Viele Fingerprint-Authentifizierungen sind knackbar

13. April 2020, 08:00
  • security
  • lücke
  • innovation
  • channel
image

Wer Ziel einer ausgeklügelten Attacke werden könnte, soll nicht auf Authentifizierung per Fingerabdruck setzen, so Forscher von Cisco Thalos.

Forscher von Cisco Thalos haben Fingerabdruck-Authentifizierungen unter die Lupe genommen. Dabei haben sie versucht, die Systeme zu überlisten. Das Resultat: In etwa 80 Prozent der Fälle konnten sie die Sensoren mindestens einmal täuschen.
Für ihr Experiment gaben sie über mehrere Monate insgesamt 2000 Dollar aus. Sie benutzten einen gefälschten Fingerabdruck, um Geräte von Apple, Microsoft, Samsung, Huawei sowie von Schliesssystem-Herstellern zu täuschen.
"Unsere gefälschten Fingerabdrücke funktionierten auf dem Samsung A70 nicht", so die Forscher in einem Blogbeitrag. Das Gerät habe aber auch mit echten Fingerabdrücken nicht sehr gut funktioniert. Als resistent erwiesen sich zudem fünf Laptops mit Windows Hello. Es brauche nun noch Forschung, um zu verstehen wieso. Dies bedeute nicht, dass die Geräte grundsätzlich sicherer seien, so Cisco Thalos.
Die Forscher schreiben, dass sie mehr als 50 Fingerabdruck-Formen erstellt und manuell getestet hätten, bevor eine funktioniert habe. Das habe Monate in Anspruch genommen. Zudem erklären sie, dass man zuerst ein sauberes Bild eines Fingerabdrucks haben müsse und dann auch noch physischen Zugang zum Gerät des Opfers.
"Dennoch bedeutet diese Erfolgsquote, dass es sehr wahrscheinlich ist, eines der getesteten Geräte zu entsperren, bevor es in die PIN-Entsperrung umschaltet", so die Thalos-Forscher. Der beste Weg, um Angriffe zu verhindern, sei, die Anzahl Versuche zu begrenzen, bis das Gerät in den PIN-Modus umschalte.
Der durchschnittliche User dürfte gut genug geschützt sein, wenn er sein Gerät verliert. Wenn man aber ein potentielles Ziel von gut finanzierten Akteuren sei, solle man keine Fingerabdruck-Authentifizierung benutzen.
Schliesslich vergleichen die Forscher das System mit der Sicherung des eigenen Hauses: "Wenn Sie wollen, dass das System Geheimdienste davon abhält, Ihr Haus auszuspionieren, wird es nicht funktionieren. Aber wenn Sie Kleinkriminelle stoppen wollen, ist es gut genug."
Im Blogbeitrag beschreiben die Forscher detailliert ihr Vorgehen.

Loading

Mehr zum Thema

image

Blockchain-Startup generiert 5 Millionen mit Token-Verkauf

Chain4Travel will auf einem Blockchain-basierten Netzwerk den Handel von Reiseprodukten ermöglichen. Beim ersten Tokenverkauf hat das Startup 5 Millionen Franken generiert.

publiziert am 29.9.2022
image

All for One legt Schweizer Töchter zusammen

Die beiden SAP-Dienstleister Process-Partner und ASC werden zu All for One Switzerland.

publiziert am 29.9.2022
image

Geopolitische Lage dämpft Erwartungen der Schweizer ICT-Branche

Der Swico-Index zur Stimmung in der ICT-Branche ist erneut rückläufig. Die Anbieter glauben aber, dass sich die Auftragslage positiv entwickelt.

publiziert am 28.9.2022
image

Abra Software will nach Besitzerwechsel expandieren

Das Investment-Unternehmen Elvaston hat die Aktienmehrheit übernommen. Nun soll der ERP-Anbieter durch weitere Akquisitionen wachsen.

publiziert am 28.9.2022