Ein Plädoyer für FaceID - Neue biometrische Authentisierung von iOS

Ein Plädoyer für FaceID

Neue biometrische Authentisierung von iOS

Stefan Friedli
von Stefan Friedli
Lesezeit: 6 Minuten

Selten habe ich so viel wütendes Feedback zu einem Interview in einer Schweizer Gratiszeitung erhalten, wie als Apple im Jahre 2013 die Integration eines Fingerabdruckscanners mittels TouchID auf dem iPhone 5S angekündigt hat. Ich habe damals den Standpunkt vertreten, dass die Einführung eines biometrischen Faktors, sogar eines suboptimalen, immer noch besser wäre, als die Verwendung schwacher Passcodes wie 1234, die damals (wie heute) oftmals genutzt wurden.

Spulen wir vorwärts: Vor einigen Tagen, am 12. September, kündigte Apple sein neues iPhone-Modell zum 10-jährigen Bestehen der Serie an. Eines der Schlüsselmerkmale des neuen Modells ist das Fehlen von TouchID zu Gunsten einer neuen biometrischen Authentisierungsmethode namens FaceID, die anhand eines Gesichtsscans das Smartphone entsperrt, wenn dessen Besitzer denn auch wirklich erkannt wird.

Wie auch TouchID in 2013 wurde FaceID mit vielen kritischen Wortmeldungen gewürdigt. Das Missbrauchspotenzial wäre zu hoch, gerade im Hinblick auf den Missbrauch durch Authoritäten. Andere bemängeln, dass Apple nicht eine zweigleisige Strategie mit TouchID und FaceID fahre, die dem Benutzer die freie Wahl liesse. Dazu gesellt sich eine Gruppe von unüberhörbaren Skeptikern, die nicht wirklich genau weiss, was ihr denn eigentlich an FaceID nicht passt und auch gar keine Intention hat, sich dessen klar zu werden.

Zum heutigen Zeitpunkt, also vor dem Release des iPhone X, hat Apple den Status eines technologischen Vorreiters klar verloren. Das heutige Spitzenmodell, das iPhone 7 Plus kann – um nur ein Beispiel zu nennen – gerade mal mit einem FullHD Display aufwarten, während die Konkurrenz auf Seiten Samsung und Huawei längst mit deutlich höheren Auflösungen um die Gunst der Käufer buhlt. Die Unkenrufe, die sich Apple für den Versuch, das Entfernen des Kopfhöreranschlusses beim iPhone 7 als “couragiert” zu verkaufen, anhören musste waren sicherlich unter diesem Gesichtspunkt auch gerechtfertigt. Fakt ist aber: FaceID, oder genauer gesagt der Prozessor der FaceID ermöglicht, ist eine Rückkehr von Apple zu einer innovativeren und effektiv mutigeren Marktposition.

FaceID mit Samsung’s halbherzigen Versuchen der Gesichtserkennung zu vergleichen, ist dabei, technologisch betrachtet, abwegig. In vielerlei Hinsicht hat Samsung hier der gesamten Technologie der Gesichtserkennung einen Bärendienst erwiesen: Eine Implementierung, die mittels eines Facebook Profilbilds oder einem Instagram Selfie umgangen werden kann, ist sicher eine unterhaltsame Spielerei, viel mehr aber auch nicht. FaceID, auf der anderen Seite, arbeitet mit einer deutlich komplexeren Technologie zur Erkennung des “legitimen” Besitzers. Auch die Thematik der Secure Enclave, einer weitgehend abgeschotteten eigenen Prozessorstruktur für TouchID – und neu auch FaceID – wurde bis dato von Kommentatoren eher vernachlässigt, obschon sie aus Gründen der Sicherheitsarchitektur eigentlich zumindest ein Lob verdient hätte.

Es ist bezeichnend, dass die Skepsis gegenüber FaceID genau so schwammig und undefiniert ist, wie gewisse Marketingversprechen, die deren Verfechter so gerne mit einem Schuss Verschwörungstheorie kritisieren: So wurde auf Twitter bereits gemunkelt, dass FaceID ein Entgegenkommen gegenüber Geheimdiensten und Strafverfolgungsbehörden in Folge von Apple’s Auseinandersetzung mit dem FBI darstelle, zumal diese nun nur noch die Kamera in das Gesicht des Verdächtigen halten müssten. Das ist nicht nur eine Halbwahrheit, zumal diese Vorgehensweise mit TouchID ebenso gängig wäre, sondern ignoriert auch eine neue Funktion in iOS11, die nach fünfmaligen Drücken des Power-Buttons alle biometrischen Authentisierungsmöglichkeiten deaktiviert und eine Eingabe des klassischen Passcodes erfordert, um Zugriff zum Gerät zu erhalten.

Stichwort Passcode: Auch wenn TouchID, FaceID und jedwelche andere Wege ein Gerät zu entsperren im Hinblick auf die Usability eines Gerätes massive Schritte vorwärts darstellen, ist die Option, diese Technologien schlicht und einfach nicht zu nutzen eine absolut legitime Variante, die aber offenbar wenig Anhänger findet. Das ist speziell, wenn man in Betracht zieht dass Microsoft’s Windows Hello bis dato wenig Verbreitung findet, aber kaum lautstarke Kritik provoziert.

Ungeachtet der ersten Reaktionen zur neuen Technologie: FaceID ist sicherlich angreifbar. Es ist davon auszugehen, dass der CCC und andere Researcher sich unmittelbar mit der Thematik auseinandersetzen und bereits in sehr kurzer Zeit erfolgreiche Angriffsvektoren präsentieren werden. Es ist unfair und naiv zugleich, eine Lösung zum einfachen Entsperren eines Gerätes an seiner Unüberwindbarkeit zu messen. Weder Passcodes, noch Biometrie, noch Hardwaretokens können dieser Anforderung vollumfänglich und in jeder Hinsicht gerecht werden – zumindest bis heute. Viel wichtiger für das Bestehen der Technologie werden rein funktionelle Aspekte bleiben: Warum kann ich das Gerät nicht entsperren, wenn es auf dem Tisch liegt? Kann ich FaceID im Auto nutzen? Was, wenn ich einen bösen, identischen Zwillingsbruder habe? Die letzte Frage wurde übrigens durch Apple beantwortet: Ein böser Zwilling könnte FaceID nutzen, um das Gerät zu entsperren und Zwillingen wird entsprechend empfohlen, eine andere Authentisierungsmethode einzusetzen.

Für den durchschnittlichen Benutzer ist das Verfahren ein Schritt nach vorne, so lautete 2013 mein Urteil zu TouchID. Eine Einschätzung, die sich weitgehend bewahrheitet hat. FaceID hat das Potenzial, die Benutzerinteraktion mit mobilen Endgeräten ein weiteres Mal zu transformieren – und bietet zugleich in Echtzeit animierte Emojis – ob das ein Rezept zum Erfolg darstellt, bleibt dabei abzuwarten.

Über den Autor

Stefan Friedli

Stefan Friedli gehört zu den bekannten Gesichtern der Infosec Community. Als Referent an internationalen Konferenzen, Mitbegründer des Penetration Testing Execution Standard (PTES) und Vorstandsmitglied des Schweizer DEFCON Group Chapters trägt er aktiv zum Fortschritt des Segmentes bei.

Links

Sie suchen Interviewpartner?

Unsere Spezialisten kontaktieren Sie gern!

×
Active Directory-Zertifikatsdienste

Active Directory-Zertifikatsdienste

Eric Maurer

Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

Das neue NIST Cybersecurity Framework

Das neue NIST Cybersecurity Framework

Tomaso Vasella

Angriffsmöglichkeiten gegen Generative AI

Angriffsmöglichkeiten gegen Generative AI

Andrea Hauser

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv