iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 839 Artikel
   

Touch ID statt Online-Login: iOS 8 macht’s möglich

Artikel auf Mastodon teilen.
37 Kommentare 37

Der Hamburger Online-Service SecSign Technologies bietet schon seit geraumer Zeit sogenannte Zwei-Faktor-Benutzerauthentifizierungen für Unternehmen an und verspricht sensible Daten so mit einer zusätzlichen Barriere (Secsign-ID) vor unbefugten Zugriffen zu schützen.

sign

Seit Ausgabe der ersten Entwickler-Version von iOS 8 hat sich das SecSign-Team auch mit Apples Fingerabdruck-Scanner Touch ID auseinandergesetzt und stellt jetzt die erste erfolgreiche Implementierung der Zwei-Faktor-Authentifizierung über das Touch ID-Modul im iPhone 5s vor.

Ein Login ohne Passwort also. Das folgende Video demonstriert den Einsatz der neuen Programmier-Schnittstellen von iOS 8:

(Direkt-Link)

SecSign-Chef Falk Goossens erklärt das Pinzip der iPhone-gestützten Zugriffssperre gegenüber ifun.de:

Wir haben in unsere SecSign ID, einer Zwei-Faktor-Authentifizierung der nächsten Generation, Apples Touch ID integriert. […] Hiermit kann nun jeder Webseitenbetreiber es seinen Besuchern ermöglichen, sich mittels Fingerprint auf seiner Seite anzumelden. Dafür muss sich der Nutzer nicht einmal ein Passwort oder eine zusätzliche PIN merken!

Was das Login so besonders macht, ist die einfache und schnelle Handhabung für den Benutzer, während im Hintergrund eine Authentifizierung stattfindet, die auf eine extrem starke, patentierte Kryptographie setzt. Bei der Authentifizierung kommt dasselbe Grundprinzip zum Tragen wie bei einer Abhebung mit EC-Karte am Geldautomaten.

Interessierte Entwickler können auf touchid.secsign.com am Beta-Programm des Zugriffs-Schutzes teilnehmen.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
30. Jul 2014 um 14:38 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    37 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    • Ein sehr wichtiger Punkt ist, dass die Sicherheit der SecSign ID Authentifizierung nicht von der Touch ID abhängt. Diese wird in dem gesamten Verfahren nur zum Schutz der SecSign ID vor physischem unberechtigten Zugriff verwendet.

      Die nächste Version der SecSign ID, die nach der Veröffentlichung von Apple iOS 8 zum freien Download verfügbar sein wird, ermöglicht es dem Nutzer, je nach Wunsch seine ID auf verschiedene Art und Weise vor unautorisiertem Zugriff zu schützen.

      Mögliche Varianten für den Zugriffsschutz:

      1. Eine selbst gewählte PIN, die – von uns mit dem patentierten SafeKey-Verfahren verschlüsselt – vor Brute-Force-Angriffen geschützt wird.
      Ist bereits jetzt im AppStore verfügbar https://itunes.apple.com/app/secsign/id581467871

      2. Apples Fingerprint oder Passcode

      3. PIN plus Fingerprint (höchster Sicherheitslevel)

      4. Kein Zugriffsschutz

      Ganz wichtig: Selbstverständlich wird keiner der oben genannten Datensätze an unseren Server geschickt!
      Weder PIN noch Fingerabdruck werden jemals von uns übertragen.

      Die SecSign ID selbst geht sogar noch weiter als die Touch ID, denn mithilfe der SecSign ID werden Passwörter einfach überflüssig!
      Wie genau die Benutzerauthentifizierung mit 2048-Bit Schlüsselpaaren abläuft, könnt ihr euch hier anschauen:
      https://www.secsign.com/de/zwei-faktor-authentifizierung/

  • Und die Firmen Speicher dann alle meinen Fingerabdruck für den Login auf ihren Servern? Oder geht das dann über die Autorisierung mit Apple?

  • Ne tun die nicht .
    Apple gibt nur ein ja/nein an 3 Anwendungen raus.

  • Es wird ausserdem nicht der Fingerabdruck gespeichert (im iPhone) sondern nur ein mathematischer Ausruck. Den kann aber niemand irgendo hinkleben um damit vorzutäuschen, dass du dagewesen seiest … weil es eben kein Fingerabdruck ist.

    • MemoAnMichSelbst

      Wichtiger ist… Anhand des mathematischen Ausdrucks, kann der Abdruck auch nicht generiert werden. Es ist quasi ne Art Hash.

    • Mit diesem mathematischen Ausdruck kann man sehr wohl genau das machen von dem du hier klar sagst, dass es nicht geht.
      Ich seh schon die ersten Schlagzeilen…

      • MemoAnMichSelbst

        @Desotou also entweder hast du ganz spezielle Informationen oder du redest von etwas, wovon du nichts verstehst. Beweise uns doch bitte anhand deiner Quellen, wieso du denkst, dass es möglich ist.

      • Er hat recht. Jeder Chip hat eine individuelle Verschlüsselungs Algorithmus dieser den „Hash“ erstellt. Also rein theoretisch ist es eher unwahrscheinlich den Fingerabruck visuell wiederherzustellen.
        Falls es nicht verstanden wird informiert euch. Und zwar nicht auf dem 1 besten Suchergebniss…

      • Desotuo erzählt hier einfach irgendwas, was nicht stimmt. Es ist einer Gruppe gelungen, einen Fingerabdruck zu kopieren, und ihn auf den Scanner zu legen, der diesen dann als Richtigen identifiziert hat. Darüber hat’s nen riesen Aufstand gegeben, aber es ist noch keinem gelungen, den Fingerabdruck aus dem system zu „gewinnen“.

  • MemoAnMichSelbst

    @Desotou also entweder hast du ganz spezielle Informationen oder du redest von etwas, wovon du nichts verstehst. Beweise uns doch bitte anhand deiner Quellen, wieso du denkst, dass es möglich ist.

  • Wenn es wirklich um kryptographische Hash-Funktionen o.ä. handelt, dann sind die sehr wohl angreifbar… die Sicherheit wird sich zeigen, genauso wie es bei den smsTan o.ä. Verfahren der Fall war.
    Ich brauch hier nix zu beweisen, dein eigener Menschenverstand und deine damit verbundene Risikoeinschätzung wird dir Erleuchtung genug sein müssen, aber manchmal muss auch erst was passieren bevor man es sieht. Das ist dann nur meistens zu spät.

  • Finde ich nicht gut,…

    Leider werde ich ich es wohl mitunterstützen, denn Andoid ist für mich ein: NO GO!!!

  • Lustig wie hier alle auf Bestens informierte Informatiker tun. Es gibt natürlich nichts was nicht irgendwie mal gehackt werden kann, aber dann ist unser gesamtes Geld ja auch nicht mehr sicher, lauft und hebt schnell alles ab, nur auf Nummer sicher;)
    Es ist noch niemandem gelungen, den Fingerabdruck herauszulesen, aber wenn hier alle so schön bescheinigen, wie einfach es ist, dann zeigt mal her!
    Grosses Gelaber und nix dahinter.

  • Ich verstehe nicht wieso das eine Zwei-Faktor Authentifizierung ist: wo ist die Schwierigkeit für ein Programm, sich als iPhone auszugeben und zu behaupten, der Fingerabdruck wäre eben überprüft worden?
    Wie kann die Webseite sicher sein, dass der Fingerabdruck tatsächlich gelesen wurde?

    • Hallo Hobbes,

      hier einmal der Versuch einer Erläuterung, ohne sich allzu sehr in technischen Details zu verlieren.

      „Ich verstehe nicht wieso das eine Zwei-Faktor Authentifizierung ist: wo ist die Schwierigkeit für ein Programm, sich als iPhone auszugeben und zu behaupten, der Fingerabdruck wäre eben überprüft worden?“

      Das ist nicht möglich, da das iPhone, das sich als Dein iPhone ausgeben soll, Deinen privaten 2048-Bit Schlüssel haben müsste.

      Die Authentifizierung durch die SecSign ID beruht auf drei wesentlichen Elementen:

      1. Deinem privaten 2048-Bit Schlüssel (verschlüsselt und gesichert auf deinem iPhone)
      2. Deinem öffentlichen 2048-Bit Schlüssel (gesichert auf dem SecSign ID Trust Center Server)
      3. Dem Zugriffsschutz für Deinen privaten 2048-Bit Schlüssel

      Du selbst kannst bestimmen, wie der Zugriffsschutz für Deinen privaten Schlüssel aussehen soll.
      Wir bieten dem Nutzer die folgenden unterschiedlichen Schutzoptionen (Rangliste nach Sicherheitsstufe der jeweiligen Option):

      – Selbstgewählte PIN + Fingerprint (die sicherste Variante. Hier könnte man sogar von einer Drei-Faktor-Authentifizierung sprechen)
      – Selbstgewählte PIN
      – Fingerprint
      – „Kein“ Zugriffsschutz

      Der Fingerabdruck fungiert bei der SecSign ID also lediglich als Zugriffsschutz für Deinen verschlüsselten privaten 2048-Bit Schlüssel , der sich auf Deinem Smartphone befindet.
      Mithilfe dieses Schlüssels weist Du gegenüber dem SecSign ID Trust Center Server nach, dass Du im Besitz des Smartphones und autorisiert bist, Dich bei der Website anzumelden.

      Einzelheiten über den Ablauf findest Du unter
      https://www.secsign.com/de/zwei-faktor-authentifizierung/

      „Wie kann die Webseite sicher sein, dass der Fingerabdruck tatsächlich gelesen wurde?“

      Die Website bekommt vom SecSign ID Trust Center Server eine Mitteilung, wenn der Nutzer eindeutig authentifiziert wurde. Das geht nur, wenn der Nutzer mit seinem Fingerabdruck bestätigt hat, dass er Zugriff auf seinen privaten Schlüssel hat.

      Konnte ich Deine Fragen damit beantworten?

    Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38839 Artikel in den vergangenen 6322 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven