Onderzoeker omzeilt irisscanner met foto's

Een Duitse hacker heeft een irisscanner om de tuin weten te leiden met foto's van een iris. Een foto met een diameter van 75 pixels, afgedrukt op 1200dpi op papier, was genoeg om de irisscanner van Panasonic te laten denken dat er echt een iris te scannen viel.

Iris-scan Beveiligingsonderzoeker Jan Krissler zal zijn bevindingen presenteren op de CanSecWest-beveiligingsconferentie in Canada, maar doet zijn bevindingen tegenover Forbes alvast uit de doeken. Met foto's van een iris, via internet te vinden, wist Krissler goedkeuring van de irisscanner te krijgen.

De irisscanner die Krissler om de tuin wist te leiden, is de Panasonic Authenticam BM-ET200. Die wordt inmiddels niet meer verkocht, maar is volgens Krissler wijdverbreid. Voor het slagen van de truc moest het om foto's van goed belichte irissen gaan.

Bovendien moest de iris op de foto's minimaal 75 pixels in diameter zijn en afgedrukt worden met een resolutie van 1200dpi, wat relatief hoog is voor een printer; veel consumentenprinters kunnen niet afdrukken met die resolutie. Daarnaast moest 75 procent van de iris zichtbaar zijn.

Krissler tekent aan dat via Google Images afbeeldingen kunnen worden gevonden van irissen in hoge kwaliteit, waaronder van wereldleiders. Eerder hackte Krissler met succes de TouchID-vingerafdrukscanner in de iPhone.

Lees meer

IT-banen

Reacties (105)

Verwijderd 6 maart 2015 16:05

Krissler tekent aan dat via Google Images afbeeldingen kunnen worden gevonden van irissen in hoge kwaliteit, waaronder van wereldleiders

Haha wat?! en niemand heeft bedacht dat dat misschien onveilig is?

Rexus @Verwijderd • 6 maart 2015 16:14

Meen ooit een onderzoek te hebben gelezen waarbij de scanner wacht tot iemand knippert, dus knipogen om te unlocken.

High-res video is altijd lastiger te verkrijgen, maar natuurlijk niet onmogelijk.

herbalx @Rexus • 6 maart 2015 16:25

Rexus, de techniek waar jij op doelt wordt al gebruikt in gezichtherkenningstechnieken zoals bijv. in de HTC one smartphone.

Allereerst is de gezichtherkenningstechniek makkelijk te omzeilen en zeer makkelijk te demonstreren. Druk namelijk een foto op A4 formaat af van de eigenaar van het toestel en houdt deze voor de camera en je hebt de gezichtsherkenningstechniek gefopt!

Vervolgens kun je knipper-detectie aanzetten. Ik dacht eerst ook dat dit de oplossing zou zijn maar helaas heeft eigen onderzoek het tegendeel bewezen. Ik nam namelijk diezelfde foto en sneed deze in rond de ogen. Met je vingers kon je zo een soort van knipper bewegen maken met de ogen wanneer het toestel opnieuw ontgrendeld werdt.

Na veelvuldig testen bleek de telefoon ook te ontgrendelen zonder de sneedjes te maken, al ging de ontgrendeling met behulp van een foto net iets moeilijker als wanneer knipper-detectie uitgeschakeld stond.

Afgezien daarvan blijf ik van mening dat een wachtwoord tot nu toe één van de meest veilig authenticatie mechanismes is. Immers kun je een iris of gezicht niet wisselen en een wachtwoord wel. Daarnaast kun je er altijd voor kiezen om je wachtwoord niet te vrij te geven, terwijl je relatief makkelijk gedwongen kan worden om je biometrische kenmerken af te staan.

[Reactie gewijzigd door herbalx op 22 juli 2024 13:47]

mcDavid @herbalx • 6 maart 2015 17:02

Voor het unlocken van een telefoon of computer is dit misschien bruikbaar ja. Op plaatsen waar je fysiek toegang krijgt tot een gebouw bijv. op basis van een irisscan, staat gewoon een beveiliger die controleert of je niet met fototjes loopt te kutten. Probleem opgelost.

