Skip to content

Ist ein Fingerabdruck oder Gesichtsscan ein Beispiel für „etwas, das man weiß“?

Kurzantwort

Nein. Die drei Kategorien von Authentifizierungsfaktoren sind etwas, das man weiß (Passwort/PIN), etwas, das man hat (Token/Telefon) und etwas, das man ist (Biometrie). Ein Fingerabdruck oder Gesichtsscan gehört zu „etwas, das man ist“, einem gemessenen physischen Merkmal. Der Haken: Biometrie ist kein Geheimnis und lässt sich nicht erneuern — leckt die Vorlage deines Fingerabdrucks, kannst du deinen Fingerabdruck nicht ändern. Deshalb funktioniert Biometrie am besten als ein Faktor, der oft einen lokalen Schlüssel entsperrt, statt als eigenständiger Passwortersatz.

Der Trick liegt in einer verführerischen Logik: „Mein Fingerabdruck ist Teil von mir, also weiß ich ihn.“ Diese Argumentation bricht zusammen, sobald man betrachtet, wie die drei Kategorien von Authentifizierungsfaktoren tatsächlich definiert sind.

Die drei Faktorkategorien

Authentifizierungsfaktoren werden danach gruppiert, welche Art von Sache deine Identität beweist:

  • Etwas, das man weiß — ein Geheimnis im Kopf: ein Passwort, eine PIN, die Antwort auf eine Sicherheitsfrage.
  • Etwas, das man hat — ein physischer Besitz: ein Hardware-Token, ein Smartphone mit Authenticator-App, eine Smartcard.
  • Etwas, das man ist — ein inhärentes physisches oder verhaltensbezogenes Merkmal: ein Fingerabdruck, die Gesichtsgeometrie, das Irismuster, ein Stimmabdruck.

Ein Fingerabdruck oder Gesichtsscan wird von einem Sensor gemessen, nicht aus dem Gedächtnis abgerufen. Er gehört eindeutig zu etwas, das man ist. Ihn „im Körper gespeichertes Wissen“ zu nennen, ist ein Kategorienfehler.

Warum die Unterscheidung zählt

Die Kategorie ist keine Nebensache — sie verändert die Sicherheitseigenschaften. Ein Passwort ist ein erneuerbares Geheimnis: leckt es, änderst du es. Eine Biometrie ist ein nicht erneuerbares Merkmal. Wird eine Fingerabdruck-Vorlage aus einer Datenbank gestohlen, kannst du dir keinen neuen Fingerabdruck ausstellen. Genau diese Dauerhaftigkeit macht eine Biometrie zu einem schlechten eigenständigen Geheimnis.

Deshalb übertragen gut entworfene Systeme deinen rohen Fingerabdruck auch nicht über das Netzwerk. Auf einem Telefon wird die Biometrie lokal abgeglichen und dient dazu, einen kryptografischen Schlüssel in sicherer Hardware zu entsperren; der Schlüssel, nicht dein Abdruck, authentifiziert dich. Die Biometrie ist ein bequemes Tor, nicht das Geheimnis selbst.

Biometrie richtig einsetzen

Behandle eine Biometrie als einen Faktor unter mehreren, idealerweise gepaart mit etwas, das man hat (das Gerät), und etwas, das man weiß (eine PIN als Rückfall). Echte MFA erfordert Faktoren aus verschiedenen Kategorien — ein Fingerabdruck plus Gesichtsscan bleibt nur „etwas, das man ist“. So eingesetzt bietet Biometrie starke, benutzerfreundliche Sicherheit, ohne vorzugeben, ein erneuerbares Geheimnis zu sein.

Wahrscheinliche Anschlussfragen

  • Warum ist „eine geleakte Biometrie lässt sich nicht erneuern“ eine so wichtige Eigenschaft?
  • Wie schützt die Fingerabdruck-Entsperrung eines Telefons einen lokalen Schlüssel, statt deinen Abdruck zu übertragen?
  • Wann zählt die Kombination einer Biometrie mit einer PIN trotzdem nur als ein Faktor?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.