News Dell, Lenovo und Microsoft: Forscher umgehen Login per Fingerabdruck unter Windows

Bei genauerem Lesen scheint die Schwachstelle eigentlich nicht der Fingerabdrucksensor, sondern die Kommunikation über den USB-Kanal zu sein. Die Reduzierung der Meldung auf "Erkannt" oder "Nicht-Erkannt" ist in meinen Augen eine Sicherheitsgarantie, weil die Daten über den Abdruck an sich nicht im Host verarbeitet werden. Wenn das Signal natürlich auf einem angreifbaren, weil gängigen, USB-Kanal übertragen werden, ist das ein Einfallstor. Aber im Vergleich zur generellen Unsicherheit von Fingerabdrücken ist das wahrscheinlich keine relevante Sicherheitslücke.
 
Aragonion schrieb:
Ja Ich sags ja immer bleibt bei PW allein weil bsp. die Cops euch so ganz einfach zur entspeerung nötigen können von Mobilfunkgeräten.
Du kannst bei Smartphones die biometrische gesperrt sind die PW Abfrage erzwingen. Beim iPhone drückt man mehrmals hintereinander die Seitentaste.
FOSS-Fox schrieb:
Man kann sagen, was man möchte, aber ich bin fest davon überzeugt, dass eine Sicherung mit einem Fingerabdruck zu den unsichersten und schlechtesten Methoden gehört.
Biometrische Sperren sind ja auch nicht zur Steigerung der Sicherheit, sondern für den Komfort da. Niemand sagt, dass sie sicherer sind als gute Passwörter.
 
  • Gefällt mir
Reaktionen: SSD960 und tollertyp
Also rein persönlich betrachtet fand ich Fingerprint noch nie sicher. Aber bequem. Und Lücken gibt es immer wieder
 
Biometrischen Daten werden nie so sicher sein wie starke Passwörter, nennt mich altmodisch aber ich bin einfach in der Hinsicht ein Passwort Mensch. Kann mich auch nicht mit USB Keys anfreunden.

Da bleibt man doch lieber Traditionell 🙂
 
Mithos schrieb:
Du kannst bei Smartphones die biometrische gesperrt sind die PW Abfrage erzwingen. Beim iPhone drückt man mehrmals hintereinander die Seitentaste.
Einfach ein paar Mal irrtümlich den Falschen Finger verwenden, dann wird der Fingerabdruckleser gesperrt.
Aber Bitlocker macht man sowieso nicht über den Windows-Login, wenn mans sicher haben will.

Mfg
 
Darum Preboot Authentification, SED Verschlüsselung aktivieren, und den Datenträger per Full Disk Encryption verschlüsseln (PWD/Cert keine Biometrie).
 
  • Gefällt mir
Reaktionen: IgorGlock
Boimler schrieb:
Bei genauerem Lesen scheint die Schwachstelle eigentlich nicht der Fingerabdrucksensor, sondern die Kommunikation über den USB-Kanal zu sein. Die Reduzierung der Meldung auf "Erkannt" oder "Nicht-Erkannt" ist in meinen Augen eine Sicherheitsgarantie, weil die Daten über den Abdruck an sich nicht im Host verarbeitet werden. Wenn das Signal natürlich auf einem angreifbaren, weil gängigen, USB-Kanal übertragen werden, ist das ein Einfallstor. Aber im Vergleich zur generellen Unsicherheit von Fingerabdrücken ist das wahrscheinlich keine relevante Sicherheitslücke.
Im Idealfall sollte aber auch der Fingerabdrucksensor nicht dauerhaft einen Fingerabdruck bzw sein digitales Abbild speichern. Stattdessen, sollte er jedes mal beim scanen ein Signing Key vom Fingerabdruck abgeleitet werden.
Mit dem Signing key sollte die Sensorkomponente dann eine Challenge vom OS signieren können, wodurch der user eingeloggt wird.
Danach sollte der private key wieder aus dem Speicher des Sensors gelöscht werden, damit er eben nie länger als nötig präsent ist.
Da der Fingerabdruck jedes mal der gleiche ist, ist der Private key auch jedes mal identisch, somit sollte der user sich jedes mal problemlos einloggen können.

Natürlich leben wir nicht in einer idealen Welt, weswegen Korrekturfaktoren für zb dreckige Fingerabdrücke existieren müssen. Zwangsweise verringert man dadurch die Anzahl erkennbarer unterschiedlicher fingerabdrücke. Dem kann man mit höheren Auflösungen entgegen wirken, aber das kostet und das ist wahrscheinlich die Crux in diesem Fall.
Außerdem sollte Windows nach mehrfachem Fail des Fingerabdruck-Unlocks zwangsweise ein Passwort fordern um Brute force attacken auf die verhältnismäßig geringe Anzahl von verschiedenen fingerabdrücken einzuschränken.
 
Skidrow1988 schrieb:
Um die geht es sich aber doch gar nicht. Wieso wird immer wieder gegenübergestellt? Kein System ist sicher!
Letzten Satz im Artikel nicht gelesen?

Weitere Untersuchungen soll es außerdem unter Linux, Android sowie auf Apple-Geräten geben.

Ich habe also gar nichts gegenübergestellt, sondern mich nur auf diesen Satz bezogen. Und ja: Kein System ist sicher.
 
MaLow17 schrieb:
Viel zu kompliziert. Jedes Kind kommt mit Bordmitteln ins Windows. Verstehe nicht, wieso überhaupt Geld investiert wird, um die Sicherheit zu testen, wenn es doch so leicht geht:
Geht das dann auch für einen Account mit Windows Hello PIN? Diese wird im TPM abgespeichert laut Microsoft.
 
lorpel schrieb:
Bitlocker mit Bootscreen Passwort Abfrage. Alles andere kann man vergessen.
VeraCrypt ist besser bzw. sicherer als eine Closed Source Methode eines US-Unternehmens.
Dazu braucht es auch kein Windows Pro.
 
Zurück
Oben