Der Fingerabdruck-‚Hack‘, die verpasste Chance.

The biometrics hacking team of the Chaos Computer Club (CCC) has successfully bypassed the biometric security of Apple's TouchID using easy everyday means. A fingerprint of the phone user, photographed from a glass surface, was enough to create a fake finger that could unlock an iPhone 5s secured with TouchID. This demonstrates – again – that fingerprint biometrics is unsuitable as access control method and should be avoided.

Chaos Computer Club

Ich halte es für diskreditierend sich über Populismus zu empören, in eigener Sache aber die gleichen Stilmittel aufzufahren. Touch ID ist nicht gehackt1.

Security

Die Wortwahl ist mindestens irreführend und kann mit Verständnis der aktuellen Medienlandschaft, die oft ohne Rückfrage PR-Meldungen abschreibt, nur als bewusst eingesetzt betrachtet werden. Die Meldung informiert nicht, sie verwirrt. Sie bestärkt nicht zu stärkeren Passwörtern, sie verängstigt. Sie regt nicht zum Nachdenken über den Schutz der eigenen Daten an.

Lässt sich ein Passcode auch ohne deine Anwesenheit knacken? Lässt sich ein Passwort (über die Schulter) abschauen? In welchem Verhältnis stehen Aufwand und Ergebnis? Mit welcher Häufigkeit geraten persönliche Daten eher durch Raub als Beschlagnahmung in falsche Hände?

Das ein Fingerabdruck nachzubauen ist und keinesfalls eindeutig ausfällt, war nicht nur absehbar (und wurde vom CCC bereits vor Jahren exzellent ausgearbeitet), sondern steht auch in Apples Dokumentation.

Es ist eine verpasste Chance die jetzige Aufmerksamkeit nicht auf den (unvermeidbaren) Kompromiss zwischen notwendiger Sicherheit und alltäglicher Praxis zu verwenden.


  1. Lasst uns alle noch einmal über das Thema sprechen wenn jemand den Hash der Fingerabdrücke aus dem A7 extrahiert hat und daraus verwertbare Informationen zieht.