Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Chaos Computer Club fopt irisscanner Samsung Galaxy S8 met foto

Door , 114 reacties

Hackers van de Duitse Chaos Computer Club hebben aangetoond dat het mogelijk is om een Samsung Galaxy S8-smartphone te ontgrendelen door een foto van een oog voor de irisscanner te houden. De foto moet wel op een bepaalde manier genomen zijn.

In een bericht schrijft de CCC dat zijn onderzoekers hebben vastgesteld dat het mogelijk is de foto te nemen op maximaal vijf meter afstand van het gezicht van de te fotograferen persoon. Ze maakten daarbij gebruik van een digitale camera met een 200mm-lens in de night shot-modus, waardoor de details van de iris duidelijker naar voren komen. Door de foto vervolgens met een Samsung laserprinter af te drukken en een contactlens over de iris heen te leggen, is het mogelijk om toegang te krijgen tot het apparaat via de irisscanner. De CCC meldt dat het duurste onderdeel bij de methode de aanschaf van de telefoon was en dat de methode in principe ook mogelijk is met een foto met hoge resolutie van internet. De organisatie heeft een video van zijn bevindingen gepubliceerd.

Eerder bleek al dat de gezichtsherkenning van de S8 voor de gek gehouden kan worden met een selfie. Samsung reageerde destijds op het nieuws met de mededeling: "Het is belangrijk te benadrukken dat gezichtsherkenning, hoewel gemakkelijk, alleen gebruikt kan worden om de Galaxy S8 te ontgrendelen en niet gebruikt kan worden om toegang te krijgen tot Samsung Pay of de Beveiligde Map." Dat is echter anders als het gaat om de irisscanner. Daarover zei Samsung in hetzelfde bericht: "De Galaxy S8 voorziet in verschillende vormen van biometrische beveiliging met het hoogste veiligheidsniveau, waaronder de irisscanner en vingerafdrukscanner." Daarmee suggereert de fabrikant dat de irisscanner een hoger beveiligingsniveau biedt.

Reacties (114)

Wijzig sortering
Doet me denken aan die Mythbusters aflevering waarbij ze vingerafdrukscanners probeerde voor de gek te houden. Een printje met de vingerafdruk, beetje natmaken en op je vinger doen, was al voldoende om de meest geavanceerde systemen voor de gek te houden -_-

Edit: Linkje naar het fragment toegevoegd
Edit2: Overigens is dit fragment wel van wat jaartjes terug, geen idee hoe het met de huidige generatie zit. De vergelijking viel me gewoon op ;)

[Reactie gewijzigd door NightFox89 op 23 mei 2017 13:10]

Modernere vingerscanners bekijken ook je aderpatronen met een lampje. Ik durf geen uitspraken te doen over hoe nauwkeurig dat is en of dat lastiger te foppen is ;)
Maar dat soort zit niet in een telefoon.
Toch denk ik dat die in de praktijk lastiger te foppen zijn dan gewoon de pin of het patroontje te bemachtigen waarmee 99% van de mensen zo'n telefoon normaliter de telefoon beveiligd en het daarmee een betere vorm van beveiliging is.
Als ik een euro kreeg elke keer als iemand willens en wetens hun telefoon in mijn gezichtsveld ontgrendeld kon ik stoppen met werken. Heb ik het niet eens over de mensen die dat onbewust in bijvoorbeeld het OV doen. Ik zou wel eens willen weten hoeveel pincodes (wat ook vaak een echte pin van een bankpas zal zijn) en ontgrendelpatronen je kan bemachtigen uit de beveiligsbeelden van een random tram in de randstad.
Voordat je een bruikbare vingerafdruk van een object hebt geŽxtraheerd is die telefoon al als gestolen opgegeven en als gebruiker een beetje pienter is op afstand gewiped.

[Reactie gewijzigd door Ton Deuse op 23 mei 2017 13:54]

Voordat je een bruikbare vingerafdruk van een object hebt geŽxtraheerd is die telefoon al als gestolen opgegeven en als gebruiker een beetje pienter is op afstand gewiped.
Precies dit. Bij iPhones is het dan zelfs nog zo dat als je de wel weet het toestel 99/100 keer alsnog niet meer bruikbaar is door Find my iPhone. Het extraheren van een bruikbare vingerafdruk kost overigens dusdanig veel tijd (vorige spoof werkte met 24 uur) dat het toestel zelf al besloten heeft dat het eerst een pincode nodig heeft (niet unlocked met vinger of pincode in 12 uur tijd).

unlocken met vingerafdruk is dus vele malen veiliger dan alleen met de code, omdat je die niet zomaar kunt "afkijken" en repliceren.
Ik kan nu al een vingerafdruk, irisfoto en andere biometrische gegevens bemachtigen van een (top-)ambtenaar. Zoals hier ook gewoon vanaf een high res foto. Deze wijzigen in principe niet.

En dan kan ik t.z.t. ineens toeslaan. Ik heb _alle_ tijd om voor te bereiden.
Sure. Vervolgens heb je hoogstens een paar uur de tijd voordat die doorheeft dat het toestel is vermist en met apps als Lookout zelfs binnen enkele seconden. Het enige waar dit makkelijk voor bruikbaar is is dan ook een snelle data grab. Een full backup maken van een toestel terwijl je in de buurt bent van het slachtoffer, want met een app als Lookout heeft hij diefstal in no time door. Voordat jij de kans hebt om er maar iets mee te doen is het toestel dan ook gelocked of je bent zelf de sjaak.

Nah iPhones stelen is alleen leuk voor de hardware. De data is vrijwel onmogelijk eraf te halen als mensen enigszins nadenken over de beveiliging van zichzelf en hun data. zo kan ik mij voorstellen dat topmensen in het bedrijfsleven dit goed voor elkaar hebben. het is goedkoper om de iPhone te verliezen door een blockade en wipe dan dat je de data kwijt bent.
Waarom moet het slachtoffer z'n toestel missen?
Inbraak in het zwembad kluisje tijdens een sessie baantjes trekken en het toestel leegroven kan ook.
Bij een goede voorbereiding hoort niet alleen een setje foto's maken maar ook het slachtoffer afleggen.
Je vergeet hier voor het gemak even dat een serieus doel (zoals die minister) natuurlijk van tevoren gefotografeerd kan worden, haal je daar vingerafdruk en iris uit, dan pas steel je die minister zn telefoon, heb je vingerafdruk en foto van het oog al bij de hand..

Je doet aannames over apps die mensen op hun smartphone hebben, maar het zou me niets verbazen als zulke apps op minder dan 5% van alle smartphones wereldwijd staan.

Ook ben ik het niet eens met je uitspraak over dat data vrijwel onmogelijk van een iPhone te halen valt, weet je het verhaal FBI<->Apple nog? en hoe de FBI opeens de zaak liet vallen omdat er meerdere mensen gewoon open en bloot op Twitter begonnen te posten hoe je die data van een gelockte iPhone haalt? die data hebben ze uiteindelijk gewoon van zn iPhone getrokken hoor, zonder hulp van Apple, en zonder de telefoon te unlocken, en geloof maar niet dat dat een super bijzonder trucje was wat niemand anders kent.

Ik denk al met al dat je een beetje te rooskleurig denkt, alle biometrische beveiliging op smartphones is op zn best van middelmatige kwaliteit (door zowel ruimtegebrek als kostenbesparing) en beid letterlijk alleen maar schijnveiligheid. Ook de 'echte' veiligheid die je bij sommige partijen vind, zoals versleutelde bestandssystemen etc is ook absoluut niet perfect en zeer zeker ook te omzeilen.
die data hebben ze uiteindelijk gewoon van zn iPhone getrokken hoor, zonder hulp van Apple, en zonder de telefoon te unlocken, en geloof maar niet dat dat een super bijzonder trucje was wat niemand anders kent.
Uiteindelijk wel ja. Dat heeft echter wel enkele maanden geduurt bij een iPhone die niet gelocked was met FMI. Op het moment dat je dat doet (bij nieuwere series) is het echt klaar en bestaat de data niet meer.

