Wie einmalig ist mein Fingerabdruck?

Das Smartphone per Fingerabdruck sichern: Diese komfortable Lösung ist fehleranfälliger als allgemein angenommen. Weil nur Teile des Fingers gescannt werden, ist die Wahrscheinlichkeit einer fälschlichen Übereinstimmung relativ hoch, wie eine Studie nun belegt. Im Test überlisteten simulierte Teilabdrücke die Sicherungsfunktion von Smartphones in bis zu 65 Prozent der Fälle.

Die meisten glauben, dass der eigene Fingerabdruck einmalig ist. Daher erfreuen sich Fingerabdruck-Scanner als Maßnahme zur Authentifizierung in Tablets und Smartphones wachsender Beliebtheit: Einfach den Daumen auf den Sensor legen, und schon wird das Gerät entsperrt – vorausgesetzt die Software verifiziert den gescannten Abdruck als den eigenen.

Doch so sicher wie es scheint, ist diese Methode nicht, wie jetzt Forscher um Aditi Roy von der New York University herausgefunden haben. Das Problem: Die kleinen Scanner im Smartphone erfassen nur einen Teil des Fingerabdrucks. Der ist aber nicht immer eindeutig genug für eine zweifelsfreie Identifikation und damit alles andere als „fälschungssicher“.

Das Prinzip des MasterPrints

Für ihre Studie analysierten die Forscher 8.200 Teilabdrücke und suchten dabei nach sogenannten „MasterPrints“: Fingerabdrücke, deren Teilabdrücke mit möglichst vielen anderen so gut übereinstimmten, dass sie eine herkömmliche Identifikationssoftware wie die in Smartphones täuschen können.

Ein MasterPrint sei wie ein leicht zu erratendes Passwort, erklärt Memon: „Bei einer vierstelligen PIN liegt man zum Beispiel mit dem Passwort 1234 in etwa vier Prozent der Fälle richtig. Eine ziemlich hohe Trefferquote, dafür dass man rät.“ In Anlehnung an dieses Beispiel werteten die Forscher einen Fingerabdruck dann als MasterPrint, wenn er in vier Prozent der Versuche die Sicherheitssoftware austrickste.

besser komplette Abdrücke

Wie die Forscher herausfanden, hatten durchschnittlich 11,5 Prozent der Teilabdrücke das Potenzial eines MasterPrints. Beim Vergleich von vollständigen Fingerabdrücken erfüllte hingegen nur einer von 800 Abdrücken die Kriterien, was etwa einem Anteil 0,1 Prozent entspricht.

Die Ergebnisse stellen die Sicherheit von derzeitig verwendeten Fingerabdruckscannern in Frage, gibt Memon zu denken: „Erwartungsgemäß ist die Wahrscheinlichkeit einer falschen Übereinstimmung bei Teilabdrücken viel größer als bei einem vollständigen Abdruck, und die meisten Geräte führen die Identifikation lediglich anhand von Teilabdrücken durch.“

Künstlicher Abdruck als Universalschlüssel?

Nach der Analyse der Eigenschaften von den gefundenen MasterPrints entwickelten die Forscher einen Algorithmus, um künstliche partielle MasterPrints zu generieren. Mit ihnen überlisteten die Wissenschaftler 26 bis 65 Prozent der Smartphones, abhängig davon, wie viele Fingerabdrücke vom Benutzer zur Identifikation im Gerät eingespeichert waren. Je mehr Abdrücke hinterlegt waren, desto anfälliger war es für fälschliche Übereinstimmungen.

Auch wenn dieser Teil des Experiments nur eine Simulation war, zeigt er dennoch die Fehleranfälligkeit der Technologie. Die Forscher hoffen, dass in Zukunft bessere Sensoren mit höherer Auflösung verbaut werden, um die Sicherheit der Smartphones zu erhöhen. (IEEE Transactions on Information Forensics and Security, 2017; doi: 10.1109/TIFS.2017.2691658)

(YU Tandon School of Engineering, 18.04.2017 – CLU)