Trinitronic @mcDavid • 6 maart 2015 18:24

Beetje overbodig dan die scanner, laat dan die beveiliger de legitimatie en toegangs bewijzen controleren.

ajakkes @Trinitronic • 6 maart 2015 18:44

Opletten op verdacht gedrag is veel minder intensief als legitimatie beoordelen.

Het is al gelukt om met legitimatie van collega naar Engeland te vliegen. Doane heeft geen tijd om goede check te doen. Irisscanner kan dat veel sneller. Dan hoeft doane alleen maar te kijken naar hi res papiertjes in handjes.

aadje93 @ajakkes • 8 maart 2015 15:11

Hi-res papiertjes hoef ook niet eens, je zou een contactlens kunnen maken met de print van de iris van je target. Knipperen doe je zelf, "natuurlijke beweging" van het oog doe je ook, maar de scan ziet de iris van je target

mcDavid @Trinitronic • 6 maart 2015 18:56

Ik zou zeggen ga een poosje op Schiphol werken. Als je bij iedere personeelsdoorgang in de rij zou moeten om te wachten tot de beveiliger de pasjes gecontroleerd heeft kun je net zo goed thuis blijven. Irisscan ben je binnen een paar seconden langs en je kunt er nog een stuk of wat naast elkaar zetten ook.

Verwijderd @Trinitronic • 8 maart 2015 11:09

kost tijd en geld

Verwijderd @mcDavid • 6 maart 2015 20:27

Je kan ook op lens laten drukken en dan kan je echt knipperen niemand zal merken dat je de Iris van Obama hebt

ITsEZ @mcDavid • 6 maart 2015 18:44

Dat kan natuurlijk als je daar een leger van beveiligers neer zet maar ja, 1 beveiliger is niet heel moeilijk "af te leiden"

mkools24 @mcDavid • 6 maart 2015 21:28

Je kunt moeilijk bij elke deur een beveiliger zetten, beetje duur!

Michaelr1 @herbalx • 6 maart 2015 16:53

Waar iedereen natuurlijk constant aan denkt is alleen te authenticeren dmv vingerafdruk of alleen irisscanner. Het beste zou natuurlijk zijn een combinatie te gebruiken, IRIS+vingerafdruk+ wachtwoord. De kans dat je dan de boel kunt omzeilen is dan aanzienlijk kleiner omdat er aan teveel voorwaarden voldaan moet worden. In de praktijk kost het dan simpelweg teveel tijd om dit te omzeilen.

xoniq @Michaelr1 • 6 maart 2015 19:24

Vingerafdrukken laat je overal slingeren, foto in hoge resolutie van internet halen, het enige nuttige is het password. Maar dan kan je net zo goed alleen een password doen.

tunnelforce1 @xoniq • 7 maart 2015 03:42

Een ander voordeel van paswoorden is dat je ook meerdere wachtwoorden kan instellen bijvoorbeeld gebruik wachtwoord A om de politie in te schakelen B om de de toegang definitief te vergrendelen en wachtwoord C om het gewoon open te maken.

Michaelr1 @xoniq • 7 maart 2015 08:58

Maar een password is dan weer te kraken over het internet (mits aangesloten) en zo ben je dubbel beveiligd. Net als de iris/vingerafdrukscanner te omzeilen is maar je dan weer beveiligd bent door het password. Meer dan 1 authenticatie vorm (zonder dat je 3 verschillende ingewikkelde wachtwoorden moet onthouden) is altijd beter dan een enkele.

Rexus @herbalx • 6 maart 2015 17:45

Wauw! Klinkt alsof je aardig enthousiast op onderzoek uit bent gegaan.

Naast dat ik het met je eens ben dat een wachtwoord momenteel de veiligste optie is gaat het hier naar mijn gevoel meer om gebruiksgemak.

Liever onveilig dan moe.

baje @Rexus • 7 maart 2015 04:49

Er zijn twee verschillende toepassingen voor deze techniek:
1. De gebruikersgemak toepassing. Net als een vingerafdrukscanner op je telefoon. (Liever onveilig dan moe)
2. Extreme beveiliging. Zoals de iris scanner + knipper detectie + beveiliger. Zoals in films

Ik weet alleen niet op welke van de twee deze irisscanner slaat.

Verwijderd @herbalx • 6 maart 2015 17:08

Waarom werkt dit niet gewoon met pupil-contractie-detectie?
Even flitsen, en kijken of de pupil samentrekt.

Lijkt me makkelijker en veiliger dan knipper-detectie.

Maar, wederom, natuurlijk is ook dat systeem wel weer te kraken.

badflower @herbalx • 6 maart 2015 19:14

Afgezien daarvan blijf ik van mening dat een wachtwoord tot nu toe één van de meest veilig authenticatie mechanismes is.

Dat is logisch. Want alles wat in je hoofd zit is altijd veiliger dan wat mensen kunnen zien, zoals iris, vingerafdruk etc. In je hoofd is de enige plek waar niemand (nog) kan kijken.

Dus zolang je je wachtwoord in je hoofd houdt, is het het allerveiligst. Het probleem zit hem in intypen van dat wachtwoord.

Waar het denk ik naar toe moet is dat je je wachtwoord denkt, waarbij dmv soort scan de computer je wachtwoord 'leest' uit je hersengolven.
Want wat jij denkt bij een wachtwoord is sowieso uniek (als ik boom zeg denk jij / visualiseer jij een andere boom dan ik, zelfs als we het beiden over een kerstboom hebben).

JustFogMaxi @herbalx • 6 maart 2015 20:28

Stock Android's Face Unlock gebruikt al knipper detectie.

EchoWhiskey @herbalx • 7 maart 2015 08:09

Het hoeft toch helemaal niet moeilijk te zijn om in zo'n scanner wat extra features te bouwen om te zien of het een echt oog is?
Ik roep maar wat:
- Warmte scanner 37deg,
- Vochtigheid scanner, water op ogen
- Nog 100 andere meetbare waarden of the checken of het een menselijk oog is.

P.S. Ik heb het niet over die telefoon (crappy) scanner, maar voor professioneel gebruik.

[Reactie gewijzigd door EchoWhiskey op 22 juli 2024 13:47]

CoranOrange @herbalx • 6 maart 2015 16:28

Het moet toch ook mogelijk zijn die knipper-detectie in te schakelen op een iris scanner. Kunnen foto's gelijk niet meer.

DropjesLover @CoranOrange • 6 maart 2015 16:39

maak je er wat creatief een schuifje in dat de oogleden moet voorstellen, klaar.

CoranOrange @DropjesLover • 6 maart 2015 17:58

Hoop toch dat je die knipper-detectie wat beter kan maken dan dat

. Sowieso had ik gedacht dat de iris een bepaald bewegingspatroon heeft waardoor plaatjes sowieso niet zouden kunnen maar we zullen nog wel niet zover zijn.

aval0ne @herbalx • 7 maart 2015 06:44

Al die hacks van bankgegevens, winkels,clouddiensten en andere websites zijn er gekomen door paswoordhacks. Zeer veilig inderdaad.

ATS @Rexus • 7 maart 2015 10:32

Heel simpel. Niemand staat vreemd te kijken als je van wereldleiders met een dike camera opnames maakt. Het is voor omstaanders niet te zien of je tijdens een speech inzoomde om een oog, of hem helemaal in beeld neemt.

T-Forever @Verwijderd • 6 maart 2015 16:11

Ik ga er vanuit dat bij correcte (lees niet goedkope) iris scanners en ook bij vingerafdrukken er gezocht word naar aderen en bloodsomloop eventueel met IR om beweging te detecteren.

kimborntobewild @T-Forever • 6 maart 2015 18:09

Als dat zo is (wat ik betwijfel) dan houdt je die simpelweg voor de gek met een filmpje van een iris. Evt. eentje waarbij je zelf de bewegende aderen photoshopt.

aval0ne @kimborntobewild • 7 maart 2015 06:46

En hoe geraak je aan een hoge resolutiefilm van iemands iris? Get real.

sprikkel25 @kimborntobewild • 6 maart 2015 19:44

temperatuur meten van t object, onder de 33 en boven de 40 niet toelaten.

kimborntobewild @sprikkel25 • 6 maart 2015 20:36

Ook dat is niet zo moeilijk na te bootsen. Het schermpje van het apparaat die het filmpje laat zien, opwarmen tot 37 graden.
I.i.g. lijkt het irisscannen mij niet geschikt als authenticatie voor belangrijke systemen.

[Reactie gewijzigd door kimborntobewild op 22 juli 2024 13:47]

YopY @Verwijderd • 6 maart 2015 16:49

Daarom geld voor irisscanners hetzelfde als voor vingerafdrukscanners: Het is alleen te gebruiken voor identificatie (wie is deze persoon), voor authenticatie (mag deze persoon hier naar binnen) zijn beide te foppen en heb je een wijzigbaar wachtwoord of iets in die trant nodig, bij voorkeur nog iets two-factor.

Maar, moet zeggen dat de vingerafdrukscanner op de iPhone een stuk makkelijker is in gebruik dan een code invoeren, en ook veiliger dan een pincode of swipe-patroon voor willekeurige mensen die je scherm afkijken. Voor mensen die echt kwaad willen is een combinatie natuurlijk nog steeds beter.

kimborntobewild @YopY • 6 maart 2015 18:14

Voor mensen die echt kwaad willen is een combinatie natuurlijk nog steeds beter.

Bedoel je niet: "Tegen mensen die echt kwaad willen is een combinatie natuurlijk nog steeds beter."
En weet jij vantevoren of er mensen zijn die 'echt kwaad willen' met jouw apparaat / gegevens? Ja. Je gegevens worden afgeluisterd en opgeslagen door 'veiligheids'diensten.

Verwijderd @Verwijderd • 6 maart 2015 16:12

Hoe ga jij stoppen dat er een miljoenmiljard persfiguren foto's gaan maken van bvb. Obama tijdens een speech?

trogdor @Verwijderd • 6 maart 2015 16:18

Obama met feestlenzen.

B64

@Verwijderd • 6 maart 2015 17:18

Ik neem aan dat de beveiliging van (systemen van) wereldleiders niet beperkt is tot een irisscan. Dat juist van bekende figuren als wereldleiders bruikbare afbeeldingen op internet rondzwerven is in het kader van irisscan-beveiliging niet echt handig natuurlijk, maar ik neem aan dat deze zwakte niks nieuws is voor de veiligheidsdiensten.

Luuk.vanRiel @Verwijderd • 6 maart 2015 18:40

Het is waarschijnlijk niet zo dat het specifiek foto's zijn van de iris maar een hoge kwaliteit persfoto van het gezicht kan al snel uitgesneden worden.

Verwijderd @Verwijderd • 7 maart 2015 08:14

Natuurlijk wel. Dit potentiele probleem van iris scanners is al lang bekend. Er is al vaker gespeculeerd over de mogelijkheid om een irisscanner met een goede kwaliteit foto te omzeilen. Het was een kwestie van tijd voordat het ook daadwerkelijk zou lukken.

Zoals meerdere andere mensen al hebben aangegeven is iedere vorm van biometrische beveiliging te kraken.

Vingerafdrukken laat iedereen continue overal slingen en kunnen kinderlijk eenvoudig gekopieerd worden.

Iris scan blijkt nu dus met simpel fototje te omzeilen. Eventuele verfijningen zoals knipper detectie en pupil contractie kunnen uiteindelijk met een high res video schermpje en goede simulatie software omzeild worden.

DNA scans zijn al net zo nutteloos als vingerafdrukken, je laat je DNA continue overal achter.

Voice recognition is net zo makkelijk, zo niet nog makkelijker dan iris scan te neppen.

Metingen gebaseerd op hersen activiteit zijn misschien een optie. Echter indien de scan techniek zo common word dat je deze in een eenvoudig apparaat kunt verwerken dan zal het ook mogelijk worden om iemands hersenactiviteit te scannen zonder dat deze persoon dat weet. Eventueel zou je dit kunnen proberen te ondervangen door het interactief te maken en de specifieke hersenactiviteit in respons op een bepaalde input te meten, waarbij de gebruiker eerst een random input kiest, deze dan word gepresenteerd en vervolgens de activiteit word gemeten.

Het fundamentele probleem met biometrie is dat er per definitie variatie in zit, en dat de beoordeling dus een bepaalde fout marge moet accepteren. Dit is een zwak punt waar een hacker gebruik van kan maken. Bij een password heb je dat niet, dat moet exact kloppen.

De enige biometrische data die (nagenoeg) geen probleem heeft met variatie is DNA. Echter, aangezien je overal DNA achterlaat is het al net zo nutteloos als een vingerafdruk.

Kort samengevat: Biometrie is een dood spoor in de beveiliging.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 13:47]

GeoBeo @Verwijderd • 6 maart 2015 16:07

Dus moeten alle high-res fotos van wereldleiders verboden worden?

redbullet @GeoBeo • 6 maart 2015 16:12

Nee ze moeten zwarte balken voor de ogen krijgen of iets dergelijks net als criminelen

k.theuws @redbullet • 6 maart 2015 16:15

een aantal 'wereldleiders' kun je inderdaad ook onder die term noemen xD

Freee!!

@k.theuws • 6 maart 2015 21:15

Noem eens een paar uitzonderingen

aval0ne @Freee!! • 7 maart 2015 07:07

Nochtans zijn de meeste democratisch verkozen.

frankivo @GeoBeo • 6 maart 2015 16:19

Eerder iris-scanners

Verwijderd @Verwijderd • 6 maart 2015 17:17

[...]

Haha wat?! en niemand heeft bedacht dat dat misschien onveilig is?

Waarbij je dan weer het bewijs ziet dat meer gemak leidt tot meer onveiligheid.
Irisscan = meer gemak.
Iris van wereldleiders gevonden via Google = onveiligheid.
Zomaar toepassen van technologie alleen maar vanwege het hoge gemak en om te besparen op personeel kan zo zijn nadelen hebben.

m_snel 6 maart 2015 16:13

Er is nog niemand die ooit bedacht heeft dat je vingeradruk of iris niet veranderd, maar we wijzigen ons wachtwoord wel elke maand

JAVE @m_snel • 6 maart 2015 16:19

Inderdaad. Dat is 1 van de grootste problemen met biometrische gegevens als authenticatie gebruiken.
Als iemand anders misbruik kan maken van jouw gegevens (afdruk van een vinger, foto van je iris) dan kan je niet even je 'wachtwoord' veranderen.

En als je een keer een ongeluk hebt waardoor je data (tijdelijk) niet te scannen is, heb je een groot probleem... (Er zal ongetwijfeld geen optie 'ik ben mijn vingerafdruk vergeten' zijn tijdens het inloggen).

bbob

Privacy
Netwerk en systeembeheer

@JAVE • 6 maart 2015 16:37

Irisscanner de eenvoudige kijken 2d, neem een 3d scanner cq. 2 camera's die een 3d beeld kunnen maken en je bent weer een stap verder.

Volgende stap is dat nepoog in 3d drukken op een ronde bal en die in een namaak oogkas plaatsen.

Het zal een wedloop blijven.

xoniq @bbob • 6 maart 2015 19:29

Maar hoe ver wil je gaan om een telefoon te unlocken. En hoeveel tijd heb je ervoor, voordat de daadwerkelijke eigenaar deze op afstand blokkeert en wist.

Als ik m'n tel verlies, of is gejat, weet ik t binnen enkele minuten, en doe ik er alles aan om deze te wissen en blokkeren op afstand, met een melding op t scherm als eigenaar. Dan is ie net zo veel waard als een baksteen.

Verwijderd @m_snel • 6 maart 2015 17:14

Er is nog niemand die ooit bedacht heeft dat je vingeradruk of iris niet veranderd

Jawel, die mensen zijn er zat. En dat is ook precies de reden dat je die dingen niet voor id-doeleinden wil gebruiken. Als het misgaat is het meteen onherstelbaar, zelfde als met DNA in een databank. Iemand een nieuw BSN geven is al lastig genoeg, maar nieuwe vingerafdrukken, irissen of DNA is min of meer onmogelijk, zeg maar. Alleen, als je zegt dat je je DNA of vingerafdrukken niet in een database wilt, krijg je dingen als 'heb je soms wat te verbergen ofzo' naar je hoofd.

xoniq @Verwijderd • 6 maart 2015 19:30

Vingerafdrukken kan je nog wel veranderen, maar is pijnlijk en doe je met een mesje. En wel dusdanig stevig doordrukken dat dit littekenweefsel veroorzaakt. En zie daar, nieuwe vingerafdrukken.

zonoskar 6 maart 2015 16:17

75 pixels op 1200 dpi is dat niet een heel kleine afbeelding? Die is dan 1.6 mm groot. Hoe kun je daar een irisscanner mee foppen?

theMob @zonoskar • 6 maart 2015 16:33

met 1200 dpi (dots per inch) afdrukken van bijvoorbeeld een 400 ppi (pixels per inch) plaatje betekent dat er (horizontaal) 1200/400=3 druppeltjes inkt per pixel worden geplaatst. Een pixel is vierkant dus totaal worden er dan 3x3=9 druppeltjes per pixel neergezet.

75 pixels op 1200 dpi zegt dus nog niets over de grootte van de afbeelding, die kan inderdaad 1,6 mm zijn, maar ook 25 meter.

zonoskar @theMob • 6 maart 2015 16:44

Maar wat voor zin heeft het dan om op 1200 dpi te printen als je de afbeelding vergroot? Dat is toch hetzelfde als 150 pixels afdrukken op 600 dpi?

kwikstaart @zonoskar • 6 maart 2015 16:47

De print moet klein zijn omdat de scanner maar een klein gebied kan scannen. Het is dus een klein plaatje met veel pixels.

zonoskar @kwikstaart • 6 maart 2015 16:51

Ik zou verwachten dat het plaatje ongeveer zo groot zou moeten zijn als een echte iris. Dus ca 1 cm. Dan heb je dus een plaatje nodig van ca 500 pixels in diameter. Daarvan geloof ik wel dat het genoeg info bevat om een irisscanner om de tuin te leiden als er puur naar informatie in het zichtbare spectrum gekeken wordt door de scanner. En niet het levend zijn van het oog (beweging, of IR, ofzo).

theMob @zonoskar • 6 maart 2015 17:25

Vermoedelijk kan de scanner de afzonderlijke druppeltjes waarnemen onder de 1200 dpi. Vergeet niet dat er meerdere kleuren druppeltjes zijn die voor het oog/de scanner vervloeien tot één samengestelde kleur als de dpi hoog genoeg is. Met een te lage dpi zie je allemaal kleurige stipjes. Mijn Epson printer kan 1440 of 2800 dpi printen en met dezelfde foto is, onder de loep, een klein verschil zichtbaar. Met het oog kan ik dat niet zien.

Tuktop @zonoskar • 6 maart 2015 16:46

Dat sommetje maakte ik ook meteen... heel vreemd dit gegeven!

Ik kan begrijpen dat de afbeelding met een hoge DPI moet worden afgedrukt om dichter bij 'echt' te komen, maar (75/1200)*2,54 is inderdaad 0,159 cm! Ook vraag ik me af of de fysieke structuur van papier (vezels) op een gegeven moment geen limiet heeft wat betreft hoeveelheid informatie die het kan 'opslaan'. Edit: er is inderdaad verschil tussen DPI en PPI, my bad!

Los daarvan vind ik 75 pixels diameter heel weinig informatie voor zoiets gedetailleerd als een iris. Hieronder even een vergelijking gemaakt van een plaatje van een iris van 320*320px, en daarnaast de variant van 75*75px (uiteraard even teruggescaled).
http://s8.postimg.org/3wlpprht1/iris_320px_vs_75px.jpg

[Reactie gewijzigd door Tuktop op 22 juli 2024 13:47]

stresstak @Tuktop • 6 maart 2015 23:42

Jeetje, mag ik zeggen dat ik dat een heel sinister oog vind ?

jimz93 6 maart 2015 16:07

precies hetzelfde kon je doen met laptop beveiliging van o.a. alienware waarbij het gezicht werd herkend. een foto van het gezicht op je telefoonscherm voor de camera houden bleek voldoende om de beveiliging te omzeilen

geekeep @jimz93 • 6 maart 2015 16:16

Ik heb een aantal weken terug nog iemand flink de schrik aangejaagd door te demonstreren dat het unlocken van haar Android device met gezichtherkenning enorm onveilig is. Een foto maken van haar gezicht en deze (via mijn eigen mobiel) tonen aan de camera van de Android gezichtsherkenner was voldoende om toegang te krijgen.
Waarschuwing aan iedereen die gebruikt maakt van de gezicht-unlocker op zijn/haar Android smartphone of tablet dus.

hendymen @geekeep • 6 maart 2015 16:54

Waarom maken ze geen code/iris combinatie?

Je moet dus een bepaald patroon bekijken (zie het als swipe unlock code) die je zelf ingesteld hebt. en daarnaast wordt je iris meteen gecontroleerd??

Niemand die mijn IRIS kan filmen terwijl ik het patroon maak..

xoniq @hendymen • 6 maart 2015 19:32

Dan gewoon een pincode .. Is dan toch wat vlotter. En als ik telkens m'n telefoon moet unlocken door met m'n ogen te rollen, gaat dat op een gegeven moment best vermoeiend worden. Probeer nu maar eens meerdere malen op een bepaald patroon met je ogen te rollen. Lukt je op een kort termijn even niet meer. Je oogspieren zijn zulke grote bewegingen niet gewend, en forceer je die spieren dus teveel.

mroffbeat 6 maart 2015 16:07

Deze test stond ooit in de televaag. Grote bedrijven zouden in 'gevaar' zijn. Ook dit onderzoek is niet juist.

http://www.luchtvaartnieu...can-volstrekt-betrouwbaar

"Het systeem op Schiphol is ontwikkeld volgens eigen specificaties waaronder 'fake and live eye detection'. Dit is een set maatregelen die onderscheid maakt tussen de iris van een echt oog en een nagebootste iris op een foto of een contactlens. "

[Reactie gewijzigd door mroffbeat op 22 juli 2024 13:47]

Verwijderd @mroffbeat • 6 maart 2015 16:13

Dan maak je een animatie van het plaatje met een infrarood sensor die dit nabootst. (ik weet dat het meer moeite is maar niet onmogelijk).

Eigenlijk moet je iets hebben waardoor je een bepaald "view" krijgt wat je met een bewerkings programma niet kunt namaken met een normaal hoge DPI image als referentie, zoiets als een xray scan maar dan minder schadelijk voor je ogen.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 13:47]

YopY @Verwijderd • 6 maart 2015 16:52

Er is volgens mij wel onderzoek gedaan naar bijvoorbeeld identificatie via het patroon van je bloedvaten - dat zou met een fel genoeg licht door bijvoorbeeld je hand genoeg moeten zijn. En natuurlijk na te bootsen met een nephand.

Two-factor authenticatie is beter denk ik - irisscan, en een geheime code invullen op je telefoon bijvoorbeeld.

biglia 6 maart 2015 16:21

Het is toch niet heel moelijk om te detecteren of een oog beweegt of niet..

stresstak @biglia • 6 maart 2015 23:36

Het is toch niet heel moelijk om te detecteren of een oog beweegt of niet..

Dan moet je wel verplichten dat men zijn oog beweegt. Het is toch niet echt moeilijk om een aantal seconden te staren, indien gewenst.

graverobber2 6 maart 2015 16:28

Lijkt mij nochtans zeer simpel tegen te beveiligen:
bouw een klein lampje in de scanner die van lichtsterkte wisselt.
Als die iris niet groeit en krimpt, is het een foto.

kwikstaart @graverobber2 • 6 maart 2015 16:50

Kwestie van tijd totdat iemand deze truc omzeilt met een fotocel en een oled-schermpje. Het is de vraag of je dan ook 1200dpi nodig hebt, want dat is er nog niet geloof ik. Of is dat iets wat simpelweg geen zin heeft om te maken, omdat we het verschil tussen 600ppi en 1200ppi niet zien op een smartphone?

[Reactie gewijzigd door kwikstaart op 22 juli 2024 13:47]

biglia @graverobber2 • 6 maart 2015 16:36

Of een glazen oog.

calvinturbo 6 maart 2015 16:04

Goed bezig

Dan kunnen de fabrikanten weer de sensoren nog beter en beter maken, zodat dit soort eenvoudige hacks niet meer kunnen..

Anonymoussaurus @calvinturbo • 6 maart 2015 16:18

Alles valt te hacken dat wordt aangestuurd door een computer of systeem. De hackers zijn de Anti Virus bedrijven altijd een stapje voor. Voorbeeld: Als Anti Virus bedrijven namelijk een nieuw virus vinden/ontdekken. Voegen ze dat toe aan hun database.

Ook als er nieuwere beveiligingstechnieken zijn bijvoorbeeld. Dan bedenkt de hacker weer een nieuwe manier om dat te omzeilen.

[Reactie gewijzigd door Anonymoussaurus op 22 juli 2024 13:47]

Verwijderd @Anonymoussaurus • 6 maart 2015 17:02

theoretisch misschien in ideale omstandigheden
met toegang en de mogelijkheid om er mee te spelen
dat is lang niet altijd het geval
vind dat soort uitspraken altijd zo ophemelend voor de mythische "hacker" en gewoon onrealistisch
met makkelijk toegankelijke massa-consumentenproducten misschien en zelfs dan kan er heel veel tijd aan op gaan, meer dan een mens er aan wilt spenderen en zelfs dan is het vaak gewoon praktisch niet te doen zonder heel veel moeite van een obsessief figuur

je ziet vaak dat het mensen zijn die heel dicht staan bij projecten waar ze direct of indirect aan hebben gewerkt en ervaring mee hebben opgebouwd waar jan met de pet sowieso niet aan zou kunnen komen
nog een factor...
net zoals bijv (even langs de hype/scare factor crap heen kijken; gaat om een communicatie bus/ports waar geen officiële publieke documentatie voor is):
https://www.youtube.com/watch?v=3jstaBeXgAs

veel proof of concept grapjes zoals dit iris ding zijn gewoon voor de hobby en "l33t factor"
mede sensationeel door de hele security hype (en de belachelijke reacties (producten, implementaties) daar op) van tegenwoordig

[Reactie gewijzigd door Verwijderd op 22 juli 2024 13:47]

HMC 6 maart 2015 16:27

Dus hij heeft een plaatje van een iris gerprint, daar een beveilgingsprocedure mee geijkt, en dan kan hij die print vervolgens gebruiken om in te loggen.

Wat is daar hacken aan?

Het is niet dat hij hier iemand anders zijn phone of in dit geval slechts een irisscanner om de tuin heeft weten te leiden. Of...heel erg veel succes met het vinden van een image van de iris van de persoon waarvan je het device hebt buit gemaakt.

Kort gezegd, ik denk dat je die Fujitsu module van eergisteren hier op Tweakers ook wel kan foppen hiermee, als je een geprint plaatje gebruikt om eerst de "set up" te doen en 'em dan ermee gaat proberen te ontgrendelen.

[Reactie gewijzigd door HMC op 22 juli 2024 13:47]

Rutix 6 maart 2015 16:40

Veel toepassingen waar irisscanners worden gebruikt is er ook nog toezicht door iemand of zijn het two-factor toepassingen. Ook hebben veel scanners tegenwoordig "fake eye" detection wat het ook al moeilijker maakt. Dit heeft dus niet zo'n grote impact als de vingerafdruk omzeiling omdat je die op je vinger kon plakken en dat veel minder op. Nog steeds goed dat zulke onderzoeken gedaan worden want dan worden de technieken alleen maar beter

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (105)

Sorteer op:

Weergave: