Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 64 reacties

De vingerafdruksensor van de iPhone 6 blijkt beter beschermd tegen misbruik dan de sensor in de iPhone 5S. Dat heeft onderzoek van beveiligingsbedrijf Lookout uitgewezen. Tegelijkertijd is het nog steeds mogelijk om met nagemaakte vingerafdrukken de telefoon te unlocken.

VingerafdrukSlechte kopieën van vingerafdrukken kunnen niet worden gebruikt om de vingerafdruksensor van de iPhone 6 om de tuin te leiden, schrijft beveiligingsonderzoeker Marc Rogers van Lookout. Bij de iPhone 5S was dat nog wel het geval.

De verbetering van TouchID, zoals Apple de sensor noemt, wordt waarschijnlijk veroorzaakt door de hogere resolutie van de sensor, die er tevens voor zorgt dat legitieme vingerafdrukken minder vaak worden geweigerd. Ook is de oppervlakte van de vingerafdrukscan vergroot.

Tegelijkertijd blijkt het nog steeds mogelijk om de vingerafdruksensor om de tuin te leiden. Dat kan bijvoorbeeld met behulp van een laserprinter en lijm, of met pcb-board, chemicaliën en lijm. "Maar dat vereist technische skills, geduld en een zeer goede kopie van iemands vingerafdruk", schrijft Rogers.

Rogers trekt de vergelijking met sloten: die zijn niet perfect, maar bieden een goed balans tussen effectiviteit en gebruiksgemak. Hetzelfde geldt volgens hem voor de vingerafdruksensor van de iPhone 6. Tegelijkertijd is hij wel enigszins teleurgesteld dat de TouchID-beveiliging niet verder verbeterd is, al is onduidelijk welke verbeteringen zouden kunnen worden doorgevoerd.

Moderatie-faq Wijzig weergave

Reacties (64)

Misschien heb ik het gemist. Maar niemand schijnt zich druk te maken over het grootste probleem van alle biometrische vormen van authenticatie.

Eenmaal "gestolen" is het niet te vervangen. Tenminste bij mijn weten zijn we nog niet zo ver dat we vingerafdrukken, irisscans, boedvaten in de vingers e.d. kunnen aanpassen.

Wat mij betreft is die biometrische beveiliging dus helemaal niet zo 'ideaal'. Want wie verteld met niet dat er eens een slimmerik komt die de vingerafdruk reader van mijn laptop zo weet te programmeren dat hij er een 'afdruk' mee kan maken die vervolgens te copieren is en dan te gebruiken is om een iphone te unlocken.

Of (mogelijk erger) mijn irisscan van datacentrum x wordt gestolen en vervolgens via techniek xxx wordt hij gebruikt om bij schiphol via Privium (namens mij) het land te verlaten.

Doe mij maar de 'onhandige' calculator / pin / nfc / yubikey / etc. want die zijn teminste te vervangen / herprogrammeren bij 'verlies' of 'diefstal'.
Je hebt een punt dat biometrische gegevens niet te vervangen zijn in/aan het lichaam.

De vraag is hoe werkt de scanner in de laptop? Als deze op dezelfde wijze werkt als op de iPhone, dan kan de afdruk niet onderschept worden en het secure element zorgt er alleen voor dat er een match is of niet. Juist het pad achter de scanner is van essentieel belang om te zorgen dat die gegevens niet zomaar in handen van een ander vallen. Verder zou die slimmerik die een scan maakt van je vinger via de laptop deze ook nog moeten matchen met welke iPhone er bij hoort. Als laatste gebruik je voor de iPhone bijna altijd je duim, terwijl je voor je laptop veel eerder je wijsvinger gebruikt. Verschillende vingers, dus ook verschillende afdrukken.

