Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Uwierzytelnianie twarzą w Windows ominięte zwykłym wydrukiem
Bleepingcomputer donosi o właśnie zaprezentowanym sposobie ominięcia mechanizmu Windows Hello. Jak chwali się Microsoft:
Windows Hello is a more personal way to sign in to your Windows 10 devices with just a look or a touch. You’ll get enterprise-grade security without having to type in a password.
Niemieccy badacze pokazali jak można ominąć „enterprise-grade security” za pomocą:
- Zdjęcia twarzy za pomocą kamery w bliskiej podczerwieni (NIR, kamera w wersji zrób to sam – za $10 – tutaj; choć nie wiemy czy akurat ten model został wykorzystany w badaniu ;-)
- Niewielkich przeróbek graficznych
- Wydruku zdjęcia na zwykłej drukarce laserowej
Zadziwiający jest fakt, że wg badaczy domyślne ustawienia Windows Hello można było ominąć zdjęciem w niskiej rozdzielczości: 340×340) (testy wykonano na laptopie Dell Latitude E7470).
W Windows Hello, jest też jednak dostępna opcja o zwiększonym bezpieczeństwie: „enhanced anti-spoofing”. Ale i tą udało się ominąć… zdjęciem o nieco wyższej rozdzielczości (480×480; testowy sprzęt: Microsoft Surface Pro 4):
Podatność została załatana w najnowszej wersji Windows 10 – 1709. Z włączonym mechanizmem „enhanced anti-spoofing” – jednocześnie wymagane jest ponowne pobranie zdjęcia własnej twarzy.
–ms
skąd pomysł, że bio może służyć niepodważalnej autentykacji?
od zawsze nie temu miało to służyć,
ułatwienie, ale nie bezsprzeczna autoryzacja
to tak jakby wierzyć w tablice rejestracyjne
dla mnie rozpacz
(po obu stronach, wbrew pozorom)
Ogólnie biometria jest fajna :D
https://media.ccc.de/v/biometrie-s8-iris-fun
Autoryzacja twarzą jest jak chodzenie z zawieszoną na szyi kartką A4 z hasłem.
Gdyby to działało jakoś w 3D… Ale skoro wystarczy zdjęcie 2D i to statyczne, to jaki to ma sens…
Wykorzystuje zwykłe kamery, stąd ta „limitacja”.
Potrzebny byłby jakiś skaner 3D.
Zresztą, to nie jest raczej główny składnik uwierzytelniania.