Android: Handballen anstatt Fingerabdruck zum Entsperren

Im Kuketz-Forum hat ein Teilnehmer einen tollen Tipp gepostet:

Für den Fingerabdruck Scanner braucht ihr nicht unbedingt den Fingerabdruck nutzen.
Schaut euch mal die Handinnenseite genauer an, insbesondere den Bereich des Handballens über dem Handgelenk. Der Bereich hat den Vorteil, dass ich die Handschuhe beim Biken ganz leicht etwas hochstreifen kann, um den Sensor drauf zu legen. Und ja, es gibt auch dort genug Varianten.

Was ist der Vorteil dieser Variante? Ein »Angreifer« wird immer zuerst eure Finger durchprobieren – mit dieser Variante könnt ihr ihn verwirren oder sogar eine Entsperrung verhindern.

Persönlich halte ich eine mindestens 8-stellige PIN allerdings für »sicherer«, auch wenn ein Fingerabdruck ein Gerät »ausreichend« vor 0815-Dieben schützen mag.

Dazu noch folgende Ergänzung aus diesem Beitrag:

Der Sinn und insbesondere die Sicherheit der Geräteverschlüsselung steht und fällt mit der Qualität des verwendeten Passworts / PINs. Dieses insbesondere deshalb, weil Google noch immer keinen (softwareseitigen) Brute-Force-Schutz integriert hat, der das Gerät bspw. nach der dritten Fehleingabe einfach herunterfährt. Wir müssen uns daher vor Augen führen, dass unsere (mindestens) achtstellige PIN die Hürde darstellt, die ein Angreifer (bei einem eingeschalteten Gerät) überwinden muss. Im schlechtesten Fall benötigt ein Angreifer, der die PIN mittels Brute-Force-Angriff »erraten« möchte mindestens 100.000.000 Versuche. Im Mittel also um die 50.000.000 Versuche. Berücksichtigen wir die 30-Sekunden Verzögerung nach 5 Fehlversuchen, so ergibt sich im Mittel der folgende Zeitaufwand: 50000000 / 5 = 10000000 Timeouts * 30 Sekunden = 300000000 Sekunden:

  • Minuten: 5000000
  • Stunden: 83333.33333
  • Tage: 3472.222222222222
  • Wochen: 496.03175
  • Jahre: 9.51294

Bei einem PIN mit 6 Stellen bräuchte ein Angreifer im Mittel hingegen nur 34 Tage, bei einer vierstelligen PIN gut 8 Stunden. Rein rechnerisch betrachtet stellt die Verwendung einer achtstelligen PIN auch einen versierten Angreifer vor ein Problem – außer natürlich, er kann sich eine Schwachstelle zu Nutze machen und den Vorgang beschleunigen. Unsere Überlegung klammert Geheimdienste und andere Organe mit entsprechenden finanziellen Mitteln und Manpower natürlich aus. Es wäre utopisch zu glauben, dass ein achtstelliger PIN jeden Angreifer aufhalten würde – dem ist nicht so.

Du kannst den Blog aktiv unterstützen! Mitmachen ➡