Handy sicher entsperren: die besten Methoden für sichere Display-Sperre und zuverlässigen Zugriffsschutz beim Smartphone (48)

  • Home >>
  • podcast >>
  • Handy sicher entsperren: die besten Methoden für sichere Display-Sperre und zuverlässigen Zugriffsschutz beim Smartphone (48)

Heute geht es um das Thema wie du deinen Bildschirm/Display sicher entsperren kannst, also den Zugriffsschutz für dein Handy.

Denn warum ist es wichtig, dass dein Handy vor fremdem Zugriff geschützt ist? Wir haben in Folge 47, in der letzten Folge, schon darüber gesprochen, dass das Handy als wirklich Begleiter im Alltag viele interessante, wichtige, aber wenn missbraucht, auch gefährliche Informationen über dich sammelt.

Da ist es natürlich ganz elementar diese Informationen gegen fremden Zugriff abzusichern. Eine der elementarsten Varianten der Absicherung ist natürlich, dass jemand, der dein Handy in die Hände bekommt, sei es jetzt, weil du es irgendwo liegenlässt, sei es, weil es dir geklaut wird, nicht direkt darauf zugreifen kann auf die Daten.

Wir schauen uns jetzt im Folgenden mal die verschiedenen Verfahren an, wie du dein Handy sperren kannst. Wir wollen uns angucken, was ist daran gut, was ist schlecht, was sind die Gefahren? Und natürlich kriegst du am Ende auch wieder ganz konkrete Tipps, wie du dein Handy vor fremdem Zugriff schützen kannst.

Wenn wir uns die verschiedenen Verfahren anschauen, die es gibt, dann unterscheiden wir da im Wesentlichen drei große Gebiete:

  • Das eine sind, ganz klar, die biometrischen Verfahren Gesicht, Fingerabdruck, Iris
  • Dann gibt es das Thema Muster malen
  • und PIN beziehungsweise Passwort

Und die drei Bereiche schauen wir uns jetzt mal nacheinander an.

Subscribe on Android

Biometrische Daten – wie sicher ist das Handy-Entsperren mit Fingerabdruck, Gesichtserkennung & Co?

Bei dem biometrischen Verfahren, wie schon gesagt, Fingerabdruck, Iris oder Gesichtserkennung, da gibt es mit Folge 26 durchaus auch schon mal ein bisschen was an Informationen zu, wo ihr das Ganze nachhören könnt.

Aber im Wesentlichen ist die große Gefahr von biometrischen Daten, dass solche Daten gestohlen und dann nachgemacht werden können, dass also dieses biometrische Verfahren nicht sicher sind.

Da gibt es im Wesentlichen zwei Möglichkeiten:

  1. Entweder werden eure Informationen tatsächlich gestohlen und dann wird irgendwie so ein Fake-Fingerabdruck, Fake-Iris, Fake-Gesicht erzeugt, um das auf Basis der Informationen von euren biometrischen Daten nachzumachen.
  2. Und dann gibt es zum Beispiel die Möglichkeit, Gesichtserkennung, das funktioniert heutzutage vielleicht nicht mehr so gut, aber auf Basis eines Fotos nachzumachen.
    Unvergessen ist da die Gesichtserkennung von einem Smartphone, wo Starbug(?) vom Chaos Computer Club entsprechend gezeigt hat, dass es mit normalem, ausgedrucktem Foto nicht ging. In dem Moment, wo man zwei billige Kontaktlinsen dahingeklebt hat, wo die Augen waren, hat das Ding gedacht: Oh sauber, das ist tatsächlich ein echtes Gesicht und nicht nur ein Foto und es funktionierte.
    Aber auch Fingerabdrücke, diese Informationen liegen im Prinzip überall rum, wo ihr euch bewegt. Und selbst von hochauflösenden Fotos kann man den Fingerabdruck nehmen und Gesicht natürlich sowieso und Iris entsprechend auch.

Aber es gibt auch die Möglichkeit, dass so eine Art Generalschlüssel aus den biometrischen Daten gemacht werden von vielen Leuten und damit dann Handys zum Beispiel entsperrt werden können.

Ein anderer Nachteil ist ganz klar, bei einem Überfall oder aber auch an der Grenze oder ganz generell bei irgendwelchen Staatsgewalten ist es halt leichter, dass ihr vielleicht zufällig mal mit dem Finger auf den Fingerabdrucksensor „stolpert“, um euer Handy zu entsperren freiwillig, als dass ihr freiwillig euer Passwort oder eure PIN herausgebt.

Wie gesagt, ihr findet in Folge 26 mehr über Biometrie, aber ganz wichtig ist dieses Verständnis: Nur weil ein Fingerabdruck einzigartig ist, heißt das noch lange nicht, dass Biometrie auf Basis eines Fingerabdrucks bedeutet, dass nur ihr Zugriff habt!

