News Dell, Lenovo und Microsoft: Forscher umgehen Login per Fingerabdruck unter Windows

[Boimler]

Bei genauerem Lesen scheint die Schwachstelle eigentlich nicht der Fingerabdrucksensor, sondern die Kommunikation über den USB-Kanal zu sein. Die Reduzierung der Meldung auf "Erkannt" oder "Nicht-Erkannt" ist in meinen Augen eine Sicherheitsgarantie, weil die Daten über den Abdruck an sich nicht im Host verarbeitet werden. Wenn das Signal natürlich auf einem angreifbaren, weil gängigen, USB-Kanal übertragen werden, ist das ein Einfallstor. Aber im Vergleich zur generellen Unsicherheit von Fingerabdrücken ist das wahrscheinlich keine relevante Sicherheitslücke.

 

[Mithos]

Ja Ich sags ja immer bleibt bei PW allein weil bsp. die Cops euch so ganz einfach zur entspeerung nötigen können von Mobilfunkgeräten.

Du kannst bei Smartphones die biometrische gesperrt sind die PW Abfrage erzwingen. Beim iPhone drückt man mehrmals hintereinander die Seitentaste.

Man kann sagen, was man möchte, aber ich bin fest davon überzeugt, dass eine Sicherung mit einem Fingerabdruck zu den unsichersten und schlechtesten Methoden gehört.

Biometrische Sperren sind ja auch nicht zur Steigerung der Sicherheit, sondern für den Komfort da. Niemand sagt, dass sie sicherer sind als gute Passwörter.

 

[SSD960]

Also rein persönlich betrachtet fand ich Fingerprint noch nie sicher. Aber bequem. Und Lücken gibt es immer wieder

 

[Lora]

Biometrischen Daten werden nie so sicher sein wie starke Passwörter, nennt mich altmodisch aber ich bin einfach in der Hinsicht ein Passwort Mensch. Kann mich auch nicht mit USB Keys anfreunden.

Da bleibt man doch lieber Traditionell 🙂

 

[KainerM]

Du kannst bei Smartphones die biometrische gesperrt sind die PW Abfrage erzwingen. Beim iPhone drückt man mehrmals hintereinander die Seitentaste.

Einfach ein paar Mal irrtümlich den Falschen Finger verwenden, dann wird der Fingerabdruckleser gesperrt.
Aber Bitlocker macht man sowieso nicht über den Windows-Login, wenn mans sicher haben will.

Mfg

 

[stylemongo]

Darum Preboot Authentification, SED Verschlüsselung aktivieren, und den Datenträger per Full Disk Encryption verschlüsseln (PWD/Cert keine Biometrie).

 

[hupf]

Bei genauerem Lesen scheint die Schwachstelle eigentlich nicht der Fingerabdrucksensor, sondern die Kommunikation über den USB-Kanal zu sein. Die Reduzierung der Meldung auf "Erkannt" oder "Nicht-Erkannt" ist in meinen Augen eine Sicherheitsgarantie, weil die Daten über den Abdruck an sich nicht im Host verarbeitet werden. Wenn das Signal natürlich auf einem angreifbaren, weil gängigen, USB-Kanal übertragen werden, ist das ein Einfallstor. Aber im Vergleich zur generellen Unsicherheit von Fingerabdrücken ist das wahrscheinlich keine relevante Sicherheitslücke.

Im Idealfall sollte aber auch der Fingerabdrucksensor nicht dauerhaft einen Fingerabdruck bzw sein digitales Abbild speichern. Stattdessen, sollte er jedes mal beim scanen ein Signing Key vom Fingerabdruck abgeleitet werden.
Mit dem Signing key sollte die Sensorkomponente dann eine Challenge vom OS signieren können, wodurch der user eingeloggt wird.
Danach sollte der private key wieder aus dem Speicher des Sensors gelöscht werden, damit er eben nie länger als nötig präsent ist.
Da der Fingerabdruck jedes mal der gleiche ist, ist der Private key auch jedes mal identisch, somit sollte der user sich jedes mal problemlos einloggen können.

Natürlich leben wir nicht in einer idealen Welt, weswegen Korrekturfaktoren für zb dreckige Fingerabdrücke existieren müssen. Zwangsweise verringert man dadurch die Anzahl erkennbarer unterschiedlicher fingerabdrücke. Dem kann man mit höheren Auflösungen entgegen wirken, aber das kostet und das ist wahrscheinlich die Crux in diesem Fall.
Außerdem sollte Windows nach mehrfachem Fail des Fingerabdruck-Unlocks zwangsweise ein Passwort fordern um Brute force attacken auf die verhältnismäßig geringe Anzahl von verschiedenen fingerabdrücken einzuschränken.

 

[Darklordx]

Um die geht es sich aber doch gar nicht. Wieso wird immer wieder gegenübergestellt? Kein System ist sicher!

Letzten Satz im Artikel nicht gelesen?

Weitere Untersuchungen soll es außerdem unter Linux, Android sowie auf Apple-Geräten geben.

Ich habe also gar nichts gegenübergestellt, sondern mich nur auf diesen Satz bezogen. Und ja: Kein System ist sicher.

 

[rockwell1080]

Viel zu kompliziert. Jedes Kind kommt mit Bordmitteln ins Windows. Verstehe nicht, wieso überhaupt Geld investiert wird, um die Sicherheit zu testen, wenn es doch so leicht geht:

Geht das dann auch für einen Account mit Windows Hello PIN? Diese wird im TPM abgespeichert laut Microsoft.

 

[FOSS-Fox]

Bitlocker mit Bootscreen Passwort Abfrage. Alles andere kann man vergessen.

VeraCrypt ist besser bzw. sicherer als eine Closed Source Methode eines US-Unternehmens.
Dazu braucht es auch kein Windows Pro.

 

[lorpel]

@FOSS-Fox Von veracrypt kann ich nur abraten. Hat mir 2x fast den Laptop zerschossen. Bitlocker läuft seit Jahren problemlos.