Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsDell, Lenovo und Microsoft: Forscher umgehen Login per Fingerabdruck unter Windows
Viele Windows-Nutzer vertrauen heutzutage auf die Anmeldung per Fingerabdruck. Die dafür erforderlichen Sensoren gehören in zahlreichen modernen Notebooks inzwischen zum Standard. Forschern ist es nun gelungen, den Biometrie-Login per Windows Hello auf Notebooks von Dell, Lenovo und Microsoft zuverlässig zu umgehen.
"Microsoft hat angeblich eine sichere Basis geschaffen" halte ich für eine unglückliche Formulierung. Sie haben es ja nachweislich geschaffen, nur ob sie ausreichend sicher ist, ist nicht klar. Also dann schreiben"Microsoft hat eine angeblich sichere Basis geschaffen." Kleiner Unterschied.
Unterm Strich blöd.. aber in Verbindung mit einer Smartcard für mich immer noch ok..
Was der Artikel noch schuldig bleibt, muss ich den Laptop dafür physisch aufmachen, also Abdeckungen runter, oder wie kommt das Signal an den RasPi? Soweit ich das verstehe kann ich den USB ja nicht "abhören" wie bei CAN oder WiFi, wo die Pakete für alle jederzeit sichtbar sind. Bzw. wie mache ich aus dem RasPi einen HostController?
Wird im Video genau erklärt. Es geht um MitM auf USB. Ob intern oder extern angeschlossen spielt da pauschal keine Rolle, die meisten werden heutzutage die internen in Laptops sein.
Computer sind nicht sicher, sobald jemand physischen Zugriff auf das Gerät hat. Also alles wie vorher. Keine Ahnung warum einfache Fingerabdrucksensoren daran etwas ändern sollten.
der angreifer braucht physischen zugriff auf das gerät, der zugang zum sensor und das abhörgerät sind schwierig zu verstecken und dann muss der benutzer sich noch erfolgreich anmelden, damit der angreifer danach zugriff erhalten kann.
klingt jetzt nicht sehr kritisch, außer wenn das schon bei der produktion unsichtbar eingebaut wird.
aber da wäre ein bios-rootkit wohl einfacher.
Gut, also eher nur bei gestohlenen Geräten einsetzbar. Da kann ich genausogut die Festplatte auch ausbauen. Es ist jetzt kein Angriff nach der Vorgehensweise:
Im Büro kurz RasPi anstecken » Einloggen » Daten klauen » Fertig, also halb so wild und keine große Gefahr....
Wenn die Authentifizierung darauf basiert, dass der Chip nach dem Scan dem System einfach nur mitteilt „ja, passt!“, ist das natürlich per Design schon Käse. Diese „ja, passt!“-Message wird sich immer auf die ein oder andere Weise kopieren und einschleusen lassen.
Das muss schon so laufen wie z.B. bei einem TPM, dass der Chip bei erfolgreicher Authentifizierung eine Challenge beantwortet bzw. einen Einmalkey erzeugt, der begrenzt gültig ist und genau einmal verwendet werden kann um ins System zu kommen. Dann bringt MITM nichts, da abgegriffene Keys kein weiteres Mal nutzbar sind. Man kann sie zwar mitschneiden, aber der Mitschnitt ist wertlos.
Und neue Keys erzeugen und einschleusen geht auch nicht, weil das Secret dafür im Chip liegt und nicht bekannt ist, und dieser es nicht rausrückt.
Ist wahrscheinlich einfacher, den Abdruck zu fälschen als einen Angriff auf den internen USB-Datenverkehr zu unternehmen. Sensible Informationen würde ich aber ohnehin nicht allein durch Fingerabdruck sichern.
Trotzdem scheint das ein besonders einfacher Weg zu sein, um z.B. an den Inhalt einer verschlüsselten Festplatte eines "gefundenen" Notebooks zu kommen.
Wenn ich mich mit dem fingerabdruck bei Windows hello anmelde, sollte aber auch BitLocker entschlüsselt werden.
Oder zumindest kann es so eingestellt sein.
Wozu Fingerabdruck auslesen? Windows ein paar mal per Hardreset/Stromverlust starten bis die Reparaturkonsole kommt und voila: Da kann man Windows resetten und ohne Passwort/Fingerprint starten. (Wenn ich das noch richtig in Erinnerung habe.) Da haben die ein Schloss geknackt von einem Tor welches schon lange offen steht.
Ergänzung ()
|Moppel| schrieb:
Wenn ich mich mit dem fingerabdruck bei Windows hello anmelde, sollte aber auch BitLocker entschlüsselt werden.
Oder zumindest kann es so eingestellt sein.
Ich weiß nicht, wie man es selbst/nachträglich einstellt, aber mein ASUS-Notebook (Vivobook Pro) war von Anfang an so eingerichtet.
Ist sehr bequem, aber scheint wohl nicht allzu viel Schutz zu bieten.
Ach ich glaube ich erinnere mich: Ich wollt nicht dass Bitlocker automatisch mit den Windows-Login startet sondern dass erst, wenn ich ein BL-verschlüsseltes Laufwerk öffnen will, Windows nach dem Fingerabdruck fragt so wie es normalerweise nach dem Key fragt.
Also erst wenn ich unter Windows ein BL-verschlüsseltes Laufwerk öffnen will soll die Fingerprinteingabe starten.
Computer sind nicht sicher, sobald jemand physischen Zugriff auf das Gerät hat. Also alles wie vorher. Keine Ahnung warum einfache Fingerabdrucksensoren daran etwas ändern sollten.
Stimmt einfach nicht! Häufig wird eine Festplatte verschlüsselt in einem Notebook und da kommt dann auch keiner heran, außer er kennt den Schlüssel. Wenn der Schlüssel nun per Fingerabdruck eingegeben wird und dieser eine Sicherheitslücke hat, dann hast du auch ein Problem mit einer eigentlich verschlüsselten Festplatte.
Ähnlich ist es ja auch beim Smartphone. Dort liegen die Daten auch verschlüsselt und keiner kommt heran, auch wenn du dein Smartphone verloren hast. Um das Smartphone zu verwenden, musst du es normal zurücksetzen, dann sind aber die Daten weg.
-> Aus dem Grund wäre es auch wichtig, dass der Fingerabdruck sicher ist oder man muss eben eine andere Methode (jetzt) wählen.