Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Onderzoekers omzeilen vingerafdrukscanners met nagemaakte vingerafdrukken

donderdag 9 april 2020, 11:02 door Redactie, 11 reacties

Vingerafdrukscanners van smartphones, tablets en MacBooks zijn met nagemaakte vingerafdrukken te omzeilen, zo hebben onderzoekers van Cisco aangetoond. Gebruikers die gevoelige informatie op hun toestel hebben staan of denken het doelwit van een goed gefinancierde aanvaller te zijn krijgen dan ook het advies om in plaats van een vingerafdruk een sterk wachtwoord en tweefactorauthenticatie via een token te gebruiken.

Voor het onderzoek wilden de onderzoekers kijken of een doorsnee persoon met een 3d-printer en bijvoorbeeld een vingerafdruk op een glas een vingerafdruk kan namaken waarmee systemen zijn te ontgrendelen. Volgens de onderzoekers zorgen 3d-printers ervoor dat iedereen met de juiste middelen op grote schaal nepvingerafdrukken kan maken. De nagemaakte vingerafdrukken werden getest op smartphones, laptops, een slot en usb-sticks. Uiteindelijk haalden de onderzoekers een succesratio van tachtig procent, hoewel er grote verschillen in de geteste apparaten zijn.

Vingerafdrukauthenticatie is in twee stappen te verdelen. De eerste stap is het opslaan van de vingerafdruk, waarbij de scanner een afbeelding van de vingerafdruk genereert. De tweede stap is het analyseren en vergelijken van de gegenereerde afbeeldingen. Dit kan door de vingerafdrukscanner of het besturingssysteem worden gedaan. De onderzoekers merken op dat het algoritme dat de vingerafdrukken vergelijkt een bepaalde marge moet hanteren. Wanneer de vingerafdruk iets is veranderd, bijvoorbeeld door een sneetje in de vinger, moet de gebruiker nog steeds zijn toestel kunnen ontgrendelen. Zowel in de eerste als tweede stap zitten kwetsbaarheden, aldus de onderzoekers.

De geteste apparaten bleken drie soorten vingerafdrukscanners te gebruiken, capacitief, optisch en ultrasoon, die elk verschillend op gebruikte materialen en verzameltechnieken reageerden. Voor het verzamelen van de vingerafdrukken werd gebruik gemaakt van drie manieren: direct, waarbij het doelwit bijvoorbeeld dronken of bewusteloos is, via een vingerafdruksensor en als laatste een object, zoals een glas of foto van de vingerafdruk. Vervolgens werd er met verschillende materiaalsoorten een vingerafdruk nagemaakt.

De nepvingerafdrukken bleken goed te werken tegen de iPad, iPhone 8, Samsung S10, Samsung Note 9, Huawei P30 Lite, Honor 7X, een slot van Aicase en een Macbook Pro 2018. Het lukte de onderzoekers niet om de Windowslaptops en usb-sticks met de nepvingerafdrukken te ontgrendelen. De onderzoekers merken op dat fabrikanten er verstandig aan doen om het aantal inlogpogingen te beperken. Zo vraagt Apple na vijf mislukte pogingen om de pincode. Bij Samsung konden de onderzoekers vijftig keer proberen in te loggen en bij de Honor zelfs een onbeperkt aantal keer.

"Onze resultaten laten duidelijk zien dat vingerafdruktechnologie niet voldoende is geëvolueerd om voor alle voorgestelde dreigingsmodellen als veilig te worden beschouwd", aldus de onderzoekers. Voor "high-profile" gebruikers of mensen die gevoelige informatie op hun toestel hebben staan raden ze het gebruik van de vingerafdrukscanner af. In plaats daarvan wordt een sterk wachtwoord en token tweefactorauthenticatie aangeraden.

Image

Zoom-lek liet gebruikers in wachtkamer met meetings meekijken
Duits ministerie beperkt gebruik van Zoom wegens beveiligingsrisico's
Reacties (11)
Reageer met quote
09-04-2020, 11:18 door Anoniem
Het ontgrendelen van een iPhone door een fake-fingerprint is al een keer eerder door de Duitsers aangetoond. Dus de onderzoekers van Cisco kunnen het dus reproduceren. Enfin.

Verder, in de iPhone specs staat dat de fingerprint collision 1 op 50.000 is, dat betekent dat het ietsje veiliger is dan een 4-cijferige pin raden.
Reageer met quote
09-04-2020, 11:20 door Erik van Straten
Je kunt het aanvallers lastiger maken door een andere vinger dan je wijsvinger te gebruiken voor unlocken. Met name als het aantal pogingen dat gedaan kan worden, voordat de code moet worden ingevoerd, is dat zinvol.
Reageer met quote
09-04-2020, 12:52 door Anoniem
Dit soort technieken zijn al sinds de jaren negentig in gebruik om fingerprint te breken.
Fingerprint biometrie geeft een zeer laagwaardige bescherming. Sinds een eerste ervaring
hiermee rond 1996 kan ik alleen maar denken aan 'te kopiëren' vingerafdrukken als ik
iemand een glas, theekopje, bord, ... zie pakken.

Even later het mobieltje of stick lenen ... Sesam open u
Reageer met quote
09-04-2020, 13:36 door Anoniem
Door Erik van Straten: Je kunt het aanvallers lastiger maken door een andere vinger dan je wijsvinger te gebruiken voor unlocken. Met name als het aantal pogingen dat gedaan kan worden, voordat de code moet worden ingevoerd, is dat zinvol.
Daarom gebruik ik mijn grote teen
Reageer met quote
09-04-2020, 14:15 door -Peter-
Door Anoniem: Dit soort technieken zijn al sinds de jaren negentig in gebruik om fingerprint te breken.

En het is dus verontrustend dat er na zoveel jaar nog geen afdoende oplossing voor is.
Tenminste niet bij een deel van de leveranciers.
Het blijkt dat diverse andere fabrikanten dit soort aanvallen wel kan voorkomen.

Peter
Reageer met quote
09-04-2020, 14:35 door Erik van Straten
Sorry, in mijn bovenstaande bijdrage bedoelde ik natuurlijk "Met name als het aantal pogingen dat gedaan kan worden klein is, voordat de code moet worden ingevoerd, is dat zinvol."

Aan de Anoniemen van 11:18 en 12:52: bij het onderzoek werden ook vingerafdrukken afgenomen "direct, waarbij het doelwit bijvoorbeeld dronken of bewusteloos is" - gedrogeerd kan natuurlijk ook. Als het slachtoffer zijn.haar smartphone bij zich heeft, hoef je in die situaties natuurlijk geen vingerafdrukken te maken.
Reageer met quote
09-04-2020, 14:59 door Anoniem
Door Anoniem: Dit soort technieken zijn al sinds de jaren negentig in gebruik om fingerprint te breken.
Fingerprint biometrie geeft een zeer laagwaardige bescherming. Sinds een eerste ervaring
hiermee rond 1996 kan ik alleen maar denken aan 'te kopiëren' vingerafdrukken als ik
iemand een glas, theekopje, bord, ... zie pakken.

Even later het mobieltje of stick lenen ... Sesam open u

Ik ken een jongen die z'n iPhone ontgrendeld via TouchID met z'n leuter.

Alle biometrische authenticatie methodes bieden zeer laagwaardige bescherming. Bloed, iris scan, enz. Wachtwoorden en codes zijn altijd veiliger biometrische oplossingen.
Reageer met quote
09-04-2020, 15:43 door Anoniem
Merk op dat ze zeggen dat als ze maar goed blijven knutselen en de scanners verbeteren dat vingerafdrukken ooit wel overal veilig genoeg voor gaan zijn.

Dat denk ik toch net even niet.
Reageer met quote
09-04-2020, 21:24 door Anoniem
Door Anoniem:
Alle biometrische authenticatie methodes bieden zeer laagwaardige bescherming. Bloed, iris scan, enz. Wachtwoorden en codes zijn altijd veiliger biometrische oplossingen.

Dat is (excuse me saying so) onzin. Het gaat zoals met alles in security om de risico analyse. Dat iets theoretisch mogelijk is, wil nog niet zeggen dat de kans groot is dat het ook wordt toegepast. Voor de meeste gebruikers is een vingerafdruk echt een prima methode om te unlocken. Veel beter dan een pincode, want die kan je afkijken, of raden, of brute forcen. Het advies van Erik van Straten om een andere vinger dan je wijsvinger te gebruiken voor de registratie is een prima tip.
Op een iPhone kan je trouwens de unlock met vingerafdruk uitschakelen door 5x snel op de power knop te drukken. Handig als je bv. bij een douane post van een "vreemd" land naar binnen moet.
Reageer met quote
09-04-2020, 21:29 door Anoniem
Biometrie is totaal ongeschikt voor authenticatie, hooguit als 2FA.

Dat is iets wat ik wel zou willen, een pincode/wachtwoord en als 2FA die smoel van me.
Reageer met quote
06-10-2020, 15:54 door Anoniem
Door Anoniem:
Door Erik van Straten: Je kunt het aanvallers lastiger maken door een andere vinger dan je wijsvinger te gebruiken voor unlocken. Met name als het aantal pogingen dat gedaan kan worden, voordat de code moet worden ingevoerd, is dat zinvol.
Daarom gebruik ik mijn grote teen
what
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search

Welke messaging-app gebruik jij?

23 reacties
Aantal stemmen: 588
Advertentie

Image

Certified Secure LIVE Online

Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!

Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!

Neem contact met ons op voor de mogelijkheden voor jouw team.

Lees meer
Mag mijn werkgever vragen of ik Corona heb (gehad) of gevaccineerd ben?
13-01-2021 door Arnoud Engelfriet

Juridische vraag: Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij ...

19 reacties
Lees meer
Signal, WhatsApp, Telegram en Threema vergeleken
12-01-2021 door Anoniem

Leuke vergelijking tussen verschillende chat apps. Wel hoog WC-eend gehalte, maar ik wist niet dat Signal niet aan de AVG ...

1 reacties
Lees meer
SolarWinds: overzicht van een wereldwijde supply-chain-aanval
21-12-2020 door Redactie

Het risico van een supply-chain-aanval, waarbij aanvallers via software of systemen van een derde partij bij organisaties weten ...

15 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter