Die Berichterstattung über TouchID ist die Berichterstattung über Apple in einer Nussschale: Vom vorhersehbaren und teils sehr1 quatschigen “Wie konnte Apple nur”-Aufschrei bis hin zur unvermeidbaren Einführung von TouchID-Klonen bei Android, wo all das plötzlich kein Thema mehr sein wird.2
Und, natürlich, immer auch dabei der CCC, der es mit der Korrektheit nicht mehr ganz so genau nimmt, wenn viel Presse möglich ist.
Alex Olma über den CCC-'Hack' von TouchID und wie der CCC darüber berichtete:
Die Wortwahl ist mindestens irreführend und kann mit Verständnis der aktuellen Medienlandschaft, die oft ohne Rückfrage PR-Meldungen abschreibt, nur als bewusst eingesetzt betrachtet werden. Die Meldung informiert nicht, sie verwirrt. Sie bestärkt nicht zu stärkeren Passwörtern, sie verängstigt. Sie regt nicht zum Nachdenken über den Schutz der eigenen Daten an.
Lässt sich ein Passcode auch ohne deine Anwesenheit knacken? Lässt sich ein Passwort (über die Schulter) abschauen? In welchem Verhältnis stehen Aufwand und Ergebnis? Mit welcher Häufigkeit geraten persönliche Daten eher durch Raub als Beschlagnahmung in falsche Hände?
Das ein Fingerabdruck nachzubauen ist und keinesfalls eindeutig ausfällt, war nicht nur absehbar (und wurde vom CCC bereits vor Jahren exzellent ausgearbeitet), sondern steht auch in Apples Dokumentation.
TouchID richtet sich nicht an jemanden, der sein iPhone sicher machen will vor Leuten, die sogar einen Fakefinger bauen würden, um hineinzukommen. TouchID richtet sich an normale Menschen, die aus Bequemlichkeit gar keinen Sperrcode oder maximal einen vierstelligen Sperrcode benutzen. Im Vergleich zu diesen beiden Alternativen ist TouchID sehr viel sicherer. Wer mit seinem iPhone sensible Daten transportieren will, wird weder TouchID noch einen nur vierstelligen Sperrcode einsetzen.
Was vielen Armchairsecurityexperten zu entgehen scheint, ist die simple Tatsache, dass Sicherheit immer in einem Spannungsverhältnis zum Komfort steht.3 Man achte für den Kontext auch auf den von Olma verlinkten XKCD-Comic.
Das ist alles wieder einmal sehr bedauerlich, weil die schlechte, irreführende Berichterstattung von dem ablenkt, was Apple macht. Und Apple macht, for better and for worse für die Industrie, seit Jahren so erschreckend viel so perfekt richtig, dass es viel ernsthafter zu jedem Zeitpunkt analysiert werden müsste.
Die Fingerabdrücke werden als Hash auf den Geräten gespeichert und nicht auf Servern gespeichert. Die zum Einsatz kommende Technologie ist, von dem was bekannt wurde, zum Teil sehr beeindruckend. Das alles spielte beim NSA!-Aufschrei zur Einführung von TouchID ebenso wenig eine Rolle wie die Tatsache, dass ausnahmslos jeder, der in die USA einreist, dem US-Staat bereits seine Fingerabdrücke geben muss. ↩
Flash, anyone? ↩
Und das schreibe ich als fellow Armchairsecurityexperte. ↩