Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Core » Wetenschap » Microsoft Fingerprint Reader eenvoudig te kraken

Microsoft Fingerprint Reader eenvoudig te kraken

Door Harm Hilvers, woensdag 8 maart 2006 22:11
Bron: PC World, views: 20.765

Sinds september 2004 verkoopt Microsoft de zogenaamde Fingerprint Reader, een stukje hardware waarmee het mogelijk is om via een vingerafdruk te authenticeren bij Windows-software. Het apparaatje wordt door Microsoft verkocht met de mededeling dat het niet bedoeld is voor de beveiliging van computers en gevoelige data, maar juist om het inloggen bij websites en programma's te vergemakkelijken. De Finse onderzoeker Mikko Kiviharju vond het opvallend en interessant dat Microsoft deze disclaimer gebruikte en is op onderzoek gegaan naar de reden. Tijdens zijn onderzoek, zo vertelde hij tijdens een recente Black Hat Europe-conferentie, heeft hij ontdekt dat het mogelijk is gescande vingerafdrukken te 'sniffen', omdat ze niet versleuteld verstuurd worden van de Fingerprint Reader naar de pc.

De op deze manier verkregen afbeeldingen zijn van verbazingwekkend goede kwaliteit, aldus Kiviharju, en kunnen door aanvallers gebruikt worden om bijvoorbeeld toegang te verkrijgen tot een computer of een programma. Het is echter niet eenvoudig om een dergelijke 'replay attack' uit te voeren. Zo is het noodzakelijk dat er een fysieke verbinding gemaakt wordt met de aan te vallen computer. Als dat geregeld is, begint het eenvoudigste deel, namelijk het 'afspelen' van de afbeelding, zodat er ingelogd kan worden. Dit soort aanvallen tegengaan zou een stuk moeilijker zijn als Microsoft ervoor gekozen zou hebben om de data wel te versleutelen. De hardware ondersteunt dit, aldus fabrikant het Californische Digital Persona, maar Microsoft heeft om onbekende redenen ervoor gekozen dit uit te schakelen.

Microsoft Fingerprint Reader
Volgende 22:18 XS4All en Brinkhorst naar rechter om aftapkosten
Vorige 21:00 Stevig debat over Franse p2p-wet
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 33 reacties zichtbaar330 Off-topic / Irrelevant: 30 reacties zichtbaar30+1 On-topic: 21 reacties zichtbaar21+2 Informatief: 11 reacties zichtbaar11+3 Spotlight: 3 reacties zichtbaar3
«  1  2  »

Door Daimanta, woensdag 8 maart 2006 22:13

Score: 0
De hardware ondersteunt dit, aldus fabrikant het Californische Digital Persona, maar Microsoft heeft om onbekende redenen ervoor gekozen dit uit te schakelen.
Nou vraag ik me af hoe ze dat voor elkaar hebben gekregen.

Door SiliconError, woensdag 8 maart 2006 22:17

Score: 1
't is een complot! :P

Maar meer waarschijnlijk; een bezuiniging.
Of een stilgehouden deal met Digital Persona, zodat die hun eigen apparaatje nog aan de pro's kunnen verkopen.

Door twooggy, woensdag 8 maart 2006 22:14

Score: 0
Lekker handig weer, maar nu kunnen ze i.i.g. een "verbeterde" versie uitbrengen tegen de tijd dat deze minder begint te lopen.

Door et36s, woensdag 8 maart 2006 22:17

Score: 0
ach zal binnenkort versie 2 wel verschijnen

Door ATS, woensdag 8 maart 2006 22:21

Score: 0
Kop:
Microsoft Fingerprint Reader eenvoudig te kraken
Artikel:
Het is echter niet eenvoudig om een dergelijke 'replay attack' uit te voeren. Zo is het noodzakelijk dat er een fysieke verbinding gemaakt wordt met de aan te vallen computer.
Zakken we nu al af naar VNU niveau :?

Door TommyboyNL, woensdag 8 maart 2006 22:24

Score: 2
Dat de reader makkelijk te kraken is, wil nog niet zeggen dat de krakers er ook wat mee kunnen.
Zoiets als een kopie van een sleutel kunnen maken aan de hand van een foto, maar fysiek niet bij het slot kunnen.

Edit: W00t, mijn eerste +4 :D

Door ATS, woensdag 8 maart 2006 22:34

Score: 2
Dat maakt de kraak dus uiteindelijk niet eenvoudig.

Door Pozo, woensdag 8 maart 2006 22:37

Score: 3
Ligt eraan wat je als 'kraak' definieerd. Opzich is het verkrijgen van de figerprint-code al een kraak en technisch goed haalbaar, dat je er dan nog niet veel mee kan is wat anders.

Aan de andere kant is het inderdaad in de praktijk nogal lastig omdat je een tapje tussen reader en het apparaat moet krijgen waar wel iets tegen gedaan word lijkt me.

Door MarvinDMartian, woensdag 8 maart 2006 23:12

Score: 1
Da's niet kraken, muggezifter.

Als jij mij zegt dat je kluis gekraakt is, verwacht ik dat ze leeggemaakt is of tenminste vanbinnen bekeken door kwaadwillenden, niet dat er iemand een rontgenfoto van de inhoud heeft gemaakt.

Door tERRiON, donderdag 9 maart 2006 10:27

Score: 2
Da's niet kraken, muggezifter.
Als je dan toch bezig bent, tegenwoordig is het muggenzifter. :+

Door Cochrane, woensdag 8 maart 2006 23:09

Score: 2
De VNU flame gaat populair worden :Y)

Door p0p0, woensdag 8 maart 2006 23:11

Score: 2
maar als een pc aan het internet hangt heeft eigenlijk iedereen een fysieke verbinding met de pc, er staat ook niet per se dat er een verbinding moet zijn met het apparaat

Door Pozo, woensdag 8 maart 2006 22:35

Score: 3
Dit soort aanvallen tegengaan zou een stuk moeilijker zijn als Microsoft ervoor gekozen zou hebben om de data wel te versleutelen.
Moeilijker -> makkelijker lijkt me?

Door McRubz, woensdag 8 maart 2006 22:43

Score: 1
Dus een aanval tegengaan is makkelijker ;)

Door Wim-Bart, woensdag 8 maart 2006 22:46

Score: 0
Dit soort aanvallen tegengaan zou een stuk moeilijker zijn als Microsoft ervoor gekozen zou hebben om de data wel te versleutelen.
Grote onzin, of je het nu wel of niet versleuteld. Alleen met een wisselende sleutel zou het echt goed werken. Wanneer je een algorithme gebruikt met een vaste sleutel kan je gewoon een recorder-replay uitvoeren.
Het is echter niet eenvoudig om een dergelijke 'replay attack' uit te voeren.
Dit is inherent aan alle man-in-the-middle attacks. Je moet tussen de lijn komen. Dan kan je zelfs hele complexe versleutelingen omzeilen als je maar in de lijn zit en het algorithme kent. Dat geldt voor alle communicatie, zelfs voor zeer complexe IPSec, VPN's en dergelijke.

Door MarvinDMartian, woensdag 8 maart 2006 23:16

Score: 1
Waarom? Het blijft een hash, dus een niet makkelijk omkeerbaar procedee (en collisions creeren gaat niet echt met deze niet-algebraische inputmethode). En het versleutelalgoritme onderscheppen door de input te varieren gaat ook al niet om die reden.

Verder staat er nergens dat de hardware versleutelen ondersteunt maar enkel met een vaste sleutel; dat valt nog te checken.

Door DJ-Marcuzz, woensdag 8 maart 2006 22:55

Score: 0
Ow god, krijgen we nu ook al de bugfix voor hardware van microsoft ? :9

Door MeMoRy, woensdag 8 maart 2006 22:59

Score: 0
niets nieuws... firmware upgrades heeft microsoft (en andere merken) al lang...

Door dasiro, woensdag 8 maart 2006 23:10

Score: 2
dan lijkt het me makkelijker om een keylogger remote op een machine te installeren dan fysiek erbij te raken.

zo kan je ook zeggen dat elke computer te kraken is omdat de data van het toetsenbord en de muis ook onversleuteld wordt doorgestuurd. lijkt me een heel kromme vergelijking om het een "kraak" te noemen

Door Kerberos, donderdag 9 maart 2006 00:05

Score: 0
Moet je niet echt zorgen om maken me dunkt.
Die dingen verkopen voor geen meter :D

Door ZeBoxxToo, donderdag 9 maart 2006 00:34

Score: 1
'Douane' op IAH (vliegveld Houston, Texas) heeft ze anders :)
Maar dan om je fingerafdrukken direct te scannen, niet om toegang tot e.e.a. te verschaffen.
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 22:18 XS4All en Brinkhorst naar rechter om aftapkosten
Vorige 21:00 Stevig debat over Franse p2p-wet
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011