Android-telefoon met zwakke biometrische ontgrendeling vraagt na vier uur om pin

Android-telefoons met een zwakke biometrische ontgrendeling gaan na vier uur zonder ontgrendelen vragen om een pin of wachtwoord. Toestellen met een sterke beveiliging vragen dat pas na 72 uur. Dat heeft Google bekendgemaakt.

Google berekent de kans dat een aanvaller het toestel binnenkomt door biometrische authenticatie en als die kans groter is dan zeven procent, dan classificeert Android het als zwakke methode van ontgrendeling, zegt Google. Vervolgens kunnen gebruikers de ontgrendeling niet gebruiken binnen apps die gebruikmaken van de nieuwe BiometricPrompt-api en moeten ze vaker hun pin of wachtwoord invoeren.

Hoewel de zoekgigant niet zegt om welke vormen het gaat, lijkt het erop dat ontgrendeling met stem en gezicht eronder valt. Vooral gezichtsherkenning via de frontcamera staat sinds het afgelopen jaar centraler bij fabrikanten van Android-smartphones.

Als de telefoon met zwakke authenticatie vier uur niet ontgrendeld is geweest, vraagt hij om een pin of wachtwoord bij het ontgrendelen. Dat zal bij veel gebruikers bijvoorbeeld na een nacht slapen zijn. Bij sterke authenticatie is dat 72 uur, waardoor dat in de praktijk zelden tot nooit voorkomt.

Google zet in Android P de BiometricPrompt-api, waarmee ontwikkelaars ervan verzekerd zijn dat gebruikers hun app kunnen beveiligen met een sterke methode van biometrische authenticatie, zoals een capacitieve vingerafdrukscanner. De regels zijn geen grote afwijking van de huidige praktijk; zo geeft Android nu al aan bij het instellen van gezichtsontgrendeling dat het niet de veiligste methode is en dat het niet in gebruik kan zijn voor betalingen. Biometrische ontgrendeling was een van de onderwerpen in de donderdag verschenen aflevering van de Tweakers Podcast.

BiometricPrompt-api

Reacties (100)

Macboe 22 juni 2018 08:03

Soms denk ik, het zou fijn zijn om een NFC in mijn pols te hebben telefoon op te pakken en deze direct te ontgrendelen. Dan op deze NFC ook mijn persoonlijke gegevens, rijbewijs, bank koppelen e.d.

Daarna denk ik ja, wat als ik dood gevonden wordt. De NFC wordt gestolen....

Wat is de straal van NFC, ik heb bijv. een Apple Watch om, die unlocked is. Waarom moet ik dan ook nog elke keer die telefoon unlocken. Dat Face ID is nou niet echt bepaald flitsend snel..

Iedereen heeft andere verwachtingen van functionaliteit, en eigenlijk beide.. iOS en Android voldoen niet helemaal aan mijn Unlock gemak...

Troetelbeer @Macboe • 22 juni 2018 08:17

NFC heeft ongeveer een bereik van 10cm.

RebelwaClue @Troetelbeer • 22 juni 2018 08:46

10 cm? Damn ik dacht altijd dat het veel minder was.

D.oomah @RebelwaClue • 22 juni 2018 09:36

Verwar je het misschien met RFID? Daarbij moet je het inderdaad praktisch tegen de ontvanger aan houden.

RebelwaClue @D.oomah • 22 juni 2018 09:47

NFC is een RFID soort, waar beiden de stroom krijgen door de inductie. Dus bereik is vergelijkbaar. 2e generatie RFID tags hebben al een groter bereik bereik. Los van actieve RFID chips

D.oomah @RebelwaClue • 22 juni 2018 09:48

Hmm, ik dacht dat NFC zelf-powered was. Nou ja, weer wat geleerd.

WillySis @D.oomah • 22 juni 2018 12:07

Self-powerd in de zin dat er geen batterij oid voor nodig is klopt wel. De antennes van de NFC / RFID genereren door inductie van de ontvanger (die wel een energiebron nodig heeft) om de data te versturen. De grootte van de antenne in de tag bepaald het bereik. Dat kan onder ideale omstandigheden met de nieuwste generatie RFID chips maximaal ruim 10 cm zijn.

Tiniduske @WillySis • 22 juni 2018 13:25

Ik heb gisteren toevallig van strange parts een YouTube video gezien waar ze klapte van 1 meter. Ik kan mij inbeelden dat het afhangt van hoe sterk de ontvanger uitzend?

WillySis @Tiniduske • 22 juni 2018 14:10

De sterkte van de zender heeft invloed, maar niet zoveel dat ineens een afstand van een meter kan worden gehaald. De lees afstand is wel te verhogen door meerdere antennes aan een ontvanger te koppelen, of door meerdere ontvangers te combineren. Een afstand van 1 meter lijkt me dan nog niet realistisch. Denk dan eerder aan een werkafstand van 15, hooguit 20 cm. Vermoedelijk betreft het een actieve RFID. Die hebben wel een eigen energiebron. Die energiebron kan minuscuul zijn.

Ayporos @WillySis • 23 juni 2018 01:26

Ik dacht dat de leesafstand van RFID ook iets is wat 'instelbaar' is?

maw je wilt soms dat je je chip praktisch tegen de lezer aan moet houden maar soms wil je dat een ook ietwat grotere afstand werkt. Dat is in ieders geval wat een gediplomeerd elektroniks ingenieur mij verteld heeft ooit vele manen geleden.

RebelwaClue @D.oomah • 22 juni 2018 10:15

Beiden hebben wat vandaag geleerd dus

Verwijderd @Macboe • 22 juni 2018 08:21

Als jou antenne groot genoeg is, kan je altijd NFC signalen opvangen van een afstand. Kan met bijna alles wat straling uitzend. Zolang je antenne maar genoeg bereik heeft om NFC te bereiken op afstand, is het best mogelijk om op een meter of 2 met een Arduino en 2 antennes met goed geschreven software NFC signalen binnen te halen.

Dit was ook 1 van de angsten die bekend werden toen je kon gaan betalen met je telefoon.

Op internet zijn er genoeg voorbeelden te vinden van criminele die met een aangepaste apparaat NFC bankpassen af scande tot de bank daar wat tegen deed.

Brousant @Verwijderd • 22 juni 2018 09:19

NFC werkt met versleutelde communicatie, afluisteren van de signalen is mogelijk, maar daarmee heb je nog de communicatie niet ontcijferd, of een privésleutel achterhaald.

BlueTooth76 @Brousant • 22 juni 2018 10:27

Een repeater zou al genoeg kunnen zijn, dan hoeft een dief niets te ontcijferen.

Brousant @BlueTooth76 • 22 juni 2018 11:52

Je bedoelt een apparaat dat de afgevangen signalen weer afspeelt? Daar schiet je niets mee op, want bij iedere implementatie die er toe doet wordt dezelfde publieke sleutel, en dus dezelfde versleuteling, niet meer gebruikt bij een volgende transactie.

Tozz @Brousant • 22 juni 2018 13:54

Jij verwart nu een replay attack met een repeater.

Bij een replay attack wordt bijvoorbeeld een hash of token meermalen gebruikt terwijl dat niet de bedoeling zou moeten zijn. Dat kan voorkomen worden door zo'n token na 1x gebruik ongeldig te maken.

Een repeater attack is simpelweg het versterken of via ander medium "repeaten" van een signaal. DIt wordt bv. veel gedaan met autoinbraken met keyless/passive entry:

- Dief hengelt een antenne door de brievenbus. Die vangt het signaal van de sleutel op. De antenne hangt aan een laptop met WiFi.
- Bij de auto heeft een andere dief een andere laptop, die ontvangt het wifi signaal van de 1e laptop en stuurt het signaal dat Laptop A ontvangt weer uit op de antenne van Laptop B.
- De auto ziet nu 'oh de sleutel is in de buurt, ik ga open!'.
- Dief rijdt met de auto weg.

Deze repeater of relay attack gebeurt regelmatig met luxe auto's die met dergelijke passive/keyless entry zijn uitgevoerd.

mkools24 @Tozz • 22 juni 2018 14:08

Ik heb nooit begrepen dat zo'n auto niet gewoon afslaat wanneer de sleutel niet meer in de buurt is, dat zou dit soort diefstal al onmogelijk maken.

wjn @mkools24 • 22 juni 2018 14:14

Ik heb nooit begrepen dat zo'n auto niet gewoon afslaat wanneer de sleutel niet meer in de buurt is

Iets met veiligheid en zo, je wilt niet dat een auto opeens op de spoorwegovergang afslaat omdat de batterij van je sleutel leeg is...

mkools24 @wjn • 22 juni 2018 14:16

Dat is toch wel op te lossen, je kan toch zeggen geen sleutel gedetecteerd over 1 minuut sla ik af. Dan kun je nog een parking zoeken.

En het moet toch ook wel mogelijk zijn een sleutel te detecteren als de batterij leeg is? Ik kan bijv ook met een pasje of een druppel een gebouw binnen en die heeft ook geen stroom.

Tozz @mkools24 • 26 juni 2018 17:01

Dergelijke luxe auto's worden vaak gejat om te worden ontmanteld. Die dingen rijden een container in en worden uit elkaar gehaald. Die container dient ook direct als kooi van faraday om tracking zenders uit te schakelen cq. onbereikbaar te maken.

1 minuut rijden is dus genoeg. Die auto's worden direct op een vrachtwagen geladen en zie je daarna nooit meer terug.

Met alle tracking mogeijkheden tegenwoordig is het risico te groot om zo'n auto in zijn originele staat te verkopen. Denk ook aan het feit dat auto's tegenwoordig zelf vaak al connected zijn. Vrijwel alle high-end auto's hebben tegenwoordig wel iets van een App waarmee je de auto status kunt ophalen. Een auto met zo'n systeem is dus nooit als auto weer te verkopen, want dan weet men altijd waar die gestolen auto is. Enige optie is die functionaliteit eruit slopen (SIM eruit), maar dan daalt de waarde van de auto weer.

Brousant @Tozz • 22 juni 2018 15:57

Een repeater attack is simpelweg het versterken of via ander medium "repeaten" van een signaal. DIt wordt bv. veel gedaan met autoinbraken met keyless/passive entry:

Nou, misschien is dat wel wat BlueTooth76 bedoelt. Maar om zoiets met contactloos betalen voor elkaar te krijgen, is wel een heel stuk lastiger.

De dief zou een contactloze betaling moeten verrichten in een winkel, maar dan met een of ander apparaat in plaats van een gewone betaalpas.
De tegenhanger van dat apparaat, dat daarmee in verbinding moet staan, zou zich op precies datzelfde moment binnen zo'n 10 cm afstand moeten bevinden van de betaalpas van het slachtoffer.

Let wel dat een contactloze betaling zonder pin beperkt is tot maximaal 50 euro.

Al met al lijkt me de inspanning en het risico voor een dief in geen verhouding staan tot de mogelijke winst.

Tozz @Brousant • 26 juni 2018 16:57

Bij contactloos betalen hoeft dat veelal niet. Het risico van contactloos betalen is dat een dief gewoon een contactloze pinautomaat/terminal tegen een kontzak houdt en zo de argeloze persoon ontdoet van een bedrag tot max. 25 euro.

Een pinterminal kun je vrij eenvoudig verkrijgen. Banken bieden bv. voor het MKB daar al kleine apparaatjes voor aan die werken met je mobiele telefoon.

Hoe jij het schetst, dat een replay attack wordt gedaan om in een legitieme winkel te betalen met andersmans pinpas zie ik inderdaad ook niet gebeuren. Daarvoor is het te omslachtig.

Brousant @Tozz • 26 juni 2018 19:40

Het risico van contactloos betalen is dat een dief gewoon een contactloze pinautomaat/terminal tegen een kontzak houdt en zo de argeloze persoon ontdoet van een bedrag tot max. 25 euro.

Een pinterminal kun je vrij eenvoudig verkrijgen. Banken bieden bv. voor het MKB daar al kleine apparaatjes voor aan die werken met je mobiele telefoon.

Ja, voor bedrijven dus, niet voor de eerste de beste particulier. Er hoeven maar een paar "klanten" te informeren naar niet thuis te brengen betalingen, om de bank op het spoor te zetten van zulke activiteiten, vervolgens kun je wel inpakken met je bedrijf. In de praktijk is dat risico dus ook nihil.

Verwijderd @Brousant • 22 juni 2018 11:19

zie BlueTooth76 zijn reactie

ZpAz

@Macboe • 22 juni 2018 08:22

Mischien dat de iPhone unlocken met de Apple Watch nog wel komt. Het werkt immers wel met de Mac.

Macboe @ZpAz • 22 juni 2018 08:35

Precies, maar gaat dit niet in combi met Bluetooth ook?

ZpAz

@Macboe • 22 juni 2018 10:37

Ja, BT inderdaad. De Watch weet wanneer hij unlocked en om je pols zit. Heb je hem niet om je pols unlocked hij de computer niet.

sanderinozie @Macboe • 22 juni 2018 08:46

Volgens mij heeft Android dit al sinds Android 5.0. Zelfs zijn er meerdere manieren mogelijk zoals op basis van gekoppeld apparaat of locatie.

Bron: https://www.androidcentral.com/smart-lock

RebelwaClue @Macboe • 22 juni 2018 08:50

Wat is de straal van NFC, ik heb bijv. een Apple Watch om, die unlocked is. Waarom moet ik dan ook nog elke keer die telefoon unlocken. Dat Face ID is nou niet echt bepaald flitsend snel..

Nu weet ik niet of het bij iOS ook kan, maar bij Android is er smart unlock waar je een trusted device kan toevoegen (zoals een smartwatch). Als deze dan verbonden is, hoef je je telefoon niet meer te ontgrendelen met bv een vinger of pincode. Al denk ik wel dat dit valt onder een zwakke ontgrendeling.

Ik gebruik het ook met mn horloges, mn bluetooth radio, mn PC.

[Reactie gewijzigd door RebelwaClue op 23 juli 2024 03:12]

Mastermind

@Macboe • 22 juni 2018 11:50

Yup, een soort kleine barcodeimplantaat in je hand, die aan je unieke ID bijv. je BSN gekoppeld is. En dat de telefoon automatisch ontgrendeld als je hem vastpakt.

Die implantaat zou je dan ook kunnen gebruiken om te kunnen kopen en verkopen, dus je legt je hand op een apparaat bij de kassa, en je hebt afgerekend of je ontvangt saldo.

catfish @Macboe • 22 juni 2018 09:09

Gewoon in een uurwerk(bandje) of armband is dus perfect.
Het gekke is dat het nog niet bestaat!

Helium-3

@Macboe • 22 juni 2018 10:51

Wat als ik een NFC-reader/duplicator in mijn eigen pols heb? Mag ik je even de hand schudden? Aangenaam kennis te maken! En ohja, bedankt voor je rijbewijs en bank gegevens, de groeten

PatrickPR 22 juni 2018 08:01

Dit is mij de laatste tijd ook opgevallen op mijn S9. Heeft toch de op dit moment meest actuele beveiligingsupdate (mei 2018). Het is misschien niet na 4 uur, maar af en toe moet ik mijn wachtwoord ingeven bij het ontgrendelen. Ik heb alleen niet bijgehouden om de hoeveel tijd, maar het is in de ordegrootte van een paar dagen.

thekingofping @PatrickPR • 22 juni 2018 08:13

Same here. Ervaar hetzelfde op mijn S8. Zal de tijd eens bijhouden.

Verwijderd @PatrickPR • 22 juni 2018 08:18

Klopt, ik heb dat ook gemerkt en het is hetzelfde prompt als wanneer je je telefoon opnieuw hebt opgestart. Je kan dan niet met biometrische gegevens inloggen dus moet je een pin/wachtwoord/patroon invoeren.

donald_dick @PatrickPR • 22 juni 2018 08:18

Juni 2018 is de meest recente

PatrickPR @donald_dick • 22 juni 2018 09:06

Zojuist gechecked, voor mijn S9 is nog geen update beschikbaar, zal de komende dagen welk komen denk ik. Maak me er niet zo druk om.

jgoof89 @PatrickPR • 22 juni 2018 18:17

Heb zelf de LG G6 en die vraagt sinds de laatste update elke 72 uur om een code. Voor het gevoel vraagt hij echter vaker.

henry_veijer 22 juni 2018 08:05

Bij mijn LG G6 moet ik sinds de Oreo update ook elke 72 uur mijn pin/patroon invoeren.

landcross @henry_veijer • 22 juni 2018 08:22

Bij mijn LG V30 ook sinds de Oreo update, maar ik heb het gevoel dat er iets niet helemaal goed gaat. De melding zegt namelijk dat er na 72 uur van inactiviteit een patroon moet worden ingevoerd. Allemaal leuk en aardig, ware het niet dat er helemaal geen 72 uur van inactiviteit was. De melding lijkt compleet random. Soms meerdere keren op een dag, andere dagen helemaal niet. Soms na een paar uur niet openen van de telefoon, some direct nadat ik 'm een paar minuten geleden nog gesloten heb. Gelukkig gebeurt het niet vaak, maar het is wel irritant.

denonman1 @landcross • 22 juni 2018 08:24

Ik heb exact hetzelfde met mijn G6 op Oreo.

Byron010 @landcross • 22 juni 2018 09:18

Ik heb precies het zelfde op mijn LG V30, vind ook gek dat er staat 72 uur inactiviteit want dat klopt echt niet. Zou het 72 uur geen pin code ingevuld zijn dan kan ik er nog iets in vinden maar zelfs dat denk ik niet dat klopt.

xxxneoxxx @landcross • 22 juni 2018 13:15

Bij een beetje begrijpend lezen van het artikel zie je ook in dat dit gaat komen in Android en nu nog niet het geval is.

Het periodiek moeten unlocken met een pincode terwijl je bijvoorbeeld voornamelijk een fingerprint reader gebruikt is iets wat ik al meer op Oreo devices gezien heb. Ik ga er dan ook vanuit dat dit echt een Oreo feature betreft (eens in de zoveel unlocks ook om een pincode vragen) alhoewel ik dit middels Google neit echt bevestigd krijg helaas.

ikvanwinsum 22 juni 2018 10:49

Ook een leuke: op mijn Note 4 moet ik ook altijd een wachtwoord invullen nadat de telefoon herstart is, dat mag niet met de vingerafdruk. Het fijne is dat er een wachtwoord-hersteloptie is ingebouwd, mocht je je wachtwoord zijn kwijtgeraakt. Je kunt je wachtwoord dan resetten met je... vingerafdruk.

Little Charlie 22 juni 2018 08:15

Ik zie alweer een paar mensen klagen dat ze hun wachtwoord in moeten voeren na een bepaalde tijd.

Nou en? Een extra laag beveiliging kan geen kwaad nu er zoveel vanuit de telefoon geregeld wordt, tot sleutelloos instappen en wegrijden met je auto aan toe. Je hele leven zit zowat in je telefoon.

MrNOnamE @Little Charlie • 22 juni 2018 08:25

Het idee klinkt leuk, maar hoeveel mensen halen nu het wachtwoord eraf of maken er 0000 van omdat het vervelend is om telkens opnieuw het wachtwoord in te vullen? Ik ben wel benieuwd als je dat gaat onderzoeken of de veiligheid ook daadwerkelijk omhoog gaat. En dan heb ik het niet over Tweakers die het wel graag veilig willen hebben maar over bijvoorbeeld ouderen.

[Reactie gewijzigd door MrNOnamE op 23 juli 2024 03:12]

Accretion @MrNOnamE • 22 juni 2018 08:33

Goed punt!
Daarnaast zou het probleem opgelost zijn als je als gebruiker dit in kan stellen en het niet geforceerd wordt.

telenut @Accretion • 22 juni 2018 08:39

Je bent ook niet geforceerd uw huis af te sluiten. Maar bij inbraak waar uw deur open stond komt de verzekering niet tussen... Dit wil je die ouderen ook niet aan doen toch.

Monda @telenut • 22 juni 2018 09:09

Goed punt maar je vergeet even de beveiliging die er al op zit. Met andere woorden: de deur stond niet open, maar zat gewoon op slot. Met deze toevoeging komt er verplicht een extra (boven) slot op de deur.
Misschien heeft niet iedereen (die daar niet om gevraagd heeft), zin om elke keer 2 sloten open en dicht te draaien en dan nog de vraag... Zal dat 2e slot daadwerkelijk veel verschil maken vs 1 slot, als men echt moeite doet om binnen te komen..?

