ComputerBase Menü
Aktuelles

News Dell, Lenovo und Microsoft: Forscher umgehen Login per Fingerabdruck unter Windows

Ayo34 schrieb:
Stimmt einfach nicht! Häufig wird eine Festplatte verschlüsselt in einem Notebook und da kommt dann auch keiner heran, außer er kennt den Schlüssel.
Zum Vergrößern anklicken....
Physischer Zugriff kann auch bedeuten, dass ich dir einen Hardeare-Keylogger einbaue und die Erkenntnisse beim nächsten physischen Zugriff nutze.
Sofern ich etwas gegen Secure-Boot in der Hand hab, kann ich dir auch was auf die Boot-Partition schieben.
 
Zuletzt bearbeitet:
pseudopseudonym schrieb:
Physischer Zugriff kann auvh bedeuten, dass ich dir einen Hardeare-Keylogger einbaue und die Erkenntnisse beim nächsten physischen Zugriff nutze.
Zum Vergrößern anklicken....

Das ist aber wesentlich komplizierter. Der Datendieb muss das Notebook erst unbemerkt klauen, manipulieren, dann dem Besitzer wieder unterschieben und dann nochmal klauen.

Bei diesem Hack des Fingerabdrucksensors reicht es, einfach ein Notebook zu klauen bzw. zufällig zu finden.

Neben dem Zugriff auf die Festplatte, bekommt man vielleicht sogar Zugriff per VPN auf ein Firmen-Intranet usw. Das ist potentiell schon eine ziemlich heftige Sicherheitslücke für professionell genutzte Notebooks.
 
  • Gefällt mir
Reaktionen: Aeroway, devanet, netzgestaltung und 5 andere
Jeder zweite Artikel auf CB hat gefühlt mit Sicherheitslücken zu tun. Ich als "Normalo-User" bin da schon längst überfordert. Da wird einem schwindlig, wenn man an die Zukunft denkt.
 
  • Gefällt mir
Reaktionen: Aeroway und Slim.Shady
Ehrlicherweise muss man sagen, dass bei vielen dieser Lücken 1. physischer Zugriff nötig ist und 2. es sich kaum lohnt einem zufälligen „Normalo“ den Laptop (für die Daten) abzuziehen, abgesehen vom reinen Wert des Gerätes.
Ergänzung ()

PusteBlume0815 schrieb:
Jeder zweite Artikel auf CB hat gefühlt mit Sicherheitslücken zu tun. Ich als "Normalo-User" bin da schon längst überfordert. Da wird einem schwindlig, wenn man an die Zukunft denkt.
Zum Vergrößern anklicken....
 
  • Gefällt mir
Reaktionen: SIR_Thomas_TMC
Herdware schrieb:
Trotzdem scheint das ein besonders einfacher Weg zu sein, um z.B. an den Inhalt einer verschlüsselten Festplatte eines "gefundenen" Notebooks zu kommen.
Zum Vergrößern anklicken....
Ist dem so? Für mich hört sich das nicht so an. Aber bei der Beschreibung von Sicherheitslücken ist ComputerBase selten so exakt wie sie sein sollten. Ich gebe nämlich zu, aus dem CB-Artikel heraus hört es sich so an. Bei den Quellen bin ich mir darüber aber dann doch nicht mehr sicher.

Okay, scheint wohl möglich zu sein laut der Folie:
1700753676472.png

Ergänzung ()

PusteBlume0815 schrieb:
Jeder zweite Artikel auf CB hat gefühlt mit Sicherheitslücken zu tun. Ich als "Normalo-User" bin da schon längst überfordert.
Zum Vergrößern anklicken....
Mein Gefühl sagt, dass die Autoren der Meldungen da meist auch überfordert sind.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Beitrag
PusteBlume0815 schrieb:
Da wird einem schwindlig, wenn man an die Zukunft denkt.
Zum Vergrößern anklicken....

Dann bitte nicht an die Vergangenheit denken, da sollte dir auch schwindelig werden.

Statistisch gesehen sind andere Probleme weitaus gravierender für den Normalnutzer.
Und daran sind die Leute meist selbst schuld.

Auf der anderen Seite kann man dadurch auch selbst etwas dagegen tun.
Niemals 2x das gleiche Passwort usw.
 
  • Gefällt mir
Reaktionen: tollertyp
Taigabaer schrieb:
Wozu Fingerabdruck auslesen? Windows ein paar mal per Hardreset/Stromverlust starten bis die Reparaturkonsole kommt und voila: Da kann man Windows resetten und ohne Passwort/Fingerprint starten. (Wenn ich das noch richtig in Erinnerung habe.) Da haben die ein Schloss geknackt von einem Tor welches schon lange offen steht.
Ergänzung ()


Wie geht das? Hatte es auch mal versucht vor längerer Zeit aber bin nicht weitergekommen.
Zum Vergrößern anklicken....
Der Hauptunterschied besteht wohl darin, dass man mit einem lokalen User meist recht wenig anfangen kann. Mit Windows Hello bist du aber mit einem AD-User angemeldet und kannst deutlich mehr Unfug anstellen.

Grundsätzlich sollte jeder der "geheime" Daten auf dem Gerät hat eine Art von Pre-Boot Authentification aktiv haben, dass erschwert dann in beiden Fällen die Angrifsmöglichkeit.
 
Windows Hello... na gute Nacht, wenn da jemand explizit ein Target ist.
Jede grosse Unternehmung hat Windows Hello integriert und natürlich SSO zu jeder Business-Application.
Sprich man bekommt Zugang zu:
  • Verschlüsselter Festplatte
  • AD/AAD
  • per SSO zu jeder Business-Applicationen (für diesen User natürlich...)
 
Viel zu kompliziert. Jedes Kind kommt mit Bordmitteln ins Windows. Verstehe nicht, wieso überhaupt Geld investiert wird, um die Sicherheit zu testen, wenn es doch so leicht geht:
YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
Und das hat Microsoft noch immer nicht behoben...
Bei Windows 11 ist es noch leichter.
YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Ben_computer_Ba, Valeria und PieczonyKurczak
PusteBlume0815 schrieb:
Jeder zweite Artikel auf CB hat gefühlt mit Sicherheitslücken zu tun. Ich als "Normalo-User" bin da schon längst überfordert. Da wird einem schwindlig, wenn man an die Zukunft denkt.
Zum Vergrößern anklicken....
Vielleicht braucht man das Wissen ueber Sicherheitsluecken in der Zukunft.
 
PusteBlume0815 schrieb:
Jeder zweite Artikel auf CB hat gefühlt mit Sicherheitslücken zu tun. Ich als "Normalo-User" bin da schon längst überfordert. Da wird einem schwindlig, wenn man an die Zukunft denkt.
Zum Vergrößern anklicken....
Mag ja sein, daß es da gefühlt dauernd Artikel über Sicherheitslücken gibt und dir das etwas Angst macht. Bei solch komplexer Hard- und Software ja auch nicht weiter verwunderlich das immer wieder Schwachstellen gefunden werden. Die meisten der hier beschriebenen Sicherheitslücken betreffen Otto-Normal-User kaum oder gar nicht.

Vergiss nicht wer eigentlich die größte Sicherheitslücke und Schwachstelle ist: eben der Otto-Normal-User der wild auf jeden Link in Emails klickt und selbst auf jede noch so billig und vor Rechtschreibfehlern strotzende Phishing Email reinfällt. Das sollte dir eigentlich Angst machen und schwer zu denken geben.
Denke mal üben den sogenannten "Hackerangriff" auf die Funke Mediengruppe nach: für mich war das kein "echter Hackerangriff", es war nämlich so das irgendein armer Trottel auf einen Link in einer Mail geklickt hat. Nur, und nur darum konnte in das System eingedrungen und alle Dateien verschlüsselt werden. Sieht man halt schon wieder schön wer das größte Sicherheitsrisiko ist..
 
PusteBlume0815 schrieb:
Jeder zweite Artikel auf CB hat gefühlt mit Sicherheitslücken zu tun. Ich als "Normalo-User" bin da schon längst überfordert. Da wird einem schwindlig, wenn man an die Zukunft denkt.
Zum Vergrößern anklicken....
Da bist Du nicht der einzige, im Gegenteil, Du gehörst zur Mehrheit.
Die allerwenigsten sichern ihre Geräte wirklich einigermassen gut ab. Wenn ich bsp. meinem Nachbarn ein Windowspasswort "aufschwatzen" (sein Kommentar) will, dann rollt der schon mit den Augen. Weil, wofür soll das nötig sein, es komme ja eh kein Schwein an seinen Laptop.
Bitlocker? Für jedes Login im Internet ein anderes Passwort? Keypass? Alles viel zu umständlich. :evillol:
Und deshalb will er davon partout nichts hören. Und er ist nur einer von vielen.
 
Wirklich sicher ist nur der PreBoot dafor wenn man veracrypt hat.

Ja Ich sags ja immer bleibt bei PW allein weil bsp. die Cops euch so ganz einfach zur entspeerung nötigen können von Mobilfunkgeräten.
 
  • Gefällt mir
Reaktionen: deollz
Ja und? Ist dein Nachbar Geheimnisträger? Geheimagent? Dies das....😜

Die Meldung besitzt jetzt für wie viele Nutzer tatsächlich Relevanz?

0,01 %?

Nachtrag.... wenn die Polizei mich zur Entsperrung nötigen will, muss ich mich aber auch hier in einem dem entsprechenden Umfeld bewegen.

Und wieder sind wir bei wie vielen Nutzern?.....
 
  • Gefällt mir
Reaktionen: tollertyp
Axxid schrieb:
Computer sind nicht sicher, sobald jemand physischen Zugriff auf das Gerät hat. Also alles wie vorher.
Zum Vergrößern anklicken....
Bedingt, eine vernünftige Festplattenverschlüsselung mit einem ausreichend langen Passwort wird nur per Bruteforce knackbar sein und je nach Länge des Passwortes kann das halt ausreichend lang dauern, dass sich der Aufwand nicht mehr lohnt man ein in der Praxis sicheres Gerät hat, auch wenn es theoretisch knackbar ist.

Biometrie ist halt nie sicher, egal ob da MitM Methoden gehen, man einen angefassten Gegenstand entwendet oder ein Foto der Hand mit ausreichend guter Kamera macht.
 
Man kann sagen, was man möchte, aber ich bin fest davon überzeugt, dass eine Sicherung mit einem Fingerabdruck zu den unsichersten und schlechtesten Methoden gehört.

Ich habe schon Kinder gesehen, die zum Spaß den Finger eines schlafenden Freundes für die Entsperrung genutzt haben, um auf dem Smartphone das Hintergrundbild zu ändern.
Es fängt immer klein an...
 
tox1c90 schrieb:
Wenn die Authentifizierung darauf basiert, dass der Chip nach dem Scan dem System einfach nur mitteilt „ja, passt!“, ist das natürlich per Design schon Käse. Diese „ja, passt!“-Message wird sich immer auf die ein oder andere Weise kopieren und einschleusen lassen.
Das muss schon so laufen wie z.B. bei einem TPM, dass der Chip bei erfolgreicher Authentifizierung eine Challenge beantwortet bzw. einen Einmalkey erzeugt, der begrenzt gültig ist und genau einmal verwendet werden kann um ins System zu kommen. Dann bringt MITM nichts, da abgegriffene Keys kein weiteres Mal nutzbar sind. Man kann sie zwar mitschneiden, aber der Mitschnitt ist wertlos.
Und neue Keys erzeugen und einschleusen geht auch nicht, weil das Secret dafür im Chip liegt und nicht bekannt ist, und dieser es nicht rausrückt.
Zum Vergrößern anklicken....
Du verwechselst MitM- mit Replay-Attacken. Bei MitM greife ich den Datenverkehr ab und ändere ihn in Echtzeit ab. Da hilft dann auch kein Nonce. Selbstverständlich schützt SDCP gegen Replay-Attacken.

Aus der SDCP-Spec:

  • The input has to be authenticated.
  • The input cannot be replayable.
  • The input needs to be “fresh” (i.e. nothing in the pipeline has held on to it and used it later).
Zum Vergrößern anklicken....

Zur Veranschaulichung:
d483ae_82ec54df7cb143c6a8ee44802681cb9a~mv2.jpeg
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Baal Netbeck
  • Angepinnt
Leserartikel Anleitung zum Undervolting von aktuellen Intel+Nvidia Notebooks
9 10 11
Antworten
215
Aufrufe
91.648
c9hris
c9hris
IBMlover
Leserartikel Huawei MateBook 14 AMD 2020 Testbericht
2 3 4
Antworten
75
Aufrufe
25.357
Woookie
Woookie
azereus
nützliche Tools und Programme für Windows
Antworten
4
Aufrufe
10.461
azereus
azereus

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz