Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Android-telefoon met zwakke biometrische ontgrendeling vraagt na vier uur om pin

Android-telefoons met een zwakke biometrische ontgrendeling gaan na vier uur zonder ontgrendelen vragen om een pin of wachtwoord. Toestellen met een sterke beveiliging vragen dat pas na 72 uur. Dat heeft Google bekendgemaakt.

Google berekent de kans dat een aanvaller het toestel binnenkomt door biometrische authenticatie en als die kans groter is dan zeven procent, dan classificeert Android het als zwakke methode van ontgrendeling, zegt Google. Vervolgens kunnen gebruikers de ontgrendeling niet gebruiken binnen apps die gebruikmaken van de nieuwe BiometricPrompt-api en moeten ze vaker hun pin of wachtwoord invoeren.

Hoewel de zoekgigant niet zegt om welke vormen het gaat, lijkt het erop dat ontgrendeling met stem en gezicht eronder valt. Vooral gezichtsherkenning via de frontcamera staat sinds het afgelopen jaar centraler bij fabrikanten van Android-smartphones.

Als de telefoon met zwakke authenticatie vier uur niet ontgrendeld is geweest, vraagt hij om een pin of wachtwoord bij het ontgrendelen. Dat zal bij veel gebruikers bijvoorbeeld na een nacht slapen zijn. Bij sterke authenticatie is dat 72 uur, waardoor dat in de praktijk zelden tot nooit voorkomt.

Google zet in Android P de BiometricPrompt-api, waarmee ontwikkelaars ervan verzekerd zijn dat gebruikers hun app kunnen beveiligen met een sterke methode van biometrische authenticatie, zoals een capacitieve vingerafdrukscanner. De regels zijn geen grote afwijking van de huidige praktijk; zo geeft Android nu al aan bij het instellen van gezichtsontgrendeling dat het niet de veiligste methode is en dat het niet in gebruik kan zijn voor betalingen. Biometrische ontgrendeling was een van de onderwerpen in de donderdag verschenen aflevering van de Tweakers Podcast.

BiometricPrompt-api

Door Arnoud Wokke

Redacteur mobile

22-06-2018 • 07:47

100 Linkedin Google+

Reacties (100)

Wijzig sortering
Soms denk ik, het zou fijn zijn om een NFC in mijn pols te hebben telefoon op te pakken en deze direct te ontgrendelen. Dan op deze NFC ook mijn persoonlijke gegevens, rijbewijs, bank koppelen e.d.

Daarna denk ik ja, wat als ik dood gevonden wordt. De NFC wordt gestolen....

Wat is de straal van NFC, ik heb bijv. een Apple Watch om, die unlocked is. Waarom moet ik dan ook nog elke keer die telefoon unlocken. Dat Face ID is nou niet echt bepaald flitsend snel..

Iedereen heeft andere verwachtingen van functionaliteit, en eigenlijk beide.. iOS en Android voldoen niet helemaal aan mijn Unlock gemak...
NFC heeft ongeveer een bereik van 10cm.
10 cm? Damn ik dacht altijd dat het veel minder was.
Verwar je het misschien met RFID? Daarbij moet je het inderdaad praktisch tegen de ontvanger aan houden.
NFC is een RFID soort, waar beiden de stroom krijgen door de inductie. Dus bereik is vergelijkbaar. 2e generatie RFID tags hebben al een groter bereik bereik. Los van actieve RFID chips
Hmm, ik dacht dat NFC zelf-powered was. Nou ja, weer wat geleerd.
Self-powerd in de zin dat er geen batterij oid voor nodig is klopt wel. De antennes van de NFC / RFID genereren door inductie van de ontvanger (die wel een energiebron nodig heeft) om de data te versturen. De grootte van de antenne in de tag bepaald het bereik. Dat kan onder ideale omstandigheden met de nieuwste generatie RFID chips maximaal ruim 10 cm zijn.
Ik heb gisteren toevallig van strange parts een YouTube video gezien waar ze klapte van 1 meter. Ik kan mij inbeelden dat het afhangt van hoe sterk de ontvanger uitzend?
De sterkte van de zender heeft invloed, maar niet zoveel dat ineens een afstand van een meter kan worden gehaald. De lees afstand is wel te verhogen door meerdere antennes aan een ontvanger te koppelen, of door meerdere ontvangers te combineren. Een afstand van 1 meter lijkt me dan nog niet realistisch. Denk dan eerder aan een werkafstand van 15, hooguit 20 cm. Vermoedelijk betreft het een actieve RFID. Die hebben wel een eigen energiebron. Die energiebron kan minuscuul zijn.
Ik dacht dat de leesafstand van RFID ook iets is wat 'instelbaar' is?

maw je wilt soms dat je je chip praktisch tegen de lezer aan moet houden maar soms wil je dat een ook ietwat grotere afstand werkt. Dat is in ieders geval wat een gediplomeerd elektroniks ingenieur mij verteld heeft ooit vele manen geleden. :+
Beiden hebben wat vandaag geleerd dus ;)
Als jou antenne groot genoeg is, kan je altijd NFC signalen opvangen van een afstand. Kan met bijna alles wat straling uitzend. Zolang je antenne maar genoeg bereik heeft om NFC te bereiken op afstand, is het best mogelijk om op een meter of 2 met een Arduino en 2 antennes met goed geschreven software NFC signalen binnen te halen.

Dit was ook 1 van de angsten die bekend werden toen je kon gaan betalen met je telefoon.

Op internet zijn er genoeg voorbeelden te vinden van criminele die met een aangepaste apparaat NFC bankpassen af scande tot de bank daar wat tegen deed.
NFC werkt met versleutelde communicatie, afluisteren van de signalen is mogelijk, maar daarmee heb je nog de communicatie niet ontcijferd, of een privésleutel achterhaald.
Een repeater zou al genoeg kunnen zijn, dan hoeft een dief niets te ontcijferen.
Je bedoelt een apparaat dat de afgevangen signalen weer afspeelt? Daar schiet je niets mee op, want bij iedere implementatie die er toe doet wordt dezelfde publieke sleutel, en dus dezelfde versleuteling, niet meer gebruikt bij een volgende transactie.
Jij verwart nu een replay attack met een repeater.

Bij een replay attack wordt bijvoorbeeld een hash of token meermalen gebruikt terwijl dat niet de bedoeling zou moeten zijn. Dat kan voorkomen worden door zo'n token na 1x gebruik ongeldig te maken.

Een repeater attack is simpelweg het versterken of via ander medium "repeaten" van een signaal. DIt wordt bv. veel gedaan met autoinbraken met keyless/passive entry:

- Dief hengelt een antenne door de brievenbus. Die vangt het signaal van de sleutel op. De antenne hangt aan een laptop met WiFi.
- Bij de auto heeft een andere dief een andere laptop, die ontvangt het wifi signaal van de 1e laptop en stuurt het signaal dat Laptop A ontvangt weer uit op de antenne van Laptop B.
- De auto ziet nu 'oh de sleutel is in de buurt, ik ga open!'.
- Dief rijdt met de auto weg.

Deze repeater of relay attack gebeurt regelmatig met luxe auto's die met dergelijke passive/keyless entry zijn uitgevoerd.
Ik heb nooit begrepen dat zo'n auto niet gewoon afslaat wanneer de sleutel niet meer in de buurt is, dat zou dit soort diefstal al onmogelijk maken.
Ik heb nooit begrepen dat zo'n auto niet gewoon afslaat wanneer de sleutel niet meer in de buurt is
Iets met veiligheid en zo, je wilt niet dat een auto opeens op de spoorwegovergang afslaat omdat de batterij van je sleutel leeg is...
Dat is toch wel op te lossen, je kan toch zeggen geen sleutel gedetecteerd over 1 minuut sla ik af. Dan kun je nog een parking zoeken.

En het moet toch ook wel mogelijk zijn een sleutel te detecteren als de batterij leeg is? Ik kan bijv ook met een pasje of een druppel een gebouw binnen en die heeft ook geen stroom.
Dergelijke luxe auto's worden vaak gejat om te worden ontmanteld. Die dingen rijden een container in en worden uit elkaar gehaald. Die container dient ook direct als kooi van faraday om tracking zenders uit te schakelen cq. onbereikbaar te maken.

1 minuut rijden is dus genoeg. Die auto's worden direct op een vrachtwagen geladen en zie je daarna nooit meer terug.

Met alle tracking mogeijkheden tegenwoordig is het risico te groot om zo'n auto in zijn originele staat te verkopen. Denk ook aan het feit dat auto's tegenwoordig zelf vaak al connected zijn. Vrijwel alle high-end auto's hebben tegenwoordig wel iets van een App waarmee je de auto status kunt ophalen. Een auto met zo'n systeem is dus nooit als auto weer te verkopen, want dan weet men altijd waar die gestolen auto is. Enige optie is die functionaliteit eruit slopen (SIM eruit), maar dan daalt de waarde van de auto weer.
Een repeater attack is simpelweg het versterken of via ander medium "repeaten" van een signaal. DIt wordt bv. veel gedaan met autoinbraken met keyless/passive entry:
Nou, misschien is dat wel wat BlueTooth76 bedoelt. Maar om zoiets met contactloos betalen voor elkaar te krijgen, is wel een heel stuk lastiger.

De dief zou een contactloze betaling moeten verrichten in een winkel, maar dan met een of ander apparaat in plaats van een gewone betaalpas.
De tegenhanger van dat apparaat, dat daarmee in verbinding moet staan, zou zich op precies datzelfde moment binnen zo'n 10 cm afstand moeten bevinden van de betaalpas van het slachtoffer.

Let wel dat een contactloze betaling zonder pin beperkt is tot maximaal 50 euro.

Al met al lijkt me de inspanning en het risico voor een dief in geen verhouding staan tot de mogelijke winst.
Bij contactloos betalen hoeft dat veelal niet. Het risico van contactloos betalen is dat een dief gewoon een contactloze pinautomaat/terminal tegen een kontzak houdt en zo de argeloze persoon ontdoet van een bedrag tot max. 25 euro.

Een pinterminal kun je vrij eenvoudig verkrijgen. Banken bieden bv. voor het MKB daar al kleine apparaatjes voor aan die werken met je mobiele telefoon.

Hoe jij het schetst, dat een replay attack wordt gedaan om in een legitieme winkel te betalen met andersmans pinpas zie ik inderdaad ook niet gebeuren. Daarvoor is het te omslachtig.
Het risico van contactloos betalen is dat een dief gewoon een contactloze pinautomaat/terminal tegen een kontzak houdt en zo de argeloze persoon ontdoet van een bedrag tot max. 25 euro.

Een pinterminal kun je vrij eenvoudig verkrijgen. Banken bieden bv. voor het MKB daar al kleine apparaatjes voor aan die werken met je mobiele telefoon.
Ja, voor bedrijven dus, niet voor de eerste de beste particulier. Er hoeven maar een paar "klanten" te informeren naar niet thuis te brengen betalingen, om de bank op het spoor te zetten van zulke activiteiten, vervolgens kun je wel inpakken met je bedrijf. In de praktijk is dat risico dus ook nihil.
zie BlueTooth76 zijn reactie
Mischien dat de iPhone unlocken met de Apple Watch nog wel komt. Het werkt immers wel met de Mac.
Precies, maar gaat dit niet in combi met Bluetooth ook?
Ja, BT inderdaad. De Watch weet wanneer hij unlocked en om je pols zit. Heb je hem niet om je pols unlocked hij de computer niet.
Volgens mij heeft Android dit al sinds Android 5.0. Zelfs zijn er meerdere manieren mogelijk zoals op basis van gekoppeld apparaat of locatie.

Bron: https://www.androidcentral.com/smart-lock
Wat is de straal van NFC, ik heb bijv. een Apple Watch om, die unlocked is. Waarom moet ik dan ook nog elke keer die telefoon unlocken. Dat Face ID is nou niet echt bepaald flitsend snel..
Nu weet ik niet of het bij iOS ook kan, maar bij Android is er smart unlock waar je een trusted device kan toevoegen (zoals een smartwatch). Als deze dan verbonden is, hoef je je telefoon niet meer te ontgrendelen met bv een vinger of pincode. Al denk ik wel dat dit valt onder een zwakke ontgrendeling.

Ik gebruik het ook met mn horloges, mn bluetooth radio, mn PC.

[Reactie gewijzigd door RebelwaClue op 22 juni 2018 08:50]

Yup, een soort kleine barcodeimplantaat in je hand, die aan je unieke ID bijv. je BSN gekoppeld is. En dat de telefoon automatisch ontgrendeld als je hem vastpakt.

Die implantaat zou je dan ook kunnen gebruiken om te kunnen kopen en verkopen, dus je legt je hand op een apparaat bij de kassa, en je hebt afgerekend of je ontvangt saldo.
Gewoon in een uurwerk(bandje) of armband is dus perfect.
Het gekke is dat het nog niet bestaat!
Wat als ik een NFC-reader/duplicator in mijn eigen pols heb? Mag ik je even de hand schudden? Aangenaam kennis te maken! En ohja, bedankt voor je rijbewijs en bank gegevens, de groeten ;)
Dit is mij de laatste tijd ook opgevallen op mijn S9. Heeft toch de op dit moment meest actuele beveiligingsupdate (mei 2018). Het is misschien niet na 4 uur, maar af en toe moet ik mijn wachtwoord ingeven bij het ontgrendelen. Ik heb alleen niet bijgehouden om de hoeveel tijd, maar het is in de ordegrootte van een paar dagen.
Same here. Ervaar hetzelfde op mijn S8. Zal de tijd eens bijhouden.
Klopt, ik heb dat ook gemerkt en het is hetzelfde prompt als wanneer je je telefoon opnieuw hebt opgestart. Je kan dan niet met biometrische gegevens inloggen dus moet je een pin/wachtwoord/patroon invoeren.
Juni 2018 is de meest recente :)
Zojuist gechecked, voor mijn S9 is nog geen update beschikbaar, zal de komende dagen welk komen denk ik. Maak me er niet zo druk om.
Heb zelf de LG G6 en die vraagt sinds de laatste update elke 72 uur om een code. Voor het gevoel vraagt hij echter vaker.
Bij mijn LG G6 moet ik sinds de Oreo update ook elke 72 uur mijn pin/patroon invoeren.
Bij mijn LG V30 ook sinds de Oreo update, maar ik heb het gevoel dat er iets niet helemaal goed gaat. De melding zegt namelijk dat er na 72 uur van inactiviteit een patroon moet worden ingevoerd. Allemaal leuk en aardig, ware het niet dat er helemaal geen 72 uur van inactiviteit was. De melding lijkt compleet random. Soms meerdere keren op een dag, andere dagen helemaal niet. Soms na een paar uur niet openen van de telefoon, some direct nadat ik 'm een paar minuten geleden nog gesloten heb. Gelukkig gebeurt het niet vaak, maar het is wel irritant.
Ik heb exact hetzelfde met mijn G6 op Oreo.
Ik heb precies het zelfde op mijn LG V30, vind ook gek dat er staat 72 uur inactiviteit want dat klopt echt niet. Zou het 72 uur geen pin code ingevuld zijn dan kan ik er nog iets in vinden maar zelfs dat denk ik niet dat klopt.
Bij een beetje begrijpend lezen van het artikel zie je ook in dat dit gaat komen in Android en nu nog niet het geval is.

Het periodiek moeten unlocken met een pincode terwijl je bijvoorbeeld voornamelijk een fingerprint reader gebruikt is iets wat ik al meer op Oreo devices gezien heb. Ik ga er dan ook vanuit dat dit echt een Oreo feature betreft (eens in de zoveel unlocks ook om een pincode vragen) alhoewel ik dit middels Google neit echt bevestigd krijg helaas.
Ook een leuke: op mijn Note 4 moet ik ook altijd een wachtwoord invullen nadat de telefoon herstart is, dat mag niet met de vingerafdruk. Het fijne is dat er een wachtwoord-hersteloptie is ingebouwd, mocht je je wachtwoord zijn kwijtgeraakt. Je kunt je wachtwoord dan resetten met je... vingerafdruk. 8)7
Ik zie alweer een paar mensen klagen dat ze hun wachtwoord in moeten voeren na een bepaalde tijd.

Nou en? Een extra laag beveiliging kan geen kwaad nu er zoveel vanuit de telefoon geregeld wordt, tot sleutelloos instappen en wegrijden met je auto aan toe. Je hele leven zit zowat in je telefoon.
Het idee klinkt leuk, maar hoeveel mensen halen nu het wachtwoord eraf of maken er 0000 van omdat het vervelend is om telkens opnieuw het wachtwoord in te vullen? Ik ben wel benieuwd als je dat gaat onderzoeken of de veiligheid ook daadwerkelijk omhoog gaat. En dan heb ik het niet over Tweakers die het wel graag veilig willen hebben maar over bijvoorbeeld ouderen.

[Reactie gewijzigd door MrNOnamE op 22 juni 2018 08:27]

Goed punt!
Daarnaast zou het probleem opgelost zijn als je als gebruiker dit in kan stellen en het niet geforceerd wordt.
Je bent ook niet geforceerd uw huis af te sluiten. Maar bij inbraak waar uw deur open stond komt de verzekering niet tussen... Dit wil je die ouderen ook niet aan doen toch.
Goed punt maar je vergeet even de beveiliging die er al op zit. Met andere woorden: de deur stond niet open, maar zat gewoon op slot. Met deze toevoeging komt er verplicht een extra (boven) slot op de deur.
Misschien heeft niet iedereen (die daar niet om gevraagd heeft), zin om elke keer 2 sloten open en dicht te draaien en dan nog de vraag... Zal dat 2e slot daadwerkelijk veel verschil maken vs 1 slot, als men echt moeite doet om binnen te komen..?

[Reactie gewijzigd door Monda op 22 juni 2018 09:16]

Dat is een fabel. Ook dan keren ze uit. Dat weet ik ook pas sinds een maand en was ook verbaasd.
Heb voor de zekerheid mijn polis nog eens nagelezen. En daar staat enkel in dat er geen uitkering is voor diefstal uit zolders, kelders en garages die niet afgesloten zijn. Over het huis zelf staat niks in... Weet jij dit nu uit persoonlijke ervaring?
Ja mijn schade-expert zei dat.
Maar dat is toch exact mijn punt?

Ik mag toch zelf kiezen of ik het risico neem als ik even de hond uitlaat?

De ouderen kunnen kiezen om de (default) ultra veilige settings te kunnen nemen, zolang ik maar een optie heb om het niet te doen. (Juist om te voorkomen dat mensen de pincode 0000 maken).

Een beetje een "straw man argument", het voorbeeld dat je aandraagt is een andere situatie.

Te veel veiligheid features maken (soms) juist een minder veilige situatie. Zoals, password policy dat je elke week je wachtwoord moet veranderen, dan gaan mensen het op een plaknotitie op hun beeldscherm hangen om niet het wachtwoord van die week te vergeten.
Een unlock methode zoals je vingerafdruk en ik gok ook face recognition is altijd in combinatie met een code. Je kunt dus altijd gewoon de code gebruiken ipv de afdruk. Als je dan 0000 laat staan voor het gemak kun je net zo goed geen unlock methode gebruiken.
Een unlock methode zoals je vingerafdruk en ik gok ook face recognition is altijd in combinatie met een code.
Het is niet in combinatie met een code maar in plaats van. Het toestel stelt je daadwerkelijk de mogelijkheid om alleen in te loggen met biometrische data. Dat je ook een code moet instellen is een ander verhaal. Deze wordt bijvoorbeeld bij het unlocken van een device met een vingerafdruk niet gevraagd. Het is daarom nog steeds geen 2 factor authenticatie.
Ik bedoel dat je geen afdruk in kunt stellen zonder code, dus dat je altijd de mogelijkheid voor een code unlock hebt en het niet in plaats van kan. Iemand anders kan dus altijd je telefoon unlocken met de ingestelde code en als je die dus op 0000 of 1234 ofzo zet heeft je hele beveiliging geen nut meer. De vingerafdruk is puur voor je eigen gemak, hij voegt geen veiligheid toe.
Mijn toestel vraagt bij boot toch altijd om het pattern dat ik ingesteld heb, unlocken met vingerafdruk is dan gewoon niet mogelijk. En na bepaalde tijd of na bepaald aantal unlocks vraagt die weer om pattern anders geraak ik er niet in. Iets wat lijkt op wat het artikel aanhaalt is blijkbaar al het geval voor mijn toestel. In die zin kan je dus wel stellen dat het in combinatie is, gewoon niet altijd ;)
Op de S8 word ik ook regelmatig om mijn wachtwoord gevraagd. Er staat duidelijk aangegeven dat het om een veiligheidsreden gebeurt, en het is een kleine moeite. Inderdaad geen probleem.
Precies, het lijkt bij mijn S8 ook ongeveer eens in de 3 dagen te zijn (als in die tijd niet opnieuw opgestart waardoor sowieso pin nodig is). Daarmee hebben kwaadwillenden bijzonder weinig tijd om je biometrie, zoals een vingerafdruk, perfect na te maken. Vanaf t moment dat ze je telefoon hebben, hebben ze maximaal 72 uur (maar veel waarschijnlijker minder, omdat je m al tijdje bij je draagt zonder pin ingevoerd te hebben, dus gemiddeld eerder 35 uur) om de vingerafdruk perfect na te maken.
Ik dacht dat biometrische ontgrendeling juist was ontworpen omdat we van wachtwoorden af moesten? Met een wachtwoord/pin als backup. Zo word/werd het in ieder geval verkocht. Wat ik me overigens afvraag, ik gebruik vaak tablets voor displays, moet ik dan iemand erbij zetten om het steeds te ontgrendelen of kan het uitgezet worden? Zo ja vrees ik dat het niet veel gaat helpen. Beveiliging die mensen het lastiger maken werken gewoon niet, er wordt altijd gezocht naar een methode om het weer makkelijk te maken, zoals welkom1.
Ik zie alweer een paar mensen klagen dat ze hun wachtwoord in moeten voeren na een bepaalde tijd.

Nou en? Een extra laag beveiliging kan geen kwaad nu er zoveel vanuit de telefoon geregeld wordt, tot sleutelloos instappen en wegrijden met je auto aan toe. Je hele leven zit zowat in je telefoon.
Omdat er een contradictie in zit.


