Mitgedacht: Toshiba Fingerprint Utility und verwaiste Abdrücke

Wie fast immer, wenn jemand seinen Kunden viele schnelle tolle cutting edge-Features liefern zu müssen wollen meint, ist das Ergebnis ein schöner, bunter Karton, in dem Sie nach dem Auspacken im besten Falle herzlich wenig finden.

So ist es auch mit dem in Toshiba-Notebooks (zum Beispiel meinem ohnehin denkwürdigen Portegé) verbauten Fingerabdrucksensor des Herstellers Authentec. Im Prinzip ist ein Fingerprint Scanner nämlich eine total feine Sache. Weniger, weil ein Fingerabdruck ein sicheres Passwort ersetzen kann – zumal es betriebssystemintern ohnehin nicht ohne geht – sondern weil es zumindest für Vielreisende wie mich viel zu oft Situationen gibt, in denen die Passworteingabe in Gesellschaft erforderlich wird und weil man als feinfühliger Kundenversteher ungern Sätze sagt, die auch nur im Entferntesten implizieren könnten, man traue dem Gegenüber nicht und er oder sie möge bitte mal innehalten und wegschauen. Von omnipräsenter Videoaufzeichnung, die zwar stets zu Ihrer Sicherheit erfolgt, aber deshalb ja trotzdem mein Tastenfeld im Auge haben kann, mal abgesehen. Hier hilft so ein Sensor enorm, jedenfalls wenn er funktioniert.

Was Letzteres angeht, kann man insgesamt nicht klagen. Das Ding funktioniert sogar mit Kaffe-, Tabak und sonstigen Panaden am Finger so gut, dass man sich fragt, ob es überhaupt einen Schutz bietet: Tut es aber. Blöd wird es nur, wenn man selbst es wagt, seine Identität aus Sicht des Geräts zu ändern, aber selbst immer noch der Gleiche zu bleiben. In meinem Fall hatte ich zwei Benutzerkonten, ein lokales und eins aus einer Testdomäne, vom Laptop entfernt und die zum Zweiteren gehörende Testdomäne dann ebenfalls. Damit waren sämtliche von Toshiba umsichtig vorgesehenen Wege, einen Abdruck zu entfernen, abgeschnitten. Denn um nun den Abdruck eines beliebigen Fingers dem neuen (Domänen-)konto zuweisen zu können, genügt es keineswegs, den Scanprozess für den betroffenen Finger erneut durchzuführen. Ein Finger, der mal gescannt wurde, ist vielmehr drin – und bleibt es auch, ob nun ein existierendes Profil dahinterhängt oder nicht. Toshiba hat also sicher mitgedacht, und sei es nur etwas wie „so lange halten die Klapperkästen eh nicht, das wird keinen betreffen und kostet nur unnötige Mannstunden, das auch noch einzubauen“.

Hintergrund

Wie auch immer: Drin ist drin, jedenfalls wenn es nach der von Toshiba mitgelieferten Software TFPU (Toshiba Fingerprint Utility) geht. Denn das Mapping der konkreten Abdruckscans geschieht, wie man mit etwas Geduld auf Umwegen herausfinden kann, tatsächlich im Authentec-Sensor selbst. Dieser besitzt einen eigenen Flash-Speicher, wo Abdrücke hinterlegt werden. Allerdings gehört für den Praktikanten bei Toshiba ein Fingerabdruck eben nicht primär zu einem Menschen (der mehrere Accounts haben könnte), sondern zu einem Benutzerprofil (das ist dann auch einfacher umzusetzen, mit den ganzen Libraries, nehme ich an!). Ein Totalfail also, zu dem sich wenig Auswege finden lassen (außer die üblichen Forengottpunktesammlertipps wie „anderen Finger nehmen“ oder „Sensor ausbauen und ersetzen“).

Zum Glück hat es aber immerhin in den wenigen Jahren, die die Portegé-Reihe nun auf dem Buckel hat, offenbar doch noch mehr Leute als nur mich gegeben, die tatsächlich mit mehreren Konten(!) und noch dazu auf einem einzigen Gerät(!!!!) arbeiten wollen. Von derart exotischen Fällen aufgeschreckt konnte man sich in Minato (oder in Schalalabad oder wo auch immer Toshiba-Geräte heute konfektioniert werden) dann immerhin nach zwei Jahren durchringen zu einer Art

Lösung

Diese kommt als Download mit dem vielsagenden Dateinamen 30636900b.exe (Link führt zur Downloadseite). Dieses Programm wird als lokaler Administrator ausgeführt und binnen zwei Sekunden ist der Speicher wieder leer und kann alle zehn Finger neuen Konten zuweisen.