[Reactie gewijzigd door Monda op 23 juli 2024 03:12]

icecreamfarmer @telenut • 22 juni 2018 09:41

Dat is een fabel. Ook dan keren ze uit. Dat weet ik ook pas sinds een maand en was ook verbaasd.

telenut @icecreamfarmer • 22 juni 2018 09:55

Heb voor de zekerheid mijn polis nog eens nagelezen. En daar staat enkel in dat er geen uitkering is voor diefstal uit zolders, kelders en garages die niet afgesloten zijn. Over het huis zelf staat niks in... Weet jij dit nu uit persoonlijke ervaring?

icecreamfarmer @telenut • 22 juni 2018 11:11

Ja mijn schade-expert zei dat.

Accretion @telenut • 22 juni 2018 23:32

Maar dat is toch exact mijn punt?

Ik mag toch zelf kiezen of ik het risico neem als ik even de hond uitlaat?

De ouderen kunnen kiezen om de (default) ultra veilige settings te kunnen nemen, zolang ik maar een optie heb om het niet te doen. (Juist om te voorkomen dat mensen de pincode 0000 maken).

Een beetje een "straw man argument", het voorbeeld dat je aandraagt is een andere situatie.

Te veel veiligheid features maken (soms) juist een minder veilige situatie. Zoals, password policy dat je elke week je wachtwoord moet veranderen, dan gaan mensen het op een plaknotitie op hun beeldscherm hangen om niet het wachtwoord van die week te vergeten.

mark-k @MrNOnamE • 22 juni 2018 08:53

Een unlock methode zoals je vingerafdruk en ik gok ook face recognition is altijd in combinatie met een code. Je kunt dus altijd gewoon de code gebruiken ipv de afdruk. Als je dan 0000 laat staan voor het gemak kun je net zo goed geen unlock methode gebruiken.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@mark-k • 22 juni 2018 10:05

Een unlock methode zoals je vingerafdruk en ik gok ook face recognition is altijd in combinatie met een code.

Het is niet in combinatie met een code maar in plaats van. Het toestel stelt je daadwerkelijk de mogelijkheid om alleen in te loggen met biometrische data. Dat je ook een code moet instellen is een ander verhaal. Deze wordt bijvoorbeeld bij het unlocken van een device met een vingerafdruk niet gevraagd. Het is daarom nog steeds geen 2 factor authenticatie.

mark-k @Bor • 22 juni 2018 10:20

Ik bedoel dat je geen afdruk in kunt stellen zonder code, dus dat je altijd de mogelijkheid voor een code unlock hebt en het niet in plaats van kan. Iemand anders kan dus altijd je telefoon unlocken met de ingestelde code en als je die dus op 0000 of 1234 ofzo zet heeft je hele beveiliging geen nut meer. De vingerafdruk is puur voor je eigen gemak, hij voegt geen veiligheid toe.

Nha @Bor • 22 juni 2018 10:26

Mijn toestel vraagt bij boot toch altijd om het pattern dat ik ingesteld heb, unlocken met vingerafdruk is dan gewoon niet mogelijk. En na bepaalde tijd of na bepaald aantal unlocks vraagt die weer om pattern anders geraak ik er niet in. Iets wat lijkt op wat het artikel aanhaalt is blijkbaar al het geval voor mijn toestel. In die zin kan je dus wel stellen dat het in combinatie is, gewoon niet altijd

Aardedraadje

@Little Charlie • 22 juni 2018 08:49

Op de S8 word ik ook regelmatig om mijn wachtwoord gevraagd. Er staat duidelijk aangegeven dat het om een veiligheidsreden gebeurt, en het is een kleine moeite. Inderdaad geen probleem.

davidov2008 @Aardedraadje • 22 juni 2018 10:55

Precies, het lijkt bij mijn S8 ook ongeveer eens in de 3 dagen te zijn (als in die tijd niet opnieuw opgestart waardoor sowieso pin nodig is). Daarmee hebben kwaadwillenden bijzonder weinig tijd om je biometrie, zoals een vingerafdruk, perfect na te maken. Vanaf t moment dat ze je telefoon hebben, hebben ze maximaal 72 uur (maar veel waarschijnlijker minder, omdat je m al tijdje bij je draagt zonder pin ingevoerd te hebben, dus gemiddeld eerder 35 uur) om de vingerafdruk perfect na te maken.

pookie79 @Little Charlie • 22 juni 2018 09:10

Ik dacht dat biometrische ontgrendeling juist was ontworpen omdat we van wachtwoorden af moesten? Met een wachtwoord/pin als backup. Zo word/werd het in ieder geval verkocht. Wat ik me overigens afvraag, ik gebruik vaak tablets voor displays, moet ik dan iemand erbij zetten om het steeds te ontgrendelen of kan het uitgezet worden? Zo ja vrees ik dat het niet veel gaat helpen. Beveiliging die mensen het lastiger maken werken gewoon niet, er wordt altijd gezocht naar een methode om het weer makkelijk te maken, zoals welkom1.

Iblies @Little Charlie • 22 juni 2018 09:40

Ik zie alweer een paar mensen klagen dat ze hun wachtwoord in moeten voeren na een bepaalde tijd.

Nou en? Een extra laag beveiliging kan geen kwaad nu er zoveel vanuit de telefoon geregeld wordt, tot sleutelloos instappen en wegrijden met je auto aan toe. Je hele leven zit zowat in je telefoon.

Omdat er een contradictie in zit.

Kort samengevat zegt Google dat een vingerafdruk niet goed genoeg is. Op zich mooi dat wordt aangegeven dat het geen feilloze methode is,
maar ik ben zelf benieuwd naar de aanleiding hiervan. En die aanleiding zie ik hier niet terugkomen terwijl het een ongelooflijke irritante drempel is. Dit bedenk je niet zomaar even op een vrijdagochtend waarna het beleid wordt.
Ik vermoed eerder dat het zo relatief makkelijk is geworden die beveiliging te omzeilen, inc die vingerafdruk.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Iblies • 22 juni 2018 10:08

maar ik ben zelf benieuwd naar de aanleiding hiervan. En die aanleiding zie ik hier niet terugkomen terwijl het een ongelooflijke irritante drempel is.

De aanleiding staat direct in het artikel. Heb je het wel gelezen

Google berekent de kans dat een aanvaller het toestel binnenkomt dankzij biometrische authenticatie en als die kans groter is dan 7 procent, dan classificeert Android het als zwakke methode van ontgrendeling, zegt Google.

Kortom, het systeem is onveilig / niet veilig genoeg. Zelf vind ik een percentage van 7% nog behoorlijk hoog! Mensen realiseren zich vaak niet dat dingen als een finger afdruk scanner helemaal niet zo veilig zijn als vaak wordt beweerd. De foutmarge is soms behoorlijk hoog en sommige systemen zijn erg makkelijk om de tuin te leiden bv met nagemaakte afdrukken (wat al kan van een goede foto) of met een gummy bear unlock. Om over zaken als face unlock nog maar te zwijgen. Prima om te gebruiken maar besef je wel dat het slechts een hulpmiddel is.

[Reactie gewijzigd door Bor op 23 juli 2024 03:12]

Iblies @Bor • 22 juni 2018 11:36

De berekening is voor mij minder relevant dan de aanleiding.

Dat het technisch haalbaar is om met relatief simpele middelen de beveiliging te omzeilen was al bekend,
waar ik benieuwd naar ben is wat de doorslag heeft gegeven om het als beleid door te voeren.

Het zou mij niet verbazen dat er vb steeds vaker geluiden hoorbaar werden waarbij op niet legitieme manier toegang tot een toestel werd verleend.

Ircghost 22 juni 2018 07:53

Huawei doet dit ookal een tijdje, daar vraagt die het standaard na 72 uur, of je er nu gebruik van maakt of niet. Ik vind het wel een mooie functie.

[Reactie gewijzigd door Ircghost op 23 juli 2024 03:12]

bloodlynx @Ircghost • 22 juni 2018 12:01

Lg doet dit ook, zit dit niet gewoon al in android 8.x?

knorde @Ircghost • 22 juni 2018 09:01

Ik vind dat juist irritant, ik ontgrendel regelmatig per dag (dmv vingerafdruk) en toch ben ik verplicht 1x per 72 uur de pincode in te vullen. Als ik 72 uur niet ontgrendel snap ik de functie maar nu moet het elke 72 uur.

Frank-L @knorde • 22 juni 2018 13:15

Apple doet dit ook (maar dan elke 7 ipv 3 dagen). Dit helpt mensen hun pin te onthouden - dat is denk ik de belangrijkste reden om dit te doen.

knorde @JAVE • 22 juni 2018 10:25

Het is prima te doen maar ik snap werkelijk waar de logica er niet achter. Laat dit een vrije keuze zijn voor elke gebruiker (bijvoorbeeld standaard aan maar dat je het wel uit kan zetten).

Jij vind het niet erg, en dat is natuurlijk prima maar ik vind het wel jammer dat je zo reageert.
Heb al meerdere gebruikers gezien / gesproken die het wel irritant vinden.

JAVE @knorde • 22 juni 2018 10:38

's Ochtends ben ik niet op mijn vriendelijkst, sorry.

Het lijkt me net als met contactloos betalen: Één keer in de zoveel tijd moet je even je pincode ingeven als extra beveiliging.

1x in de 4 uur betekent wat mij betreft dat je dan net zo goed biometrische identificatie uit kan zetten, maar 1x in de 3 dagen vind ik niet erg.

Aan de andere kant, ik gebruik geen biometrische ontgrendeling; als mijn smartwatch in de buurt van mijn telefoon is hoef ik niet moelijk te doen met ontgrendelen :-)

Belgar @JAVE • 22 juni 2018 12:58

Wel deels hetzelfde probleem ook bij contactloos: als je 10 minuten ervoor met PIN hebt betaald wordt je dus een paar minuten later TOCH gevraagd voor je PIN voor contactloos, ook al heb je echt net bewezen dat je de pas en de pin hebt.

2 gesloten systemen die naast elkaar bestaan, maar niet van elkaar leren en de gebruiker onnodig vervelen. Hetzelfde een beetje bij dit systeem. Als je je passwoord hebt gebruikt voor een aankoop in de store en/of een PAY transactie hebt gedaan (met password) wordt je een paar uur later toch weer gevraagd om je telefoon te unlocken met je password. Totaal onnodig. reset de timer gewoon elke keer als het password wordt gebruikt met een limiet van 72 uur.

knorde @JAVE • 22 juni 2018 12:45

Haha oke, geen probleem hoor

Het was nog steeds ochtend en nu klink je toch heel erg vriendelijk moet ik zeggen hoor

JAVE @knorde • 22 juni 2018 12:57

Wat koffie (of het gebrek daar aan) al niet met je kan doen

knorde @JAVE • 22 juni 2018 12:59

Haha, bedankt voor de tip, dan ga ik dat als het in de toekomst nodig is ook proberen

robvanwijk @JAVE • 22 juni 2018 16:19

Het lijkt me net als met contactloos betalen: Één keer in de zoveel tijd moet je even je pincode ingeven als extra beveiliging.

Maar dat is een totaal andere situatie.

Bij contactloos pinnen vindt geen enkele vorm van authenticatie plaats. Je moet één keer in de zoveel tijd (of, beter gezegd, één keer in de zoveel euro) de pincode invoeren om een limiet te hebben op het maximale bedrag dat de bank moet vergoeden aan iemand die zijn pinpas kwijtgeraakt is.

Bij dit systeem mag je je "zwak" (lees: "relatief grote kans op false positive") authenticeren, zodat het waarschijnlijk wel goed zit, maar moet je af en toe "sterk" ("echt", "fatsoenlijk") authenticeren om te voorkomen dat iemand je telefoon jat en vervolgens alle tijd heeft om die halve-bak-authenticatie voor de gek te houden. In die zin is het nog niet eens zo heel slecht bedacht; zolang jij je telefoon in bezit hebt (vast te stellen met behulp van zwakke authenticatie; elke tien minuten Whatsapp checken) kan de timeout elke keer gereset worden. Zodra de timeout afgelopen is wordt er geen genoegen genomen met zwakke authenticatie, want op dat moment zou een dief de zwakke authenticatie al gekraakt kunnen hebben, dus moet je jezelf sterk authenticeren.

Enige nadeel... als het wel lukt om binnen die vier uur iemands stem of gezicht te faken, tja, dan is het wel mooi game over en ben je al je data kwijt. Ja, al je data; niet alleen wat op je telefoon staat. Android is immers nagenoeg onbruikbaar zonder Google Play Store en die is gekoppeld aan je GMail, dus het is eenvoudig om op te zoeken bij welke websites je allemaal een account hebt, voor allemaal een password reset aan te vragen en die ook allemaal te pwnen. Je mag één keer raden of ikzelf gebruik maak van brakke biometrie...

[Reactie gewijzigd door robvanwijk op 23 juli 2024 03:12]

Flagg @knorde • 22 juni 2018 10:42

Ach welnee, meerdere gebruikers die het irritant vinden... Wat een onzin. Je wordt op "subtiele" wijze erop gewezen dat je aan het zeuren bent om niks, en dan opeens zijn er volgens jou veel meer die het ook heel irritant vinden.

Ik mag het met mijn Honor 8 ook iedere 3 dagen een keertje doen, en nee dat is niet irritant. En dat is niet onderhevig aan de dooddoener, "dat is mijn mening" dus het is zo. Iedere 3 dagen 1x je wachtwoord moeten ingeven als hinderlijk beschouwen zegt niks over die 3 dagen dat zegt enkel iets over jou.

knorde @Flagg • 22 juni 2018 12:49

Als je alle reacties hebt doorgelezen zul je zien dat ik zeker niet de enige ben die het gewoon irritant vind.
En dat het niks over die 3 dagen zegt maar meer wat over mij laat ik in het midden, al zou dat zo zijn hebben meerdere mensen daar "last" van.

Ik zeg niet dat het een ramp is want het is prima te doen, maar ik vind het gewoon overbodig. Dat is mijn mening en dat dring ik niemand op. Je mag ook best je mening geven maar jouw reactie vind ik gewoon niet respectvol en dat vind ik jammer.

knorde @Flagg • 22 juni 2018 17:12

Dus m.a.w. jij gaat bepalen wanneer ik respect verdien?
Ondanks dat ik het niet met je eens ben reageer ik op jou toch ook normaal en met respect?

Maar omdat ik het niet met je eens ben verdien ik gelijk geen respect bij jou.
Ik denk dat verdere discussie met jou geen zin heeft.

holoduke51 22 juni 2018 09:31

Ik zal wel minnetjes krijgen, maar ik ontgrendel mijn telefoon door de aan knop in te drukken. De enige beveiliging is de sim kaart ontgrendeling wanneer je de telefoon net aanzet. Ik doe dat al minstens 10 jaar zo en nog nooit last van gehad.
Het is een soort principe kwestie. Het idee dat je hele leven wordt gedomineerd door beveiliging hier en privacy daar. Dan leef ik liever met wat meer risico.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@holoduke51 • 22 juni 2018 10:15

Erg verstandig

Accepteer je dan ook dat jan en alleman bij jouw gegevens kan wanneer ze de telefoon in handen hebt en dat je hiervoor geen vergoeding kunt eisen? Geval eigen schuld dikke bult? Dit soort dingen begrijp ik echt niet. Voor de rest; hoe weet je dat je nog nooit "last hebt gehad"? Dat kun je namelijk vrijwel niet weten wanneer je de (denkbeeldige) voordeur dag en nacht wagenwijd open laat staan.

