Anzeige

Windows Hello: Angeblich mit Foto des Nutzers umgehbar

Zwei deutsche Sicherheitsexperten wollen das biometrische Authentifizierungsverfahren Windows Hello von Microsoft ausgetrickst haben. Laut Aussagen der Macher konnte man das Verfahren in verschiedenen Versionen von Windows 10 überlisten. Der Trick liest sich erst einmal einfach. Der Angreifer benötigt lediglich einen speziellen Papierausdruck mit dem Gesicht einer berechtigten Person. Dann wird es aber weniger einfach:

Was den Papierausdruck besonders macht, sind die folgenden Eigenschaften:

  • Das Gesicht der Person wurde frontal fotografiert
  • Die Aufnahme der Person wurde im Nahinfrarotbereich erstellt
  • Helligkeit und Kontrast der Aufnahme wurden mit einfachen Mitteln verändert
  • Der Papierausdruck wurde mit einem Laserdrucker erzeugt

Im Frühjahr 2018 wolle man Ergebnisse und Details des Forschungsprojekts veröffentlichen, beispielsweise zu unterschiedlichen Variationen des Angriffs. Die Macher haben ein Proof-of-Concept-Video „Biometricks: Windows Hello Face Authentication Bypass PoC II“ veröffentlicht:

Wichtig zu wissen:  Nach bisher gewonnenen Erkenntnissen der Entdecker sind die neueren Windows 10-Versionen (Branches) 1703 und 1709 mit Nutzung der „Enhanced Anti-Spoofing“-Funktionalität und entsprechender Hardware nicht anfällig für den hier beschriebenen Spoofing-Angriff mit einem Papierausdruck. Die SySS GmbH empfiehlt daher, bei der Verwendung von Windows Hello Face Authentication das Windows-Betriebssystem auf die neuste Version von 1709 zu aktualisieren, „Enhanced Anti-Spoofing“ zu aktivieren und im Anschluss daran Windows Hello Face Authentication neu zu konfigurieren.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.