Smartphones verraten Passwörter durch Fingerabdruck

Einige Smartphones mit grafischem Passwortschutz verraten ihre Passwörter leichter als den Benutzern lieb sein kann, das haben Forscher der Universität Pennsylvania herausgefunden - dies geschieht über die Fingerabdrücke, die bei der Benutzung hinterlassen werden.

So wurden bei den Versuchen die Displays der Smartphones fotografiert und die Kontraste der Aufnahmen per Bildbearbeitung verstärkt. So konnten sie Forscher die häufig berührten Stellen eines Displays ermitteln und daraus auch das Passwort recht schnell und sicher erraten - in 90 Prozent der Fälle erfolgreich.

Die häufig berührten Stellen eines Displays weisen nämlich einen Fettfilm auf, der mit jeder Berührung eines Finger etwas ausgeprägter wird. Wer nun meint, er könne diesen Fettfilm mit einem Reinigungstuch entfernen irrt: das gelingt nur teilweise.

Ich habe davon auch schon gehört, kann mir das aber irgendwie nicht so ganz vorstellen. Denn ich benutze diese Tasten doch nicht häufiger als die anderen Tasten auch, oder? Ich schreibe doch mehr SMS oder andere Sachen mit dem Handy, als dass ich das Passwort eingebe. Ich kann mir nicht vorstellen, dass das so einfach sein soll, das Passwort rauszubekommen. Davon abgesehen weiß ich doch immer noch nicht die Reihenfolge der Tasten. Da gibt es doch ganz andere Möglichkeiten. Oder versteh ich da irgendwas falsch?

Auf was für bescheuerte Aussagen Forscher doch kommen. Ich kann nicht verstehen, dass solche Theorien von studierten Akademikern kommt.

Erstens bleiben nicht nur bei Smartphones Fettschichten der Fingerabdrücke übrig, sonder auch bei jeden normalen anderen Handy auch. Ein Display macht man wahrscheinlich noch häufiger sauber also eine Handytastatur. Teilweise sind Knöpfe bei Handys auch so abgenutzt, das man auch ohne Fettschicht erkennen kann, welche Knöpfe besonders häufig gedrückt werden.

Selbst wenn man jetzt herausfinden sollte, welche 4 Ziffern zu einem Passwort gehören, dann muss man diese 4 Ziffern erstmal in die richtige Reihenfolge bringen. Bei 4 Ziffern sind das immerhin an die 9999 verschiedene Möglichkeiten. Die Aussage, man könne das Passwort recht schnell und sicher erraten und das in 90 Prozent der Fälle, ist absoluter Schwachsinn.

Ein weitere Punkt wäre die Häufigkeit der Nutzung bestimmter Tasten. Wie oft gibt man schon ein Passwort bzw. Pin über sein Smartphone ein? Ich will daher einfach mal behaupten, dass ich jede andere Taste mindestens 100 Mal häufiger drücke als die Zahlenkombination auf meinem Smartphone.

Fazit, meine Studie hat ergeben, dass die Forscher an der Universität in Pennsylvania dazu geneigt sind leichtfertige Behauptungen aufzustellen.

@Caain, einfach mal richtig durchlesen, es ging in der Studie nur um die grafische Oberfläche, die Tastatur wurde völlig außer acht gelassen. Außerdem wurden nur Smartphones betrachtet. Daher sind Vergleiche mit anderen Handys gar nicht vorgesehen. Dass da auch Fettschichten bleiben ist klar, hat mit dem Ergebnis aber nichts zu tun.

Ich hoffe, Du hast schon mal etwas von grafischer Oberfläche gehört. Da wird nämlich kein PIN eingegeben, sondern eine geometrische Figur statt Passwort auf dem Screen gezeichnet. Und das kann kein Handy ohne Touchscreen.

@SuperGrobi: Natürlich könnte ich mir auch ein Szenario mit Zeichen vorstellen, wenn jedes Zeichen eine eigene Taste hat. Es gibt in jeder Sprache Buchstaben, die häufiger verwendet werden und solche die eher selten benutzt werden. Das ist kein akademischer Quatsch, sondern einfache Statistik, die man selbst auch ermitteln könnte. Wem das zu viel ist, der findet hier eine Übersicht der Häufigkeit bestimmter Buchstaben ausgewählter Sprachen. Wenn man nun annimmt, dass ein Passwort mit Sicherheit auch Zeichen enthält, deren Buchstabenhäufigkeit in der jeweils mit dem Handy verwendeten Sprache gering ist, dann kann man schon aus der Häufigkeit der am Handy verwendeten Tasten auf die im Passwort vorkommenden Zeichen schließen, der Rest ist ein Brute-Force-Angriff. Ist zwar weit hergeholt, aber das wäre für mich ein denkbarer Ansatz.

Irgendwie finde ich es offensichtlich, dass solche grafisch-geometrischen Passwörter auf Grund der Fingerabdrücke leichter zu knacken sind als man sich vielleicht im ersten Moment denkt. Als Smartphonebesitzer kann ich allerdings nur cain zustimmen, denn eigentlich wische mehrmals am Tag den Touchscreen meines Handys sauber. Kann man dann etwa immer noch die Fingerabdrücke erkennen? Ich glaube eher nicht.

Dennoch sollte man die Nutzer solcher grafischen Passwörter informieren, dass ihre Technik nicht sicher ist, deswegen ist die Studie nicht absolut zwecklos, dennoch empfinde ich es nicht als Pflicht von Wissenschaftlern, sondern als Pflicht des Herstellers des Handys, die Nutzer zu informieren.

Williams hat geschrieben:Kann man dann etwa immer noch die Fingerabdrücke erkennen? Ich glaube eher nicht.

JotJot hat geschrieben:@Caain, einfach mal richtig durchlesen, es ging in der Studie nur um die grafische Oberfläche, die Tastatur wurde völlig außer acht gelassen. Außerdem wurden nur Smartphones betrachtet. Daher sind Vergleiche mit anderen Handys gar nicht vorgesehen. Dass da auch Fettschichten bleiben ist klar, hat mit dem Ergebnis aber nichts zu tun.

Ich hoffe, Du hast schon mal etwas von grafischer Oberfläche gehört. Da wird nämlich kein PIN eingegeben, sondern eine geometrische Figur statt Passwort auf dem Screen gezeichnet. Und das kann kein Handy ohne Touchscreen.