Een klein overzichtje van zaken die doorgaans op een telefoon te vinden zijn;
- contactpersonen (je beveiligd ook de gegevens van een ander)
- e-mail
- account informatie
- foto's
- instant messaging / sms
- internet informatie / history
- met regelmaat een app van de bank
- social media
- belgeschiedenis
- locatie geschiedenis
- inloggegevens / cookies

Een maatregel als hier aangekondigd kan ik, bij bewezen kwetsbare systemen, alleen maar toejuichen.

[Reactie gewijzigd door Bor op 23 juli 2024 03:12]

aequitas

@Bor • 22 juni 2018 11:29

Dat hangt er natuurlijk helemaal van af welke gegevens en authorizatie tokens je op je telefoon bewaard en hoe hoog je het risico inschat dat jij het doelwit wordt van een aanval. Om het even absurd de andere kant op te trekken. Ik controleer niet al mijn eten erop dat het vergiftigd kan zijn. Maar dat zou ik wel moeten doen natuurlijk want het is een makkelijke manier om mij buiten bewustzijn te brengen en zo mijn biometrische gegevens te gebruiken om mijn telefoon te ontgrendelen.

Maar zonder gekheid, beveiliging is belangrijk, ja, maar moet altijd in de context gezien worden met wat je beveiligd en het risico daarvan, anders wordt het alleen gezien als hinder en verliest het zijn waarde doordat het niet serieus genomen en omzeild wordt. Zolang je zelf een goed geïnformeerde beslissing kan maken over beveiliging mag je van mij betreft zelf weten hoe je je het inricht en welke risico's je wel en niet accepteerd.

Vayra @aequitas • 22 juni 2018 13:10

Bij digitale veiligheid ligt daarin ook wel het probleem denk ik. Mensen kunnen het 'digitale' veiligheidsrisico totaal niet inschatten. Zeker niet de gemiddelde gebruiker, die heeft niet eens benul van de data die allemaal toegankelijk is door zijn eigen handelswijzen.

Bij een fysieke beveiliging is die risico analyse al een stuk beter. We kunnen allemaal prima inschatten wat het effect van een open voordeur kan zijn. Als er inbrekers actief zijn in de buurt, wordt er vaak zelfs gewaarschuwd. Gaat het om technologie, dan is de enige waarschuwing die breed gedeeld wordt er pas als het te laat is (een journaal- of nieuwsartikel, vaak dágen nadat een lek bekend is, want het zou maar zo een hoax kunnen zijn) en ook patches komen pas later binnen. Dan kan er allang iemand 'binnen' zijn. Om nog maar te zwijgen van al die quasi-experts die hun OS van allerlei tweaks voorzien om maar geen updates binnen te trekken (we kennen ze allemaal...). En dan is er nog de idiote overweging 'maar waarom zou ik een doelwit zijn'. News flash: dat ben je niet, tegenwoordig gaat dat gewoon 'in bulk' met enorme bakken tegelijk. Die datasets worden kant en klaar verkocht.

Dan lijkt mij alles bezien toch een iets lastiger unlock proces het minimale...

[Reactie gewijzigd door Vayra op 23 juli 2024 03:12]

Verwijderd 22 juni 2018 10:49

Wat maken we het onszelf zo moeilijk. Ontgrendelen via vingerafdruk vind ik nog steeds het meest makkelijke en aangename manier.

Hoe zo is na vier uur al om wachtwoord vragen zwakke authenticatie, en pas na 72 uur vragen om wachtwoord sterke authenticatie. Moet dit juist andersom zijn?

Als je pas na 72 uur iemand om een verificatie vraagt, is toch namelijk zwak!

kizke @Verwijderd • 22 juni 2018 11:22

Wat hier gezegd wordt is juist andersom, als er een goede biometrische sensor in zit, dan word er minder regelmatig om je ww gevraagd. Bij een slechte biometrische sensor wordt dit sneller gedaan omdat deze als minder veilig word beschouwd.

Sex Pistols 22 juni 2018 12:20

Bij mijn Microsoft Lumia 950 telefoon met Windows Hello vergrendeling dat werkt met IR-camera kan ik zelf instellen of ik moet aanmelden; nooit, elke keer, 1 min., 3 min., 5 min., of 15min. Het is gekoppeld met mijn laptop middels Bluetooth in Defender wat zorgt dat mijn laptop automatisch vergrendeld als mijn telefoon langer dan ca. 1 minuut geen contact meer heeft gemaakt. Dan moet ik in mijn laptop een pincode of wachtwoord ingeven om te unlocken. Dit zou ik graag gezien hebben dat dit unlocken gaat middels die IR-camera in mijn telefoon.
Helaas is deze app er nog niet want technisch wel mogelijk via Azure Active Directory maar ik kan niet programmeren.

wndwlckr 22 juni 2018 12:29

Dat krijg je ervan als je de concurrent achterna rent. Een halfbakken implementatie waar je dus niks aan hebt.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (100)

Sorteer op:

Weergave: