Vous n’êtes pas connecté à Internet.
SmartphoneSavoir-faire 7357

Empreintes digitales: un risque de sécurité

Pour déverrouiller un smartphone, le lecteur d'empreinte est la méthode la plus rapide, mais certainement pas la plus sûre. Et le scanner d'iris présente plus de danger encore. Jetons un coup d'œil aux propriétés sécurisantes de vos empreintes digitales, à l'espace juridique européen et voyons comment le V de la victoire peut mettre à mal votre sécurité.

Le lecteur d'empreinte digitale est désormais une méthode reconnue pour déverrouiller un smartphone. Les appareils non équipés d'un scanner de ce type sont, d'ailleurs, considérés comme démodés ou technologiquement désuets. Les experts en matière de sécurité de l'information ont cependant de sueurs froides lorsqu'ils se penchent sur l'évolution des données biométriques en tant que facteur d'authentification. Et «données biométriques en tant que facteur d'authentification» n'est en réalité qu'un concept que personne ne comprend. Explication!

  • Données biométriques: toutes les parties de votre corps qui peuvent d'une façon ou d'une autre, fournir des informations uniques à votre sujet. Il s'agit donc des empreintes digitales, de l'iris, des ondes cérébrales, des empreintes des orteils, de l'ADN, de la voix, etc.
  • Facteur d'authentification: une chose dont vous avez besoin pour accéder à un espace protégé ou un service protégé. Par exemple: une clé, un code PIN, un badge, un mot de passe, etc.

Le présent article traite essentiellement des données biométriques fournies par les empreintes digitales et un peu de l'iris. Car les arguments pour ou contre les empreintes digitales peuvent sans mal s'appliquer à l'iris.

L'insécurité majeure des empreintes digitales

Au cinéma ou à la télé, il semble facile d'imiter une empreinte digitale. Un peu de poussière et du ruban adhésif... parfois même de la cire ou de la poudre, et le tour est joué. Est-ce aussi simple dans la vie réelle?

Oui, il faut juste un peu de temps et un magasin de bricolage (ou l'offre de Galaxus). Le hacker Jan Krissler alias Starbug du Chaos Computer Club est un expert en matière de trucage d'empreinte digitale. Dans une vidéo, il explique comment contourner le capteur biométrique de l'iPhone de manière très simple.

Le souci ne résulte pas seulement de la simplicité relative de l'opération de contournement, mais aussi de l'analyse des menaces. Par expérience, nous savons qu'un grand nombre de sociétés et d'utilisateurs négligent une telle analyse. Souvent, des affaires comme "le hacker russe" ou "le piratage informatique par l'état chinois" sont alors citées, de manière irréfléchie et sans penser plus loin. Au quotidien, on entend des réflexions du genre «Mais, je n'ai rien à cacher» ou «Qui pourrait bien s'intéresser à mes photos?», une nouvelle fois sans une once d'arrière-pensée ou de logique à propos des conséquences néfastes si cela devait se produire.

En général, une analyse des menaces apporte une réponse bien connue aux questions «Qu'arrive-t-il lorsqu'une précaution de sécurité échoue?» Et que va-t-il se passer si votre empreinte digitale est falsifiée? Vite suivies par d'autres questions comme «Que se passe-t-il lorsque toutes les images/photos stockées sur mon iCloud ou Google Drive deviennent accessibles à tous?» Allez-vous honnêtement prétendre que cela ne serait pas embarrassant? Une collègue a récemment évoqué des photos d'elle en tenue d'Ève, publiées sur Google Drive. Certes, les photos étaient destinées à son copain, mais Google a gentiment pris l'initiative de les copier sur son Drive, via Photos App.

N'importe qui peut accéder à ses selfies nue, grâce à l'empreinte digitale utilisée pour le mobile. Est-ce là sa volonté? «Bien sûr que non!», répond-elle. Voilà, l'utilité de l'analyse des menaces. «Enfin, la publication de mes photos en sous-vêtements ne me gênerait pas autant. Car elles sont joliment cadrées et réussies. Par contre, celles que j'ai prises pour mon projet de régime seraient embarrassantes» ajoute-t-elle.

