Mythos 5: Biometrische Passwörter sind sicherer als Textpasswörter
Warum sollte man sich komplizierte Passwörter merken, wenn man doch einzigartige Merkmale mit sich herumträgt? Schon jetzt lassen sich Smartphones per Fingerabdruck entsperren, mit der Iris, oder gleich dem ganzen Gesicht. Das Kreditkarten-Unternehmen Mastercard möchte, dass sich Kunden mit einem Zwinkern identifizieren und nennt das „Selfie Pay“. Andere Ideen zur Identifikation reichen vom Herzschlag über Venenerkennung bis zum Lächeln.
Allerdings ist die Stärke von biometrischen Passwörtern gleichzeitig ihre Schwäche: die Einzigartigkeit. Wenn ein Passwort gestohlen wird, können Nutzer es einfach ändern. Aber wie soll man einen Fingerabdruck oder ein Gesicht ändern, wenn Kriminelle dieses Merkmal erbeutet haben?
Gerade Fingerabdrücke lassen sich einfach kopieren. Wenn auf Fotos die Finger von vorne zu sehen sind, lassen sie sich nachmachen. Das hat der Chaos Computer Club bereits 2014 gezeigt, als die Hacker den Daumen der Verteidigungsministerin Ursula von der Leyen kopierten. Ist die Foto-Auflösung hoch genug, lassen sich Abdrücke mit Photoshop bearbeiten und auf Folie drucken. Fertig ist der falsche Finger. Den Fingerabdruck von Finanzminister Wolfgang Schäuble konnten die Hacker kopieren, weil er ein benutztes Wasserglas im Raum gelassen hatte.
Viele Scanner lassen sich mit Fotos überlisten, nicht nur vom Fingerabdruck. Das geht auch mit Iris oder Gesicht. Im Zweifel also lieber auf das gute alte Passwort setzen – solange es nicht „passwort“ lautet.
