News Biometrische Sicherheit: Venenerkennung mit Hausmitteln überlistet

[mischaef]

Lange galt sie als das sicherste biometrische Verfahren zur Identifizierung bei gesicherten Zugängen, noch vor Fingerabdruck- und Iriserkennung: Die Venenerkennung. Nun haben zwei Experten es geschafft, das System mit teils einfachen Methoden zu umgehen. Das hat weitreichende Folgen.

Zur News: Biometrische Sicherheit: Venenerkennung mit Hausmitteln überlistet

 

[Mihawk90]

Der Kongress ist in Leipzig hust

 

[estros]

Klingt für mich eher nach CIA Handwerk, als für real interessant.

Dann doch lieber in der Pediküre einsetzbar, Erkennungswahrscheinlichkeit = Null.

 

[mischaef]

*hust* danke....

 

[michi.o]

Aus der Kamera wurde zunächst der Infrarot-Scanner entfernt

Sollte das nicht Infrarot-Sperrfilter heißen?

 

[BoardBricker]

Wenn - laut Artikel - in Japan mit dieser Methode der Zahlungsverkehr abgesichert werden soll, dann betrifft das durchaus schneller als gedacht den Ottonormalverbraucher. In dem Fall kann gar nicht früh genug gezeigt werden, welche Schwächen so ein System hat.
Daher ein großes Danke an die beiden Hacker!

 

[CPU-Bastler]

Ansonsten in einer der nächsten Folgen von James Bond oder Mission Impossible gucken. Dort wird der HAck sicher Stilecht gezeigt.

 

[nighteeeeey]

Venenscanner mit Pulserkennung, Fingerabdruckscanner, Irisscanner und Infrarotkamera. Kann man doch ganz easy einfach alles kombinieren?

Man stellt sich vor eine Tür, guckt auf eine schwarze Scheibe und legt seine Hand irgendwo auf und innerhalb von 2 Sekunden ist die Tür auf.

Immer nur auf eine der Methoden zu vertrauen ist schon etwas kurzsichtig, nicht? Gerade wenn es um Atomkraftwerke oder die BND Zentrale geht?

Wenn ich mir ein Haus bauen würde heut zu Tage, wäre das mein Türöffnersystem. Und adieu Schlüssel für immer.

 

[BOBderBAGGER]

Die Reaktion der Hersteller ist wie immer die gleiche.
„Hey wir haben euer System ausgehebelt“ „keine Sorge das ist nur theoretisch möglich und wir werden nichts unternehmen „ ... bis einer weint .
@NighteeeeeY
Sicher geht das nur wer will das bezahlen ?

 

[XamBonX]

Wann verstehen die Leute es: Nichts ist sicher. Es gibt keine absolute Sicherheit.

 

[Ilsan]

Venenscanner mit Pulserkennung, Fingerabdruckscanner, Irisscanner und Infrarotkamera. Kann man doch ganz easy einfach alles kombinieren?

Man stellt sich vor eine Tür, guckt auf eine schwarze Scheibe und legt seine Hand irgendwo auf und innerhalb von 2 Sekunden ist die Tür auf.

Immer nur auf eine der Methoden zu vertrauen ist schon etwas kurzsichtig, nicht? Gerade wenn es um Atomkraftwerke oder die BND Zentrale geht?

Wenn ich mir ein Haus bauen würde heut zu Tage, wäre das mein Türöffnersystem. Und adieu Schlüssel für immer.

Genau, mehrere System kombinieren, zumal man sie auch smart ein und ausschalten kann. Wenn ich 2 Wochen im Urlaub bin muss der Fingerprintreader nicht die ganze Zeit eingeschaltet bleiben. Die Putzfrau kommt immer gegen 3 ? Also die Elektronik dann in diesem Zeitintervall einschalten.

Ansonsten eingelogtes Handy im WLAN usw kann man zusätzlich auch noch kombinieren. Sprich wenn das Handy vor der Tür ist reicht Fingerabdruck, wenn ohne Handy muss man noch einen Pin eingeben usw.
Man muss hier alles miteinander kombinieren, wenn ich grade im Bett liege, sollte das System smart genug sein dies zu wissen, und dass wenn grade mein Fingerabdruck am Leser an der Wohnungstür gescannt wird da doch irgendwas faul zu sein scheint und ein Alarm ausgelöst wird, bzw einfach mal das Licht im Flur eingeschaltet wird sodass der Einbrecher direkt flüchtet.

 

[Aslo]

Also das hört sich für mich wesentlich aufwändiger und komplexer an, als ein normales Passwort zu cracken.

 

[Ilsan]

Mag sein Aslo aber die Entwicklung geht weiter, und die Frage ist wie oft du bereit bist in Zukunft den Scanner zu wechseln den du erst für 1000euro gekauft hast. Die Hersteller fallen hier nicht besonders durch "ja wir tauschen euch die mal eben alle frei Haus aus, ist ja ansonsten Sicherheitsrisiko" auf.
Also ich persönlich hätte da keine Lust drauf.

 

[NetSoerfer]

Das hat weitreichende Folgen.

Die Umsetzbarkeit des Angriffs schränkt die Reichweite der Folgen doch ziemlich ein, würde ich behaupten - ich wüsste jedenfalls nicht, wie ich an jemandes Venenstruktur herankommen soll, ohne dass der das mitbekommt. Und wie die Hersteller schon sagen gibt es wahrscheinlich auch noch den Faktor Wissen zum Faktor Haben, wo diese Systeme eingesetzt werden. Eine etwas gemäßigtere Berichterstattung scheint aber beim Thema der jährlichen CCC-Biometriehacks nicht weit oben auf der Prioritätenliste zu stehen.

Allerdings überrascht es doch, dass offenbar keinerlei Tiefen- oder Bewegungsinformationen abgefragt werden, gerade weil diese Systeme ja nicht in sicherheitsunkritischen Bereichen eingesetzt werden.

 

[BoardBricker]

@Aslo :
Aufwändiger natürlich, wobei das SIcherheitssystem selbst ja auch aufwändiger ist als ein einfaches Passwort. Die Frage ist halt, ob es demjenigen den Aufwand Wert ist, der damit etwas erreichen möchte. Wenn man damit Zahlungsverkehr autorisieren kann und die Möglichkeit hat, möglichst wohlhabende Opfer abzufischen, kann sich das schnell lohnen.
Welchen Aufwand wäre es denn einem Geheimdienst wert, irgendwo jemanden einschleusen zu können? Wenn es dafür schon reicht, die Sekretärin einer BND-Abteilung im Sonnenstudio abzulichten, dann ist es den Versuch auf jeden Fall wert.

 

[nighteeeeey]

Sicher geht das nur wer will das bezahlen ?

Also Fingerabdruckscanner, Irisscanner und Infrarotkamera kriegst du ja mittlerweile in jedem Smartphone hinterhergeworfen. Venenscanner mit Pulserkennung kann man auch ganz normal kaufen in allenmöglichen Varianten. Auch für Wohnungstüren und dergleichen. Im Vergleich zu den Kosten für ein ganzes Haus ist das absolut marginal.

 

[Ilsan]

m Vergleich zu den Kosten für ein ganzes Haus ist das absolut marginal.

Ja nur gibt es eben 100 von diesen Dingen beim Hausbau die "nur einen Bruchteil der Gesamtkosten" ausmachen Läppert sich halt, man viel dies, man will das, und schnell ist man bei 50k euro mehr. Zumal so billig das an der Haustür auch nicht, hier muss/will der Hersteller auch wieder gewisse Normen erfüllen. Für Zertifikate muss man es dann extern prüfen lassen, auch das kostet wieder und zahlt der Kunde indirekt mit am Ende. Und zum Schluss hat man durch ein System alleine eh keine absolute Sicherheit. Und will der Hersteller im Laufe des Produktzyklus mal ne Komponente tauschen kann er das auch nicht weil er dann seine Zertifikate wieder verliert weil die sich nur auf das beziehen wie es ursprünglich getestet wurde. Also alles net so einfach und billig.

 

[Don Sanchez]

Wann verstehen die Leute es: Nichts ist sicher. Es gibt keine absolute Sicherheit.

Außer den Tod. Der ist sicher.

 

[OldboyX]

...

Wenn ich mir ein Haus bauen würde heut zu Tage, wäre das mein Türöffnersystem. Und adieu Schlüssel für immer.

Ich nicht, würde beim Schlüssel bleiben. Erscheint mir heutzutage risikoärmer als alle "Smart" Lösungen.

 

[Luthredon]

Würden die gleichen Leute mit dem gleichen Aufwand (umgebaute DSLR, klar, hat jeder daheim) ordinäre Schlüssel kopieren, kämen sie in 99,9% aller Häuser und Wohnungen rein. Warum wird darüber nicht berichtet? Bisschen Angst machen bitte! Und aus so einem Haus ist oft weit mehr rauszuholen, als aus dem Handy von Lieschen Müller.

Ehrlich, langsam kann ichs nicht mehr hören. Ja, nix ist 100% sicher - so what? Für den Gelegenheitsdieb reichts und die Vollprofis kommen fast überall rein. Wäre das nicht irgendwann mal ausreichend besprochen?