News Dell, Lenovo und Microsoft: Forscher umgehen Login per Fingerabdruck unter Windows

Boimler · 23. November 2023

Bei genauerem Lesen scheint die Schwachstelle eigentlich nicht der Fingerabdrucksensor, sondern die Kommunikation über den USB-Kanal zu sein. Die Reduzierung der Meldung auf "Erkannt" oder "Nicht-Erkannt" ist in meinen Augen eine Sicherheitsgarantie, weil die Daten über den Abdruck an sich nicht im Host verarbeitet werden. Wenn das Signal natürlich auf einem angreifbaren, weil gängigen, USB-Kanal übertragen werden, ist das ein Einfallstor. Aber im Vergleich zur generellen Unsicherheit von Fingerabdrücken ist das wahrscheinlich keine relevante Sicherheitslücke.

Mithos · 23. November 2023

Aragonion schrieb:
Ja Ich sags ja immer bleibt bei PW allein weil bsp. die Cops euch so ganz einfach zur entspeerung nötigen können von Mobilfunkgeräten.

Du kannst bei Smartphones die biometrische gesperrt sind die PW Abfrage erzwingen. Beim iPhone drückt man mehrmals hintereinander die Seitentaste.

FOSS-Fox schrieb:
Man kann sagen, was man möchte, aber ich bin fest davon überzeugt, dass eine Sicherung mit einem Fingerabdruck zu den unsichersten und schlechtesten Methoden gehört.

Biometrische Sperren sind ja auch nicht zur Steigerung der Sicherheit, sondern für den Komfort da. Niemand sagt, dass sie sicherer sind als gute Passwörter.

SSD960 · 23. November 2023

Also rein persönlich betrachtet fand ich Fingerprint noch nie sicher. Aber bequem. Und Lücken gibt es immer wieder

Lora · 23. November 2023

Biometrischen Daten werden nie so sicher sein wie starke Passwörter, nennt mich altmodisch aber ich bin einfach in der Hinsicht ein Passwort Mensch. Kann mich auch nicht mit USB Keys anfreunden.

Da bleibt man doch lieber Traditionell 🙂

KainerM · 24. November 2023

Mithos schrieb:
Du kannst bei Smartphones die biometrische gesperrt sind die PW Abfrage erzwingen. Beim iPhone drückt man mehrmals hintereinander die Seitentaste.

Einfach ein paar Mal irrtümlich den Falschen Finger verwenden, dann wird der Fingerabdruckleser gesperrt.
Aber Bitlocker macht man sowieso nicht über den Windows-Login, wenn mans sicher haben will.

Mfg

stylemongo · 24. November 2023

Darum Preboot Authentification, SED Verschlüsselung aktivieren, und den Datenträger per Full Disk Encryption verschlüsseln (PWD/Cert keine Biometrie).

hupf · 24. November 2023

Boimler schrieb:
Bei genauerem Lesen scheint die Schwachstelle eigentlich nicht der Fingerabdrucksensor, sondern die Kommunikation über den USB-Kanal zu sein. Die Reduzierung der Meldung auf "Erkannt" oder "Nicht-Erkannt" ist in meinen Augen eine Sicherheitsgarantie, weil die Daten über den Abdruck an sich nicht im Host verarbeitet werden. Wenn das Signal natürlich auf einem angreifbaren, weil gängigen, USB-Kanal übertragen werden, ist das ein Einfallstor. Aber im Vergleich zur generellen Unsicherheit von Fingerabdrücken ist das wahrscheinlich keine relevante Sicherheitslücke.

Im Idealfall sollte aber auch der Fingerabdrucksensor nicht dauerhaft einen Fingerabdruck bzw sein digitales Abbild speichern. Stattdessen, sollte er jedes mal beim scanen ein Signing Key vom Fingerabdruck abgeleitet werden.
Mit dem Signing key sollte die Sensorkomponente dann eine Challenge vom OS signieren können, wodurch der user eingeloggt wird.
Danach sollte der private key wieder aus dem Speicher des Sensors gelöscht werden, damit er eben nie länger als nötig präsent ist.
Da der Fingerabdruck jedes mal der gleiche ist, ist der Private key auch jedes mal identisch, somit sollte der user sich jedes mal problemlos einloggen können.

Natürlich leben wir nicht in einer idealen Welt, weswegen Korrekturfaktoren für zb dreckige Fingerabdrücke existieren müssen. Zwangsweise verringert man dadurch die Anzahl erkennbarer unterschiedlicher fingerabdrücke. Dem kann man mit höheren Auflösungen entgegen wirken, aber das kostet und das ist wahrscheinlich die Crux in diesem Fall.
Außerdem sollte Windows nach mehrfachem Fail des Fingerabdruck-Unlocks zwangsweise ein Passwort fordern um Brute force attacken auf die verhältnismäßig geringe Anzahl von verschiedenen fingerabdrücken einzuschränken.

Darklordx · 24. November 2023

Skidrow1988 schrieb:
Um die geht es sich aber doch gar nicht. Wieso wird immer wieder gegenübergestellt? Kein System ist sicher!

Letzten Satz im Artikel nicht gelesen?

Weitere Untersuchungen soll es außerdem unter Linux, Android sowie auf Apple-Geräten geben.

Ich habe also gar nichts gegenübergestellt, sondern mich nur auf diesen Satz bezogen. Und ja: Kein System ist sicher.

rockwell1080 · 24. November 2023

MaLow17 schrieb:
Viel zu kompliziert. Jedes Kind kommt mit Bordmitteln ins Windows. Verstehe nicht, wieso überhaupt Geld investiert wird, um die Sicherheit zu testen, wenn es doch so leicht geht:

Geht das dann auch für einen Account mit Windows Hello PIN? Diese wird im TPM abgespeichert laut Microsoft.

FOSS-Fox · 24. November 2023

lorpel schrieb:
Bitlocker mit Bootscreen Passwort Abfrage. Alles andere kann man vergessen.

VeraCrypt ist besser bzw. sicherer als eine Closed Source Methode eines US-Unternehmens.
Dazu braucht es auch kein Windows Pro.

lorpel · 25. November 2023

@FOSS-Fox Von veracrypt kann ich nur abraten. Hat mir 2x fast den Laptop zerschossen. Bitlocker läuft seit Jahren problemlos.

Suche

News Dell, Lenovo und Microsoft: Forscher umgehen Login per Fingerabdruck unter Windows

Boimler

Commander

Mithos

Lt. Commander

SSD960

Captain

Lora

Lieutenant

KainerM

Vice Admiral

stylemongo

Cadet 2nd Year

hupf

Newbie

Darklordx

Admiral

rockwell1080

Lieutenant

FOSS-Fox

Gast

lorpel

Lt. Commander

Ähnliche Themen

Passend zum Thema

Razer USB 4 Dock USB4-Docking-Station mit 14 Ports und „2,4-GHz-Anschluss“

Grafikchips für Notebooks Modellvarianten der RX 8000M und Strix Halo beschrieben

AMD APU-Roadmap Bisher keine neuen Notebook-Chips für 2026 in Sicht