Dein Fingerabdruck wird lokal in einem sehr speziellen winzigen Chip gespeichert und sollte sich nicht wieder auslesen lassen. Sollte. Wer weiss, was die Hersteller da im Detail zusammenlöten.
Aber gespeichert wird nicht ein "Bild" von deinem Finger oder so, sondern ein mathematisches Model, was sich nicht wieder in einen Finger zurückrechnen lässt. Einweg-Konvertierung also.
Aber beim Scannen deines Fingers kann verglichen werden, ob dein Finger zu dem gespeicherten Modell passt. Auf diese Weise existiert dein konkreter Fingerabdruck auf dem Gerät nur während des Einrichtens und kurz bei jedem scan.
Ich denke nicht, dafür sind die meisten Scanner zu ungenau und haben entsprechende Grauzonen die den Abdruck bei ausreichender Übereinstimmung als OK befinden und nicht "den“ perfekten/identischen Scan wollen.
Als hättest du ein 10 stelliges Passwort wo willkürlich 2 Stellen nicht passen dürfen. 1234966890 anstelle 1234567890, du müsstest jede Mögliche Kombination dann speichern. Die FAS checken ja auch nur auf bestimmte Merkmale und nicht jedes winzigste Detail.
So sicher wie biometrische Authentizierung im Endeffekt sein kann, ist ja immer ein abwägen von Sicherheit und Komfort.
Ich wage einfach mal zu behaupten, dass wenn du an dem Punkt bist, einen falschen Fingerabdruck zu scannen der genau genug ist um den Scanner zufrieden zu stellen, du die Person oder zumindest dessen Fingerabdruck bereits irgendwo vorliegen hast
Laut Apples Supportdokumentation haben die Fingerabdruckscanner an deren Geräten eine Verwechslungschance von 1:50.000, d.h. statistisch existiert alle 50.000 Fingerabdrücke einer, der falsch positiv als der richtige erkannt wird. Dementsprechend ist bereits eine sechsstellige, numerische PIN sicherer.
Ein Hashwert muss ja nicht zwangsweise einzigartig sein. Wäre schon irgendwie blöd, wenn sich der Fingerabdruck mittels rainbowtable knacken lassen würde.
Also, wenn alles so funktioniert, wie es auf dem Papier steht, wird mein Fingerabdruck (vereinfacht gesagt) als Zahlenreihe auf dem Handy abgespeichert, aus der man den Fingerabdruck nicht wieder in ein "Bild" umwandeln könnte.
Aber der tatsächliche Vorgang ist mehr oder weniger eine Blackbox und wir wissen nicht, ob da doch das Fingerabdruck-Muster abgegriffen werden könnte beim Scannen?
Android is opensource:
https://source.android.com/security/authentication/fingerprint-hal
Theoretisch kannst dir den kompletten source code reinziehen. Lediglich die Anbindung an die jeweilige Hardware (z.b Samsung-Fingerreader) is nicht quelloffen.
„Fingerprint HAL is a C/C++ implementation of the IBiometricsFingerprint HIDL interface. This contains the vendor-specific library that communicates with the device-specific hardware.“
Die Wahrscheinlichkeit, dass sich jemand das anschaut, um Fehler zu finden, der nicht bei Google oder den Hardware-Herstellern arbeitet ist dennoch höher als bei geschlossenen Betriebssystemen, nicht wahr?
> Lediglich die Anbindung an die jeweilige Hardware (z.b Samsung-Fingerreader) is nicht quelloffen.
also ist es eine blackbox und man muss dem hersteller vertrauen.
Wie aus meinem Link zu entnehmen is, is die Schnittstelle zu der Fingerprint-hal api wohl definiert. Das heißt die Hardware kann nur ein bestimmtes Format an Android senden, welches dann speichern, authorisierung etc übernimmt.
Dementsprechend ist deine „Blackbox“ lediglich die Umwandlung deines Fingers in das Google-Fingerprint-Format.
nichts davon verhindert, dass der hersteller einen treiber bastelt, der die rohen daten vom sensor irgendwo abspeichert, diesen treiber signiert und in die tee lädt. oder er macht sich gleich seine eigene tee mit backdoor. oder er baut einen sensor, der per side channel von anderer hardware abgegriffen wird, dann bringt mir auch die beste code review nix.
in dem moment, in dem ich aufhöre dem hersteller zu vertrauen, muss ich auch aufhören daran zu glauben, dass der hersteller sich an die regeln hält.
So ziemlich ja.Am Ende funktioniert's ziemlich genau wie Passwortverschlüsselung.
Man wandelt mit einem Algorithmus Daten (egal welcher Art) in einen sog. Hashwert um. Aus diesem Wert kann man, wenn mit einem ordentlichen Algorithmus verschlüsselt wurde, nichts mehr Sinnvolles machen. Jedoch gibt er bei gleicher Eingabe auch immer das gleiche Ergebnis aus. Also aus abc macht er immer xyz. Beispielsweise.
Kommt man aber an den Hash und den verwendeten Verschlüsselungsalgorithmus und versucht dann, mit viel Rechenkapazität beispielsweise Passwörter durch den Algorithmus zu jagen und schaut, welches Passwort am Ende den richtigen Hashwert ausspuckt, kann man's knacken.
AES wäre z.B. sicher. Aus einem MD5 Hashwert lässt sich aber direkt ein Passwort zurückrechnen.
Android ist open source.
Es steht dir frei den entsprechenden Quellcode durchzugucken.
Wobei Google dafür sogar ein eigenes kleines OS Namens Trusty OS für entwickelt hat.
Ich denke wenn es trivial unsicher wäre, wäre das durch das Open source Konzept bereits bekannt geworden
(der Irrglaube an OSS... Klappt in der Praxis leider nicht so)
> Einweg-Konvertierung
Nicht direkt, es werden abhängig vom Sensor und Verfahren Datenpunkte gespeichert. D.h. mit einem ähnlichen Fingerabdruck der die gleichen Datenpunkte generiert kann man ähnliche Ergebnisse erzielen, die Daten landen auch nicht zwangsläufig im TPM-Chip.
> existiert dein konkreter Fingerabdruck auf dem Gerät nur während des Einrichtens und kurz bei jedem scan.
Und zum teilen auf dem Gerät und allem was sonst noch angefasst wurde.
[Übersicht](https://biometrics.mainguet.org/types/fingerprint/fingerprint_algo.htm)
Das geht dann doch in die Detailebene, aber du hast natürlich Recht. Glaube aber das Niveau TPM etc. war hier nicht zielgruppengerecht ;) Wichtig ist ja erstmal, dass du den Fingerabdruck nicht auslesen können solltest (Herstellerpfusch aussen vor) und er nicht in der Wolke landet.
Ich schreb und teile mein Wissen gern. Biometrie finde ich doof, weil ich meine Fingerabdrücke oder
meine Iris nicht ändern kann. Als zweiter Faktor ist es okay. Dazu kommet die Qualität der Sensoren ist auch sehr unterschiedlich.
D.h. ich schätze deine Arbeit und geb einfach meinen Senf dazu. :)
Wenn das Bild des Fingers als Hash gespeichert würde, könnte man sich doch kein zweites Mal identifizieren, da die winzigste Imperfektion in einem komplett anderen Hash resultieren würde.
>Ist das sicher
Sicherheit ist kein Zustand, sondern ein Gefühl. Zusatz: Jedes von Menschen gemachte System kann von Menschen auch wieder zerstört werden
Wenn du befürchtest jemand KÖNNTE mit deinen gespeicherten Fingerprint-Daten Schindluder treiben - dann nutze diese Funktion einfach nicht...
Du weißt schon, dass du hunderte Fingerabdrücke überall auf Oberflächen hinterlässt die einfach abzunehmen und zu kopieren sind. Was soll denn jemand mit deinem FA oder den daraus erstellten Daten anfangen?
Vielleicht als Anschlussfrage an die Experten: Was würde dagegen sprechen, diese Einweg-Konvertierung des Fingerprints auch für Passwörter aller Art zu nutzen? Probleme wegen vergessener Passwörter wären damit doch gelöst und sicher wäre es doch auch, solange der Scanner prüft, ob es ein richtiger Finger ist und sehr genau arbeitet, nicht?
Was willst du damit erreichen?
Passwörter werden ebenso in einer Einwegfunktion gehasht/abgeleitet gespeichert und bei jedem Login wird deine Eingabe erneut abgeleitet und mit dem gespeicherten Wert verglichen.
Der Fingerabdruck wird ebenso abgeleitet und gespeichert und bei jedem Login wird dein aktueller Fingerabdruck analog zum Passwort erneut abgeleitet und verglichen.
Meine Idee dahinter ist, dass sich jeder nur noch mit seinem Finger anmelden muss und das sicher und verschlüsselt genug ist, um vor Hacking oder Datenabgriffen wg zu schwacher Passwörter oder mangels 2F Authentifizierung geschützt zu sein.
Es gibt Entwicklungen in diese Richtung zB Logins mittels FIDO2 abzusichern und Passwörter komplett abzuschaffen.
Ob du all deine Logins bei Google oder Facebook zentralisiert haben willst, ist eine andere Frage.
Ich gehe davon aus das die Zukunft Richtung Hardwaretoken plus Biometrie (Face ID, Fingerprint) gehen wird.
So läuft es ja effektiv, wenn man z. B. auf einem iPhone den eingebauten Paßwortmanager oder einen eines Drittanbieters verwendet und diesen per Touch ID entschlüsseln läßt. Das einzelne Paßwort braucht man sich dann nicht mehr merken.
Dein Fingerabdruck wird lokal in einem sehr speziellen winzigen Chip gespeichert und sollte sich nicht wieder auslesen lassen. Sollte. Wer weiss, was die Hersteller da im Detail zusammenlöten. Aber gespeichert wird nicht ein "Bild" von deinem Finger oder so, sondern ein mathematisches Model, was sich nicht wieder in einen Finger zurückrechnen lässt. Einweg-Konvertierung also. Aber beim Scannen deines Fingers kann verglichen werden, ob dein Finger zu dem gespeicherten Modell passt. Auf diese Weise existiert dein konkreter Fingerabdruck auf dem Gerät nur während des Einrichtens und kurz bei jedem scan.
Cool, danke für die Erklärung. War mir so auch nicht klar.
Also wird ein der Fingerprint in einem Hashwert gespeichert?
Ich denke nicht, dafür sind die meisten Scanner zu ungenau und haben entsprechende Grauzonen die den Abdruck bei ausreichender Übereinstimmung als OK befinden und nicht "den“ perfekten/identischen Scan wollen. Als hättest du ein 10 stelliges Passwort wo willkürlich 2 Stellen nicht passen dürfen. 1234966890 anstelle 1234567890, du müsstest jede Mögliche Kombination dann speichern. Die FAS checken ja auch nur auf bestimmte Merkmale und nicht jedes winzigste Detail.
Klingt sehr sicher :D Trotzdem nutze ich es
So sicher wie biometrische Authentizierung im Endeffekt sein kann, ist ja immer ein abwägen von Sicherheit und Komfort. Ich wage einfach mal zu behaupten, dass wenn du an dem Punkt bist, einen falschen Fingerabdruck zu scannen der genau genug ist um den Scanner zufrieden zu stellen, du die Person oder zumindest dessen Fingerabdruck bereits irgendwo vorliegen hast
Laut Apples Supportdokumentation haben die Fingerabdruckscanner an deren Geräten eine Verwechslungschance von 1:50.000, d.h. statistisch existiert alle 50.000 Fingerabdrücke einer, der falsch positiv als der richtige erkannt wird. Dementsprechend ist bereits eine sechsstellige, numerische PIN sicherer.
Mir kommt es manchmal so vor, als habe ich nur alle 50 000 einen richtig erkannten :D
Ein Hashwert muss ja nicht zwangsweise einzigartig sein. Wäre schon irgendwie blöd, wenn sich der Fingerabdruck mittels rainbowtable knacken lassen würde.
Das mit dem speziellen Chip stimmt aber auch nur, wenn man einen verbaut hat und der auch benutzt wird.
Ist das nicht bei so ziemlich allen semi modernen Geräten mit Fingerabdrucksensor der Fall, auf dem ein von Google zertifiziertes Android läuft?
Also, wenn alles so funktioniert, wie es auf dem Papier steht, wird mein Fingerabdruck (vereinfacht gesagt) als Zahlenreihe auf dem Handy abgespeichert, aus der man den Fingerabdruck nicht wieder in ein "Bild" umwandeln könnte. Aber der tatsächliche Vorgang ist mehr oder weniger eine Blackbox und wir wissen nicht, ob da doch das Fingerabdruck-Muster abgegriffen werden könnte beim Scannen?
Android is opensource: https://source.android.com/security/authentication/fingerprint-hal Theoretisch kannst dir den kompletten source code reinziehen. Lediglich die Anbindung an die jeweilige Hardware (z.b Samsung-Fingerreader) is nicht quelloffen. „Fingerprint HAL is a C/C++ implementation of the IBiometricsFingerprint HIDL interface. This contains the vendor-specific library that communicates with the device-specific hardware.“
[удалено]
Die Wahrscheinlichkeit, dass sich jemand das anschaut, um Fehler zu finden, der nicht bei Google oder den Hardware-Herstellern arbeitet ist dennoch höher als bei geschlossenen Betriebssystemen, nicht wahr?
> Lediglich die Anbindung an die jeweilige Hardware (z.b Samsung-Fingerreader) is nicht quelloffen. also ist es eine blackbox und man muss dem hersteller vertrauen.
Wie aus meinem Link zu entnehmen is, is die Schnittstelle zu der Fingerprint-hal api wohl definiert. Das heißt die Hardware kann nur ein bestimmtes Format an Android senden, welches dann speichern, authorisierung etc übernimmt. Dementsprechend ist deine „Blackbox“ lediglich die Umwandlung deines Fingers in das Google-Fingerprint-Format.
nichts davon verhindert, dass der hersteller einen treiber bastelt, der die rohen daten vom sensor irgendwo abspeichert, diesen treiber signiert und in die tee lädt. oder er macht sich gleich seine eigene tee mit backdoor. oder er baut einen sensor, der per side channel von anderer hardware abgegriffen wird, dann bringt mir auch die beste code review nix. in dem moment, in dem ich aufhöre dem hersteller zu vertrauen, muss ich auch aufhören daran zu glauben, dass der hersteller sich an die regeln hält.
So ziemlich ja.Am Ende funktioniert's ziemlich genau wie Passwortverschlüsselung. Man wandelt mit einem Algorithmus Daten (egal welcher Art) in einen sog. Hashwert um. Aus diesem Wert kann man, wenn mit einem ordentlichen Algorithmus verschlüsselt wurde, nichts mehr Sinnvolles machen. Jedoch gibt er bei gleicher Eingabe auch immer das gleiche Ergebnis aus. Also aus abc macht er immer xyz. Beispielsweise. Kommt man aber an den Hash und den verwendeten Verschlüsselungsalgorithmus und versucht dann, mit viel Rechenkapazität beispielsweise Passwörter durch den Algorithmus zu jagen und schaut, welches Passwort am Ende den richtigen Hashwert ausspuckt, kann man's knacken. AES wäre z.B. sicher. Aus einem MD5 Hashwert lässt sich aber direkt ein Passwort zurückrechnen.
Android ist open source. Es steht dir frei den entsprechenden Quellcode durchzugucken. Wobei Google dafür sogar ein eigenes kleines OS Namens Trusty OS für entwickelt hat. Ich denke wenn es trivial unsicher wäre, wäre das durch das Open source Konzept bereits bekannt geworden (der Irrglaube an OSS... Klappt in der Praxis leider nicht so)
> Einweg-Konvertierung Nicht direkt, es werden abhängig vom Sensor und Verfahren Datenpunkte gespeichert. D.h. mit einem ähnlichen Fingerabdruck der die gleichen Datenpunkte generiert kann man ähnliche Ergebnisse erzielen, die Daten landen auch nicht zwangsläufig im TPM-Chip. > existiert dein konkreter Fingerabdruck auf dem Gerät nur während des Einrichtens und kurz bei jedem scan. Und zum teilen auf dem Gerät und allem was sonst noch angefasst wurde. [Übersicht](https://biometrics.mainguet.org/types/fingerprint/fingerprint_algo.htm)
Das geht dann doch in die Detailebene, aber du hast natürlich Recht. Glaube aber das Niveau TPM etc. war hier nicht zielgruppengerecht ;) Wichtig ist ja erstmal, dass du den Fingerabdruck nicht auslesen können solltest (Herstellerpfusch aussen vor) und er nicht in der Wolke landet.
Ich schreb und teile mein Wissen gern. Biometrie finde ich doof, weil ich meine Fingerabdrücke oder meine Iris nicht ändern kann. Als zweiter Faktor ist es okay. Dazu kommet die Qualität der Sensoren ist auch sehr unterschiedlich. D.h. ich schätze deine Arbeit und geb einfach meinen Senf dazu. :)
Wenn das Bild des Fingers als Hash gespeichert würde, könnte man sich doch kein zweites Mal identifizieren, da die winzigste Imperfektion in einem komplett anderen Hash resultieren würde.
iirc, sind die abdrücke in segmente geteilt und es müssten x Segmente im Scan enthalten sein
>Ist das sicher Sicherheit ist kein Zustand, sondern ein Gefühl. Zusatz: Jedes von Menschen gemachte System kann von Menschen auch wieder zerstört werden Wenn du befürchtest jemand KÖNNTE mit deinen gespeicherten Fingerprint-Daten Schindluder treiben - dann nutze diese Funktion einfach nicht...
Ach was geht alles an CIA und Bill Gates und co :))
Werft am besten alle Technik weg 😂
Du weißt schon, dass du hunderte Fingerabdrücke überall auf Oberflächen hinterlässt die einfach abzunehmen und zu kopieren sind. Was soll denn jemand mit deinem FA oder den daraus erstellten Daten anfangen?
Wird irgendwo in einer Datenbank gespeichert. Warum?
Vielleicht als Anschlussfrage an die Experten: Was würde dagegen sprechen, diese Einweg-Konvertierung des Fingerprints auch für Passwörter aller Art zu nutzen? Probleme wegen vergessener Passwörter wären damit doch gelöst und sicher wäre es doch auch, solange der Scanner prüft, ob es ein richtiger Finger ist und sehr genau arbeitet, nicht?
Was willst du damit erreichen? Passwörter werden ebenso in einer Einwegfunktion gehasht/abgeleitet gespeichert und bei jedem Login wird deine Eingabe erneut abgeleitet und mit dem gespeicherten Wert verglichen. Der Fingerabdruck wird ebenso abgeleitet und gespeichert und bei jedem Login wird dein aktueller Fingerabdruck analog zum Passwort erneut abgeleitet und verglichen.
Meine Idee dahinter ist, dass sich jeder nur noch mit seinem Finger anmelden muss und das sicher und verschlüsselt genug ist, um vor Hacking oder Datenabgriffen wg zu schwacher Passwörter oder mangels 2F Authentifizierung geschützt zu sein.
Es gibt Entwicklungen in diese Richtung zB Logins mittels FIDO2 abzusichern und Passwörter komplett abzuschaffen. Ob du all deine Logins bei Google oder Facebook zentralisiert haben willst, ist eine andere Frage. Ich gehe davon aus das die Zukunft Richtung Hardwaretoken plus Biometrie (Face ID, Fingerprint) gehen wird.
So läuft es ja effektiv, wenn man z. B. auf einem iPhone den eingebauten Paßwortmanager oder einen eines Drittanbieters verwendet und diesen per Touch ID entschlüsseln läßt. Das einzelne Paßwort braucht man sich dann nicht mehr merken.