Der folgende Abschnitt beschreibt verschiedene Methoden zur Authentifizierung von Nutzern, die beim Entsperrmechanismus von Smartphones zum Einsatz kommen.
Authentifizierung durch Wissen ist seit vielen Jahren eine Standardanwendung und auf allen gängigen System in Form von PIN’s (Personal Identification Number) oder Passwörter implementiert. Die Authentifizierung durch Wissen unterliegt allerdings einigen Schwächen, wie z.B. der Anfälligkeit von Phishing sowie der relativ leichten Angreifbarkeit durch Social Engineering [6].
Sowohl Apple als auch Android bieten die Möglichkeit, Smartphones durch Authentifizierung durch Wissen zu entsperren. Das vorzuweisende Wissen kann dabei z.B. ein PIN, ein Password oder ein Muster sein, dass zur Authentifizierung eingegeben wird.
Die Empfehlungen des BSI aus [2, Abschnitt 6.3] beziehen sich primär auf PIN’s und Passwörter die zum Zugriff auf kryptographische Hardwarekomponenten eingesetzt werden. Grundsätzlich wird empfohlen Passwörter mit einer Entropie von Mindestens log2(10^6) Bit zu verwenden, was einem uniform gewählten Password mit Länge 6 auf einem Alphabet mit 10 Zeichen (z.B. die Zahlen 0 bis 9) entspricht. Die uniforme (zufällige, gleich-verteilte) Wahl des Passwortes ist elementar, da sie, genau wie seine Länge oder die Größe des zugrundeliegenden Alphabets, direkt mit dem Sicherheitsniveau des resultierenden Passworts korreliert. Schlecht gewählte, nicht zufällige, Passwörter erlauben es einem Angreifer effizient zu raten (Social Engineering, Wörterbuchattacke). Bietet ein System die Generierung eines “starken” Passworts durch einen technischen Prozess an, sollte dieser Erzeugungsmechanismus durch den Anwender bevorzugt werden.
Durch das zugrunde liegende Alphabet mit der Kardinalität m und die Länge n des Passworts (dem Sicherheitsparameter) ergibt sich die Menge aller möglichen Passwörter mit m^n; durch die uniforme Wahl eines Passworts sind alle Passwörter innerhalb der Menge gleich wahrscheinlich, wodurch einem Angreifer nur das einfache Raten (brute-force Attacke) mit einer Erfolgswahrscheinlichkeit von 1/(m^n) bleibt.
Apple bietet keine Möglichkeit, Details wie die Länge des Passcodes abzufragen. Diese Informationen sind im sicheren Hardware-Chip (Secure Enclave) festgehalten und von außen nicht einsehbar. Abhängig vom Anwendungsszenario kann jedoch der Zugriff auf bestimmte Objekte limitiert werden, so dass diese nur mit gesetztem Passcode genutzt werden können.
Authentifizierung durch Biometrie ist seit einigen Jahren eine Standardanwendung auf gängigen Smartphones und Tablets. Dabei werden meistens Fingerabdruck-Sensoren oder Gesichtserkennung verwendet. Biometrische Verfahren bieten vergleichsweise hohe Nutzbarkeit, da sich Nutzer keine Passwörter merken müssen oder bestimmte Tokens mit sich führen müssen [6]. Der Nachteil der Verwendung von Biometrie ist jedoch, dass biometrische Merkmale nicht veränderbar sind und daher nicht revoziert werden können, falls sie einmal veröffentlicht werden [5]. Außerdem sind sie in Randfällen nicht robust, z.B. wenn die Gesichtserkennung auch den Zwilling eines Nutzers erfolgreich authentifiziert.
Apple nutzt einen sicheren Hardware-Speicher (Secure Enclave) zur Verwaltung von Biometrie und Anmeldedaten. Bei der Authentifizierung eines Nutzers durch Touch ID erfasst der Fingerabdruck-Sensor Vergleichsdaten und sendet sie an die Secure Enclave. Diese prüft die Vergleichsdaten gegen die initialisierten Fingerabdrücke und gibt die Authentifizierung nach erfolgreicher Prüfung frei.
Analog zur Authentifizierung via Touch ID nutzt Apple auch bei Verwendung von Face ID den sicheren Hardware-Speicher der Secure Enclave.
Die vom iPhone projizierte Punktwolke wird von einer Infrarot-Kamera ausgewertet und die so erfassten Daten werden an die Secure Enclave übergeben. Diese prüft die Daten gegen die initialisierten Gesichter und gibt die Authentifizierung nach erfolgreicher Prüfung frei.
Android unterstützt Gesichtserkennung bereits seit 2011 (Ice Cream Sandwich). Diese Art der Gesichtserkennung
vergleicht ein mit der Frontkamera aufgenommenes Bild des Nutzers mit den initialisierten Gesichtern.
Der große Nachteil dieses Verfahrens ist, dass nur ein 2D-Bild überprüft wird und das Verfahren somit bereits durch einfache Fotos überwunden werden kann.
Im Vergleich dazu bietet Apples Face ID höhere Sicherheit, da durch die Punktwolke ein 3D-Bild des Gesichts überprüft wird, was robust gegen die Präsentation von Fotos ist. Um Face ID zu umgehen, muss ein Angreifer eine 3D-Maske des Gesichts des Nutzers anfertigen [4].
Unabhängig der Sicherheit von FaceID ist der PIN je nach Zustand des Gerätes noch immer das primäre Authentifizierungsmittel[1,3]:
Auch zur Absicherung sensibler Konfigurationen wird zusätzlich der PIN gefordert [3, Seite 10]:
Die Authentifizierung durch Besitz basiert auf zusätzlicher Hardware, die der Nutzer zur Authentifizierung präsentieren muss, z.B. Tokens, YubiKeys, SmartCards etc.
Oft wird hier Public-Key Kryptographie genutzt, wobei der private Schlüssel auf der zusätzlichen Hardware gespeichert wird, während der öffentliche Schlüssel dort gespeichert wird, wo der Nutzer authentifiziert werden soll.
Authentifizierung durch Besitzt bietet oft höhere Nutzbarkeit als Authentifizierung durch Wissen, da Nutzer sich keine Passwörter merken müssen. Andererseits kann der Nutzer nur authentifiziert werden, wenn er die zusätzliche Hardware mit sich führt. Weiterhin gibt es in vielen Anwendungsszenarien keine ausreichenden Lösung für den Verlust der zusätzlichen Hardware.
Auf den gängigen Smartphones spielen Entsperrmechanismen durch Besitz weitestgehend keine Rolle. Im Webumfeld gibt es jedoch vielversprechende Ansätze für die Authentifizierung durch Besitz, siehe auch Authentifizierung durch Besitz mit FIDO2.
Durch Kombination mehrerer Authentifizierungsmechanismen lässt sich das Sicherheitsniveau der Authentifizierung erhöhen. Weit verbreitet ist z.B. die Ergänzung von passwort-basierter Authentifizierung um einen vier- bis sechsstelligen One-Time-Passcode (OTP), der über einen anderen Kommunikationskanal an den Nutzer gesendet wird. Die Hinzunahme eines zweiten Authentifizierungsmechanismus wird Zwei-Faktor Authentifizierung (2FA) genannt. Allgemein steht Multi-Faktor Authentifizierung (MFA) für die Kombination mehrerer Authentifizierungsmechanismen.
Beim Entsperrenvorgang von Mobilgeräten finden 2FA bzw. MFA weitestgehend keine Rolle.
[1] Face ID Security, November 2017, https://www.apple.com/business/docs/site/FaceID_Security_Guide.pdf
[2] BSI - Technische Richtlinie 2102 - Kryptographische Verfahren: Empfehlungen und Schlüssellängen
[3] iOS Security, Mai 2019, https://www.apple.com/business/docs/site/iOS_Security_Guide.pdf
[4] https://www.forbes.com/sites/jvchamary/2017/09/18/security-apple-face-id-iphone-x/#44bc10694c83
[5] https://www.zdnet.com/article/face-fingerprint-passwords-or-pin-whats-the-best-way-to-keep-your-smartphone-secure/
[6] https://ieeexplore.ieee.org/iel5/6233637/6234400/06234436.pdf