News OLED-Displays: BOE integriert Qualcomms Fingerabdrucksensor

[Mithos]

...

Ich bezweifle, dass dies genau genug ist, um damit Face ID zu überlisten. Aber mal angenommen es wären passende Tiefen, dann müsstest du immernoch ein Modellkopf basteln, welcher genau diese Informationen hat. Einfach das Display vor die Kamera halten funktioniert nicht.

 

[pmkrefeld]

Aber mal angenommen es wären passende Tiefen, dann müsstest du immernoch ein Modellkopf basteln

Schent ja super schwer zu sein, kriegt wahrscheinlich nicht einmal die CIA hin:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[Mithos]

Schent ja super schwer zu sein, kriegt wahrscheinlich nicht einmal die CIA hin

Das führt doch das Ganze ins Absurde. Zuerst war meine Aussage, dass man Zugang zum echten Gesicht brauchst, du meinst ein Foto reicht dafür. Auf die Anmerkung, dass ein Foto keine Tiefeninformationen hat, kam eine Software ins Spiel, welche versucht diese zu "erraten".
Darauf erwiederte ich, dass man selbst mit Tiefeninformationen, welche die Software sicherlich nicht einmal korrekt liefert noch eine Maske braucht.

Jetzt schickst du ein Video, wo einer eine Maske macht, nachdem er erst einmal das Gesicht in einem Aufwand scannt, um dieses Bild dann noch dann eine Maske anzufertigen.

Also halten wir fest, FaceID lässt sich überlisten, wenn man das Opfer dazu bringen kann, für eine Laservermessung des Gesichts still zu halten, damit man aufwendig eine Maske machen kann. Das war auch schon bekannt, es ging in der Diskussion von Bildern auf sozialen Medien, wie du sagtest.

Jetzt zeigst du mir noch einmal ein Video, wo ein normales Foto z.B. eines Facebooks-Profil als Grundlage genommen wird.

 

[pmkrefeld]

Jetzt zeigst du mir noch einmal ein Video, wo ein normales Foto z.B. eines Facebooks-Profil als Grundlage genommen wird.

Natürlich, und dann suche ich für dich ein Video wie man das ganze aus Pappmasche baut, weil 3D Drucker nicht realistisch sind. Und im nächsten Schritt stimmt dann etwas mit den verwendeten Fotos nicht, ist schon klar.
Ich glaube nicht dass ich etwas zeigen was dich vom Gegenteil überzeugen könnte. Ist ja praktisch wie bei den Flat Earthers, am Ende wird alles CGI gewesen sein. Alle die sich mit dem Thema beschäftigt haben wissen dass dies nur einfachsten Schutz bietet und haben es akzeptiert. Wenn es für dich ausreichend ist, meinetwegen, aber zu behaupten das sei alles sicher nur weil es einem anders nicht passt, ist bestenfalls illusorisch.
Vielleicht drehen wir mal den Spieß um und zur Abwechslung suchst du mal ein paar Quellen die belegen wie sicher biometrische Authentifizierung doch ist. Na? Wie wärs?

 

[Tommy Hewitt]

Ich glaube nicht dass ich etwas zeigen was dich vom Gegenteil überzeugen könnte.

Bisher hast du aber auch noch nicht viel außer Vermutungen und Falschinformationen gebracht. Du hast doch die Behauptung in den Raum gestellt, dass die Fotos auf sozialen Medien reichen würden. Als nächstes kam dann ein Video, wo einer seinen Kopf vorher selbst genau vermessen hat. Ein 3D-Scan meines Gesichts ist allerdings nirgendwo öffentlich zugänglich.

Eine wirklich praktikable Methode FaceID zu überlisten, ohne mich als Person dabei zu haben, gibt es meines Wissens nach nicht. Zumal du auch nur fünf Versuche hast, danach wird der Code verlangt. Dazu die Einstellung, dass nach dem 10. Fehlversuch alles platt gemacht wird. Und da so eine Maske doch einige Stunden braucht um fertig zu sein, kann ich auch noch gemütlich den Befehl zum Datenlöschen schicken.

 

[Mithos]

Versuch dich jetzt nicht rauszureden, du hast die These aufgestellt. Du kannst es nicht zeigen und willst jetzt andere als Blöd darstehen lassen.
Du sagtest, man überlistet FaceID mit einem einfachen Foto von sozialen Netzwerken. Wenn das so einfach geht, dann zeig es.

Vielleicht drehen wir mal den Spieß um und zur Abwechslung suchst du mal ein paar Quellen die belegen wie sicher biometrische Authentifizierung doch ist. Na? Wie wärs?

Du weißt schon wie dämlich das ist? Ich soll dir also Belegen, dass man es nicht überlisten kann?
Das ist als wenn jemand belegen soll, dass es Gott nicht gibt.

Außerdem müsste man sich erstmal einigen, was man unter sicher versteht. Wenn man, um das System zu überlisten zuerst eine Vermessung des Gesichts vornehmen muss, um danach mit dem 3D Drucker eine Maske zu drucken und auch im Besitz des Handys sein muss, dann würde ich solch ein System durchaus als sicher bezeichnen.

 

[nighteeeeey]

...sodass die Wahrscheinlichkeit, dass ein fremder Anwender sich mit seinem Fingerabdruck anmelden kann, um den Faktor 20 von 1:50.000 auf 1:1.000.000 gestiegen ist.

Ich will ja nicht klugscheißen, aber das ist semantisch leider nicht ganz korrekt. Entweder ist die Wahrscheinlichkeit auf 1:1000000 gesunken oder Wahrscheinlichkeit müsste in etwas negiertes verwandelt werden, also die "Nichtwahrscheinlichkeit" ist gestiegen. Aber beides ist falsch. Ich hoffe das ergibt Sinn.

Ist mir hier aber schon öfter aufgefallen, dass da alles in einen Topf geworfen wird wenns hier um die Veränderung von Wahrscheinlichkeiten geht.

 

[pmkrefeld]

. Als nächstes kam dann ein Video, wo einer seinen Kopf vorher selbst genau vermessen hat. Ein 3D-Scan meines Gesichts ist allerdings nirgendwo öffentlich zugänglich.

Dann hast du was verpasst, ich habe eine Seite verlinkt die genau das demonstriert: aus einem einzelnen Foto ein 3D Modell zu erstellen, natürlich handelt es sich um eine einzelne perspektive, mehr braucht man aber für ein System nicht dass nur auf einer Kamera basiert.

Und wenn doch gibt es Software die auch das mit nicht allzu viel Aufwand schafft. In der Regel wird diese verwendet um 3D Objekte mit handelsüblichen Kameras einzuscannen, aber was man trianguliert ist dieser herzlich egal.
Alternativ trainiert man einfach eine AI an, Deep Fakes sind auch nicht gerade neu und ähnliche Vorgehensweise wüde sich auch hier anbieten.

Du weißt schon wie dämlich das ist? Ich soll dir also Belegen, dass man es nicht überlisten kann?

Was ist daran dämlich? Du forderst von mir genau das gleiche, oder nicht?
Hier geht es nicht darum zu beweisen dass es prinzipiell nicht überlistet werden kann, das ist in der Tat sehr schwierig, sondern dass es mit dieser Methode nicht möglich ist. Ich habe Beispiele geliefert wie die einzelnen Schritte aussehen könnten, und dass diese heutzutage ohne weiteres umsetzbar sind. Man müsste doch belegen können dass genau diese Methoden nicht funktionieren, oder etwa nicht?
Abgesehen davon sprechen wir von einem 'Sicherheits'-Feature dass Millionen von Menschen verwendet wird, da müsste man doch annehmen können dass unzählige Parteien mehr oder weniger professionelle Penetrationstests durchgeführt haben die genau so etwas widerlegen.

Versuch dich jetzt nicht rauszureden, du hast die These aufgestellt.

Welche Gegenthese und Belege hast du bitte aufgestellt?
Wenn ich merke, dass nachvollziehbare Argumentation mit Verweisen auf die Machbarkeit des ganzen zu Null einsicht führen und keinerlei Gegenargument gebracht werden, was soll ich deiner Meinung nach tun?

Das ganze ist insofern unproblematisch als dass es sich in den meisten Fällen nicht lohnt die Mobiltelefone zufälliger Menschen zu entsperren. Das ist der einzige Grund wieso das noch gut geht.

 

[Tommy Hewitt]

Dann hast du was verpasst, ich habe eine Seite verlinkt die genau das demonstriert: aus einem einzelnen Foto ein 3D Modell zu erstellen, natürlich handelt es sich um eine einzelne perspektive, mehr braucht man aber für ein System nicht dass nur auf einer Kamera basiert.

Und wenn doch gibt es Software die auch das mit nicht allzu viel Aufwand schafft. In der Regel wird diese verwendet um 3D Objekte mit handelsüblichen Kameras einzuscannen, aber was man trianguliert ist dieser herzlich egal.
Alternativ trainiert man einfach eine AI an, Deep Fakes sind auch nicht gerade neu und ähnliche Vorgehensweise wüde sich auch hier anbieten.

Ob diese 3D-Modelle allerdings dann auch funktionieren steht weiterhin im Raum.

Bei dem nötigen Aufwand in Verbindung mit den Kosten und der doch eher geringen Erfolgswahrscheinlichkeit, seh ich für einen normalen Privatbenutzer absolut keine Gefahr.

Zumal man Codes auch abfilmen kann, die geb ich in der Regel auch nicht in einem dunklen Eck mit verdeckter Hand ein.

 

[pmkrefeld]

Ob diese 3D-Modelle allerdings dann auch funktionieren steht weiterhin im Raum.

Wieso? Wir wissen das die Rekonstruktion funktioniert, die Methode wird auch Anhand von Videos demonstriert.
Wir wissen ebenfalls dass aus 3D Modelle erstellte Maske, und zwar nicht einmal besonders gute Systeme wie FaceID überlisten können.
Ebenfalls wissen wir dass FaceID einiges an Spielraum zulassen muss um nicht im Alltag komplett nutzlos zu sein (Make-Up, Piercings, Brillen, Bartwuchs, Kopfbedeckung, etc.) was die Sicherheit in irgendeinem Ausmaß mindert.

Oder anders gefragt? Wieso sollte es nicht funktionieren? Apple kocht auch nur mit Wasser.

Bei dem nötigen Aufwand in Verbindung mit den Kosten und der doch eher geringen Erfolgswahrscheinlichkeit, seh ich für einen normalen Privatbenutzer absolut keine Gefahr.

Mit etwas langeweile liese sich der Prozess komplett automatisieren, das einzige was man dann lediglich bräuchte ist ein 0815 3D Drucker, also potenziell kein hoher Aufwand.
Gründe, wiese die Erfolgswahrscheinlichkeit niedrig sein soll hast du auch noch nicht genannt.
Und es geht hier nicht um das unmittelbare Risiko, sondern das langfristige. Wenn diese Methoden weiter Anklang finden und als sicher angesehen werden dann wird man sie auch häufiger einsetzen. Und wenn wir einmal an dem Punkt sind wo ich mich mit biometrischen Daten allein bspw. bei Amazon anmelden kann, dann ist der potenzielle Nutzen für einen Betrüger auch ein ganz anderer. Geschweige den wie man in so einem Fall versuchen sollte einen Identitätsdiebstahl nachzuweisen wo man sich doch mit so sicheren Methoden 'identifiziert' hat.

Zumal man Codes auch abfilmen kann, die geb ich in der Regel auch nicht in einem dunklen Eck mit verdeckter Hand ein.

Natürlich kann man das, deshalb fände ich es super wenn man beides verbinden könnte, geht aber wieso auch immer nicht. Abgesehen davon hat es nichts dazu beizutragen, ob und wie sich FaceID und Konkurrenten austricksen lassen.

Und Gute Nacht.

 

[lucdec]

Wir wissen ebenfalls dass aus 3D Modelle erstellte Maske, und zwar nicht einmal besonders gute Systeme wie FaceID überlisten können.
Ebenfalls wissen wir dass FaceID einiges an Spielraum zulassen muss um nicht im Alltag komplett nutzlos zu sein (Make-Up, Piercings, Brillen, Bartwuchs, Kopfbedeckung, etc.) was die Sicherheit in irgendeinem Ausmaß mindert.

Und es geht hier nicht um das unmittelbare Risiko, sondern das langfristige. Wenn diese Methoden weiter Anklang finden und als sicher angesehen werden dann wird man sie auch häufiger einsetzen. Und wenn wir einmal an dem Punkt sind wo ich mich mit biometrischen Daten allein bspw. bei Amazon anmelden kann, dann ist der potenzielle Nutzen für einen Betrüger auch ein ganz anderer. Geschweige den wie man in so einem Fall versuchen sollte einen Identitätsdiebstahl nachzuweisen wo man sich doch mit so sicheren Methoden 'identifiziert' hat.

Okay, also das ist ja jetzt eine andere Frage. Natürlich wird uns die Sicherheit und die Omnipräsenz solcher Systeme als Gesellschaft beschäftigen. Aber die Prämisse, über die wir jetzt die ganze Zeit gesprochen haben, war die Sicherheit solcher Systeme im Alltag. Und da habe ich deine Posts so verstanden, dass du diese Systeme ablehnst, weil sie anscheinend keine Sicherheit bieten.

Ich bin weder Chef eines Drogenkartells, noch werde ich (meines Wissens) von der CIA gesucht. Ich brauche also in meinem Alltag Sicherheitsysteme, die mir einen minimalen Schutz vor Kleinkriminellen, die mir mein Handy stehlen, bieten.

FaceID ist wohl das sicherste Schutzsystem in meinem Leben. Und wenn Amazon mein Passwort abfragt, dann scannt mich FaceID schon heute und füllt alles aus. Wenn jemand mein Amazon-Password will, ist es für ihn leichter, das Ding über Brut-force herauszufinden oder mich zu zwingen es ihm zu sagen...

Es geht darum, Leuten, die bisher einen PIN-Code à la 1234 oder ein Passwort wie Passwort123 benutzt haben, ein besseres Schutzsystem zu geben.

 

[Tommy Hewitt]

Wieso? Wir wissen das die Rekonstruktion funktioniert, die Methode wird auch Anhand von Videos demonstriert.
Wir wissen ebenfalls dass aus 3D Modelle erstellte Maske, und zwar nicht einmal besonders gute Systeme wie FaceID überlisten können.

Gründe, wiese die Erfolgswahrscheinlichkeit niedrig sein soll hast du auch noch nicht genannt.

Ich kenne natürlich die Videos, hab das Thema damals ja auch verfolgt. Diese haben aber alle eine Gemeinsamkeit: Es waren immer die Besitzer selbst, die ihr iPhone "geknackt" haben. Der Typ in deinem verlinkten Video hat sein Gesicht dabei sogar mittels 3D-Scanner vermessen. Mein eigenes Gesicht nachzubilden ist halt in meinen Augen was ganz anderes als ein komplett fremdes Gesicht anhand von irgendwelchen Popelbildern auf Facebook.

Was die Erfolgswahrscheinlichkeit eben deutlich mindert, ist die geringe Anzahl an Versuchen. Die aus dem nichts erstellte Maske muss eigentlich sofort funktionieren, sonst war das alles umsonst.

Mir wäre zumindest bisher kein Fall bekannt, wo jemandes gestohlenes iPhone geknackt wurde.

Natürlich kann man das, deshalb fände ich es super wenn man beides verbinden könnte, geht aber wieso auch immer nicht.

FaceID und Code wäre dabei sogar relativ komfortabel. Während man den Code eingibt, würde ja direkt das Gesicht gescannt werden. Ich würde es zwar nicht einsetzen, aber die Option könnte Apple durchaus einbauen.

 

[pmkrefeld]

Aber die Prämisse, über die wir jetzt die ganze Zeit gesprochen haben, war die Sicherheit solcher Systeme im Alltag

Darum geht es ja auch, für mich ist aber nicht nur entscheidend wie der Alltag heute, sondern wie er in 1, 5 oder 10 Jahren aussieht. Als Vorschau kann man sich gerne China anschauen was biometrische Auswertung angeht.
Und es gibt heute schon Szenarien über die man nicht nachdenken möchte, schau dir mal eine Doku über Identitätsdiebstahl in Deutschland an und wie schwer es ist als betroffener dagegen anzukommen, absoluter Horror.

Ich bin weder Chef eines Drogenkartells, noch werde ich (meines Wissens) von der CIA gesucht.

Darüber fange ich garnicht erst an zu diskutieren, ein Zitat reicht völlig aus:

Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say.

Wenn jemand mein Amazon-Password will, ist es für ihn leichter, das Ding über Brut-force herauszufinden oder mich zu zwingen es ihm zu sagen...

Das bezweifele ich stark, heutzutage sind Brute-Force Attacken nur in ganz bestimmten Szenarien sinnvoll. Und wenn das eigene Passwort "123456" lautet dann ist nicht das Passwort das Problem sondern man selbst.

Mein eigenes Gesicht nachzubilden ist halt in meinen Augen was ganz anderes als ein komplett fremdes Gesicht anhand von irgendwelchen Popelbildern auf Facebook.

Wieso jeder sein eigenes Gesicht in solchen versuchen verwendet ist doch klar, man braucht ein 'echtes' Gesicht um FaceID einzurichten, damit man es überwinden kann. Alles andere könnte schnell als kriminell eingestuft werden. Und die Qualität von Selfies ist heutzutage besser als je zuvor.

FaceID und Code wäre dabei sogar relativ komfortabel.

Das sehe ich genauso.

Die aus dem nichts erstellte Maske muss eigentlich sofort funktionieren, sonst war das alles umsonst.

Wenn man einmal ein funktionierendes System entwickelt hat, sehe ich hier keine großen Hürden.

 

[Tommy Hewitt]

Wieso jeder sein eigenes Gesicht in solchen versuchen verwendet ist doch klar, man braucht ein 'echtes' Gesicht um FaceID einzurichten, damit man es überwinden kann. Alles andere könnte schnell als kriminell eingestuft werden. Und die Qualität von Selfies ist heutzutage besser als je zuvor.

Naja, man könnte ja auch mit Erlaubnis versuchen ein "fremdes" iPhone zu knacken. Ohne dass die Person zur Verfügung steht. Ein Selfie ist halt immer noch kein 3D-Scan ^^

Wenn man einmal ein funktionierendes System entwickelt hat, sehe ich hier keine großen Hürden.

Wobei sich ja auch die Sicherheitstechnik immer weiter entwickelt, FaceID wird die nächsten 10 Jahre wohl nicht auf dem jetzigen Stand verweilen.

Für mich bleibt FaceID im normalen Alltag weiterhin ein recht großer Komfortgewinn, der im Vergleich zu vielen anderen Methoden auch einen enormen Sicherheitsgewinn mit sich bringt.