Kort samengevat zegt Google dat een vingerafdruk niet goed genoeg is. Op zich mooi dat wordt aangegeven dat het geen feilloze methode is,
maar ik ben zelf benieuwd naar de aanleiding hiervan. En die aanleiding zie ik hier niet terugkomen terwijl het een ongelooflijke irritante drempel is. Dit bedenk je niet zomaar even op een vrijdagochtend waarna het beleid wordt.
Ik vermoed eerder dat het zo relatief makkelijk is geworden die beveiliging te omzeilen, inc die vingerafdruk.
maar ik ben zelf benieuwd naar de aanleiding hiervan. En die aanleiding zie ik hier niet terugkomen terwijl het een ongelooflijke irritante drempel is.
De aanleiding staat direct in het artikel. Heb je het wel gelezen :?
Google berekent de kans dat een aanvaller het toestel binnenkomt dankzij biometrische authenticatie en als die kans groter is dan 7 procent, dan classificeert Android het als zwakke methode van ontgrendeling, zegt Google.
Kortom, het systeem is onveilig / niet veilig genoeg. Zelf vind ik een percentage van 7% nog behoorlijk hoog! Mensen realiseren zich vaak niet dat dingen als een finger afdruk scanner helemaal niet zo veilig zijn als vaak wordt beweerd. De foutmarge is soms behoorlijk hoog en sommige systemen zijn erg makkelijk om de tuin te leiden bv met nagemaakte afdrukken (wat al kan van een goede foto) of met een gummy bear unlock. Om over zaken als face unlock nog maar te zwijgen. Prima om te gebruiken maar besef je wel dat het slechts een hulpmiddel is.

[Reactie gewijzigd door Bor op 22 juni 2018 10:08]

De berekening is voor mij minder relevant dan de aanleiding.


Dat het technisch haalbaar is om met relatief simpele middelen de beveiliging te omzeilen was al bekend,
waar ik benieuwd naar ben is wat de doorslag heeft gegeven om het als beleid door te voeren.


Het zou mij niet verbazen dat er vb steeds vaker geluiden hoorbaar werden waarbij op niet legitieme manier toegang tot een toestel werd verleend.
Huawei doet dit ookal een tijdje, daar vraagt die het standaard na 72 uur, of je er nu gebruik van maakt of niet. Ik vind het wel een mooie functie.

[Reactie gewijzigd door Ircghost op 22 juni 2018 09:11]

Lg doet dit ook, zit dit niet gewoon al in android 8.x?
Ik vind dat juist irritant, ik ontgrendel regelmatig per dag (dmv vingerafdruk) en toch ben ik verplicht 1x per 72 uur de pincode in te vullen. Als ik 72 uur niet ontgrendel snap ik de functie maar nu moet het elke 72 uur.
Apple doet dit ook (maar dan elke 7 ipv 3 dagen). Dit helpt mensen hun pin te onthouden - dat is denk ik de belangrijkste reden om dit te doen.
Het is prima te doen maar ik snap werkelijk waar de logica er niet achter. Laat dit een vrije keuze zijn voor elke gebruiker (bijvoorbeeld standaard aan maar dat je het wel uit kan zetten).

Jij vind het niet erg, en dat is natuurlijk prima maar ik vind het wel jammer dat je zo reageert.
Heb al meerdere gebruikers gezien / gesproken die het wel irritant vinden.
's Ochtends ben ik niet op mijn vriendelijkst, sorry.

Het lijkt me net als met contactloos betalen: Één keer in de zoveel tijd moet je even je pincode ingeven als extra beveiliging.

1x in de 4 uur betekent wat mij betreft dat je dan net zo goed biometrische identificatie uit kan zetten, maar 1x in de 3 dagen vind ik niet erg.

Aan de andere kant, ik gebruik geen biometrische ontgrendeling; als mijn smartwatch in de buurt van mijn telefoon is hoef ik niet moelijk te doen met ontgrendelen :-)
Wel deels hetzelfde probleem ook bij contactloos: als je 10 minuten ervoor met PIN hebt betaald wordt je dus een paar minuten later TOCH gevraagd voor je PIN voor contactloos, ook al heb je echt net bewezen dat je de pas en de pin hebt.

2 gesloten systemen die naast elkaar bestaan, maar niet van elkaar leren en de gebruiker onnodig vervelen. Hetzelfde een beetje bij dit systeem. Als je je passwoord hebt gebruikt voor een aankoop in de store en/of een PAY transactie hebt gedaan (met password) wordt je een paar uur later toch weer gevraagd om je telefoon te unlocken met je password. Totaal onnodig. reset de timer gewoon elke keer als het password wordt gebruikt met een limiet van 72 uur.
Haha oke, geen probleem hoor :)
Het was nog steeds ochtend en nu klink je toch heel erg vriendelijk moet ik zeggen hoor :P
Wat koffie (of het gebrek daar aan) al niet met je kan doen :+
Haha, bedankt voor de tip, dan ga ik dat als het in de toekomst nodig is ook proberen :P
Het lijkt me net als met contactloos betalen: Één keer in de zoveel tijd moet je even je pincode ingeven als extra beveiliging.
Maar dat is een totaal andere situatie.

Bij contactloos pinnen vindt geen enkele vorm van authenticatie plaats. Je moet één keer in de zoveel tijd (of, beter gezegd, één keer in de zoveel euro) de pincode invoeren om een limiet te hebben op het maximale bedrag dat de bank moet vergoeden aan iemand die zijn pinpas kwijtgeraakt is.

Bij dit systeem mag je je "zwak" (lees: "relatief grote kans op false positive") authenticeren, zodat het waarschijnlijk wel goed zit, maar moet je af en toe "sterk" ("echt", "fatsoenlijk") authenticeren om te voorkomen dat iemand je telefoon jat en vervolgens alle tijd heeft om die halve-bak-authenticatie voor de gek te houden. In die zin is het nog niet eens zo heel slecht bedacht; zolang jij je telefoon in bezit hebt (vast te stellen met behulp van zwakke authenticatie; elke tien minuten Whatsapp checken) kan de timeout elke keer gereset worden. Zodra de timeout afgelopen is wordt er geen genoegen genomen met zwakke authenticatie, want op dat moment zou een dief de zwakke authenticatie al gekraakt kunnen hebben, dus moet je jezelf sterk authenticeren.

Enige nadeel... als het wel lukt om binnen die vier uur iemands stem of gezicht te faken, tja, dan is het wel mooi game over en ben je al je data kwijt. Ja, al je data; niet alleen wat op je telefoon staat. Android is immers nagenoeg onbruikbaar zonder Google Play Store en die is gekoppeld aan je GMail, dus het is eenvoudig om op te zoeken bij welke websites je allemaal een account hebt, voor allemaal een password reset aan te vragen en die ook allemaal te pwnen. Je mag één keer raden of ikzelf gebruik maak van brakke biometrie...

[Reactie gewijzigd door robvanwijk op 22 juni 2018 16:25]

Ach welnee, meerdere gebruikers die het irritant vinden... Wat een onzin. Je wordt op "subtiele" wijze erop gewezen dat je aan het zeuren bent om niks, en dan opeens zijn er volgens jou veel meer die het ook heel irritant vinden.

Ik mag het met mijn Honor 8 ook iedere 3 dagen een keertje doen, en nee dat is niet irritant. En dat is niet onderhevig aan de dooddoener, "dat is mijn mening" dus het is zo. Iedere 3 dagen 1x je wachtwoord moeten ingeven als hinderlijk beschouwen zegt niks over die 3 dagen dat zegt enkel iets over jou.
Als je alle reacties hebt doorgelezen zul je zien dat ik zeker niet de enige ben die het gewoon irritant vind.
En dat het niks over die 3 dagen zegt maar meer wat over mij laat ik in het midden, al zou dat zo zijn hebben meerdere mensen daar "last" van.

Ik zeg niet dat het een ramp is want het is prima te doen, maar ik vind het gewoon overbodig. Dat is mijn mening en dat dring ik niemand op. Je mag ook best je mening geven maar jouw reactie vind ik gewoon niet respectvol en dat vind ik jammer.
Dus m.a.w. jij gaat bepalen wanneer ik respect verdien?
Ondanks dat ik het niet met je eens ben reageer ik op jou toch ook normaal en met respect?

Maar omdat ik het niet met je eens ben verdien ik gelijk geen respect bij jou.
Ik denk dat verdere discussie met jou geen zin heeft.
Ik zal wel minnetjes krijgen, maar ik ontgrendel mijn telefoon door de aan knop in te drukken. De enige beveiliging is de sim kaart ontgrendeling wanneer je de telefoon net aanzet. Ik doe dat al minstens 10 jaar zo en nog nooit last van gehad.
Het is een soort principe kwestie. Het idee dat je hele leven wordt gedomineerd door beveiliging hier en privacy daar. Dan leef ik liever met wat meer risico.
Erg verstandig :X Accepteer je dan ook dat jan en alleman bij jouw gegevens kan wanneer ze de telefoon in handen hebt en dat je hiervoor geen vergoeding kunt eisen? Geval eigen schuld dikke bult? Dit soort dingen begrijp ik echt niet. Voor de rest; hoe weet je dat je nog nooit "last hebt gehad"? Dat kun je namelijk vrijwel niet weten wanneer je de (denkbeeldige) voordeur dag en nacht wagenwijd open laat staan.

Een klein overzichtje van zaken die doorgaans op een telefoon te vinden zijn;
- contactpersonen (je beveiligd ook de gegevens van een ander)
- e-mail
- account informatie
- foto's
- instant messaging / sms
- internet informatie / history
- met regelmaat een app van de bank
- social media
- belgeschiedenis
- locatie geschiedenis
- inloggegevens / cookies

Een maatregel als hier aangekondigd kan ik, bij bewezen kwetsbare systemen, alleen maar toejuichen.

[Reactie gewijzigd door Bor op 22 juni 2018 11:44]

Dat hangt er natuurlijk helemaal van af welke gegevens en authorizatie tokens je op je telefoon bewaard en hoe hoog je het risico inschat dat jij het doelwit wordt van een aanval. Om het even absurd de andere kant op te trekken. Ik controleer niet al mijn eten erop dat het vergiftigd kan zijn. Maar dat zou ik wel moeten doen natuurlijk want het is een makkelijke manier om mij buiten bewustzijn te brengen en zo mijn biometrische gegevens te gebruiken om mijn telefoon te ontgrendelen.

Maar zonder gekheid, beveiliging is belangrijk, ja, maar moet altijd in de context gezien worden met wat je beveiligd en het risico daarvan, anders wordt het alleen gezien als hinder en verliest het zijn waarde doordat het niet serieus genomen en omzeild wordt. Zolang je zelf een goed geïnformeerde beslissing kan maken over beveiliging mag je van mij betreft zelf weten hoe je je het inricht en welke risico's je wel en niet accepteerd.
Bij digitale veiligheid ligt daarin ook wel het probleem denk ik. Mensen kunnen het 'digitale' veiligheidsrisico totaal niet inschatten. Zeker niet de gemiddelde gebruiker, die heeft niet eens benul van de data die allemaal toegankelijk is door zijn eigen handelswijzen.

Bij een fysieke beveiliging is die risico analyse al een stuk beter. We kunnen allemaal prima inschatten wat het effect van een open voordeur kan zijn. Als er inbrekers actief zijn in de buurt, wordt er vaak zelfs gewaarschuwd. Gaat het om technologie, dan is de enige waarschuwing die breed gedeeld wordt er pas als het te laat is (een journaal- of nieuwsartikel, vaak dágen nadat een lek bekend is, want het zou maar zo een hoax kunnen zijn) en ook patches komen pas later binnen. Dan kan er allang iemand 'binnen' zijn. Om nog maar te zwijgen van al die quasi-experts die hun OS van allerlei tweaks voorzien om maar geen updates binnen te trekken (we kennen ze allemaal...). En dan is er nog de idiote overweging 'maar waarom zou ik een doelwit zijn'. News flash: dat ben je niet, tegenwoordig gaat dat gewoon 'in bulk' met enorme bakken tegelijk. Die datasets worden kant en klaar verkocht.

Dan lijkt mij alles bezien toch een iets lastiger unlock proces het minimale...

[Reactie gewijzigd door Vayra op 22 juni 2018 13:12]

Wat maken we het onszelf zo moeilijk. Ontgrendelen via vingerafdruk vind ik nog steeds het meest makkelijke en aangename manier.

Hoe zo is na vier uur al om wachtwoord vragen zwakke authenticatie, en pas na 72 uur vragen om wachtwoord sterke authenticatie. Moet dit juist andersom zijn?

Als je pas na 72 uur iemand om een verificatie vraagt, is toch namelijk zwak!
Wat hier gezegd wordt is juist andersom, als er een goede biometrische sensor in zit, dan word er minder regelmatig om je ww gevraagd. Bij een slechte biometrische sensor wordt dit sneller gedaan omdat deze als minder veilig word beschouwd.
Bij mijn Microsoft Lumia 950 telefoon met Windows Hello vergrendeling dat werkt met IR-camera kan ik zelf instellen of ik moet aanmelden; nooit, elke keer, 1 min., 3 min., 5 min., of 15min. Het is gekoppeld met mijn laptop middels Bluetooth in Defender wat zorgt dat mijn laptop automatisch vergrendeld als mijn telefoon langer dan ca. 1 minuut geen contact meer heeft gemaakt. Dan moet ik in mijn laptop een pincode of wachtwoord ingeven om te unlocken. Dit zou ik graag gezien hebben dat dit unlocken gaat middels die IR-camera in mijn telefoon.
Helaas is deze app er nog niet want technisch wel mogelijk via Azure Active Directory maar ik kan niet programmeren.
Dat krijg je ervan als je de concurrent achterna rent. Een halfbakken implementatie waar je dus niks aan hebt.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True