Microsoft Fingerprint Reader

Wenn es um starke Authentifizierung geht, spielen neben Smartcards auch noch biometrische Verfahren eine Rolle. Mit dem Fingerprint Reader stellt Microsoft eine Lösung zur Verfügung, die allerdings derzeit noch nicht ausreicht, um wirklich zu einer Verbesserung der Sicherheit beizutragen.

Microsoft selbst hat in Dokumenten zu Windows Vista verlauten lassen, dass die bevorzugte Form der Authentifizierung künftig digitale Zertifikate sind, die auf einer Smartcard gespeichert werden. Der Zugriff auf die Smartcard setzt bei den gängigen Verfahren eine PIN voraus. Diese ist alssolche zwar nicht besonders stark, in der Kombination von Wissen (PIN) und Haben (Smartcard) hat man aber zwei erforderliche Faktoren für die Authentifizierung und damit eine grundsätzlich höhere Sicherheit als bei Verwendung nur von Kennwörtern.

Daneben hat Microsoft aber auch verschiedene Produkte im Portfolio, mit denen eine Authentifizierung über den Fingerabdruck erfolgen kann. Neben Microsoft gibt es unzählige weitere Anbieter von biometrischen Lösungen, von denen manche auch Produkte haben, die auch in sehr großen Netzwerken gut funktionieren.

Aus Sicht von Administratoren insbesondere kleinerer Netzwerke stellt sich aber die Frage, wie man eine relativ einfache und dennoch sichere Lösung zustande bekommt. Denn Smartcards haben den Nachteil, dass der Aufbau und das Management der erforderlichen Infrastruktur ausgesprochen komplex sind. Deshalb stellt sich auch die Frage, ob Smartcards überhaupt als Standardmechanismus für die Authentifizierung geeignet sind, wenn man die Masse der Netzwerke betrachtet und sich nicht ausschließlich auf mittlere und große Netzwerke fokussiert, bei denen eine solche Infrastruktur aufgebaut und verwaltet werden kann.

Ein Ansatz könnten Fingerabdruckleser sein, bei denen die biometrischen Informationen für die Authentifizierung genutzt werden. Hier lässt sich zwar eine psychologische Hemmschwelle beobachten, aber inzwischen gewinnen solche Verfahren doch zunehmend an Akzeptanz.

Der von Microsoft relativ günstig – im Bereich von 40 Euro – angebotene Fingerabdruckleser könnte eine solche Lösung sein, ebenso wie die direkt in die Tastatur integrierten Varianten. Leider hat die Lösung aber einen gravierenden Haken: Man kann sich nicht an Domänen authentifizieren. Stattdessen muss man sich weiterhin mit Benutzername und Kennwort am System anmelden. Nur bei Nutzung von Windows ohne Domänen kann man schnell zwischen den verschiedenen definierten Benutzern auf einem Rechner wechseln.

Bild 1: Die Schnittstelle für die Registrierung von Fingerabdrücken.
Bild 1: Die Schnittstelle für die Registrierung von Fingerabdrücken.

Die Funktion beschränkt sich im Wesentlichen darauf, dass man die Authentifizierung beispielsweise an Websites darüber automatisieren kann. Das geht aber genauso gut mit den Standardfunktionen des Internet Explorer, ohne dass man zusätzliche Hardware oder eine ergänzende Anwendung benutzen muss. Immerhin kann der Fingerabdruckleser auch für Websites beispielsweise beim Online-Banking genutzt werden, für die im Internet Explorer keine Kennwörter gespeichert werden können.

Das Fazit ist, dass hier eine Technologie angeboten wird, die im Grundsatz sinnvoll ist. Die Erkennung von Fingerabdrücken funktionierte im Test sehr zuverlässig, was für eine allgemeine Akzeptanz eine wesentliche Voraussetzung ist. Zudem kann man den oder die Finger, die verwendet werden sollen, frei konfigurieren.

Das Problem ist aber, dass derzeit nur mehr Bequemlichkeit in wenigen Anwendungsbereichen, nicht aber mehr Sicherheit erreicht wird. Die Zielsetzung muss aber sein, dass man mit einer solchen Lösung ein höheres Maß an Sicherheit bei gleichzeitig größerer Benutzerfreundlichkeit erzielt. Anwender müssen das Verfahren einfach nutzen können, um sich an Websites zu registrieren.

Das würde allerdings voraussetzen, dass man eine Infrastruktur hat, bei der die biometrischen Informationen gelesen und mit zentral gespeicherten Informationen verglichen werden können. Eine solche Infrastruktur wird es aber erst bei Windows Longhorn und Windows Vista geben. Dort wurde die GINA (Graphical Interactive Network Authentication) abgeschafft und durch einen Credential Service Provider ersetzt, der austauschbar ist. Außerdem lassen sich mehrere Credential Service Provider miteinander kombinieren. Das Ergebnis ist eine direkte Unterstützung beispielsweise für die Biometrie, da die entsprechenden Komponenten auf Client und Server zusammenarbeiten können.

Microsoft wird also, auch wenn Smartcards zunächst der bevorzugte Mechanismus für eine sichere und (zumindest aus Benutzersicht) einfache Authentifizierung sein wird, auch den Einsatz biometrischer Verfahren vereinfachen.

Insofern ist ein Werkzeug wie der aktuelle Fingerabdruckleser von Microsoft vielleicht auch einfach ein Schritt, um konkrete Erfahrungen mit dieser Technologie zu sammeln. Es spricht einiges dafür, dass in wenigen Jahren solche Verfahren sowohl günstiger als auch einfacher einsetzbar sind.