Android-Benutzerauthentifikation

Ein praktisches Sicherheitsproblem.

So ein Android-Handy ist nicht nur ein Telefon. Oder nur noch am Rande Telefon. Das Ding hat Zugang zum Google-Account, zu anderen Mails, zu Terminen, zum Adressbuch, Ortsdaten, Notizen, vielleicht Bankkonten. Deshalb ist es ratsam, wenn das Gerät in irgendeiner Weise geschützt wird. Normalerweise hat das Gerät einen einfachen Screen-Lock, der den Bildschirm nach kurzer Zeit der Nichtbenutzung abschaltet und den Berührungssensor deaktiviert, auch gegen unabsichtliche Bedienung. Will man den Screenlock aufheben, muß man nur (Android 2.0) ein virtuelles Rad drehen. Das ist freilich unangenehm, wenn man das Gerät mal irgendwo unbeaufsichtigt läßt und jeder, der es findet, sofort dran rummurksen kann. Deshalb kann man – wie bei vielen Handys – einen Sicherheitscode setzen, den man eingeben muß. Allerdings ist das kein Zahlencode – das wäre auch recht nervig, da der Bildschirm zum Stromsparen so häufig abgeschaltet wird. Zur Eingabe werden 9 Punkte (3×3) angezeigt, von denen man einige mit einer Fingerbewegung verbinden muß. Dieser Weg zwischen den Punkten, diese Geste ist das Paßwort. Und das hat den Vorteil, daß es schön schnell und einfach geht.

Die Sache hat einen systematischen Fehler. Man muß dazu nämlich mit dem Finger auf einem spiegelglatten Touchscreen rumwischen. Und so ein Touchscreen (da macht auch das Apple keine Ausnahme) hat die dumme Eigenschaft, Fett und Schweiß von den Fingern zu sammeln. Was man gemeinhin so als Fingerabdruck ansieht. Das sind zwar nur winzigste Mengen, aber man sieht sie deutlich, vor allem bei schrägem Licht. Und nach etwas Benutzung bildet sich ein ein Fettfilm im Mikrometer-Bereich. Nicht daß das jetzt aus hygienischen Gründen erwähnenswert wäre (obwohl man es allgemein mal den Computer-Designern mit ihrem Klavierlackfimmel einhämmern sollte), aber man sieht drauf die letzten Fingerbewungen sehr deutlich – jedenfalls, wenn man schräg draufblickt. Und auf meinem Milestone sieht man die Bewegung zum Öffnen des Screenlock ziemlich deutlich. Weil man die Punkte nicht antippt, sondern einen Pfad wischt, sieht man genau, wo er anfängt, welchen Weg er geht, und wo er aufhört. Also kann man das „Passwort” direkt ablesen.

Besonders ärgerlich ist, daß man den Fettfilm von solchen Geräten (auch dem iPod) mit normalem Geschütz auch nicht wegbekommt. Papiertaschentuch, Hemd, T-Shirt – verschmiert das alles nur noch schlimmer. Die einzige Trockenreinigungsmethode die ich bisher entdeckt habe, die das wirklich schnell, sehr sauber und beschädigungsfrei entfernt, sind diese frotteeartigen Mikrofaser-Tücher, die es im Supermarkt gibt. Die hatte ich bisher zur Reinigung der Kamera (nicht die Linsen!) auf Reisen in heiße Länder, um dort Fett, Schweiß, Sonnencreme usw. runterzubekommen. Damit ein iPod poliert und der sieht wieder aus wie neu. Aber man schleppt halt nicht immer einen Lappen mit, um nach dem Einloggen die Spuren wegzuwischen.