Das sind komplett unterschiedliche Baustellen, da gehen Fehler bei dieser Erkennung und die ganzen Effizienzen mit ein. Also nur, weil das eine eindeutig ist, heißt das noch lange nicht, dass der Zugriffschutz perfekt ist.

Und ganz klar, wichtigste Regel bei dem Thema: Wenn die Daten einmal weg sind, dann sind sie für immer weg. Einen neuen Fingerabdruck, eine neue Iris, ein neues Gesicht, schwierige Baustelle.

Handy mit Muster entsperren (auf Android-Smartphones) – doch nicht sicherer als PIN und Passwort?

Dann vor allen Dingen bei Android-Telefonen ganz beliebt: Muster malen, um sich ins Telefon einzuloggen. Ist eine schnelle und einfache Geschichte, geht locker von der Hand oder vom Daumen und ist theoretisch auch nicht schlecht, weil mit genug Knoten in diesem Muster kann man auch eine relativ hohe Zufälligkeit hinkriegen. Problem ist halt: theoretisch.

Praktisch gibt es die Studie, die zeigt, dass 25 Prozent aller Telefone mit nur 15 Standardmustern zu öffnen sind. Also 15 Standardmuster wie Z wie L, also das, was man ganz gerne mal macht, reichen aus, um ein Viertel aller Telefone zu öffnen.

Diese Studie zeigt auch, dass 43 der Benutzer bei ihrem Muster in der linken oberen Ecke anfangen. Jetzt kannst du dir überlegen, gehörst du zu den 43 Prozent oder zu den 57 Prozent?

Ebenfalls eine nette Studie, die zeigt, diese Fettspuren auf dem Handy zeigen sehr schön, wo du entlangwischst, um dein Handy zu entsperren. Übrigens auch, wenn du dein Handy nicht perfekt geputzt hast, aber geputzt hast.

So ein Muster hat dann auch noch den Nachteil, das kann man sich schön merken, wenn man jemandem über die Schulter guckt, von Kameraaufzeichnungen, die natürlich auch gegen PINs und Passwörter helfen und Wärmebilder, die noch nach 30 Sekunden zeigen, welche Tasten du berührt hast oder welche Bewegungen du gemacht hast, wollen wir da gar nicht reden. Mehr zu den Fallstricken von Entsperrmustern kannst du hier lesen.

Also Muster malen, im Prinzip eine gute Idee, muss man dann entsprechend richtig umsetzen: Ausreichend komplexe und einmalige Muster mit mindestens 4 Knoten, keine Standard-Muster wie Z oder L.

Handy mit PIN / Passwort entsperren – die bewährte Methode

Richtig machen ist auch das Stichwort bei PIN beziehungsweise bei dem Passwort. In Folge 11 habe ich über sichere Passwörter schon mal geredet, da kannst du dir anhören, was an Regeln für ein sicheres Passwort im Internet gilt.

Wir müssen allerdings ein bisschen im Auge behalten, es gibt unterschiedliche Angriffsszenarien auf dein Handy beziehungsweise auf dein Passwort im Internet.

Wenn ich bei diesen normalen Passwörtern im Internet, wenn ich darüber rede, dann geht es meistens darum, dass bei so einem Anbieter wie, wir nehmen mal wieder unser Lieblingsbeispiel Yahoo, eine Datenbank mit 3 Milliarden Benutzerkennungen und Passwörtern geklaut wird, diese Passwörter sind zwar verschlüsselt, aber einmal die Datenbank geklaut, kann der Angreifer ganz in Ruhe und gemütlich, entweder selber oder mit vielen, vielen Kollegen, mit vielen großen Computern, vielen Grafikkarten versuchen diese Passwörter zu knacken. Und wenn sie einmal geknackt sind, kann man sie wiederverwenden.

Beim Handy wird nicht wirklich diese Datenbank geknackt oder geklaut, sondern du musst im Prinzip, wenn das Handy gestohlen worden ist, muss man es ausprobieren, muss man gucken, dass man die Codes entweder manuell eintippt beziehungsweise lässt man das natürlich dann schon über die Schnittstelle machen, aber trotzdem landet man da nicht bei hunderten von Millionen von Kombinationen pro Sekunde, die durchprobiert werden (müssen). Und zudem ist diese automatische Sperre da.

Natürlich gibt es auch immer Hacks am Handy, dass man sich da einloggen kann, ohne das Passwort zu wissen, aber grundsätzlich, wenn man davon ausgeht, dass das einfach eine Hürde ist, dass man über diesen Standardweg des Passworteingebens da rein muss, dann erklärt das, warum man bei Datenbanken beziehungsweise bei Zugängen im Netz, wo die Datenbank geklaut werden kann, warum man da ganz andere viel, viel größere Passwörter braucht, weil der Angreifer viel mehr Zeit, ganz in Ruhe offline das machen kann, das knacken, während beim Handy kurze Längen reichen.

Welche Passwortlänge für das Handy ist empfehlenswert?

Ganz klar, unter 6 Zeichen braucht man nicht anfangen, das ist Spielerei, dann kann man es ja auch fast sein lassen. Aber wenn man so in der Region ab 6 Zeichen aufwärts, 8 Zeichen, 10 Zeichen ist, dann ist das auf dem Handy super.

Im normalen Gebrauch im Internet für irgendwelche Dienste würde ich das im Leben als viel zu kurz halten.

In beiden Fällen gilt: nicht häufige Kombinationen, keine Wörterbücher, keine Muster.

Jetzt kannst du dir bei der PIN natürlich denken, je länger desto besser. Das ist im Prinzip auch richtig, problematisch ist natürlich, wenn man grad so kritische Längen erreicht, wo prima ein Geburtsdatum reinpasst oder sowas. Eine Nutzerstudie hat ergeben, dass in der Praxis 6-stellige Pins kaum mehr Sicherheit bringen als vierstellige.

Ganz klar, wenn ich euer Handy klaue und mit dem Handy vielleicht auch gleich den Rucksack mit der Brieftasche und das Ding fragt mich nach 6- oder 8-ziffriger PIN, dann ist vielleicht ein Blick in die Brieftasche, in das Portemonnaie, auf dem Personalausweis, aufs Geburtsdatum irgendwie ganz praktisch und das mal ausprobieren.

Wenn das eure PIN ist oder euer Passwort, ja gut, dann ist auch irgendwo egal. Aber ansonsten ist 8-ziffriges Passwort oder eine PIN ganz gut.

Was ist eigentlich der Unterschied zwischen PIN und Passwort? Was ist sicherer?

Ich sage immer PIN oder Passwort, weil man mittlerweile natürlich auch die Möglichkeit hat zwischen den beiden Sachen zu wählen. Natürlich ist eine PIN mit den Zahlen einfacher eingetippt, du hast aber natürlich bei einer Stelle von einer PIN nur 10 Möglichkeiten von 0 bis 9.

Wenn du ein Passwort nimmst, dann hast du allein mit Kleinbuchstaben, Großbuchstaben, Ziffern, dann bist du schon bei 62 Möglichkeiten pro Position anstatt 10.

Das heißt, du kommst auf ganz andere Zufälligkeiten oder ganz andere Anzahlen von Möglichkeiten, die es da gibt.

Aber auch da ist ganz wichtig: Du musst dieses Verfahren vernünftig einsetzen. PIN und Passwort sind super Verfahren und sind auch ganz klar die besten und sichersten Verfahren, aber nur, wenn du wie bei Passwörtern zufällige Zahlen verwendest beziehungsweise zufällige Zeichen verwendest und einmalig, also nicht überall denselben Account.

Welches Verfahren zum Handy-Entsperren ist am besten und sichersten?

Jetzt ist natürlich die Frage: Welches Verfahren ist am besten und was heißt jetzt am besten?

Am sichersten ein gutes Passwort ganz nach unseren Regeln:

  • zufällig
  • einmalig verwendet
  • und mindestens auch, ich sag mal so, die 8 bis 10 Zeichen in dem Fall hier lang, oder halt entsprechende PIN. Oder ein gutes Muster, ein gezeichnetes, mit 8, 9 Knoten. Auch das ist irgendwie sicher nicht schlecht.

Biometrie würde ich tendenziell als am Unsichersten betrachten, weil man einfach nicht weiß, welche Konsequenzen das Ganze haben kann und welche technischen Möglichkeiten es gibt, das zu überwinden.

Jetzt ist aber natürlich das Problem: Biometrie ist am praktischsten. Und ein 10 Zeichen kryptisches Passwort eintragen vermutlich am Unpraktischsten. Und ein komisches Muster sich merken und dann 9-mal hin und her wischen, naja, das liegt irgendwo so in der Mitte.

Deshalb ist jetzt die Frage: Wie gehen wir damit um, dass das beste Verfahren am Unpraktischsten und das schlechteste Verfahren am Praktischsten ist?

Damit kommen wir zu den Tipps.

Tipps

Denn ich weiß selber, es ist komplett illusorisch, wenn ich mich jetzt hier hinstelle und sage: Super, wir machen jetzt alle 10 Zeichen lange Passwörter, schalten Fingerabdruck, schalten Gesicht aus und alles an Sonderzeichen und sowas mit rein. Und viel Spaß, jedes Mal, wenn du irgendwie gucken willst, ob du auf Signal eine neue Nachricht gekriegt hast, fängst du an den Scheiß einzutippen, regst dich tierisch auf, brauchst alle 6 Wochen ein neues Telefon, weil du das alte von der Wand abkratzen kannst, bringt vermutlich herzerfrischend wenig.

  1. Biometrie zur Handy-Entsperren in Ordnung
    Ich kann mir schon vorstellen, wenn du dir der Gefahr bewusst, dann ist Biometrie fürs Handy entsperren, wenn du bei einem seriösen Anbieter bist, also von den Großen, ein Android-Telefon von Google, von Samsung, iOS-Telefon von Apple, würde ich tendenziell sagen, ist Biometrie für Entsperren der Telefone schon in Ordnung.
    Aber du musst dir darüber im Klaren sein, dass das unter Umständen angreifbar ist und vor allen Dingen, nimm dann Biometrie nicht auch noch für andere Sachen auf dem Handy als Schutz.
  2. Wenn du Biometrie zum Handy-Entsperren nimmst, nutze es nicht für weitere  Anwendungen auf dem Handy!
    Es gibt so Passwort-Safes, die erlauben dir auch zum Beispiel die Face ID zu benutzen, obwohl du Face ID zum Einloggen verwendest. Ich meine, dann wird irgendwann, wenn das überwunden wird, dann liegen alle Informationen instantan offen da.
    Das heißt, wenn du Biometrie zum Einloggen benutzt, dann benutze es nicht für deine Banking-Apps, auch nicht für deine Passwort-Safes oder was auch immer nach irgendeiner Identifikation fragt, sondern benutze da dann ordentliche Passwörter.
    Und dann mischst du das, aber dann hast du dieses Praktische beim Einloggen, beim Öffnen deines Handys, bei der Bildschirmsperre hast du dann.
  3. Wenn du Muster verwendest, nimm lange Muster.
    Also mit 2 oder 3 Knoten einmal hin und her gewischt, das brauchst du nicht anfangen. Nimm lange, fangen nicht in der Ecke an, nimm keine Standardmuster wie Z oder L und siehe zu, dass dir dabei niemand über die Schulter guckt, weil das ist bei Mustern mit Sicherheit viel, viel schwieriger als bei Passwörtern das geheim zu halten, weil diese Muster sich besser einprägen.
  4. Passwörter und PIN ab 8-10 Zeichen sind sehr gut
    Und ganz klar, wenn du eine PIN, wenn du ein Passwort nimmst, du musst ja zu deiner Biometrie noch ein Passwort vergeben, das darf dann auch lang sein. Das musst du so selten eingeben, weil du meistens über dein Gesicht, über deinen Fingerabdruck erkannt wirst, dann darf es auch einmal am Tag, einmal alle paar Tage darf es dann auch mal die 3 Sekunden länger dauern. Dann nimm ein langes Passwort, wie gesagt, unter 6 brauchst du überhaupt nicht anfangen, alles ab 8, 10 ist Bombe.
    Wie gesagt, die Regeln gelten auch hier: zufällig, die Länge entsprechend ausreichend und einmalig das Passwort.
  5. Gib dein Passwort nicht ein, wenn dir jemand auf die Finger guckt…
    Für alle Verfahren gilt: Gib es nicht öffentlich ein, lass dich nicht ausspähen. Das ist wie am Geldautomaten: Sieh zu, dass dir keiner dabei auf die Finger guckt. Genauso das Gleiche gilt auch für dein Handy.

Fazit – die Sicherheit liegt in der Einmaligkeit und Komplexität der Passwörter/Entsperrmethoden

Wenn du diese Punkte beachtest, dann hast du, was die Bildschirmsperre angeht, alles gemacht, was man sinnvollerweise machen kann.

In der nächsten Folge in zwei Wochen, in Folge 49, unterhalten wir uns dann darüber, wie du dich darauf vorbereiten kannst, wenn dein Handy gestohlen wird oder wenn du dein Handy verlierst und jemand anders es finden sollte.

Natürlich ist diese Bildschirmsperre, der Zugriffschutz, ein wesentlicher Punkt dabei, aber es gibt da noch viele andere interessante Sachen, über die du mal nachdenken kannst.

Ich hoffe, du bist wieder dabei. Ich hoffe, es war in dieser Folge was dabei. Wenn ja, schreib mir gerne einen Kommentar unter dieser Folge, ich freue mich sehr, und wenn du Anregungen hast, wenn du Kritik hast, wenn du Vorschläge hast, auch gerne dein Feedback!

Shownotes:

Ähnliche Artikel

Adblocker auf dem Handy (54)

Handy-Tracker: die unsichtbare Gefahr auf deinem Smartphone & was du tun kannst (53)

Mobile Tracker: Was machen Werbe-IDs auf deinem Smartphone? (52)

F-Droid – Alternativer Open-Source-App-Store für Android (51)

Leave a Reply 0 comments

←Previous post Next post→