Een serieus doelwit als een minister zou in theorie juist een dergelijke software extra moeten hebben om dit soort dingen te kunnen voorkomen.
Integendeel, Find My iPhone zorgt ervoor dat iphones jatten voor de hardware gekkenwerk is. Tenzij de 100 euro retail aan case/scherm/accessoires je doel is, itt de 400 euro aan moederbord.
Uitgaande van retail prijzen heb je hier het lijstje wat originele onderdelen retail op kunnen leveren:

Scherm - §100
Headphone jack en dock - §45
Speakers - §30 p/stuk
Knoppen zijkant - §35
Antenne kabels - §40
Accu in goede staat - §30
Achterkant met kleine gebruikssporen - §80-100
Camera's - §45 p/stuk

Al met al zo'n §500 aan onderdelen. Geloof mij. Een iPhone levert in onderdelen veel meer op dan de totaalprijs in de winkel. Voor een dief zal het een paar tientjes zijn voor de moeite, maar iCloud toestellen vinden gretig aftrek op bijvoorbeeld marktplaats omdat je heel goedkoop aan originele onderdelen kunt komen.

Moederbord en homebutton zijn dan jammer, maar soms heb je mazzel en staat FMI niet aan.
heeft niet alleen iphone dit heeft android ook. kun je eenvoudig zien waar je bent geweest of je dit wil delen met google weet ik niet ^^ maarja zelfde geld voor apple :p
Een high end samsung toestel gap je dan ook voor het scherm. Die modules zijn kneiterduur.
Dat het veel tijd kost wil niet zeggen dat het niet mogelijk is. Bij een gerichte aanval is dit prima mogelijk zonder eerst zelf de telefoon in handen te krijgen. Zodra je doelwit een glazen of plastic object heeft vastgehad kun je dat gebruiken om de vingerafdruk vanaf te halen. Pas veel later kun je de telefoon stelen.
Niet bruikbaar voor zakkenrollers natuurlijk maar daardoor niet minder bruikbaar.
Ik zeg ook nergens dat het niet mogelijk is maar bij een gerichte aanval kan je toegangscode's ook gewoon onderscheppen, en die hoef je vervolgens alleen in te tikken i.p.v. een negatief te maken en vervolgens een kopie te produceren die het dan ook nog maar even moet doen.
Dat is het inherente probleem met on-screen input, zeker in het openbaar, als je wil kan je gewoon met alles meelezen. Zegmaar voor jan modaal is zo'n vingerafdruk authenticatie prima adequaat.

Als je een hoge waarschijnlijkheid hebt het doelwit te zijn van gerichte aanvallen gaan er op beveiligingsvlak sowieso heel andere krachten spelen.

[Reactie gewijzigd door Ton Deuse op 24 mei 2017 14:38]

Voordat je een bruikbare vingerafdruk van een object hebt geŽxtraheerd is die telefoon al als gestolen opgegeven en als gebruiker een beetje pienter is op afstand gewiped.
Dan ga je uit van capabele gebruikers die weten dat iemand hun vingerafdruk van een glas af heetf gehaald af wat dan ook. beetje onrealistisch scenario. we zijn niet allemaal james bond.

feit is dat een vingerafdruk 1 ding mist wat een goed password moet hebben: geheimhouding. je vingerafdruk is publieke informatie. het kan dus een public key zijn. een identifier. geen private key.

[Reactie gewijzigd door Origin64 op 23 mei 2017 16:14]

met alle glazen behuizingen is het trouwens niet zo heel ver zoeken naar een bruikbare vinger afdruk.
zo ook met die vingerafdruk toegangscontroles.
je mag 1 keer raden waar er op dat toestel heel waarschijnlijk een bruikbare vingerafdruk zit ???

juist ja net op dat glas dat de vingerafdruk moet lezen en de boel moet beveiligen
Want bij normaal gebruik wie laat er daar nu net hun vingers op rusten ? ja de mensen die toegang hebben.
Voordat je een bruikbare vingerafdruk van een object hebt geŽxtraheerd is die telefoon al als gestolen opgegeven en als gebruiker een beetje pienter is op afstand gewiped.
Ik weet niet hoor, maar kijk eens naar een willekeurige smartphone, de meeste zitten onder de vingerafdrukken (want oh ahh, glas achterkantjes zijn zo hip etc) en ik kan me bijna niet voorstellen dat je niet binnen een paar minuten van plakbandje met wat stof naar een uitgeprinte vingerafdruk kan.
ik kan me bijna niet voorstellen dat je niet binnen een paar minuten van plakbandje met wat stof naar een uitgeprinte vingerafdruk kan.
Het lijkt mij persoonlijk zeer sterk dat dat zo simpel is maar geef me een simpele procedure en ik zat het op mijn S7 eens een poging geven.
Volgens mij ga je het met een simpel printje niet redden, aangezien die in smartphones niets doen met optiek.

