Anzeige

Am Puls von Microsoft

Anzeige

Windows Hello lässt sich angeblich mit speziellem Foto austricksen

DrWindows

Redaktion
Die Gesichtserkennung mit Windows Hello in Windows 10 lässt sich mit einem speziell angefertigten und nachbearbeiteten Foto austricksen. Das behaupten zwei Sicherheitsforscher. Wie der erfolgreiche Angriff grundsätzlich funktioniert, erklären sie schon jetzt, Details wollen sie allerdings erst im Frühjahr 2018...

Klicke hier, um den Artikel zu lesen
 
Anzeige
Wie schwierig das ist, hängt davon ab, ob man als Otto-Normalverbraucher eine entsprechende IR-Kamera von einer herkömmlichen unterscheiden kann. Da der Mensch an sich ja eitel ist, lässt er sich doch mit ein paar netten Worten meist sogar von Fremden fotografieren.
 
Naja, einmal mehr eine eher theoretische Möglichkeit, die es wohl bei allen biometrischen Sicherungen gibt.
 
"Auch wenn es nur sehr schwer möglich sein dürfte, ein passendes Foto der Person, deren PC man übernehmen möchte, unbemerkt aufzunehmen, das darf natürlich nicht sein."
Das halte ich für eine falscheinschätzung...
Beispiel "partyfotograf", da lässt sich fast jeder ohne größere fragen ablichten.
Beispiel "vorstände"/wichtige Unternehmenspersonen, diese sind öfter mal bei Fototerminen und co. Sich hier unterzuschmuggeln ist nicht schwer
-> aus dem gleichen grund sind z.B. fingerabdruckscanner für öffentliche Personen meist eine schlechte Idee da man mit entsprechenden Fotos die allermeisten Systeme überlisten werden können...da hilft auch keine "raute der macht" denn irgendwann offenbart man seine fingerspitzen


Leider ist das mal wieder ein klares kontra gegen biometriesysteme als ersatz für passwortbasierte Systeme, das es eine softwareseitige lösung (patch) geben kann zeigen ja die neuren windowsversionen, MS muss nur willens sein.
 
@Wurstsalat deine Beispiele sind gut, aber es wird eine Infarotkamera benötigt. Ich kenne mich da leider zu wenig aus, aber ich schätze das ist mit einem einfachen Objektivwechsel nicht schnell nachgerüstet? Weiss da allenfalls wer mehr?

Ich hoffe MS schiebt da einen Patch nach, damit man Windows Hello nochmals neu einrichten muss, die jetzige "Lösung" ist eher mau. Welches Systemhaus/Reseller weiss denn noch mit welcher Build die jeweiligen Surfaces verkauft/eingerichtet wurden? Beispiel HP Business Geräte, die werden auch jetzt noch mit der Build 1703 standardmässig ausgeliefert...
 
Die eine, perfekte Absicherung gibt es nicht. Es wird immer Möglichkeiten geben Sicherheitssysteme zu umgehen. Mal leicht(er), mal schwer(er). Als User sollte man halt wissen, was man will / braucht bzw. wo man für sich selbst die Grenze zwischen Bequemlichkeit und Sicherheitsoverkill zieht.
 
Tja, müssen wir mal schauen, ich denke das kann man lösen. Nicht vergessen, Windows Hello for Business benötigt aber auch immer noch das Gerät dazu, d.h. die Hashes der Informationen sind nur lokal gespeichert. Also wie eine Smartcard. Das ist dennoch eine Hürde.
 
Was wieder einmal zeigt, dass das gute alte Passwort vielleicht doch die bessere (wenn auch umständlichere) Methode darstellt, sofern man denn nicht wirklich "Geheim123" oder ähnliches verwendet.

Klar, das Szenario hier ist mehr theoretischer Art, denn an ein solches Foto soll man erstmal gelangen, aber trotzdem zeigt es Schwachstellen derartiger Systeme, die ja nicht nur Microsoft betreffen.
 
Alle Verfahren haben Schwachstellen. Ein Passwort möchte ich z.B. nicht in einem öffentlichen oder gar videoüberwachten Bereich eingeben müssen. Die Anwesenheit von Kollegen reicht manchmal auch schon, da muss sich der Admin für sein Superpasswort die Finger brechen oder „alle mal weggucken“ rufen.
 
Diese Verwundbarkeit von Windows Hello wird in der Praxis gewiss keine Rolle spielen.

Unauthorized schrieb:
Alle Verfahren haben Schwachstellen. Ein Passwort möchte ich z.B. nicht in einem öffentlichen oder gar videoüberwachten Bereich eingeben müssen. Die Anwesenheit von Kollegen reicht manchmal auch schon, da muss sich der Admin für sein Superpasswort die Finger brechen oder „alle mal weggucken“ rufen.

In fast jedem (Super-)Markt gibt man, genau genommen, seine Banking-PIN beim Bezahlvorgang unter Kamera-Überwachung ein.
 
Zuletzt bearbeitet von einem Moderator:
@adf
Schau mal bei https://de.wikipedia.org/wiki/Infrarotfotografie#Kameras. Digitalkameras sind schon immer sehr empfindlich auf Infrarot (einfach mal mit der Fernbedienung auf deine Handykamera zielen und abdrücken). Den Infrarotfilter kann man zumindest destruktiv sehr leicht entfernen, da es meist nur eine Folie ist - im schlimmsten Fall eben rausschneiden und einen Filter für sichtbares Licht aufsetzen. Natürlich ist etwas komplizierter als es gerade klingt, aber vermutlich wäre es sogar schon im persönlichen Umfeld möglich.
 
Mit der aktuellsten Windows Version geht das ja, laut Bericht, nicht mehr. Von daher sollten alle mit aktuellem OS damit keine Probleme haben.
Auf die Details bin ich gespannt. Eine IR-Kamera sieht z.B. ein bedrucktes Blatt immer nur als uniforme Fläche. Das Motiv darauf ist nicht sichtbar. Vielleicht haben sie die IR-Kamera abgedeckt und Windows Hello gezwungen die normale Kamera zu nehmen.
 
Liebe MS Freaks, weint nicht! Laut neuester CT ist auch das ähnliche Anmeldeverfahren bei Apple gehackt wurden. Absolut alles in diesem Bereich ist Spielzeug!
 
Warum nur ist man geschockt, wenn solche Technik geknackt wird? Also bitte, es ist immer möglich, hereinzukommen, der Aufwand wird nur größer.

Wenn Microsoft nachbessern kann, ist es umso besser, auch wenn Windows Hello anscheinend bis jetzt das sicherste biometrische System ist. Stimmerkennung wäre da wit entfernt, das merke ich besonders an meinem HTC, das hat gute Lautsprecher und es gab den einen oder anderen Fehlstart damit.
 
Nur keine Panik.
Ein System oder eine Technik ist nur solange sicher, bis jemand eine Möglichkeit gefunden hat dies zu umgehen.
Die haben aber auch über ein Jahr gebraucht dies zu entdecken.
 
Einfach Genial
seit meinem Lumia 950 xl vom Jänner 2016 benutze ich Windows Hello. jetzt fast genau 2 (zwei) Jahre später die erste ernst zu nehmende Meldung . Gesichtserkennung überlistet. beim so beliebten angebissenen Obst wurde die ja nur Kurz vor dem verkauf überlistet,
oder habe ich da was falsch in den Medien verstanden.
egal, wie dem auch sei, ich bin mir sicher das ich auch in fünf Jahren mit meinem winphon noch immer mein Enkelkind anrufen kann.
 
Anzeige
Oben