Touch ID statt Online-Login: iOS 8 macht’s möglich
Der Hamburger Online-Service SecSign Technologies bietet schon seit geraumer Zeit sogenannte Zwei-Faktor-Benutzerauthentifizierungen für Unternehmen an und verspricht sensible Daten so mit einer zusätzlichen Barriere (Secsign-ID) vor unbefugten Zugriffen zu schützen.
Seit Ausgabe der ersten Entwickler-Version von iOS 8 hat sich das SecSign-Team auch mit Apples Fingerabdruck-Scanner Touch ID auseinandergesetzt und stellt jetzt die erste erfolgreiche Implementierung der Zwei-Faktor-Authentifizierung über das Touch ID-Modul im iPhone 5s vor.
Ein Login ohne Passwort also. Das folgende Video demonstriert den Einsatz der neuen Programmier-Schnittstellen von iOS 8:
(Direkt-Link)SecSign-Chef Falk Goossens erklärt das Pinzip der iPhone-gestützten Zugriffssperre gegenüber ifun.de:
Wir haben in unsere SecSign ID, einer Zwei-Faktor-Authentifizierung der nächsten Generation, Apples Touch ID integriert. […] Hiermit kann nun jeder Webseitenbetreiber es seinen Besuchern ermöglichen, sich mittels Fingerprint auf seiner Seite anzumelden. Dafür muss sich der Nutzer nicht einmal ein Passwort oder eine zusätzliche PIN merken!
Was das Login so besonders macht, ist die einfache und schnelle Handhabung für den Benutzer, während im Hintergrund eine Authentifizierung stattfindet, die auf eine extrem starke, patentierte Kryptographie setzt. Bei der Authentifizierung kommt dasselbe Grundprinzip zum Tragen wie bei einer Abhebung mit EC-Karte am Geldautomaten.
Interessierte Entwickler können auf touchid.secsign.com am Beta-Programm des Zugriffs-Schutzes teilnehmen.
Coole Sache
Ein sehr wichtiger Punkt ist, dass die Sicherheit der SecSign ID Authentifizierung nicht von der Touch ID abhängt. Diese wird in dem gesamten Verfahren nur zum Schutz der SecSign ID vor physischem unberechtigten Zugriff verwendet.
Die nächste Version der SecSign ID, die nach der Veröffentlichung von Apple iOS 8 zum freien Download verfügbar sein wird, ermöglicht es dem Nutzer, je nach Wunsch seine ID auf verschiedene Art und Weise vor unautorisiertem Zugriff zu schützen.
Mögliche Varianten für den Zugriffsschutz:
1. Eine selbst gewählte PIN, die – von uns mit dem patentierten SafeKey-Verfahren verschlüsselt – vor Brute-Force-Angriffen geschützt wird.
Ist bereits jetzt im AppStore verfügbar https://itunes.apple.com/app/secsign/id581467871
2. Apples Fingerprint oder Passcode
3. PIN plus Fingerprint (höchster Sicherheitslevel)
4. Kein Zugriffsschutz
Ganz wichtig: Selbstverständlich wird keiner der oben genannten Datensätze an unseren Server geschickt!
Weder PIN noch Fingerabdruck werden jemals von uns übertragen.
Die SecSign ID selbst geht sogar noch weiter als die Touch ID, denn mithilfe der SecSign ID werden Passwörter einfach überflüssig!
Wie genau die Benutzerauthentifizierung mit 2048-Bit Schlüsselpaaren abläuft, könnt ihr euch hier anschauen:
https://www.secsign.com/de/zwei-faktor-authentifizierung/
Und die Firmen Speicher dann alle meinen Fingerabdruck für den Login auf ihren Servern? Oder geht das dann über die Autorisierung mit Apple?
speichern…
? Was erzählst du da?
Nein, die api gibt an die Seite ein
Fingerabdruck erfolgreich geprüft
Weiter.
Das okay erfolgt nur im Gerät selber.
Der Fingerabdruck wird nur auf dem Gerät gespeichert es wird immer nur eine Bestätigung rausgeschickt positiv oder negativ.
Wenn das wirklich nur das wäre, dann könnte man so eine Bestätigung sehr leicht fälschen.
Wäre interessant sowas mit WireShark zu testen, was er da wirklich mitteilt.
Das ist doch nur abstrakt dargestellt;). Natürlich wird das okay nicht einfach mit einem True weitergereicht, das wäre doch nun wirklich zu leicht;)
Ja das ist es was dem deutschem als erstes einfällt. Meine Daten werden irgendwo gespeichert …. Tss mach dich mal locker
Und seine Sorgen kannst du einfach mal so bewerten.. Wird du mal toleranter!
eiPhone? Toleranz gilt nicht nur in eine Richtung die einem dann vielleicht noch gefällt. Den Einwand von Marco kann ich nachvollziehen, das erste was uns einfällt sind Bedenken und selbst wenn die Zerstreut werden bleibt oft keine Neugier oder Begeisterung übrig.
Haha, ja. Und wahrscheinlich ist er bei Facebook und postet jeden Mist samt Foto und loggt sich an Orten ein. ;-)
Aber der Fingerabdruck macht ihm sorgen.
TouchID prüft dem Finger. Ist der Abdruck okay wird das Passwort aus der Datenbank geholt (iCloud Keychain) und an die Seite übermittelt. Falls er nicht übereinstimmt wird nichts übermittelt.
Ganz einfach.
Ne tun die nicht .
Apple gibt nur ein ja/nein an 3 Anwendungen raus.
Kann man die Ja/Nein Quittung nicht „simulieren“ und so der App glaubhaft machen der Fingerabdrucksensor hätte diese ausgegeben? Das wäre so mein bedenken was künftige Manipulationen angeht.
Genau das soll ja SecSign verhindern…
Es wird ausserdem nicht der Fingerabdruck gespeichert (im iPhone) sondern nur ein mathematischer Ausruck. Den kann aber niemand irgendo hinkleben um damit vorzutäuschen, dass du dagewesen seiest … weil es eben kein Fingerabdruck ist.
Wichtiger ist… Anhand des mathematischen Ausdrucks, kann der Abdruck auch nicht generiert werden. Es ist quasi ne Art Hash.
Mit diesem mathematischen Ausdruck kann man sehr wohl genau das machen von dem du hier klar sagst, dass es nicht geht.
Ich seh schon die ersten Schlagzeilen…
@Desotou also entweder hast du ganz spezielle Informationen oder du redest von etwas, wovon du nichts verstehst. Beweise uns doch bitte anhand deiner Quellen, wieso du denkst, dass es möglich ist.
Er hat recht. Jeder Chip hat eine individuelle Verschlüsselungs Algorithmus dieser den „Hash“ erstellt. Also rein theoretisch ist es eher unwahrscheinlich den Fingerabruck visuell wiederherzustellen.
Falls es nicht verstanden wird informiert euch. Und zwar nicht auf dem 1 besten Suchergebniss…
Desotuo erzählt hier einfach irgendwas, was nicht stimmt. Es ist einer Gruppe gelungen, einen Fingerabdruck zu kopieren, und ihn auf den Scanner zu legen, der diesen dann als Richtigen identifiziert hat. Darüber hat’s nen riesen Aufstand gegeben, aber es ist noch keinem gelungen, den Fingerabdruck aus dem system zu „gewinnen“.
@Desotou also entweder hast du ganz spezielle Informationen oder du redest von etwas, wovon du nichts verstehst. Beweise uns doch bitte anhand deiner Quellen, wieso du denkst, dass es möglich ist.
Wenn es wirklich um kryptographische Hash-Funktionen o.ä. handelt, dann sind die sehr wohl angreifbar… die Sicherheit wird sich zeigen, genauso wie es bei den smsTan o.ä. Verfahren der Fall war.
Ich brauch hier nix zu beweisen, dein eigener Menschenverstand und deine damit verbundene Risikoeinschätzung wird dir Erleuchtung genug sein müssen, aber manchmal muss auch erst was passieren bevor man es sieht. Das ist dann nur meistens zu spät.
Ja,… Sicher: was der Mensch erfunden hat, dass kann auch ein Mensch zerstören,… Aber deshalb haben wir ja ein geschlossenen iOS und nicht ein offenes Scheunentor.
Klar, kannst du diesen Fingerabdruck irgendwann irgendwie fälschen, auslesen oder was auch immer… Die Frage ist nur: mit welchem Aufwand es gemacht werden muss
Ist ein Argument.
dann bring mal schnell Deine Obstmesser zurück, du könntest dich damit schneiden oder ein andere sticht dich damit. No risk – no fun – no life.
Deswegen haben die wenigsten ein life….
iTouchSecure :D
Kann ich nur unterstreichen! Alleine schon ein Grund für einen Jailbreak. Funktioniert auf allen Websites und alles Apps!
Finde ich nicht gut,…
Leider werde ich ich es wohl mitunterstützen, denn Andoid ist für mich ein: NO GO!!!
Und wieso findest du’s nicht gut?
Lustig wie hier alle auf Bestens informierte Informatiker tun. Es gibt natürlich nichts was nicht irgendwie mal gehackt werden kann, aber dann ist unser gesamtes Geld ja auch nicht mehr sicher, lauft und hebt schnell alles ab, nur auf Nummer sicher;)
Es ist noch niemandem gelungen, den Fingerabdruck herauszulesen, aber wenn hier alle so schön bescheinigen, wie einfach es ist, dann zeigt mal her!
Grosses Gelaber und nix dahinter.
Ich verstehe nicht wieso das eine Zwei-Faktor Authentifizierung ist: wo ist die Schwierigkeit für ein Programm, sich als iPhone auszugeben und zu behaupten, der Fingerabdruck wäre eben überprüft worden?
Wie kann die Webseite sicher sein, dass der Fingerabdruck tatsächlich gelesen wurde?
Hallo Hobbes,
hier einmal der Versuch einer Erläuterung, ohne sich allzu sehr in technischen Details zu verlieren.
„Ich verstehe nicht wieso das eine Zwei-Faktor Authentifizierung ist: wo ist die Schwierigkeit für ein Programm, sich als iPhone auszugeben und zu behaupten, der Fingerabdruck wäre eben überprüft worden?“
Das ist nicht möglich, da das iPhone, das sich als Dein iPhone ausgeben soll, Deinen privaten 2048-Bit Schlüssel haben müsste.
Die Authentifizierung durch die SecSign ID beruht auf drei wesentlichen Elementen:
1. Deinem privaten 2048-Bit Schlüssel (verschlüsselt und gesichert auf deinem iPhone)
2. Deinem öffentlichen 2048-Bit Schlüssel (gesichert auf dem SecSign ID Trust Center Server)
3. Dem Zugriffsschutz für Deinen privaten 2048-Bit Schlüssel
Du selbst kannst bestimmen, wie der Zugriffsschutz für Deinen privaten Schlüssel aussehen soll.
Wir bieten dem Nutzer die folgenden unterschiedlichen Schutzoptionen (Rangliste nach Sicherheitsstufe der jeweiligen Option):
– Selbstgewählte PIN + Fingerprint (die sicherste Variante. Hier könnte man sogar von einer Drei-Faktor-Authentifizierung sprechen)
– Selbstgewählte PIN
– Fingerprint
– „Kein“ Zugriffsschutz
Der Fingerabdruck fungiert bei der SecSign ID also lediglich als Zugriffsschutz für Deinen verschlüsselten privaten 2048-Bit Schlüssel , der sich auf Deinem Smartphone befindet.
Mithilfe dieses Schlüssels weist Du gegenüber dem SecSign ID Trust Center Server nach, dass Du im Besitz des Smartphones und autorisiert bist, Dich bei der Website anzumelden.
Einzelheiten über den Ablauf findest Du unter
https://www.secsign.com/de/zwei-faktor-authentifizierung/
„Wie kann die Webseite sicher sein, dass der Fingerabdruck tatsächlich gelesen wurde?“
Die Website bekommt vom SecSign ID Trust Center Server eine Mitteilung, wenn der Nutzer eindeutig authentifiziert wurde. Das geht nur, wenn der Nutzer mit seinem Fingerabdruck bestätigt hat, dass er Zugriff auf seinen privaten Schlüssel hat.
Konnte ich Deine Fragen damit beantworten?