Im Gegensatz zu Passwörtern haben biometrische Authentifizierungsmethoden wie Fingerabdrucksensoren, Gesichts- und Retina-Scanner einen Nachteil: Während es bei einem Passwort nur richtig oder falsch gibt, müssen die Scanner dem Nutzer einen kleinen Spielraum geben. Schließlich kann sich beim Fingerabdruckscanner schnell durch einen anderen Aufsetzwinkel des Fingers oder durch ein stärkeres Aufdrücken der Abdruck minimal verändern. Auch die Gesichtserkennung folgt diesem Prinzip, damit nicht etwa eine Hautunreinheit oder eine Wunde dafür sorgt, dass das Gerät nicht mehr entsperrt werden kann.
Ein Team von Forschern der New York University und der University of Michigan hat sich diesen Spielraum zunutze gemacht und ein neuronales Netz mit Unmengen an echten Fingerabdrücken gefüttert, wie unter anderem Android Police berichtet. Am Ende war diese Künstliche Intelligenz in der Lage, synthetische Fingerabdrücke zu erstellen, die einen Mittelwert aus den bisherigen Abdrücken bildeten. Mit diesen sogenannten Deep Master Prints, einer Art biometrischem Generalschlüssel, konnten die Forscher im Anschluss Fingerabdrucksensoren überlisten und sich verifizieren.
Schlechte Scanner in 77 Prozent aller Fälle geknackt
Die Erfolgrate war dabei teilweise erstaunlich hoch, abhängig davon, wie viel Abweichungsspielraum ein Sensor zuließ. So führten die Deep Master Prints bei einem großzügig eingestellten Scanner, der ein Prozent falscher Authentifizierungen akzeptierte, in 77 Prozent aller Fälle zum Erfolg. Auch akkuratere Scanner, die nur 0,1 Prozent an Falschanmeldungen durchließen, gestatteten in 22 Prozent der Fälle den gefälschten Fingerabdrücken den Zugang. Bei besonders streng eingestellten Scannern, die in lediglich 0,01 Prozent aller Fälle einen ungültigen Fingerabdruck als legitim einstuften, wurden Deep Master Prints noch beim einem Prozent aller Login-Versuche als korrekt eingestuft.
Laut den Forschern sei dies allerdings kein Indiz, dass biometrische Authentifizierungsmethoden nicht sicher sind. Stattdessen sollte dies eher als ein Anreiz gesehen werden, auch diese Verifizierungsmethoden weiter zu optimieren. Ein massenhafter Einsatz dieser Technik in der Praxis dürfte allerdings recht unwahrscheinlich sein, weil ein Angreifer dafür physischen Zugriff auf ein Smartphone erlangen müsste. Eine weitaus größere Schwachstelle bei Logins sind nach wie vor schlechte und häufig verwendete Passwörter.
