht einfach übergehen kann?

 

[noname951]

Du musst aber das Handy erst einmal entsperren um überhaupt in die Einstellungen zu kommen und wenn du unter Einstellungen einen neuen Finger hinzufügen möchtest, musst du deinen Code vorher eingeben.

Sehe jetzt hier drin kein Sicherheitsrisiko.

 

[sutz2001]

Nach deiner Logik haben dann fast alle Rechner eine Riesensicherheitslücke!
Oft sind die Leute auch als Admin unterwegs, so das ein Nutzer einfach einen neuen Nutzer anlegen kann und damit dann Zugang zum System hat!

Jetzt aber mal im Ernst: Wenn du dein Handy ständig aus der Hand gibst an Leute, denen du nicht vertraust, dann sollte man das ggf. mal überdenken...

 

[tocotronaut]

Das beschriebene Szenario halte ich so auch nicht für eine Sicherheitslücke.

Aber ich finde, man sollte den Fingerabdruck auch nicht überbewerten.
Als Komfortfeature ist er ok, als Sicherheitsmerkmal taugt er eher weniger, denn den Finger kann man mit Gewalt erpressen... einen Code nicht so einfach.

-> Fingerprint um das Telefon zu entsperren oder eine App zu Kaufen ok...
Aber ich würde den Fingerabdruck nie für spezielle (Sicherheitskritische) Anwendungen einsetzen wollen.
1Password bietet z.b. auch support für den Fingerabdruck an... Das halte ich für Dumm ääh... Gefährlich.

 

[sutz2001]

Den Finger kann man mit Gewalt erpressen... einen Code nicht so einfach.

Wichtig auf Reisen!
Den Fingerprint können Sie dir einfach abnehmen, den Code musst du nicht verraten (allerdings könnten sie dich in Beugehaft nehmen...)

 

[Impcaligula]

Als Komfortfeature ist er ok,

Eben....

Ansonsten ist der Abdruck durch Gewalt oder auch einfach so sehr einfach nach machen.



Daher ist der Thread obsolet, da der Fingerabdruck an sich nicht sicher ist. Da ist die PIN für einen zweiten Abdruck das kleinste Problem...

 

[MacMac512]

Wollte ich gerade posten, aber du bist schneller gewesen.

 

[davedevil]

Manche haben echt Sorgen. Man muss bestimmte Dienste nicht nutzen.

 

[Matrickser]

Jeder der Zugang zu meiner Wohnung hat, könnte meinen Wohnungsschlüssel nachmachen und sich damit unbemerkt Zugang verschaffen.

 

[SwissBigTwin]

Wichtig auf Reisen!
Den Fingerprint können Sie dir einfach abnehmen, den Code musst du nicht verraten (allerdings könnten sie dich in Beugehaft nehmen...)

In den USA musst du die PIN nicht raus rücken, Beugehaft gibts keine. Den Fingerabdruck dürfen sie dir aber abnehmen, bzw. das iPhone mit deinem Finger entsperren.


Ja klar, jeder hat die Utensilien parat, um einen Fingerabdruck zu fälschen oder weiss, wie das geht.

 

[Matrickser]

Lösung? Für das Hinzufügen eines neuen Fringerprints müsste es eine eigene PIN geben!

Um einen neuen Fingerabdruck anzulegen, muss doch vorher noch der Gerätecode eingegeben werden, ohne diesem hat man keinen Zugang zu den TouchID-Einstellungen.

 

[iPhill]

Um einen neuen Fingerabdruck anzulegen, muss doch vorher noch der Gerätecode eingegeben werden, ohne diesem hat man keinen Zugang zu den TouchID-Einstellungen.

Dessen ist sich der TE ja bewusst, aber er denkt eben, dass dieser Code ein anderer sein sollte, vgl. dazu den Code bei "Einschränkungen".

 

[Matrickser]

Dessen ist sich der TE ja bewusst, aber er denkt eben, dass dieser Code ein anderer sein sollte, vgl. dazu den Code bei "Einschränkungen".

Ist eben die Frage, wie komplex der Gerätecode/Entsperrcode ist, ob eben nur numerisch oder besser alphanumerisch.

 

[Veritas]

In den USA musst du die PIN nicht raus rücken, Beugehaft gibts keine. Den Fingerabdruck dürfen sie dir aber abnehmen, bzw. das iPhone mit deinem Finger entsperren.


Ja klar, jeder hat die Utensilien parat, um einen Fingerabdruck zu fälschen oder weiss, wie das geht.

Dann schaltet man sein iPhone auf der Flucht aus, beim ersten Einschalten brauchst du ja den Gerätecode

 

[Meeseeks]

Oder man drückt ein paar mal schnell den TouchID Sensor mit dem falschen Finger, bevor man sich an den richtigen erinnert aber TouchID nicht mehr zum Entsperren funktioniert.

 

[TEXnician]

Dessen ist sich der TE ja bewusst, aber er denkt eben, dass dieser Code ein anderer sein sollte, vgl. dazu den Code bei "Einschränkungen".

Wenn jemand Unbefugtes den Gerätecode kennt (ansonsten kann diese Person keinen weiteren Fingerabdruck anlegen), hat derjenige Zugriff auf alles, was nicht zusätzlich noch durch weitere Passwörter oder ähnliches geschützt ist. Der Fingerabdruck ist in diesem Fall also gar nicht nötig, denn der Gerätecode reicht ja aus. Ein eigener Code für das Anlegen von Fingerabdrücke ist also reichlich sinnlos.

 

[tocotronaut]

Interessant wird es wenn man mit unterschiedlichen fingern unterschiedliche "Benutzerprofile" freischalten könnte.

Die "wichtigen" Daten liegen dann z.b. nur auf dem Ringfinger der linken Hand... Alle anderen funktionieren auch schalten aber nur ein Standardprofil frei.

 

[Meeseeks]

Wenn jemand Unbefugtes den Gerätecode kennt (ansonsten kann diese Person keinen weiteren Fingerabdruck anlegen), hat derjenige Zugriff auf alles, was nicht zusätzlich noch durch weitere Passwörter oder ähnliches geschützt ist. Der Fingerabdruck ist in diesem Fall also gar nicht nötig, denn der Gerätecode reicht ja aus. Ein eigener Code für das Anlegen von Fingerabdrücke ist also reichlich sinnlos.

Viele Apps bieten Passwortschutz mit Alternative TouchID an.
Das Passwort ist unterschiedlich zum Gerätepasswort, man hat also keine Zugriff auf die Daten nur durch Entsperren des Gerätes per Code.
TouchID hebelt das Passwort der App aus, da durch das Gerätepasswort einfach ein Zugang zur App über TouchID erstellt werden kann ohne das App-Passwort zu kennen.

Also wäre ein getrenntes Passwort wie z.B. bei aktivierten Einschränkungen schon eventuell sinnvoll.

 

[TEXnician]

Viele Apps bieten Passwortschutz mit Alternative TouchID an.
Das Passwort ist unterschiedlich zum Gerätepasswort, man hat also keine Zugriff auf die Daten nur durch Entsperren des Gerätes per Code.
TouchID hebelt das Passwort der App aus, da durch das Gerätepasswort einfach ein Zugang zur App über TouchID erstellt werden kann ohne das App-Passwort zu kennen.

Ein Fingerabdruck ist generell kein besonders guter Schutz (dazu hinterlässt man ihn zu einfach und die Sensoren sind nicht besonders gut darin, nachgemachte Fingerabdrücke vom echten Fingerabdruck zu unterscheiden). Von daher sollte man sich im Vorfeld sehr genau überlegen, ob man Touch-ID in Apps, die wirklich sensible Informationen enthalten, nutzen will.

Interessant wird es wenn man mit unterschiedlichen fingern unterschiedliche "Benutzerprofile" freischalten könnte.

Die "wichtigen" Daten liegen dann z.b. nur auf dem Ringfinger der linken Hand... Alle anderen funktionieren auch schalten aber nur ein Standardprofil frei.

Wesentlich sicherer ist auch das nicht.