De huidige unlockbeveiligingen als pin en pattern zijn schijnveiligheden. Let maar eens op in je omgeving hoeveel mensen hun toestel unlocken zonder af te schermen wat ze intikken of welk patroon ze volgen. Als ik kwade bedoelingen heb, dan hoef je in de openbare ruimte alleen maar goed te kijken en je ziet binnen een paar minuten slachtoffers waarbij je zo de unlock kan zien. Met TouchID moet ik heel veel moeite doen, waarbij de kans groter is dat het toestel wordt geblokkeerd en gewiped voordat ik de nep vingerafdruk klaar heb. Daarna is de gedane moeite nutteloos en kan ik opnieuw beginnen.
Laten we kijken welke methodes je noemt als beter:
- Calculator: Code + pasje
- Pin: Code + evt. pasje
- nfc: Een nfc device, evt met code
- yubikey: Een device, evt met code (als ik het goed begrijp)

Wat heb je in dit geval nodig:
- iOS device + afdruk + af en toe een code

Oftewel, het is redelijk vergelijkbaar met de methodes die je zelf aanhaalt. In real life gevallen is het zelfs gewoon een vorm van nfc device die extra wordt beveiligd met die afdruk.
De vingerafdruk wordt alleen gebruikt om je iOS device te activeren. Dit device zorgt voor de externe authenticatie. Het is dus niet zo dat je afdruk wordt extern wordt gebruikt! Als je bijvoorbeeld je gestolen iPhone brickt omdat die gestolen is, kan er meteen niks meer mee gedaan worden.
Het is dus duidelijk niet zo dat je afdruk de hele wereld wordt rondgestuurd en daadwerkelijk zelf wordt gebruik om je te identificeren. Dat zou een enorm probleem zijn.

Blijft wel een feit dat je je afdruk niet kunt vervangen en dat dit een inherent probleem is bij biometrische authenticatie. In dit geval lijkt me de pro-con redelijk te overzien, zeker als je er vanuit gaat dat deze de komende jaren alleen maar preciezer zou worden en dat dit automatisch mee schaalt omdat dat deel in je huidige device wordt afgehandeld.
Ik ben van mening dat dit niet zoveel uitmaakt.

Vingerafdrukauthenticatie zoals geïmplementeerd in de iPhone (vingerafdruk lokaal opgeslagen) is per definitie two-factor authentication (meestal een combinatie van "what you have" en "what you know", in dit geval tweemaal "what you have"). Dit betekent dat een kwaadwillende zowel de beschikking moet hebben over jouw iPhone als over jouw vingerafdruk.

Met een betaalpas is het mogelijk om een pincode te wijzigen. Hoe vaak is dit echt nodig? Volgens mij bijna nooit. De kracht van een betaalpas in combinatie met een pincode zit hem in de combinatie (two-factor authentication dus). Betaaltransacties zijn eigenlijk vele malen onveiliger dan een vingerafdrukauthenticatie op je telefoon, want:
- Je gebruikt de pas op tientallen apparaten waarvan jij geen enkel weet hebt of je deze kunt vertrouwen
- Je toetst je code honderden keren per jaar in openbare gelegenheden en iedereen kan de code afkijken
Toch is er nauwelijks fraude sinds we zijn overgegaan op het chip-pinnen (skimmen is nu verleden tijd). Ik denk dat er meer mensen zijn die zijn overvallen vlak nadat ze geld hebben opgenomen, dan dat hun betaalpas en pincode gestolen is en gebruikt is om geld op te nemen.

Vergelijk dat met een lokale vingerafdrukauthenticatie:
- Je gebruikt maar één apparaat dat jij vertrouwt
- Je vingerafdruk is vele malen lastiger "af te kijken"
Daarnaast kan je altijd nog eenvoudig je betaalpas of telefoon blokkeren, mocht deze echt gestolen zijn.

Beveiliging is altijd al een afweging tussen risico en gebruiksgemak. Vingerafdrukauthenticatie heeft met name op het gebied van gebruiksgemak grote voordelen. Het risico dat het met zich meebrengt valt te betwisten, maar ik denk dat het wel degelijk veiliger is dan een pincode (want: veel moeilijker af te kijken).
"Just like its predecessor, the iPhone 6's TouchID sensor can be hacked. However, the sky isn't falling. The attack requires skill, patience, and a really good copy of someone's fingerprint - any old smudge won't work. Furthermore, the process to turn that print into a useable copy is sufficiently complex that it's highly unlikely to be a threat for anything other than a targeted attack by a sophisticated individual."