[Reactie gewijzigd door Ton Deuse op 24 mei 2017 14:31]

Dat is hetzelfde rode lucht waarmee ze saturatie meten in t ziekenhuis. Dat lijkt me ook makkelijk te simuleren.
Bij die mythbusters episode waren de meest geavanceerde systemen juist het makkelijkst te foppen viel me destijds op.
hmm de meest geavanceerde die ik ken zal toch heel lastig zijn.

Geen vingerafdruk maar volledige handpalm scan, inclusief aders en handomtrek.
Maar dergelijke vind je niet overal, en zeker niet op een telefoon, die is er zelfs niet groot genoeg voor.
Haha inderdaad. Ook de bewegingsmelder in een later fragment waarbij ze simpelweg een wit laken vasthouden is geniaal :)
De huidige generatie vingerafdruk scanners zijn nog steeds vrij makkelijk voor de gek te houden.

De methode dat The Verge gebruikt in de gelinkte video is via een afdruk in 'dental molding' en dan met Play-Doh. Maar die 'dental molding' kan ook vervangen worden door een hoge resolutie foto van de vinger en een 3D afdruk daarvan.

[Reactie gewijzigd door Chip5y op 23 mei 2017 13:39]

De CCC hebben al meerdere keren heel duidelijk aangeven hoe slecht biometrische authenticatie eigenlijk is.

Deze talk van 2014 is ook heel goed:

https://www.youtube.com/watch?v=VVxL9ymiyAU (Engelse vertaling)

https://www.youtube.com/watch?v=YE1EoxKV53w (Duits)

[Reactie gewijzigd door Lennie op 23 mei 2017 14:18]

Wat veel mensen ook wel eens vergeten, is dat als deze beveiliging is gekraakt, je niet zomaar even een nieuw 'wachtwoord' ofzo kan instellen. De 'wachtwoorden' zijn hier dus je ogen, oren, gezicht, vingerafdruk, enz. Dit soort 'wachtwoorden', die letterlijk een deel van je persoon zelf zijn, kun je niet veranderen.

Dus als je deze beveiliging gebruikt, en iemand anders heeft toegang gekregen tot jouw persoonlijke 'wachtwoorden', dan blijven ze toegang houden tot de bijbehorende dienst, totdat je de gehele beveiliging, gebaseerd op fysieke kenmerken van jezelf, uitschakelt.

Sterker nog, als jouw fysieke kenmerken ergens zijn opgenomen in een database, en die database wordt gekraakt, kun je eigenlijk die 'wachtwoorden' niet meer gebruiken, omdat ze nu semi-publiekelijk zijn, en je ze ook niet meer kunt veranderen.

En zoals ook al mede aangegeven door NightFox89, dit soort beveiligingen gebaseerd op fysieke kenmerken van jezelf zijn relatief makkelijk te kraken. En bedenk daar nog eens bij, dat je je 'wachtwoord' (je gezicht, ogen) continue aan iedereen toont.

Wat niet wil zeggen dat deze technieken absoluut niet kunnen werken trouwens. Het is makkelijker voor de gebruikers, omdat je niks zelf hoeft te onthouden. Maar ik zou het niet als primaire of enigste beveiliging willen gebruiken.
Deze methode van beveiliging is inderdaad alleen handig ter verificatie van de persoon. Er zou altijd een tweetraps authenticatie moeten worden gebruikt.

De camera's worden steeds beter. Over enkele jaren werken we misschien wel met gigapixel sensoren. Met een beetje lens kan men je ogen dan fotograferen van tientallen tot honderden meters afstand. Je geeft je wachtwoord weg zonder dat je het ooit door zult hebben.
als jouw fysieke kenmerken ergens zijn opgenomen in een database, en die database wordt gekraakt, kun je eigenlijk die 'wachtwoorden' niet meer gebruiken
In theorie, als de database op een nette manier opgezet is, zou dit niet het geval moeten zijn. Als je bijvoorbeeld een vingerafdruk omzet naar een hash en daarbij zorgt dat je een salt e.d. gebruikt, dan zou de hash zelf alleen bruikbaar moeten zijn bij de die specifieke dienst. De kans dat andere diensten precies dezelfde hash methode gebruiken is natuurlijk niet zo groot.

Maar in de praktijk gaat het natuurlijk nooit zo. Het zal me niet verbazen als er diensten zijn die gewoon ergens een plaatje van je vinger/iris opslaan. Precies wat je zegt: je kan het niet meer veranderen en het zijn kenmerken die je constant aan iedereen laat zien.
tldr Biometrische informatie is goed voor identificatie, maar niet voor authenticatie
Combinatie van:

- Wat je weet (pin, wachtwoord)
- Wat je hebt (smartcard, token)
- Wat je bent (vingerafdruk, irisscan)

.. werkt het beste. Maar ja. Iedereen snapt dat je je foon ook normaal moet kunnen gebruiken.
Zie hier de reden waarom biometrie authenticatie een superslecht idee is. Een wachtwoord, token, etc. kan je vervangen wanneer nodig, of gewoon, eens in de zoveel tijd.
Een stem, vingerafdruk, iris scan, etc. vervang je niet. Zodra er een manier is om een sensor voor de gek te houden, dan kan jij je niet beschermen. Iemand kan jou stemgeluid opnemen, een foto van je gezicht maken, een vingerafdruk van je net weg gegooide bekertje afhalen, etc.

Dit werkt leuk in films, maar in het echte leven is dit geen goede security als je echt wat te beschermen hebt.
In films werkt het toch juist nooit.

Anyway het gemak is veel meer waard dan het risico. Als iemand jouw toestel wil unlocken heb je wel meer problemen dan je toestel. De moeite en gerichtheid van zo'n actie zegt me dat als ze dit niet kunnen ze je wel wat anders aan doen om hun zin te krijgen.
In een film snijden ze je vinger er af of rukken ze je oog er uit...
Doomsday uit 2008 ;-) geen wonder op het doek maar daar zit beide in!
Zoals de volgende meme beschrijft:
https://xkcd.com/538/
His laptop is encrypted! Lets build a million-dollar cluster to crack it.
His laptop is encrypted! Drug him and hit him with this $5 wrench until he tells us the password.

[Reactie gewijzigd door ReTechNL op 23 mei 2017 13:39]

Juist. Ik herinner me een scene uit de serie Blade waar hij tegen iemand zegt die de irisscanner geprogrammeerd heeft: "don't worry, I only need one".
Op zich, stem herkenning met een passphrase lijkt me nog enigszins veilig. Net zo veilig eigenlijk als de huidige wachtwoorden/pincodes methodiek.

Weliswaar kan je hele gesprekken met iemand opnemen voor z'n stem, en dan door wat stem-software heen gooien om de juiste zinnen te genereren, maar dan heb je de passphrase al en heb je al ergens een lek. Dan is de stem herkenning hooguit iets als 2-factor authenticatie.

Voordeel blijft wel dat je een stem-pass-phrase wel kan wijzigen ten opzichte van andere biometrische authenticatie methodes. Iris en vingerafdrukken wijzig je niet zo snel.
Zie hier een mooi voorbeeld van gister m.b.t. stem authenticatie.

https://www.security.nl/p...ificatie+Britse+bank+HSBC
passphrase is natuurlijk heel simpel te achterhalen, immers hoef je alleen maar te wachten tot de gebruiker deze gebruikt om zijn/haar telefoon te unlocken, kun je meteen opnemen en hoef je niet moeilijk te doen met software.
Daarom zou je ook een one time password kunnen gebruiken.

Ohh, maar dan heb je weer een apparaat nodig. ;-)
Check Voco. Een paar minuten audio is genoeg om getrouw de stem van iemand realtime na te bootsen. Koppel dit met de techniek waarop je iemand's mond realtime een andere stem kan laten uitspreken en je kan realtime met vieo iemand iets laten zeggen.

Stem+passphrase is wel iets veiliger, mits op de juiste manier opgeslagen, maar dat is natuurlijk wel iets wat iedereen om je heen horen kan.
Het is niet de s8 zijn gezichtsherkenning die te foppen was, maar die van Google. Samsung heeft geen eigen facial recognition protocol of applicatie tegenover die van Google, die op elke android telefoon ( vanaf Android Froyo ) standaard gezichtsherkenning heeft staan
het artikel gaat over de IRISscanner...niet over de gezichtsherkenning!
Heb je het artikel wel gelezen ? Ze praten er duidelijk over de gezichtsherkenning van de s8 wat gewoon gezichtsherkenning van Google is. De s8 heeft alleen een irisscanner wat van Samsung is. De gezichtspunt technologie en algoritmes etc komen allemaal van Google.
Dat weet ik maar de stelling suggereert dat de gezichtsherkenning van Samsung is terwijl Google er verantwoordelijk voor is. Samsung is verantwoordelijk voor de vingerafdruk en irisscanner omdat dat 2 van de biometrische dingen zijn die ze op hun manier implementeren in hun o.s. De gezichtsherkenning staat standaard op elke android ( 2.2+ ) toestel
Het gaat hier niet om de gezichtsherkenning (die inderdaad van Google is) maar om de irisscanner.

De S8 kan de iris van je ogen scannen, die ongeveer zo uniek is als je vingerafdruk.

Dat de gezichtsherkenning te foppen is was inderdaad al wel een tijdje bekend (gewoon een foto printen...) maar de irisscanner is nieuw en dat wordt toch wel geadverteerd als een security ding.

Edit: artikel niet goed gelezen, er wordt inderdaad over de gezichtsherkenning van Google gepraat alsof dit van Samsung zelf komt

[Reactie gewijzigd door GertMenkel op 23 mei 2017 14:06]

Nee dat weet ik ook wel. Maar ze praten duidelijk in het artikel over de gezichtsherkenning van de s8 zonder google ook maar ergens te noemen. Daarmee suggereren ze dat Samsung zijn gezichtsherkenning eerder gefopt is terwijl het de van Google is. Wat gewoon misleiding is

Als je me commentaar ook leest zie je dat ik aangeeft dat het van Google is en niet van Samsung.
Ah, nou dat ik het artikel nog een keer lees zie ik dat je gelijk hebt.

Excuses.
Dat weet ik maar de stelling suggereert dat de gezichtsherkenning van Samsung is terwijl Google er verantwoordelijk voor is. Samsung is verantwoordelijk voor de vingerafdruk en irisscanner omdat dat 2 van de biometrische dingen zijn die ze op hun manier implementeren in hun o.s. en de gezichtsherkenning standaard op elke android ( 2.2+ ) toestel zit.
Lood om oud ijzer. De S8 wordt verkocht met Android en als die diens gezichtsherkenning gebruikt, dan is Samsung er net zo verantwoordelijk voor als de ontwikkelaar van de software, meer zo m.b.t. consumentenrecht, want zij zijn de fabrikant en dus de partij die de consument aanspreekt. Wij doen zaken met Samsung, Samsung op hun beurt doet zaken met Google.

Dus als de gezichtsherkenning op de Samsung Galaxy S8 brak is, ongeacht wie deze voor hen ontwikkeld heeft, draagt Samsung daar de verantwoording voor richting de eindgebruiker. Als zij vervolgens hun leverancier wil aanspreken, is dat hun zaak.
Dat is geen lood om oud ijzer, aangezien door de stelling wordt gesuggereerd dat bij andere merken dit niet is.
Lood om oud ijzer. De S8 wordt verkocht met Android en als die diens gezichtsherkenning .
Irisherkenning, geen gezichtsherkenning. En die is van Samsung en daar heeft Goggle niet veel mee te maken.

En daar is moderatie dus voor... dit is off topic.
Dan moet je het nieuwsartikel eerst modereren -- zij zijn degenen die erover beginnen.
Ik vraag me ook altijd af hoe veilig een vingerafdruk-toegang is, zoals op de iApparaten gebruikt wordt.

Ja, het is best omslachtig om zo'n vingerafdruk te vinden en 3D te (laten) printen uit het juiste materiaal maar anderzijds vaak waarschijnlijk een stuk eenvoudiger, meer trefzeker en onopvallender uit te voeren dan de PIN-code achterhalen.
Vingeradruk toegang is minder veilig als men denkt. Nadeel van zo'n sensor op smartphones, is dat het gebied vrij klein is wat gescand is. Maar men is al bezig met een soort master fingerprints die op zo'n beetje elk toestel zouden werken. En de oudere versies van TouchID waren ook redelijk simpel te omzeilen.

[Reactie gewijzigd door RebelwaClue op 23 mei 2017 13:15]

Het probleem dat de vingerafdrukscanner verhelpt is dat de meeste mensen een zwak paswoord nemen. Geboortejaar is een klassiek voorbeeld. Ondanks dat een sterke code beter is dan een vingerafdrukscanner is de 2e gemiddeld toch beter en makkelijker voor de gebruiker.

Apples fingerprint sensor heeft volgens hun eigen specificatie een veiligheid van 1/50.000, dit wil zeggen dat als je 50.000 random mensen pakt gemiddeld 1 hem kan openen. Een sterke pincode van 4 cijfers heeft 9.999 combinaties, dus je zou kunnen zeggen dat het ongeveer gelijk is aan een 5 cijferige pincode qua security.

Het grote voordeel van een vingerafdruk scanner over een pascode is echter dat je niet even een pincode kan afkijken bij iemand om daarna zn phone te pikken en te kunnen unlocken. Deze onderzoekers tonen aan dat een foto maken van iemand en daarna zijn telefoon jatten in principe genoeg is. Dit komt meer in de buurt van een plausibel scenario dan een vingerafdruk van iemand bemachtigen, 3d printen en unlocken.
Maar een random vingerafdruk is niet gelijk aan bv zo'n master vingerafdruk. Al hebben ze bij dat onderzoek nog geen praktijk testen gedaan met smartphones. Het klinkt erg aannemelijk dat vingerafdrukken op kleine sensors minder uniek zijn. Neemt overigens niet weg dat ik liever vingerafdruk gebruik dan een pincode. Heb een 6cijferige pincode, maar vinger is toch net even iets makkelijker.
En ja in mijn ogen is een gezichtsontgrendeling ook onveiliger dan een vingerafdruk (zelfs met een master fingerprint)
Helaas zeggen de random match cijfers niets over de kwaliteit van de scanner in het geval van malicious intent. In dat geval ligt vrijwel altijd ordes van grote lager (e.g. je hebt vrij weinig van de afdruk nodig voor een match). De 1/50000 match is dus een random false positive, niet een fatsoenlijke poging tot misbruik.

Zolang mensen 'iets' gebruiken in plaats van niets is het een winst. Als het niet gebruikt wordt voor authenticatie maar enkel voor identificatie.

Ter info: Een 4pin heeft ~13 bits entropie en een 5 pin zo'n 17bits (~3.3 bits per digit). Fingerprints worden geschat rond de 20-30bits maar dat gaat meestal niet over scanner en puur theoretische lower bounds.
Het grote voordeel van een vingerafdruk scanner over een pascode is echter dat je niet even een pincode kan afkijken bij iemand om daarna zn phone te pikken en te kunnen unlocken. Deze onderzoekers tonen aan dat een foto maken van iemand en daarna zijn telefoon jatten in principe genoeg is. Dit komt meer in de buurt van een plausibel scenario dan een vingerafdruk van iemand bemachtigen, 3d printen en unlocken.
Daarbij laat je wel achterwege dat jij als gebruiker in staat bent je pincode geheim te houden, maar je gezicht en je vingerafdrukken kun je niet geheim houden. tenzij je overal heen gaat met een bivakmuts op en handschoenen aan en die alleen afdoet als er niemand in de buurt is die een camera zou kunnen hebben.

Wil je een authenticatiemethode die altijd onveilig is, of een die alleen onveilig is als je niet oplet?

[Reactie gewijzigd door Origin64 op 23 mei 2017 16:22]

Ik heb voor de gein wel eens geprobeerd een foto te maken van mijn vingers. Dat is verre van onmogelijk. In principe kan je daarmee de splitsingen van de lijnen (de minutia) ook prima uittekenen. Het maken van een vingerafdruk van de foto ging me op dat moment wat ver, er ik blijf die gummi-beertjes maar opeten, en ik weet dus niet of ik daarmee de scanner al kan foppen.
Toen dat uit kwam duurde het een paar dagen voordat het gebroken was:

https://www.ccc.de/en/updates/2013/ccc-breaks-apple-touchid
Dit is ook wel een interessante link:
http://www.nu.nl/internet...uitse-minister-fotos.html
Vingerafdruk Duitse minister van defensie
Irisscan Angela Merkel

Of deze iets oudere, een Duitse minster die enorm voorstander was van vingerafdrukken:
https://www.privacyfirst....inister-gepubliceerd.html

Biometrische informatie alleen lijkt dus onveilig te zijn, je hebt altijd nog een andere vorm van authenticatie nodig.
"Ze maakten daarbij gebruik van een digitale camera met een 200mm-lens in de night shot-modus"
"de methode in principe ook mogelijk is met een foto met hoge resolutie van internet."

Die combinatie maakt het 'in principe' nier erg waarschijnlijk. Ik kan zo snel geen enkele foto vinden op het wijde web die daarvoor geschikt zou zijn, laat staan een foto van diegene wiens telefoon ik net gestolen heb.

Verder is dit natuurlijk meer sensatie dan een echt gevaar. Om in te breken moet je een hele goede foto maken van de gebruiker, recht in de ogen van dichtbij. Daarna moet je zijn telefoon stelen en hopen dat het lukt.

Al met al geen enkel gevaar voor de doorsnee gebruiker
Dicht bij ? Nee, alleen hoge resolutie:

https://www.youtube.com/watch?v=VVxL9ymiyAU (Engelse vertaling)

https://www.youtube.com/watch?v=YE1EoxKV53w (Duits)

[Reactie gewijzigd door Lennie op 23 mei 2017 14:18]

Nee, zeker bij donkere ogen gaat je dat niet lukken met een simpele foto van het internet, aangezien je een IR foto nodig hebt. Dus van een camera met nightshot modus (bepaalde Sony camera's tot zo'n 10 jaar geleden) of dedicated /omgebouwde IR camera.

Zoals ook uitgelegd in de video en het artikel.
300dpi is voldoende. Zoek eens op time magazine en iris
Zijn er nou ook mensen die zich hier druk om maken en het daarom niet meer gebruiken?? Ik vind het prima dat een willekeurige voorbijganger die mijn telefoon vind er niet gelijk in rond kan neuzen, of dat als ik em op mijn bureau laat liggen dat collega's er geen geintjes mee uit kunnen halen. Maar ik zie mezelf niet als mogelijk doelwit, waardoor ik beter een anders soort beveiliging op mijn telefoon moet zetten...

(als je nou in de politiek zit of bekend van weet ik veel wat, dan kan ik me voorstellen dat je een doelwit kan zijn waar kwaadwillenden dit soort trucen voor uit willen halen, maar voor jan met de pet...??? 8)7 )
Voor jan met de pet is de vraag meer: voor welk probleem is dit de oplossing? Je kunt al een pin code of zo'n vormpje als password gebruiken, die kan geraden of gelezen worden net als dat iemand je vingerafdruk zou kunnen kopieren. het voegt gewoon niets toe.

[Reactie gewijzigd door Origin64 op 23 mei 2017 19:05]

"De CCC meldt dat het duurste onderdeel bij de methode de aanschaf van de telefoon was"

Als je het toestel zelf aanschaft hoef je de iris scanner helemaal niet te foppen ;)
"De CCC meldt dat het duurste onderdeel bij de methode de aanschaf van de telefoon was"

Als je het toestel zelf aanschaft hoef je de iris scanner helemaal niet te foppen ;)
Ik denk niet dat het gewaardeerd zou worden als ze voor een proof-of-concept even andermans telefoon zouden stelen en daar toegang tot zouden verschaffen. ;)

Wat ik me nu wel afvraag is of de Privium scanners op Schiphol op dezelfde manier te foppen zijn.
Ik vind het gewoon vreemd dat de telefoon qua kosten als onderdeel van de methode wordt beschouwd. Als ik een apparaatje voor 30 euro in elkaar zet waarmee ik Ferrari's kan stelen dan reken ik die Ferrrari's ook niet mee in de kosten van de methode.
Dat probeerde ik (onhandig) te verwoorden ;)
Nee. Plus dat daar bewaking is die het opmerkt als je daar met een a4tje voor de camera staat te zwaaien |:( |:(

[Reactie gewijzigd door MartijnDutch op 23 mei 2017 17:09]

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*