Le problème gênant de la nudité de ma collègue est pourtant facile à résoudre.

Bien, maintenant que nous avons pris conscience qu'il est possible de falsifier une empreinte digitale avec de la colle à bois et que certaines personnes mal intentionnées peuvent accéder ainsi à des données personnelles, passons à l'étape suivante.

Vous possédez un nombre limité de doigts

Un mot de passe est un concept dynamique. Cela signifie qu'il peut être changé à volonté. Que ce soit 123456, yA3XKdpa ou CorrectBatteryStapleHorse peu importe. L'essentiel étant que vous pouvez changer votre mot de passe, aussi souvent que vous le voulez. Vous pouvez opter pour une autre stratégie en modifiant la longueur, les chiffres et les caractères de ponctuation. Et le tout en quelques secondes!

Original de Randall Monroe/xkcd

Il en va tout autrement pour vos empreintes. Vous avez dix doigts et donc dix empreintes que vous garderez toute votre vie. Normalement, impossible de les modifier. Par conséquent, si une de vos empreintes digitales devait être volée, vous ne serez plus jamais sûr de rien. Si un pirate s'efforce de vous piquer toutes vos empreintes digitales, vous pouvez d'emblée, faire une croix sur cette méthode d'authentification.

Si, toutefois vous persistez à vouloir recourir au capteur d'empreinte, il vous reste toujours des solutions insolites. Vous avez encore dix orteils, que vous pourriez scanner. Deux yeux pour le scanner d'iris. Et si on veut être un peu moins sérieux: ces messieurs ont une possibilité supplémentaire. Mesdames, vous êtes malheureusement désavantagées.

Eh oui, cela fonctionne vraiment

Cette plaisanterie est devenue un sujet de recherche et les utilisateurs de Reddit ont testé d'autres parties du corps.

  • Le petit orteil fonctionne parfaitement
  • Le coude n'a pas pu être enregistré. Cela fonctionnait bien au départ, mais le capteur n'a plus voulu participer ensuite
  • La langue ne fonctionne pas, qu'elle soit mouillée ou non
  • Le testicule gauche a beau être enregistré, le déverrouillage pose problème
  • Les mamelons fonctionnent, même si seul l'un des deux a été enregistré

Encore pire: un hacker n'a même plus besoin de votre téléphone

Dans la vidéo précédente, le pirate a besoin de votre téléphone. Qu'il vous le dérobe ou qu'il l'emprunte seulement un court instant, cela n'a pas d'importance. Le hacker Starbug a mis en évidence un nouveau genre de piratage: il peut copier vos empreintes digitales à partir d'une photo avec une résolution convenable et les reproduire au moyen de la technique présentée ci-dessus.

C'était il y a deux ans. Récemment, le Japan Times a révélé que cette nouvelle éventualité choquante était tout à fait possible. Des chercheurs du National Institute of Informatics (NII) japonais y sont parvenus dans des conditions de laboratoire. C'est possible jusqu'à une distance d'environ trois mètres. En comparaison : Starbug a récupéré sur internet une photo de la ministre de la Défense allemande Ursula von der Leyen et il a acheté le nécessaire dans un magasin de bricolage. Ses recherches démontrent qu'il peut lire des empreintes digitales utilisables pour l'authentification à une distance de sept mètres maximum.

Mais, en fait, l'article du Japan Times ne porte pas réellement sur les photos, qui conduisent aux empreintes digitales. Il semblerait que cette phrase soit la plus importante:

But NII says it has developed a transparent film containing titanium oxide that can be attached to fingers to hide their prints, the reports said.

Dans son rapport, le NII indique avoir développé une pellicule transparente qui contient de l'oxyde de titane. Elle peut être fixée sur les doigts pour couvrir les empreintes digitales

Apparemment, le risque, d'être pris en photo avec un appareil HD et ainsi de se faire voler ses empreintes, est tel que l'on commence déjà à chercher et à trouver des contre-mesures.

La législation en Suisse

Juste pour info... on peut être contraint de déverrouiller son smartphone par reconnaissance digitale, mais on ne peut pas être contraint de donner son mot de passe. Puisqu'on parle de sécurité ;)

Ce commentaire a été laissé par l'utilisateur bluefisch200 sur mon article concernant le sujet Speed-Tuning pour Android. Quand je lui ai demandé sa source, bluefisch200 m'a envoyé un lien vers un article du magazine en ligne Mashable, au sujet d'un juge américain, qui a statué en premier sur la classification et la différenciation légale des empreintes digitales:

  • Les mots de passe, codes PIN et modèles sont considérés comme un savoir et sont donc protégés par le 5e amendement de la Constitution des États-Unis.
  • Les empreintes digitales sont des éléments de preuve, comme l'ADN ou une clé matérielle, et vous pouvez donc être contraints à les donner.

Bluefisch200 en conclut que cela vaut aussi pour la Suisse.

«Ce n'est pas le cas», affirme Martin Steiger. Il est avocat, avec son cabinet de Zurich, spécialisé en droit des nouvelles technologies. Le précédent juridique américain est intéressant, mais il ne concerne pas directement l'espace judiciaire suisse et ne peut donc pas être appliqué tel quel dans notre pays.

La police suisse ne peut pas forcer à débloquer son portable. Image : Kapo ZH / Facebook

Au contraire : «Personne ne peut être contraint à déverrouiller son téléphone, que ce soit par mot de passe ou par empreinte digitale», déclare Steiger. Même un mandat de perquisition approprié peut théoriquement être contesté, bien que Steiger n'ait pas connaissance d'un cas de ce genre en Suisse. Il estime toutefois que les autorités judiciaires suisses se sont déjà intéressées à la question. Même si la police peut accéder au contenu d'un téléphone déverrouillé «de plein gré», cela ne veut pas dire que les preuves seront recevables devant un tribunal.

Il en va de même pour le relevé d'empreintes digitales: la police a le droit de relever vos empreintes digitales, mais vous pouvez refuser. Si besoin est, le ministère public peut ensuite prendre des mesures coercitives pour vous y contraindre. Cependant, selon Steiger, les empreintes relevées par la police ne peuvent pas être utilisées pour déverrouiller un téléphone. La méthode de Starbug échoue donc à ce stade. «Mais: l'État de droit suisse adopte souvent la position ‹La fin justifie les moyens›. Je ne serais donc pas surpris qu'une prise d'empreinte utilisée pour un déverrouillage soit déclarée admissible devant le tribunal», dit Steiger.

L'avocat affirme tout de même: «Souvent, les policiers demandent à l'accusé(e) dès le premier contact ses mots de passe et codes PIN. Ou qu'il ou elle déverrouille son portable par reconnaissance digitale.» Il ne faut pas répondre à ces questions. En cas de doute, les accusés doivent au moins provisoirement refuser de les donner et de déverrouiller leur téléphone. Ils n'ont pas besoin de se justifier, car dans un État de droit, le principe qui prime est: «Nul n'est tenu de s'accuser lui-même».

Ces articles pourraient aussi vous intéresser

User
Journaliste. Auteur. Pirate. Mes thèmes se tournent souvent autour d'Android ou d'Apple iOS. J'attache aussi beaucoup d'importance à la sécurité informatique, car la sécurité des données n'est, de nos jours, plus un détail insignifiant, mais bien une stratégie de survie.

Commentaires 73

User Shiga

1-Faktor Authentisierungen sind und bleiben unsicher, besser 2-3 Faktor Authentisierungen.

27.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Anonymous

Zum Handy entsperren eine besätigungs SMS versenden, ah ne moment.

30.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User alvincita

This article is just adding fear to 99% of the readers who won't be targeted by someone with the amount of equipment like shown in he first video to hack their phone.
Maybe if you are a Russian drug lord with millions and a lot of ilegal stuff you might want to take extra precautions of what you store and make accesible from your phone.

For the rest of the world a fingerprint on the iPhone is really safe.

For the rest of your digital world use complex pass and 2FA.

08.02.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User alvincita

Something went wrong with the above comment and is strangely translated. I will paste it from another user, but it would be cool to be able to edit your own comments.

08.02.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User alvincita

This article is just adding fear to 99% of the readers who won't be targeted by someone with the amount of equipment like shown in he first video to hack their phone.
Maybe if you are a Russian drug lord with millions and a lot of ilegal stuff you might want to take extra precautions of what you store and make accesible from your phone.

For the rest of the world a fingerprint on the iPhone is really safe.

For the rest of your digital world use complex pass and 2FA.

08.02.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User XXXXXX

Übrigends Finger können auch abgehackt werden. Dein Gehirn zu entnehmen führt wahrscheinlich zur Löschung aller Daten? Wobei der Fortschritt bei der Gehirnwellen auslesung in den Letzten Jahren auch beachtliche Erfolge erziehlte^^

27.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User SRR24x7

Genau, jetzt kommen die neusten Fahrzeuge mit Internetzugriff (tip: "jeep hack" im Netz suchen) und in ein paar Jahren kommen dann die Chips fürs Hirn. So direkt mit Internetzugriff und Recordern, damit der Staat jederzeit überprüfen kann was du die letzten sechs Monate gemacht hast. :D

29.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Anonymous

Hey, so unrealistisch ist das gar nicht: aktuelle Herzschrittmacher haben alle einen WLAN-Zugang. Und da der ganze Schrittmacher von den Behörden zertifiziert und freigegenben werden muss, kann man nicht einfach Sicherheitspatches einspielen. Neu-Zertifizierungen dauern ewig und kosten ne Menge Geld...

26.02.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User retofischer

Wir sollten aber dennoch das Szenario "Gezielter Angriff" von dem sehr viel wahrscheinlicheren Szenario "Gerät verloren" unterscheiden. Und als Sicherheit, dass bei letzterem nicht jeder an seine Daten kommt ist der Fingerabdruck Scanner der Geräte durchaus eine geeignete Massnahme.

28.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User jeevanandk

Blöd nur befinden sich diese genau auf dem verlorenen Gerät, während ein Passwort nicht beiliegen sollte. Wer einen da bestiehlt weiss man auch nicht.

30.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User Drachenherz

Dominik, danke für den interessanten Artikel. Jetzt kann ich ja endlich damit aufhören, mein iPhone in der Öffentlichkeit mit meinem Penis zu entsperren - eine Erleichterung. :-D :-D (Was hab ich bei dem Abschnitt gelacht :'-) )

28.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User BlackHeart

Frage: Musstest du die Hoden jeweils auch randrücken? :-)

29.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User kochasiech

Wie stehts mit "Windows Hello?" Auch eine schlechte Idee?

27.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Dominik Bärlocher

Bei der Gesichtserkennung stellen sich die selben Fragen, wie bei jedem anderen Biometrie-Faktor auch:

* Wie viele Gesichter hast du?
* Wie einfach kannst du dein Gesicht wechseln?

Softwareseitig kann viel erreicht und verschlüsselt und so werden, aber wenn der verschlüsselte Faktor unsicher ist, dann nutzt das alles wenig. Ein Beispiel. Wenn du als Passwort einfach den Buchstaben "a" nimmst, dann kannst du den noch so gut verschlüsseln, geknackt wird das Ding mit relativer Leichtigkeit.

27.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User shoffmeister

Die Anzahl der Instanzen des Faktors ("wie viele Gesichter") ist irrelevant. Die entscheidende Frage ist, wie gut die Kontrolle über den Faktor ist.

Ich zeige das Abbild meines Gesichtes jeden Tag in der Öffentlichkeit, ich fasse alles mögliche an - mithin verliere ich unmittelbar und sofort die Kontrolle über wesentliche Aspekte des Faktors und hänge davon ab, dass der Schutzgeber (Biometrie-Sensor) sinnvoll funktioniert.

28.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User shoffmeister

Gesicht wechseln? Wozu? Dann auch Gehirn wechseln bei Passwort-Wechsel?

Die Staatsparanoia im Artikel ist sinnfrei - es wird genügend Akteure geben, welche bei hinreichender Motivation den (Schutz)Faktor extrahieren können, ob man will oder nicht. Ob das mit etwaigen *Grundrechten* vereinbar ist, ist davon komplett losgelöst. Ein mit Grundrechten kompatibler Faktor kann einfach auch nur der Buchstabe "a" als Kennwort sein. Grundrechte haben aber nichts mit technischem Schutz zu tun.

28.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User BlackHeart

Ok, ok aber Gesichtzüge nachzubauen und ein Auge 1:1 nachzubauen ist ja wohl etwas schwieriger als ei Fingerabdruck vom selbigen Smartphone zu fälschen...

28.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User shoffmeister

Wozu _nachbauen_? Dumme Sensoren verwenden nur ein plattes Bild im sichtbaren Spektrum.

Vernünftige Sensoren validieren mehr - Wärme (im für Menschen nicht sichtbaren Spektrum), Pulsschlag (mit Dynamik über Zeit), Tiefeninformation (quasi 3D via z.B. time-of-flight), elektrischer Widerstand (ist das Haut oder Plastik?) ...

Billiger wird es so nicht, höchstens zuverlässiger.

Und nun versuchen wir bei feuchtem Zürcher Hochnebel und Sackkälte mit dem linken Daumen die Haustür aufzusperren...

28.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User winters3

Sehr für Artikel, der vielen die Augen öffnen sollte.

27.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User matrixo

So ein Mist... als ob dass jeder könnte. Und die vielen Geräte hat msn ja immer dabei 😝

28.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User ursdaniel

Der aufwand so einen fingerabdruck kopie zu machen ist so gross,das können die meisten gar nicht,auch mit dem video.
Und was ist an einem handy intressand wenn ich es verliere oder es wegkommt,sperre i h es eh so schnell wie möglich,und wichtige daten habe ich auf dem handy nicht also easy nehmen.oder gibt es leute die so vor angst dirchs leben gehen

30.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User winters3

versuch doch über euren Teller hinaus zu denken..um euer Konto leerzuräumen, oder eure Identität anzumnehmen sind viele sehr einfallsreich.Nur weil ihr nichts zu schützen habt, respektive denkt zu haben, ist eure Haltung fahrlässig und etwas anhnungslos...

30.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User prim-o-o-sqw

Und warum genau sollten Iris-Scanner noch schlimmer sein? Fakten bitte.

27.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User BlackHeart

Iris Scanner sind bestimmt nicht unsicherer als Fingerabdrücke, welche übrigens genau auf dem Gerät zu finden sind welches geknackt werden soll..

28.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User SRR24x7

Nicht schlimmer, sondern hat schlicht die gleichen Probleme.
Theoretisch noch schlechter, da man nur zwei Iriden hat aber praktisch vorteilhaft, da die Augen in der Regel keine Gegenstände berühren und quasi Kopien hinterlassen.
(Deinen Fingerabdruck kann ich an praktisch jedem Gegenstand den du in der Hand hattest sichern.)

28.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User BlackHeart

Eben, sage ich ja... Kopiere Mal Gesichtszüge und Auge. Wesentlich schwieriger als Fingerabdrücke. Auch wenn man alles knacken kann wen man möchte, der Iriscan ist m.M. deutlich sicherer.

29.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User SRR24x7

Von "wesentlich schwieriger" und "deutlich sicherer" würde ich keines falls sprechen.
Das ganze Thema um biometrische Daten galt mal als revolutionär, so einmalige Merkmale direkt am Körper., mit denen man einen Menschen sofort und eindeutig identifizieren kann.
Irgendwann hat man dann aber gemerkt, dass das eben doch nicht so das gelbe vom Ei ist und sich teilweise extrem leicht knacken lässt.

29.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User SRR24x7

Seit wenigen Jahren sind wir jetzt am Punkt angekommen, dass jeder mit einfachsten Mitteln Fingerabdrücke kopieren kann. Gute Kamera, schnell etwas basteln und los gehts.
Dennoch verwenden Kriminologen diese weiterhin jeden Tag. Ich warte nur noch darauf, bis jemand irgendwann "eindeutig" einem Verbrechen überführt wird, obwohl er ein wasserdichtes Alibi hat, dank gefälschten Fingerabdrücken möglich.
Und es ist nur eine Frage der Zeit bis gleiches mit der Iris passieren wird.

29.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User jörgkaufma

Gut zu wissen und wichtig, dass das Problem diskutiert wird. Mein Prinzip: Auf mobile Geräte, welche ich ausser Haus nehme kommen keine heikle Daten. Auch über Email, WhatsApp, etc. werden keine heikle Daten übertragen. Sie bleiben separiert, sind wo nötig extra gesichert, auch wenn es unbequem ist.

28.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User SRR24x7

Och Email ist kein Problem, einfach S/MIME oder PGP verwenden, dann geht das schon.
WhatsApp ist natürlich keine gute Idee aber es gibt bessere Alternativen. Die wohl naheliegenste ist Signal (da praktisch identisch, WhatsApp benutzt immerhin das Signal Protokoll, auch wenn das viele nicht wissen) aber das geht bis zu XMPP basierten System runter, gibt viel Auswahl.
Mobile Geräte einfach mit einem anständigen Passwort schützen. (Und kein Muster oder Pin!) :)

28.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User Anonymous

Sind neuere iPhones auch noch so einfach knackbar? Die letzten Berichte findet man von iPhone 6.

iPhone 6s und iPhone 7 haben ja TouchID Generation 2... dazu finde ich bisher keine Infos.

27.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User BlackHeart

Regel Nr. 1: Hände Weg von Apple.

29.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Spl4tt

TouchID Gen2 ist genau auch ein optischer Sensor, daher wohl genau gleich einfach zu knacken. Schwieriger zu knacken wirds erst bei kapazitiven Sensoren und erst recht bei Ultraschall Sensoren (Welche hoffentlich bald standard sind)

30.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User beginner99

Einfach ist relativ. Das ganze Video ist wie im CSI wo Analysen die in Realität Tage und Wochen dauern in 5 sek. erledigt sind. Durchaus möglich das die wochenlang geprobt haben, um diese Technik zu optimieren. Das Risiko hier ist eher klein, da jemand es gezielt auf mich abgesehen haben muss.

28.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User beginner99

...und wenn man im Visier von Hackern ist, dann dürfte der Fingersprint-Scanner das kleinste Problem sein. Viel schlimmer sind Software oder hardware Sicherheitslücken, wo man ungezielt die Masse angreifen kann. Da kann es jeden Treffen. Also für die Breite Masse sehe ich kein Problem, als Promi/Politiker usw. würde ich aber mehr Vorsicht walten lassen.

28.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User shoffmeister

Bester Schutz: Angriffsfläche minimieren, unter dem Radar bleiben, den Anreiz für targetted und splatter Angriffe minimieren.

Wenn das, warum auch immer, nicht mehr geht (Reiche, Politiker, Straftäter, Terroristen), dann wird es ... teuer, aufwendig, mühsam.

28.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User SRR24x7

Ja du gehst in der Masse unter.
Gut nur, dass der neben dir auch so denkt. Und der direkt eins weiter auch noch.
Somit spielt es keine Rolle wen ich mir als Ziel auswähle, weil alle sich sagen "mich trifft es eh nicht". Und am Ende erwischt es dann eben doch dich. Tja Pech gehabt. :P
Dank Leuten wie dir geht den Kriminellen wenigstens nie die Arbeit aus. Sonst wäre die auch noch arbeitlos, echt schlimm das. :D

29.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User beginner99

Kriminelle Hacker, die einfach Geld machen wollen, gehen auf die Masse oder vielleicht in sehr selten Fällen auf einen "high-roller". Letzteres bin ich nicht und bin sicherer unterwegs als die Masse. Ist Ihnen klar wieviele Leute gar keine Sicherheit auf dem Smartphone haben und wieviele nur ein Muster? Selbst der Pin ist nicht toll, da man den auch sehen kann durch mehr Dreck auf dem Display an den bestimmten stellen. Fingerprint sensor ist da def. besser.

30.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User beginner99

Einen wird es Treffen, aber ist wie beim Autofahren. Man kann beeinflussen, wie gross das Risiko ist, getroffen zu werden. Ein Restrisiko bleibt aber immer ausser man verzichtet aufs Internet oder Auto.

30.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User CGiBiNx64

*Thumbs up*
Guter Artikel, vielen Dank! Hier könnte sich manche Seite ein riesen Stück abschneiden davon :)
So über alles möchte ich evt. nur noch anfügen, das Passwort Bild mit "AlphaWaschmaschineRoomZero" sollte mit etwas Vorsicht angeschaut und weiteres darüber recherchiert werden.

28.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User Anonymous

Gleich neben dem Link zu diesem Artikel macht Digitec Werbung für Chrome OS und im Sortiment sind lauter Smartphones mit Fingerabdruck-Scanner. Auch finde ich gewisse Absätze in diesem Artikel für einen Onlineshop unpassend, zumal ich selber von Digitec für einen Kommentar verwarnt wurde.

29.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User bkeleanor

"In einem Video demonstriert er, wie er mit einfachsten Mitteln...." Dude! echt jetzt. Ich habe nicht eines der Geräte die er benutzt um den Dummy herzustellen. Ausserdem bezweifle ich, dass man vom Gerät einen so schönen Fingerabdruck bekommt wie im Video dargestellt.

30.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User shoffmeister

Dass Bioemetrie schwierig ist, weiss man seit Spione Augäpfel auf Kugelschreiber in Iris-Scanner halten -
schneier.com/blog/archives/...

Was aber hat das zu tun mit Akteuren (z.B. Staatsgewalt), welche die Herausgabe von Informationen erzwingen wollen?

28.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User begg2k10

Ist meines Erachtens eher theoretisch orientiert und in der Praxis kaum anwendbar. Hacker habens auf die Masse abgesehen und nicht auf Einzelfälle - also ist dieses Szenario eher weniger massentauglich (Aufwand zu gross).

28.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User user137

Anhand des Artikels scheint ein Pattern oder ein PIN mehr sicher zu sein - blöd ist nur, das diese 2 kann man eventuell mitschauen, als sie eingetippt werden.... Fingerprint ist nicht ganz so einfach. Vielleicht mal weniger CSI schauen ;-) eventuell wichtige daten mit zusätzlichen Passwort sichern.

28.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User jeevanandk

Aber man kann ihn jederzeit und unlimitiert abändern. Den Fingerabdruck findet man überall auch am Gerät selbst.

30.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User FIFAADG

....können schon, wird aber praktisch kaum gemacht. Die meisten Leute haben 2-3 unkomplizierte Passwörter (auf alle benutzte Dienste). Diese sind viel weniger sicher als einen Fingerabdruck.

30.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User Mr.Shin-Chan

Nun wer D*ckpics von mir sehen will, nur zu. Aber mal ganz ehrlich, hätte ich solche schlimmen sensiblen Daten, würde ich schauen, dass ich die Daten unwiederherstellbar vernichten würde und das ohne am Speichermedium zu sein. Als Staatsfeind hätte ich auch kein FB oder Google/Apple-Konto...

28.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User SRR24x7

Für mich nichts neues, da kommt ihr schon zwei Jahre zu spät, ich habe die Präsentation auf der 31C3 damals live gesehen. (33C3 letzten Monat war auch wieder interessant.) Aber trotzdem schön, dass Digitec das Thema mal noch etwas bekannter macht. Ich empfehle einen Passwortmanager zu benutzen. ;)

28.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User BlackHeart

Es wäre schön wenn der Verfasser Stellung zu seiner Einleitung nehmen würde. Ich möchte Fakten sehen und hören warum der Iris-Scan (HP Elite x3, Lumia 950, Windows Hello) mit Augen und Gesichtzugerkennung "noch schlimmer" sein soll als Fingerabdruckscanner. Fakten her!

29.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User BlackHeart

Wie hier bereits desöfteren erwähnt: Einen Fingerabdruck zu fälschen geht einfach. Auge und Gesichtszüge in 3D nachzubauen dürfte wohl echt niemand machen wollen und können. Oder warum soll der Irisscan schlimmer sein? Weil wir zwei Augen und zehn Finger haben? Bullshit

29.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Dominik Bärlocher

Hey Blackheart und Co

Ich bin damit einverstanden, dass die Iris wesentlich komplexer zu fälschen ist als ein Fingerabdruck. Genau wie ich damit einverstanden bin, dass ein 10 Zeichen langes Passwort mit Zahlen und Sonderzeichen schwerer zu knacken ist als ein 8 Zeichen langes. Das Problem hast du selbst schon erkannt: Du gehst schon gar nicht davon aus, dass die Iris unfälschbar ist.

Das führt zu einer Reihe Problemen:

* Wenn jemand zu einer deiner Augen Zugang hat, hat er in der Regel Zugang zu beiden
* Auf Fotos ist in der Regel auch immer mehr als ein Auge
* Die der Biometrie inhärenten Probleme bestehen weiter
* Augen sind noch schwieriger auszutauschen als die Fingerabdrücke
* Du hast zwei Augen, aber zehn Finger

Was ich in den Kommentaren hier rauslese, ist dass viele Sicherheit von der Komplexität des Authentisierungsfaktors abhängig machen. Dem ist aber nur so lange so, wie er nicht geknackt wird. Sobald das der Fall ist, dann ist die Komplexität zweitrangig und die Änderung des Faktors hat oberste Priorität. Körperteile zu ändern, ist wesentlich schwieriger als von tM6PtKVjUe zu sCAd55LTQC zu wechseln.

30.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User lukasgabi6

Das ist doch aber nur ein Problem wenn biometrische Authentisierung die einzige möglichkeit ist, oder verstehe ich das falsch?

Und dass Passwörter sicherer sind ist ja eigentlich ein altes Thema, das Problem ist ja immer ein abwägen von Sicherheit vs Convenience. Fingerprint sensoren haben wahrscheinlich unter dem Strich im Schnitt alle Smartphones und PCs sicherer gemacht, wenn man bedenkt dass viele zuvor gar keine Sperre am Gerät hatten.

31.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User schrottbox83

Danke für diesen Bericht.
Anmerkung: Wir alle geben brav unsere Fingerabdrücke im Pass, oder bei der nächsten Einreise in gewisse Länder ab (Datenbanken). Wenn dann in Zukunft Kreditkarte, Bankkonto, Wohnung, Auto, Handy, PC, etc per Finger frei wird, viel Spass. Hoffen wir die IT ist nicht vom VBS.

05.02.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User 01andiplayz

Titel wenn ich einen Artikel verfassen würde:

"Warum mir diese ganzen Sicherheitsrisiken egal sind"

30.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User Chreguva

Ich will, dass keiner mit meinem Handy telefoniert wenn es gestohlen wird. Mehr Sicherheit brauche ich wirklich nicht.

27.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Darkflame_11

^hat nicht verstanden.

28.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User GrafChromato

^hat den Spass am Exhibitionismus noch nicht entdeckt... :-D

28.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.


Veuillez vous connecter.

Vous devez être connecté pour écrire un commentaire.

Corporate logo