Uwierzytelnianie twarzą w Windows ominięte zwykłym wydrukiem

Bleepingcomputer donosi o właśnie zaprezentowanym sposobie ominięcia mechanizmu Windows Hello. Jak chwali się Microsoft:

Windows Hello is a more personal way to sign in to your Windows 10 devices with just a look or a touch. You’ll get enterprise-grade security without having to type in a password.

Niemieccy badacze pokazali jak można ominąć „enterprise-grade security” za pomocą:

• Zdjęcia twarzy za pomocą kamery w bliskiej podczerwieni (NIR, kamera w wersji zrób to sam – za $10 – tutaj; choć nie wiemy czy akurat ten model został wykorzystany w badaniu ;-)
• Niewielkich przeróbek graficznych
• Wydruku zdjęcia na zwykłej drukarce laserowej

Zadziwiający jest fakt, że wg badaczy domyślne ustawienia Windows Hello można było ominąć zdjęciem w niskiej rozdzielczości: 340×340)  (testy wykonano na laptopie Dell Latitude E7470).

W Windows Hello, jest też jednak dostępna opcja o zwiększonym bezpieczeństwie: „enhanced anti-spoofing”. Ale i tą udało się ominąć… zdjęciem o nieco wyższej rozdzielczości (480×480; testowy sprzęt: Microsoft Surface Pro 4):

Podatność została załatana w najnowszej wersji Windows 10 – 1709. Z włączonym mechanizmem „enhanced anti-spoofing” – jednocześnie wymagane jest ponowne pobranie zdjęcia własnej twarzy.

–ms