Zijn er praktijk gevallen bekend van het omzeilen van TOUCH ID?
We moeten denk ik alles in verhouding zien. De moeite van deze "hack" is enorm. Je moet een zeer zuivere kopie van de vingerafdruk zien te bemachtigen, daarna flink knutselen, en vervolgens ook nog in het fysieke bezit komen van de iPhone.

Dat maakt de scanner nog altijd tig keer veiliger dan een code. Immers, een code is vele malen makkelijker af te kijken dat bovenstaande procedure.

Daarnaast is absolute veiligheid in deze onmogelijk. Onder dreiging van geweld lukt het altijd.
... Als je dit wilt doen moet je en de vinger afdruk van die persoon hebben en zijn telefoon. Dus ik vind het allemaal nonsense deze hacks. Zeker als ze al aangeven dat de copie heel perfect moet zijn om hem te kunnen gebruiken. Tegen die tijd heb je al 100x je creditcard maatschappij gebeld om je kaart te laten blokkeren. Daarnaast denk ik dat een slot nooit 100% goed is en altijd gekraakt kan worden. Het gaat er alleen om of je het lang genoeg tegen kan houden zodat de schade beperkt of afgehouden kan worden door de persoon die "gehacked" wordt.
Joh net als in het artikel hier staat dat er inderdaad met een goede nep afdruk er in komt.
Het is eigenlijk net als het slot van m'n voordeur. Met een goede kopie van de sleutel kom je zo naar binnen! Toch lig ik elke nacht met een gerust hart te slapen :)
Vraag me af: wordt de secure enclave ook echt volledig gewist als je een factory reset doet, bijvoorbeeld om het toestel te verkopen?

Samen met het feit dat je vingerafdruk niet te veranderen is als het toch fout gaat, is dit de grootste reden die mij tegenhouden om op mijn iPhone 5s deze functie te gebruiken
Het idee van de secure enclave is dat je dat sowieso nooit te weten kan komen, ook al is je kernel gecompromitteerd. Je mag er lijkt me wel vanuit gaan dat de secure enclave ook gewist wordt wanneer je een factory reset doet.

Dus zelfs al zou je data achterblijven, kan niemand erbij, maar het is totaal onaannemelijk dat je data achterblijft.
The Secure Enclave is a coprocessor fabricated in the Apple A7 or later A-series processor. It utilizes its own secure boot and personalized software update separate from the application processor. It provides all cryptographic operations for Data Protection key management and maintains the integrity of Data Protection even if the kernel has been compromised.

The Secure Enclave uses encrypted memory and includes a hardware random number generator. Its microkernel is based on the L4 family, with modifications by Apple. Communication between the Secure Enclave and the application processor is isolated to an interrupt-driven mailbox and shared memory data buffers.

Each Secure Enclave is provisioned during fabrication with its own UID (Unique ID) that is not accessible to other parts of the system and is not known to Apple. When the device starts up, an ephemeral key is created, entangled with its UID, and used to encrypt the Secure Enclave’s portion of the device’s memory space.

Additionally, data that is saved to the file system by the Secure Enclave is encrypted with a key entangled with the UID and an anti-replay counter.

The Secure Enclave is responsible for processing fingerprint data from the Touch ID sensor, determining if there is a match against registered fingerprints, and then enabling access or purchases on behalf of the user. Communication between the processor and the Touch ID sensor takes place over a serial peripheral interface bus. The processor forwards the data to the Secure Enclave but cannot read it. It’s encrypted and authenticated with a session key that is negotiated using the device’s shared key that is provisioned for the Touch ID sensor and the Secure Enclave. The session key exchange uses AES key wrapping with both sides providing a random key that establishes the session key and uses AES-CCM transport encryption.
iOS Security—White Paper | September 2014

[Reactie gewijzigd door SidewalkSuper op 23 september 2014 22:49]

Thx! goede informatie +2
Tjsa, het zal nooit slechter zijn als de 5s, vlgns mij altijd als iets voor het eerst uit is, zal het nooit 100% zijn.
Bv crossfire of sli was in het begin ook niet perfect (nog niet soms lol)
Hij had best verder beveiligd kunnen worden bijvoorbeeld door de hartslag van de gebruiker te meten. "De hartslag van mensen is namelijk dusdanig uniek dat deze zeer geschikt is om als wachtwoord te dienen". Wanneer zowel vingerafdruk en hartslag 'kloppen' (phun intended) Is vrij zeker dat het om de rechtmatige eigenaar gaat. Het enige wat hier niet mee opgevangen wordt is of de gebruiker vrijwillig het toestel unlocked.
Dat zal vast zo zijn. Net zoals iedere vinger ook een uniek bloedvatenpatroon heeft.

Maar houdt er rekening mee dat het hier om een consumentenproduct gaat en het ook nog enigszins betaalbaar moet blijven.

Al met al is het dus een afweging tussen kosten, gemak en veiligheid en dan denk ik dat dit een prima vooruitgang is.
Ik snap er geen zak van waarom jij nu "0 Off topic" krijgt, maar ok. Zal wel als "0 niet mee eens bedoeld zijn".

Ik denk dat er nog eentje reden is dat is de snelheid waarmee het apparaat unlocked kan worden. Met een heartbeat erbij, zul je sowieso minsten op 1 hartslag moeten wachten vermoed ik zo.
Een flink nadeel van dit soort biometrische technieken is dat je niet zomaar even je "wachtwoord" kunt veranderen, mocht het op eenofandere manier gestolen (lees: kopieerd) zijn.
Tegelijkertijd is dat veel minder een probleem omdat (anders dan bij een wachtwoord) je ook de beschikking moet hebben over het apparaat zelf omdat daar de vingerafdrukgegevens op opgeslagen worden. Een Apple ID-wachtwoord kan je op elke computer ter wereld invoeren, een vingerafdruk enkel en alleen op het apparaat in kwestie.

Dus is het in de praktijk daadwerkelijk minder veilig? Ik denk van niet. Meestal worden accounts toch gecompromitteerd door middel van phishing, en dat is met een vingerafdruk niet mogelijk. Ik denk dat je de consequentie van het niet kunnen veranderen van je vingerafdruk overschat.
Daar heb je wel een punt. Ach ik ben ook geen expert.. Maar helemaal overtuigd ben ik niet.
En dan heb je net gefitnesst, gefietst, of wat dan ook dat een beetje intensief is...
Google eens voordat je wat post. Het gaat hier niet om het aantal slagen per minuut.

http://www.economist.com/blogs/babbage/2013/05/biometrics

[Reactie gewijzigd door trix0r op 23 september 2014 19:19]

Nee, het gaat om hartritme. Dat is eigenlijk amper beter, gezien het relatief groot aantal aandoeningen dat het hartritme beïnvloedt.

Er zijn tientallen vormen van biometrische identificatie die eenvoudiger te implementeren zijn en minder vatbaar zijn voor verandering door medische problemen of ouderdom.
Geef mij maar een 4 cijferige pincode , dat is simpel,duidelijk en snel zat.
Nope. Ik baal dat mijn ipad air geen touchid heeft. Ik ben docent en wij gebruiken vrij nieuwerwetse AppleTV's icm grote tv's en ipads om de lessen te sturen. Zo'n ding gaat uiteraard na een tijdje in standby, en om hem te unlocken moet ik er telkens aan denken airplay te onderbreken, anders zien alle leerlingen mijn code (visuele feedback kan niet uit)... Hetgeen de functie zinloos zou maken. Code is wel nodig, want ook toetsen en antwoordmodellen staan op de ipad. Omslachtig. Op mijn initiatief heeft een aantal collega's nu een jailbreak, waarbij we via bypass "onzichtbaar" kunnen unlocken. Voor ons oneindig veel handiger, de verdere voordelen daargelaten aangezien de meeste collega's die verder niet gebruiken.

TouchID zou voor ons een veel handigere oplossing zijn, en er zijn vast meer voorbeelden.
Dan zet je toch gewoon automatische vergrendeling uit? Dan zet je de iPad handmatig standby.
Het is niet dat wij hier niet op kunnen komen, het is domweg niet ideaal ;)
Kun je dan niet beter gewoon de stand-by functie uitzetten?
En dan moet je het weer aan zetten na zo'n presentatie. Behoorlijk vervelend. Het zijn natuurlijk allemaal first world problems maar eens je weet dat het gemakkelijker zoals TouchID wil een mens gewoon de gemakkelijkste oplossing. TouchID dus.
Simpel wel, maar niet voor alle toepassingen veilig genoeg. Eigenlijk vind ik een vingerafdruk een prima compromis: het gebruikt bewezen technologie, is eenvoudig en snel en is zeer veilig - het kan gefopt worden, maar enkel met een enorme inspanning en een hoop voorkennis.

Meer geavanceerde biometrische beveiliging is nog veiliger, maar technisch moeilijker en minder handig. Een pincode is simpel en snel, maar niet veilig genoeg voor zakelijk gebruik. Vingerafdrukken vinden een mooi compromis.

Voor een privétoestel ben ik overigens ook tevreden met een ouderwetse pin hoor.
Ik vraag me alleen af of het touch id dan ook wel veilig genoeg is voor het apple pay waarvoor het gebruikt wordt als 'verificatie'. Ik weet niet of je nog op andere manieren je betaling kan beveiligen, maar op de apple site lees ik alleen dat je je touch id moet aanraken.

https://www.apple.com/apple-pay/
One touch to pay with Touch ID. Now paying in stores happens in one natural motion — there’s no need to open an app or even wake your display thanks to the innovative Near Field Communication antenna in iPhone 6. To pay, just hold your iPhone near the contactless reader with your finger on Touch ID. You don’t even have to look at the screen to know your payment information was successfully sent. A subtle vibration and beep lets you know.
Als unlock is het een leuke gimmick, maar om je betaling te beveiligen?

[Reactie gewijzigd door kluyze op 23 september 2014 21:22]

Zoals TouchId nu werkt heeft het sowieso na een restart en na een x aantal betalingen een code nodig. Geen idee of dit behouden blijft.

Verder is het zo dat de afdruk, nooit je device verlaat. Het is dus niet zo dat je afdruk op welke manier dan ook gebruikt wordt om te betalen, je gebruikt je afdruk om je telefoon te overtuigen dat je jezelf bent en die geeft een op een secure manier door dat het ok is.
Je afdruk, danwel de hash die ervan gemaakt is, zal nooit een speciaal stukje hardware, het zogenaamde 'secure element' verlaten. Niet alleen Apple gebruikt dit soort oplossingen.
Op deze manier is slechts één device gecompromised als je afdruk wordt gestolen. Normaal gesproken heb je genoeg tijd om je account te blokken/de iPhone te brikken omdat het procédé om je afdruk te liften en namaken best tijd kost. Meer dan een pasje met gestolen/afgekeken pincode.

Het grote nadeel van een vingerafdruk is dat je 'm niet kunt veranderen zoals Menesis hieronder ook al opmerkt. Worst case is iemand die van te voren je afdruk namaakt, en dan pas te telefoon gaat stelen. En na de eerste keer jou continue target. Je zult nooit je duimafdruk kunnen veranderen. Het is echter de vraag of deze methode werkt als je met je telefoon wil betalen in de winkel om je dure aankoop te betalen met Apple Pay omdat je eerst een stukje siliconen op op de goede plek moet krijgen enzo. Lijkt me lastig.
Bij web payments is dat lastiger.

Al met al denk ik dat het geheel betrouwbaarder en makkelijker is dan pin, maar totdat het nog preciezer wordt is heeft het een inherente probleem. Ik neem aan dat zodra technieken om dit te realiseren betaalbaar en betrouwbaar worden, deze ook ingebouwd zullen worden.
De methodes die hier vandaag het meest worden gebruikt zijn alvast minder veilig. Cash is extreem vatbaar voor diefstal, betaalkaarten voor identiteitsfraude en skimming (en meer nog in de VS dan hier, omdat daar de magneetstrip nog gebruikt wordt) en PC-bankieren is vatbaar voor keyloggers en consoorten op de nogal zwak beveiligde PC's van jan modaal.

Vingerafdrukscanners hebben eveneens gekende beveiligingsproblemen, maar die zijn in de echte wereld veel moeilijker te misbruiken dan de nadelen van meer vertrouwde betaalmethoden. Absolute veiligheid bestaat niet, maar de vingerafdruk is alvast een stap vooruit.
Je beveiligt niet je betaling, maar je bevestigt je betaling. Alle gegevens over je kaarten e.d. zitten in het Secure Element.
Veilig vraag ik mezelf toch af, je bewaard normaal nooit een sleutel bij een slot. Stel iemand steelt je telefoon die vol zit met jouw vinger afdrukken want jij hebt die dagelijks vast. Met wat kennis van zaken zijn die vingerafdrukken toch gewoon van je toestel af te halen waarmee je hem kan ontgrendelen? Of zeg ik nu iets heel geks?
Je zegt niks gek, dat is in theorie perfect mogelijk. Maar in de praktijk is het niet in 1.2.3 gepiept. De kans dat iemand je portefeuille pikt en er een betaling mee uitvoert is veel groter.

Je portefeuille checken doe je niet minstens elke 15 min. De meeste smartphone gebruikers checken hun phone minstens 4 keer per uur. Het omzetten van een werkende vingerafdruk neemt echt wel heel wat tijd in beslag en is ook redelijk duur. Tegen de tijd dat die kopie van je vingerafdruk is gekopieerd, als het al lukt, is je iPhone al lang geblokkeerd.

Een credit card stelen is dus echt wel pakken gemakkelijker voor een dief dan een betaling uitvoeren met een iPhone.
Wat je zegt kan. Maar vingerafdrukken omzetten in een 3D-model dat goed genoeg is om een scanner te misleiden is iets dat weinigen gegeven is. Inlichtingendiensten en zeer goed georganiseerde misdaadbendes kunnen het waarschijnlijk, maar de overgrote meerderheid van alle diefstallen gebeuren vandaag door relatieve amateurs en die kunnen het niet.

Je kunt niet van een beveiligingssysteem verwachten dat het experts die bereid zijn de nodige tijd en moeite te investeren buitenhoudt - dat kan gewoon niet met techologie die eenvoudig genoeg is voor alledaags gebruik. Maar vingerafdrukscanners zijn wel een manier om de veel meer voorkomende amateurcriminelen buiten spel te zetten, en dat is een gigantische vooruitgang.

Bovendien is het een kleintje om je toestel te laten blokkeren, wat het probleem al een pak minder accuut maakt.
Dat is eigenlijk amper beter, gezien het relatief groot aantal aandoeningen dat het hartritme beïnvloedt.

Ook slikken miljoenen mensen beta blokkers die het ritme beinvloeden.

Lijkt me bijna onmogelijk dat acuraat te meten via zo'n consumentenkwaliteit sensor. Dat bedoel ik niet als Apple sneer, maar die medische apparatuur die de hardslag en ritme meet is enkele factoren duurder dus het is gewoon niet realistisch om een zelfde nauwkeurigheid te hebben. En dus moet je marge hebben in zo'n telefoon, en dat maakt het evident weer minder veilig.
Irisscanner.... dus een hoge resolutie front facing camera zou wel mooi zijn :D
je zal maar een harttransplantatie ondergaan :+

Maar even serieus. Heel leuk dat soort technieken, maar het lijkt me een stuk complexer om zoiets te gaan meten met een sensor die je even aanraakt met je vinger en die voor enkele centiemen moet gefabriceerd worden.
En dan heb je net gefitnesst, gefietst, of wat dan ook dat een beetje intensief is...
Dan type je gewoon je pincode.
Dna zou natuurlijk het perfecte wachtwoord zijn. (Bijna)
Behalve het feit dat je dan minstens enkele seconden je hartslag moet laten monitoren...
Hoop dat dit zo snel mogelijk alle wachtwoorden kan vervangen! Lijkt me ideaal qua gemak en beveiliging.

Verder staat er een typo in de laatste zin.
Overal hangen camera's en je hebt geen ogen in je achterhoofd, dus 99,9% kans dat je pincode, wachtwoord, patroon ergens is vastgelegd of iemand over je schouder heeft mee kunnen kijken. Verder is een patroon het duidelijkst te zien, als je de telefoon uit zet, aan de hand van de vegen die op het scherm achterblijven. Verder is het herkennen van een pincode op afstand te leren zolang de cijfers op de toetsenbord altijd dezelfde positie hebben. Dus een vingerafdrukscanner is in die zin veiliger dan de andere methoden, vooral als je je pink gebruikt. Weinig kans dat ze een verdwaalde pinkafdruk op je telefoon vinden. Dus pink op sensor leggen en na unlocken een swipe met je pink maken om deze vervolgens uit te vegen.
We zijn ondertussen een jaar verder en de secure vault, waarin de vingerafdrukgegevens zijn opgeslagen, is nog steeds niet gekraakt. Ik kan me nog herinneren dat daar een jaar geleden zelfs geld voor werd uitgeloofd om aan te tonen wat een slecht idee het zou zijn.
Nope. Ze staan alleen op je telefoon. Denk je nou echt dat niemand de datastream tussen een iPhone en de Apple servers controleert? De melding dat die gegevens naar Apple gaan zou leuk nieuws zijn, en er zijn genoeg hatertjes die die kans graag zouden willen hebben.
Als Apple écht de vingerafdruk zou willen versturen dan zouden ze die nog wel in normale netwerkverbindingen kunnen coderen. Dus dat is niet de methode om te checken of ie niet verstuurd wordt.

Maar er zijn heel veel veiligheidsonderzoekers bezig met iOS. Die onderzoeken alle beveiligingsmechanismes, en ook TouchID. Apple claimt dat vingerafdrukdata rechtstreeks via een secure element op de SoC gaat. Als dat niet zo zou zijn, zouden we daar zeker nieuws over zijn.

Het is geen garantie dat de vingerafdruk echt verborgen is, maar het klinkt waarschijnlijk dat het oké is. Bovendien zal Apple het risico niet kunnen lopen dat het bekend komt te staan als groots vingerafdrukverzamelaar.
De vingerafrduk is dan misschien verborgen, met ios8 heeft apple wel het gebruik door 3d party app ontwikkelaars vrijgegeven. iPin bijv.

Het zal uiteraard goed getest zijn door apple, echter is het natuurlijk wachten op het eerste bericht dat er een lek in de software zit oid... en uiteraard blijft het je eigen verantwoordelijkheid, want je gaat zeer waarschijnlijk akkoord met de gebruiksvoorwaarden en zijn zij niet aansprakelijk..

Denk dat de volgende stap de Iris / face scan gaat worden icm TouchID. Op alle smartphones zit een frontcamera waarvan de resolutie hoog genoeg is.
Nee, Apple heeft ze niet. Je vingerafdruk wordt versleuteld lokaal opgeslagen en verlaat het toestel nooit.

Hier kun je er meer over lezen.
De vingerafdrukken zelf worden nergens opgeslagen, ook niet op de telefoon. De herkenningspunten staan alleen lokaal in de vault op de telefoon, niet ergens op een server.
CCC en Schauble - het blijft een bewijs dat biometrie alleen geen beveiliging vormt.
Omdat pattern unlock notoire onveilig is. De meeste mensen hebben zelfs nog een visual pattern en dan kan je gewoon het patroon afkijken. Maar zonder gaat ook prima. Aan de hand van de vegen kan je zo het patroon achterhalen.

(Aan alle androidfanboys die dit als ongewenst modden: mocht ik dat niet verklappen dat een telefoon met pattern zo makkelijk te unlocken is?)

[Reactie gewijzigd door 118226 op 23 september 2014 19:26]

Omdat Apple iets beters heeft?

En Apple heeft je vingerafdrukken niet, die staan alleen in de secure enclave op je device.
je geeft je vingerafdruk niet aan Apple maar aan je telefoon.
Bij een normaal vingerafdruksysteem wordt je vingerafdruk niet opgeslagen, alleen een paar vooraf bepaalde herkenningspunten.

Bij TouchID staan je vingerafdrukken bijvoorbeeld nergens opgeslagen, niet op de telefoon, niet op een server.

Het voordeel van TouchID is vooral dat het veel makkelijker is. Ik toets zelden nog m'n code in omdat m'n duim veel handiger is. Nou kun je gebruiksgemak een luxe vinden maar als dat betekent dat mensen die nooit een code instelden wél TouchID gebruiken zijn iPhones tegenwoordig dus gemiddeld beter beveiligd dan vroeger.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True