ubuntuusers.de

ThinkFinger

Archivierte Anleitung

Dieser Artikel wurde archiviert. Das bedeutet, dass er nicht mehr auf Richtigkeit überprüft oder anderweitig gepflegt wird. Der Inhalt wurde für keine aktuell unterstützte Ubuntu-Version getestet. Wenn du Gründe für eine Wiederherstellung siehst, melde dich bitte in der Diskussion zum Artikel. Bis dahin bleibt die Seite für weitere Änderungen gesperrt.

ThinkFinger 🇬🇧 ist ein freier Treiber für den Fingerabdruck-Scanner „SGS Thomson Microelectronics Fingerprint Reader“. Ursprünglich konzipiert für IBM/Lenovo ThinkPads, funktioniert der Treiber auch mit Modellen anderer Marken wie Dell und Toshiba, die auf dieses Scanner-Modell zurückgreifen. ThinkFinger ermöglicht nicht nur bei der Anmeldung, die Passworteingabe zu ersetzen, sondern es kann bei jeder Passwort-Abfrage benutzt werden. Der Treiber ist noch nicht ausgereift und es können verschiedene Probleme auftreten. Bitte vor der Installation die bekannten Probleme am Ende dieses Artikels beachten.

Zudem ist zu beachten, dass der Treiber nur die Passworteingabe ersetzt und nicht wie beispielsweise in anderen Betriebssystemen, den ganzen Anmelde-Vorgang. Weiterhin ist zu beachten, dass ein gut gewähltes Passwort genau so sicher (oder auch sicherer) ist als der Fingerabdruck, da es auch Möglichkeiten gibt, Fingerabdrücke zu fälschen 🇩🇪. Der Fingerabdruckscanner ist daher eher ein Komfortmerkmal als zusätzliche Sicherheit. Diese kann man erreichen, in dem man Fingerabdruck und Passwort zur Authentifizierung verlangt, was aber auf Dauer relativ unkomfortabel sein kann.

Hinweis:

Pro Benutzername lässt sich nur ein Fingerabdruck einlesen - das ist vor allem dort zu beachten, wo sich mehrere Personen unter einem Namen auf einem System anmelden!

Hardware prüfen

Vor der Installation sollte getestet werden, ob überhaupt das Modell „SGS Thomson Microelectronics Fingerprint Reader“ eingebaut ist. Dazu gibt man Folgendes in ein Terminal ein [1]:

lsusb 

In der Ausgabe sollte dann folgende Zeile enthalten sein:

Bus XXX Device XXX: ID 0483:2016 SGS Thomson Microelectronics Fingerprint Reader 

Installation

Alle aktuellen Ubuntu Versionen werden mit den Paketen vom PPA unterstützt.

Adresszeile zum Hinzufügen des PPAs:

  • ppa:fingerprint/fingerprint-gui

Hinweis!

Zusätzliche Fremdquellen können das System gefährden.


Ein PPA unterstützt nicht zwangsläufig alle Ubuntu-Versionen. Weitere Informationen sind der Wiki/Vorlagen/PPA/ppa.png PPA-Beschreibung des Eigentümers/Teams fingerprint zu entnehmen.

Damit Pakete aus dem PPA genutzt werden können, müssen die Paketquellen neu eingelesen werden.

Wenn diese Quellen erfolgreich hinzugefügt wurden, installiert man die folgenden Pakete wie gewöhnlich

  • libbsapi

  • policykit-1-fingerprint-gui

  • fingerprint-gui

Danach loggt man sich aus der Sitzung ab und wieder ein.

Konfiguration

Zum Abschluss startet man das Programm Fingerprint GUI und wählt den gewünschten Finger. Klappt die Erkennung seines Fingerabdrucks kann man diesen noch im Reiter "Settings" testen. Als zur Verfügung stehender Dienst wählt man entweder "su" oder Bildschirmschoner aus.

Konfiguration

Jetzt kann mit dem Befehl [4]:

sudo tf-tool --acquire 

die Datei thinkfinger.bir angelegt werden. Mit

sudo tf-tool --verify 

kann diese überprüft werden.

Um den FP-Reader auch unter GNOME nutzen zu können, muss zuerst eine neue Benutzergruppe fingerprint angelegt werden:

sudo groupadd fingerprint 

Jetzt muss die neue Datei /etc/udev/rules.d/60-thinkfinger.rules mit folgendem Inhalt angelegt [5] werden:

#
# udev rules file for the thinkfinger fingerprint scanner
# 
# gives access to the fingerprint reader to those in the "fingerprint" group
#
# Taken from:
#  http://www.thinkwiki.org/wiki/How_to_enable_the_fingerprint_reader_with_ThinkFinger
# which was taken and modified from:
#  http://article.gmane.org/gmane.linux.drivers.thinkfinger/329
#

# SGS Thomson Microelectronics Fingerprint Reader
SYSFS{idVendor}=="0483", SYSFS{idProduct}=="2016", SYMLINK+="input/thinkfinger-%k", MODE="0660", GROUP="fingerprint"

# the also-needed uinput device
KERNEL=="uinput", MODE="0660", GROUP="fingerprint"

und folgender Befehl ausgeführt werden (falls er nicht funktioniert, muss evtl. neu gestartet werden):

sudo /sbin/udevadm trigger 

Jetzt müssen noch die Benutzer- und Dateizugehörigkeiten angepasst werden: Benutzer zur Gruppe fingerprint hinzufügen:

sudo gpasswd -a $USERNAME fingerprint 

und den Benutzer zum Besitzer der .bir-Datei machen:

sudo chown $USERNAME:root ~/.thinkfinger.bir 

Nur-Lesen-Zugriff:

chmod 400 ~/.thinkfinger.bir 

Eventuell muss jetzt noch der folgende Befehl ausgeführt werden:

sudo /usr/lib/pam-thinkfinger/pam-thinkfinger-enable 

Der Fingerprint Reader sollte jetzt funktionieren, allerdings muss nach der Authentifizierung immer gedrückt werden. Dies kann durch einen Eintrag in der xorg.conf geändert werden (siehe 256429)

xorg.conf:

Section "InputDevice"
	Identifier	"Generic Keyboard"
	Driver		"kbd"
	Option		"XkbRules"	"xorg"
	Option		"XkbModel"	"pc105"
	Option		"XkbLayout"	"de"
EndSection

...

Section "ServerLayout"
	Identifier      "Default Layout"
	Screen        0 "Default Screen" 0 0
	InputDevice	"Generic Keyboard"
EndSection

Falls durch den Eintrag in der xorg.conf Fehler auftreten sollten, bei denen z.B. manche Tasten anders als gewollt belegt werden, kann auf die im Fehlerbericht genannten PPA-Pakete zurückgegriffen werden.

Hinweis!

Zusätzliche Fremdquellen können das System gefährden.


Anmerkung: Die PPA-Pakete bringen allerdings andere Probleme mit sich und sollten möglichst nicht verwendet werden.

Probleme

Mit dem Fingerscan lässt sich lediglich ein Login oder ein sudo durchführen, jedoch kann der GNOME Schlüsselbund damit nicht entsperrt werden. Dies ist technisch nicht auf sichere Weise möglich. Jeder Fingerscan unterscheidet sich durch einen zweiten Fingerscan, und nur durch eine Fuzzy-Logik kann eine Übereinstimmung mit dem hinterlegten Referenzscan geprüft werden. Als Key für die Verschlüsselung kann der Referenz-Scan nicht benutzt werden, da dieser ja auf dem Rechner gespeichert ist. Ein aktueller Scan kann nicht verwendet werden, da dieser sich jedesmal leicht unterscheidet.

Verbindet man sich per WLAN mit dem Internet, wird sofort nach dem Login das Passwort für den Schlüsselbund verlangt, was den Komfort eines Login per Fingerscan zunichte macht. Einzige derzeit bekannte Lösung: den Schlüsselbund nicht mit Passwort sichern, dann jedoch werden alle Passwörter im Schlüsselbund unverschlüsselt gespeichert.

Diese Revision wurde am 9. März 2018 17:31 von Heinrich_Schwietering erstellt.
Die folgenden Schlagworte wurden dem Artikel zugewiesen: System, Hardware, Sicherheit