Expert: pink is veiligste vinger voor iPhone Touch ID
Eigenaren van een iPhone 5S die de vingerafdruklezer gebruiken om het toestel te ontgrendelen, kunnen dit het beste met de pink doen. De pink wordt namelijk niet gebruikt voor de navigatie op de telefoon en is ook het moeilijkst om van een oppervlak te halen. Dat stelt beveiligingsexpert Robert Graham.
Een Duitse hacker wist met een foto van een vingerafdruk een vinger van latex na te maken waarmee de iPhone werd ontgrendeld. "Veel mensen beweren dat deze hack 'teveel werk is', dat is helemaal niet het geval", stelt Graham. "Alleen omdat het voor jou teveel werk is, houdt dit niet in dat het teveel werk is voor een detective die door je ex-man is ingehuurd. Of het zoontje van de buren. Of een FBI-agent", gaat de expert verder.
Pink
Daarnaast zou de helft van de gebruikers hun toestel niet vergrendelen omdat het invullen van een viercijferige pincode teveel werk is als ze de telefoon willen gebruiken. Als deze gebruikers Touch ID gebruiken in plaats van helemaal geen bescherming zijn ze veiliger dan voorheen.
Graham geeft daarnaast ook een tip om de hack te omzeilen. Namelijk het gebruik van de ringvinger of pink, aangezien die niet op de telefoon zelf worden gebruikt en lastiger te achterhalen zijn.
Twee-factor authenticatie
Eerder werd al gesteld dat Apple twee-factor authenticatie zou moeten invoeren, zodat de vingerafdruklezer in combinatie met een pincode kan worden gebruikt. Die oproep wordt herhaald door Marc Rogers van beveiligingsbedrijf Lookout. "De vingerafdruk en een viercijferige pincode is een combinatie die sterk genoeg is om de gebruiker tegen de meeste scenario's van fysieke diefstal tot phishingaanvallen te beschermen."
Rogers stelt dat als het goed geïmplementeerd zou worden, twee-factor authenticatie met Touch ID binnen bedrijven een goede bescherming tegen phishingaanvallen zou kunnen bieden. "Je kunt een gebruiker misleiden om zijn wachtwoord te geven, maar het is veel lastiger om de gebruiker zijn of haar vingerafdrukken van de andere kant van de wereld weg te laten geven."
Alleen gaat die gebruikers eerst zijn/haar telefoon unlocken door middel van de vingerafdruk en daarna het phishingmailtje of de SMS ontdekken. Niet andersom.
Zeg maar http://xkcd.com/538/ voor biometrie. Alleen dan in het echt.
Merk op dat ook als de lezers "verbeterd" worden dat ze niet werken met dode vingers, je nog steeds je vingers kwijt bent, wellicht onherroepelijk, aan criminelen die dat nog niet doorhadden. Doe mij dan maar een sleutel die ik (sidderend en bevend, maar heelhuids) af kan geven.
Persoonlijk heb ik geen PIN op de SIM -- het is een naamloze prepaid en als'ie weg is, is'ie weg. Het zou wel mooi zijn als ik mijn contacten en wat er verder nog zoal op staat kon versleutelen maar daar helpen vingerafdruklezers niet tegen. En er is geen enkele manier dat een grootbedrijf als apple dat in voldoende robuustheid gaat leveren.
Wat er op neerkomt dat de boel "verzekeren" met (vervolgens makkelijk omzeilbare!) afsluitmechanismen een leuk marketeeringideetje is waar je een hoop moeite voor moet doen maar waar je relatief weinig aan hebt. Als gebruiker danwel als beheerder van een bedrijfsvloot.
Een op-afstand-wissen functie heeft geen algemene afsluitmogelijkheden nodig, en de bestaande afsluitingen zijn al niet sterk genoeg om de tijd tussen moedwillig gejat (of inbeslagname door d'een of d'andere overheidshurk van om het even welke datasteeloverheid) en erachterkomen en opdrachtgeven tot dat wissen en onbruikbaarmaken te overbruggen. Met andere woorden, dit is honderd procent schijnzekerheid, en daarmee beveiligingskwakzalverij.
Een "expert" die zich druk maakt over welke vinger je moet gebruiken maar deze tuinvijverwalvis over het hoofd ziet kan ik dientengevolge ook niet erg serieus nemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.