News Biometrische Sicherheit: Venenerkennung mit Hausmitteln überlistet

mischaef

Kassettenkind
Teammitglied
Dabei seit
Aug. 2012
Beiträge
3.528
Lange galt sie als das sicherste biometrische Verfahren zur Identifizierung bei gesicherten Zugängen, noch vor Fingerabdruck- und Iriserkennung: Die Venenerkennung. Nun haben zwei Experten es geschafft, das System mit teils einfachen Methoden zu umgehen. Das hat weitreichende Folgen.

Zur News: Biometrische Sicherheit: Venenerkennung mit Hausmitteln überlistet
 

estros

Admiral
Dabei seit
Sep. 2009
Beiträge
7.447
Klingt für mich eher nach CIA Handwerk, als für real interessant.

Dann doch lieber in der Pediküre einsetzbar, Erkennungswahrscheinlichkeit = Null.
 

mischaef

Kassettenkind
Ersteller dieses Themas
Teammitglied
Dabei seit
Aug. 2012
Beiträge
3.528
*hust* danke....
 

BoardBricker

Lt. Junior Grade
Dabei seit
Juli 2013
Beiträge
453
Wenn - laut Artikel - in Japan mit dieser Methode der Zahlungsverkehr abgesichert werden soll, dann betrifft das durchaus schneller als gedacht den Ottonormalverbraucher. In dem Fall kann gar nicht früh genug gezeigt werden, welche Schwächen so ein System hat.
Daher ein großes Danke an die beiden Hacker!
 

NighteeeeeY

Lt. Commander
Dabei seit
Jan. 2007
Beiträge
1.854
Venenscanner mit Pulserkennung, Fingerabdruckscanner, Irisscanner und Infrarotkamera. Kann man doch ganz easy einfach alles kombinieren?

Man stellt sich vor eine Tür, guckt auf eine schwarze Scheibe und legt seine Hand irgendwo auf und innerhalb von 2 Sekunden ist die Tür auf.

Immer nur auf eine der Methoden zu vertrauen ist schon etwas kurzsichtig, nicht? Gerade wenn es um Atomkraftwerke oder die BND Zentrale geht?

Wenn ich mir ein Haus bauen würde heut zu Tage, wäre das mein Türöffnersystem. Und adieu Schlüssel für immer.
 

BOBderBAGGER

Fleet Admiral
Dabei seit
Feb. 2008
Beiträge
11.801
Die Reaktion der Hersteller ist wie immer die gleiche.
„Hey wir haben euer System ausgehebelt“ „keine Sorge das ist nur theoretisch möglich und wir werden nichts unternehmen „ ... bis einer weint .
@NighteeeeeY
Sicher geht das nur wer will das bezahlen ?
 

Ilsan

Lt. Commander
Dabei seit
März 2012
Beiträge
1.498
Venenscanner mit Pulserkennung, Fingerabdruckscanner, Irisscanner und Infrarotkamera. Kann man doch ganz easy einfach alles kombinieren?

Man stellt sich vor eine Tür, guckt auf eine schwarze Scheibe und legt seine Hand irgendwo auf und innerhalb von 2 Sekunden ist die Tür auf.

Immer nur auf eine der Methoden zu vertrauen ist schon etwas kurzsichtig, nicht? Gerade wenn es um Atomkraftwerke oder die BND Zentrale geht?

Wenn ich mir ein Haus bauen würde heut zu Tage, wäre das mein Türöffnersystem. Und adieu Schlüssel für immer.
Genau, mehrere System kombinieren, zumal man sie auch smart ein und ausschalten kann. Wenn ich 2 Wochen im Urlaub bin muss der Fingerprintreader nicht die ganze Zeit eingeschaltet bleiben. Die Putzfrau kommt immer gegen 3 ? Also die Elektronik dann in diesem Zeitintervall einschalten.

Ansonsten eingelogtes Handy im WLAN usw kann man zusätzlich auch noch kombinieren. Sprich wenn das Handy vor der Tür ist reicht Fingerabdruck, wenn ohne Handy muss man noch einen Pin eingeben usw.
Man muss hier alles miteinander kombinieren, wenn ich grade im Bett liege, sollte das System smart genug sein dies zu wissen, und dass wenn grade mein Fingerabdruck am Leser an der Wohnungstür gescannt wird da doch irgendwas faul zu sein scheint und ein Alarm ausgelöst wird, bzw einfach mal das Licht im Flur eingeschaltet wird sodass der Einbrecher direkt flüchtet.
 

Aslo

Lieutenant
Dabei seit
Mai 2014
Beiträge
526
Also das hört sich für mich wesentlich aufwändiger und komplexer an, als ein normales Passwort zu cracken.
 

Ilsan

Lt. Commander
Dabei seit
März 2012
Beiträge
1.498
Mag sein Aslo aber die Entwicklung geht weiter, und die Frage ist wie oft du bereit bist in Zukunft den Scanner zu wechseln den du erst für 1000euro gekauft hast. Die Hersteller fallen hier nicht besonders durch "ja wir tauschen euch die mal eben alle frei Haus aus, ist ja ansonsten Sicherheitsrisiko" auf.
Also ich persönlich hätte da keine Lust drauf.
 

NetSoerfer

Cadet 3rd Year
Dabei seit
Apr. 2007
Beiträge
42
Die Umsetzbarkeit des Angriffs schränkt die Reichweite der Folgen doch ziemlich ein, würde ich behaupten - ich wüsste jedenfalls nicht, wie ich an jemandes Venenstruktur herankommen soll, ohne dass der das mitbekommt. Und wie die Hersteller schon sagen gibt es wahrscheinlich auch noch den Faktor Wissen zum Faktor Haben, wo diese Systeme eingesetzt werden. Eine etwas gemäßigtere Berichterstattung scheint aber beim Thema der jährlichen CCC-Biometriehacks nicht weit oben auf der Prioritätenliste zu stehen.

Allerdings überrascht es doch, dass offenbar keinerlei Tiefen- oder Bewegungsinformationen abgefragt werden, gerade weil diese Systeme ja nicht in sicherheitsunkritischen Bereichen eingesetzt werden.
 

BoardBricker

Lt. Junior Grade
Dabei seit
Juli 2013
Beiträge
453
@Aslo :
Aufwändiger natürlich, wobei das SIcherheitssystem selbst ja auch aufwändiger ist als ein einfaches Passwort. Die Frage ist halt, ob es demjenigen den Aufwand Wert ist, der damit etwas erreichen möchte. Wenn man damit Zahlungsverkehr autorisieren kann und die Möglichkeit hat, möglichst wohlhabende Opfer abzufischen, kann sich das schnell lohnen.
Welchen Aufwand wäre es denn einem Geheimdienst wert, irgendwo jemanden einschleusen zu können? Wenn es dafür schon reicht, die Sekretärin einer BND-Abteilung im Sonnenstudio abzulichten, dann ist es den Versuch auf jeden Fall wert.
 

NighteeeeeY

Lt. Commander
Dabei seit
Jan. 2007
Beiträge
1.854
Sicher geht das nur wer will das bezahlen ?
Also Fingerabdruckscanner, Irisscanner und Infrarotkamera kriegst du ja mittlerweile in jedem Smartphone hinterhergeworfen. Venenscanner mit Pulserkennung kann man auch ganz normal kaufen in allenmöglichen Varianten. Auch für Wohnungstüren und dergleichen. Im Vergleich zu den Kosten für ein ganzes Haus ist das absolut marginal.
 

Ilsan

Lt. Commander
Dabei seit
März 2012
Beiträge
1.498
m Vergleich zu den Kosten für ein ganzes Haus ist das absolut marginal.
Ja nur gibt es eben 100 von diesen Dingen beim Hausbau die "nur einen Bruchteil der Gesamtkosten" ausmachen;) Läppert sich halt, man viel dies, man will das, und schnell ist man bei 50k euro mehr. Zumal so billig das an der Haustür auch nicht, hier muss/will der Hersteller auch wieder gewisse Normen erfüllen. Für Zertifikate muss man es dann extern prüfen lassen, auch das kostet wieder und zahlt der Kunde indirekt mit am Ende. Und zum Schluss hat man durch ein System alleine eh keine absolute Sicherheit. Und will der Hersteller im Laufe des Produktzyklus mal ne Komponente tauschen kann er das auch nicht weil er dann seine Zertifikate wieder verliert weil die sich nur auf das beziehen wie es ursprünglich getestet wurde. Also alles net so einfach und billig.
 

Luthredon

Lieutenant
Dabei seit
Okt. 2015
Beiträge
645
Würden die gleichen Leute mit dem gleichen Aufwand (umgebaute DSLR, klar, hat jeder daheim) ordinäre Schlüssel kopieren, kämen sie in 99,9% aller Häuser und Wohnungen rein. Warum wird darüber nicht berichtet? Bisschen Angst machen bitte! Und aus so einem Haus ist oft weit mehr rauszuholen, als aus dem Handy von Lieschen Müller.

Ehrlich, langsam kann ichs nicht mehr hören. Ja, nix ist 100% sicher - so what? Für den Gelegenheitsdieb reichts und die Vollprofis kommen fast überall rein. Wäre das nicht irgendwann mal ausreichend besprochen?
 
Top