Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Uwierzytelnianie twarzą w Windows ominięte zwykłym wydrukiem

21 grudnia 2017, 16:23 | W biegu | komentarze 3

Bleepingcomputer donosi o właśnie zaprezentowanym sposobie ominięcia mechanizmu Windows Hello. Jak chwali się Microsoft:

Windows Hello is a more personal way to sign in to your Windows 10 devices with just a look or a touch. You’ll get enterprise-grade security without having to type in a password.

Niemieccy badacze pokazali jak można ominąć „enterprise-grade security” za pomocą:

  • Zdjęcia twarzy za pomocą kamery w bliskiej podczerwieni (NIR, kamera w wersji zrób to sam – za $10 – tutaj; choć nie wiemy czy akurat ten model został wykorzystany w badaniu ;-)
  • Niewielkich przeróbek graficznych
  • Wydruku zdjęcia na zwykłej drukarce laserowej

Zadziwiający jest fakt, że wg badaczy domyślne ustawienia Windows Hello można było ominąć zdjęciem w niskiej rozdzielczości: 340×340)  (testy wykonano na laptopie Dell Latitude E7470).

W Windows Hello, jest też jednak dostępna opcja o zwiększonym bezpieczeństwie: „enhanced anti-spoofing”. Ale i tą udało się ominąć… zdjęciem o nieco wyższej rozdzielczości (480×480; testowy sprzęt: Microsoft Surface Pro 4):

Podatność została załatana w najnowszej wersji Windows 10 – 1709. Z włączonym mechanizmem „enhanced anti-spoofing” – jednocześnie wymagane jest ponowne pobranie zdjęcia własnej twarzy.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. nie rozumiem

    skąd pomysł, że bio może służyć niepodważalnej autentykacji?
    od zawsze nie temu miało to służyć,

    ułatwienie, ale nie bezsprzeczna autoryzacja

    to tak jakby wierzyć w tablice rejestracyjne
    dla mnie rozpacz
    (po obu stronach, wbrew pozorom)

    Odpowiedz
  2. Audytor
    Odpowiedz
  3. markac

    Autoryzacja twarzą jest jak chodzenie z zawieszoną na szyi kartką A4 z hasłem.
    Gdyby to działało jakoś w 3D… Ale skoro wystarczy zdjęcie 2D i to statyczne, to jaki to ma sens…
    Wykorzystuje zwykłe kamery, stąd ta „limitacja”.
    Potrzebny byłby jakiś skaner 3D.
    Zresztą, to nie jest raczej główny składnik uwierzytelniania.

    Odpowiedz

Odpowiedz