kgborn
Goto Top

Windows 10 Hello-Anmeldung per Foto ausgehebelt

Windows Hello ist eine Funktion, um sich per Fingerabdruck-, Gesichts- oder Iriserkennung bei Windows 10-Geräten anzumelden (siehe), setzt aber bestimmte Hardware voraus. Zwei Sicherheitsforschern der SySS GmbH ist es, laut eigenen Aussagen, im Rahmen eines Forschungsprojekts gelungen, das biometrische Authentifizierungsverfahren Windows Hello Face Authentication mit einem Spoofing-Angriff zu umgehen.

In diesem Blog-Beitrag beschreiben die Sicherheitsforscher den Ansatz (ohne aber ins Detail zu gehen). Gemäß Blog-Beitrag wird ein spezieller Papierausdruck, angefertigt mit einem (Farb-)Laserdrucker einer berechtigten Person benötigt. Mutmaßlich wurden bestimmte Charakteristiken der im Nahinfrarotbereich aufgenommenden Person per Bildbearbeitung so manipuliert, dass die Hello-Gesichtserkennung getäuscht wird.

Aktuell haben die die Sicherheitsforscher eine ganze Kombination an Windows 10-Builds mit einer für Hello geeigneten USB-Kamera getestet und waren bei Angriffen erfolgreich. Es gibt aber Windows 10-Versionen in Kombination mit bestimmter Hardware, die den Spoofing-Angriff erkennt. Im Frühjahr 2018 sollen weitere Einzelheiten publiziert werden. Aktuell tauscht man sich noch mit Microsoft über die Thematik aus.

Content-ID: 358524

Url: https://administrator.de/contentid/358524

Ausgedruckt am: 22.11.2024 um 03:11 Uhr

max
max 19.12.2017 aktualisiert um 16:03:31 Uhr
Goto Top
Immerhin braucht man keine aufwendige Maske wie bei Face ID von Apple bauen face-wink
Es reicht bei Microsoft ein spezieller Papierausdruck mit diesen Eigenschaften:

  • Das Gesicht der Person wurde frontal fotografiert
  • Die Aufnahme der Person wurde im Nahinfrarotbereich erstellt
  • Helligkeit und Kontrast der Aufnahme wurden mit einfachen Mitteln verändert
  • Der Papierausdruck wurde mit einem Laserdrucker erzeugt

Huh, was soll man dazu noch sagen. Aber warum brauchen wir bei Windows auch Sicherheit, wo doch so viele Daten von uns Usern vom System gesammelt werden.

Gruß
max
rzlbrnft
rzlbrnft 19.12.2017 um 20:58:33 Uhr
Goto Top
Das ist egal auf welchem Gerät nur eine Spielerei.
Wer sowas im jetzigen Stadium professionell einsetzt gehört aufgehängt.
DerWoWusste
DerWoWusste 20.12.2017 aktualisiert um 14:46:45 Uhr
Goto Top
Hi.

Das ist egal auf welchem Gerät nur eine Spielerei.
Für eine Spielerei scheint es aber enorm sicher zu sein. Sicherlich haben sich schon viele "Sicherheitsunternehmen" daran versucht, denn zu vermelden "wir haben es 'ausgetrickst' " ist doch eine wunderbare Eigenpromotion. Aber gelungen ist es in der aktuellen Version mit empfohlener Hardware und empfohlenen Settings (hier in diesem Beispiel kam das nicht zur Anwendung!) noch niemandem, zumindest keinem, der es danach auch hinausposaunt hätte.

Wer sowas im jetzigen Stadium professionell einsetzt gehört aufgehängt
Schau Dir die Alternativen an. Kennworteingaben kannst Du mit optischen Geräten doch aus hunderten Metern noch aufzeichnen und somit auslesen. Wer hat denn schon völlig uneinsehbare Räumlichkeiten?
Zwei-Faktor-Authentifizierung hat auch sehr viele Nachteile und Anwendungsprobleme.

Apples Face ID und Konsorten sind für viele Anwendungsfälle sicher, zumindest besser als Kennwörter. Verteufeln finde ich echt unpassend.
Kryolyt
Kryolyt 21.12.2017 um 08:37:17 Uhr
Goto Top
Komplett absichern wirst du die Anmeldung von durchschnittsusern sowieso nie. Du kannst aber hoffen, dass der Aufwand, sich Zugriff zu verschaffen höher ist als das Ergebnis, was sich ein Ungefugter verspricht.

Ein "bösewicht" wird sich sich doch nicht die Mühe machen eine Person frontal, im Nahinfrarotbereich abzufotografieren, nur um dann vielleicht Zugriff auf den Computer eines Kaufmanns zu erhalten.
Sheogorath
Sheogorath 22.12.2017 aktualisiert um 17:49:44 Uhr
Goto Top
Moin,


Zitat von @DerWoWusste:
Apples Face ID und Konsorten sind für viele Anwendungsfälle sicher, zumindest besser als Kennwörter. Verteufeln finde ich echt unpassend.

Naja, Apples Face ID brauchte nicht mal einen Hacker um ausgetrickst zu werden. Da reichten zwei unbeteiligte Chinesinnen.

Allgemein gilt: Biometrische Authentifizierung, nein danke!

Die Gründe dafür sind auch sehr einfach:

- Sie sind nicht (einfach) änderbar
- Sie sind von Anwendung zu Anwendung nicht unterscheidlich genug
- Sie werden von mehreren Instituten gesammelt (aus diversen Gründen)
- Sie unterliegen in der Regel nicht der Geheimhaltung (Fingerabdrücke finden sich an fast jedem Glas und das eigene Gesicht verhüllt auch nicht jeder)

Es geht wirklich nicht ums verteufeln nur sind biometrische Daten technisch betrachtet eher mit einem Loginnamen als einem Passwort zu vergleichen.

Gruß
Chris
DerWoWusste
DerWoWusste 22.12.2017 aktualisiert um 18:45:29 Uhr
Goto Top
Sir, was für dich gilt und was "allgemein gilt", mag für dich das Selbe sein.
Die Gründe mögen sich für dich "sehr einfach" darstellen, weil Du dich mit einem sehr einfachen Modell zufrieden gibst.

Wenn man bewerten will, braucht man Vergleichbares. Man braucht definierte Anwendungsfälle und Messbares. Einfach ist das nicht, alles andere als das. Ich weiß auch, das Biometrie umstritten ist - jeder sollte das wissen.

Jetzt Sachen anzuführen, wie das von dir genannte https://www.theinquirer.net/inquirer/news/3023199/apples-face-id-tech-ca ... was noch nicht einmal abschließend aufgeklärt ist, bringt nun mal gar nichts. Hat Apple behauptet, dass niemand dein Face-ID unlocken kann? Nein, Apple hat eine Einschätzung von 1:1 Million gegeben. Und? Hat jemand mitgezählt, bei wie vielen dieser Versuch geklappt hat und bei wie vielen nicht?

Wenn es jetzt darum geht, das IPhone zu entsperren, welches Du auf der Straße findest - was meinst Du, wo du mehr Chancen hast, mit Kennwort oder mit FaceID? Ohne jeglichen Zweifel bei einem mit Kennwort, wegen Bevorzugung von Tastaturmustern (swipe).

Wenn es um das Entsperren eines Telefons oder PCs geht, dessen Benutzer Du bei der Eingabe (egal ob Kennwort oder FaceID&Co) beobachten kannst, wo wird es dir eher gelingen, ranzukommen? Kannst Du eine Maske bauen, die aus aufwendigen Aufnahmen erstellt und stundenlang nachmodelliert wurde und allen Ernstes glauben, dass das klappt, wenn Du nicht einmal Zugang zum, Gerät hast, um die Zwischenstände zu prüfen? Bevor Du so gute Aufnahmen gemacht hast, hast Du doch 10 mal abgefilmt, wie das Kennwort eingegeben wird und weißt es längst.

Ich bleibe dabei: für viele Anwendungsfälle ist Biometrie verglichen mit herkömmlichen Kennwörtern ein großer Gewinn an Sicherheit (und Komfort sowieso).
kgborn
kgborn 24.12.2017 um 18:38:22 Uhr
Goto Top
Ist jetzt in der Diskussion ins Grundsätzlich abgekippt. War so nicht beabsichtigt.

Der Hack setzt spezielle Gegebenheiten voraus. Und neuere Hello-Hardware besitzt eine Anti-Spoofing-Funktion, die den Hack verhindert.

Der Post hatte alleine den Zweck der Information 'Hallo, gibt die Hello-Anmeldung, aber die lässt sich unter bestimmten Gesichtspunkten aushebeln'. Ab diesem Punkt muss jeder selbst entscheiden: Ist für meinen Job/Bereich relevant, oder tangiert mich nicht.
rzlbrnft
rzlbrnft 09.01.2018 um 10:46:00 Uhr
Goto Top
Zitat von @DerWoWusste:
Apples Face ID und Konsorten sind für viele Anwendungsfälle sicher, zumindest besser als Kennwörter. Verteufeln finde ich echt unpassend.

Apples Face ID und Konsorten haben bisher eindrucksvoll bewiesen das es nicht besser ist als Kennwörter. Zumindest zum jetzigen Stand der Technik. Wenn das ganze mal so ausgereift ist wie in den Science Fiction Filmen bin ich dafür durchaus aufgeschlossen.
Ich kann mich noch an einen tollen Fingerabdruckscanner in einem unserer Standorte erinnern, der dummerweise immer dann wenn die Sonne drauf gescheint hat nicht funktionierte. Ich bin ja schon froh das wir mittlerweile alle Chipschlüssel einsetzen, aber auch hier hab ich zumindest einmal im Monat eine Anfrage wo was nicht mehr funktioniert und irgendein Kollege nicht mehr zur Tür reinkommt. Drum bin ich grundsätzlich mal skeptisch.