Face ID nun mit allen Sicherheitsfunktionen überlistet

Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.964
faceid.jpg
Bereits kurz nach Erscheinen des iPhone X konnten Sicherheitsforscher aus Vietnam die Face-ID-Sensorik mit einer Maske überlisten. Dazu war allerdings eine 3D-Druck-Maske notwendig, die etwa 150 US-Dollar in der Herstellung kostet. Touch ID konnte deutlich einfacher überlistet werden und auch für den Iris-Scanner des Samsung Galaxy S8
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Naja.. naja.. Face ID wurde direkt von Anfang an mit der Maske eingerichtet und dann mehrfach angelernt.
 
Ja, aber das ist doch die gleiche Geschichte mit den 2 Brüdern. Da hat der andere Bruder das iPhone zig Male mit dem korrekten Pin entsperrt und die FaceID hat ihn dann irgendwann akzeptiert/angelernt.

Für mich aber vollkommen realitätsfern, weil wenn jemand schon die Möglichkeit hat mit meinem Passwort immer wieder korrekt zu entsperren, da spielt es auch keine Rolle mehr, ob FaceID, TouchID, Iris Scan oder was auch immer verbaut ist...
 
Das ist hier aber nicht der Fall. Face ID wurde neu eingerichtet und dann direkt damit entsperrt. Der Anlern-Prozess hat nicht stattgefunden.
 
Viel zu viel Aufwand. Das ist nur lächerlich. Wenn ich das Handy von deiner Person entsperrt haben möchte, verlange ich unter Gewaltandrohung das Passwort. So einfach ist das.
 
Das ist hier aber nicht der Fall. Face ID wurde neu eingerichtet und dann direkt damit entsperrt. Der Anlern-Prozess hat nicht stattgefunden.

„Neu eingerichtet“ steht für mich für größere Toleranzen. Wenn das System beim ersten Einrichten - bewusst ohne Brille - beim ersten Versuch mit Brille sofort funktioniert, scheint da noch ein größerer Spielraum vorhanden zu sein.
Später gab es dann neue Situationen, wo es nicht gleich funktioniert hat, werden die dann per PIN bestätigt, lernt das System dazu und die Entsperrung funktioniert auch da.
 
Aber das ist doch total unhöflich, und illegal
Auch wenn du das sarkastisch meintest - das ist definitiv ein Argument. Jedenfalls wenn man vor dem ausgeht was die Aluhutträger immer befürchtet - dass eine Regierung an seine Daten will :d

Für den Normalo dem das Handy aus der Tasche geklaut wird, ist das ganze natürlich reichlich irrelevant...
Der Dieb mag zwar gewaltbereit sein, aber was würde er überhaupt mit den Daten machen? Paypal ist so ziemlich der einzige Dienst der direkt verwendbar wäre, wenn man sein Passwort eingespeichert hat. PP ist aber sehr kulant wenn es um Diebstahl geht.
Shops wie Amazon verlangen in aller Regel eine erneute Authentifizierung wenn man an eine neue Addresse verschicken will.


Das mit dem Anlernprozess ist auch ein Punkt. Wenn sich der Algorithmus auf die Person eingestellt hat, könnte es schwieriger werden.
 
Zuletzt bearbeitet:
Personen, die sensible Daten auf ihrem iPhone X umhertragen, sollten anstatt auf Touch ID, Face ID oder andere Entsperrungsmechanismen auf Basis von Biometrie lieber ein möglichst komplexes Passwort verwendet.
Na eben. Das war ja klar.

Wenn ich das Handy von deiner Person entsperrt haben möchte, verlange ich unter Gewaltandrohung das Passwort. So einfach ist das.
Und sobald Du hast, was Du brauchst, bringst Du die Person um, damit Deine Straftat vertuscht ist. So einfach ist das. Das Passwort zu sagen, wäre das dümmste, was jemand überhaupt tun kann.
Wenn jemand tatsächlich unbedingt da ran möchte, wird er einen solange am Leben lassen, wie er das Passwort nicht kennt, weil er da sonst nie mehr ran kommt.
 
An einem gewissen Punkt handelt der Täter aber noch irrationaler und schwenkt um...


Besser wäre also ein System wo man ein Passwort für Diebe setzen kann zum verraten, wo nur Sachen zu sehen sind die einem nicht stören und alles was verändert wird nur bis zum ausschalten des Displays bleibt

freundliche Grüße :)
 
Besser wäre also ein System wo man ein Passwort für Diebe setzen kann zum verraten, wo nur Sachen zu sehen sind die einem nicht stören und alles was verändert wird nur bis zum ausschalten des Displays bleibt
Hört sich nach einem tatsächlich sehr sinnvollen Ansatz an!

Edit: Allerdings würde ich das nicht nach dem ausschalten des Displays löschen, sondern auch dort Änderungen in einem anderen Zweig speichern, der danach wieder zurückgesetzt werden kann. Sonst kann der Täter wieder reinschauen und weiß, dass er das Fake-Passwort hatte.
 
Zuletzt bearbeitet:
Äh, Leute, was genau soll ein Dieb/Angreifer mit euren Handydaten anfangen?
Der ist höchstens daran interessiert das Gerät sofort auf Werkseinstellungen zurück zu setzen, um es wertvoller verkaufen zu können.
 
Äh, Leute, was genau soll ein Dieb/Angreifer mit euren Handydaten anfangen?

Du arbeitest wohl nicht? Dann ist Dir wohl nicht klar, was passieren kann, wenn man NDA-Daten leaked, indem das Handy oder Laptop gestohlen wird. Teilweise machst Du mir ja einen recht vernünftigen Eindruck, aber gerade was die Privatsphäre betrifft, habe ich wirklich das Gefühl, Du würdest hinter dem Mond leben...

- - - Updated - - -

Übrigens hat endlich auch die Bundesregierung wenigstens ein Problem erkannt: Bund will Windows 10 über Bundesclient sicher nutzen können
Allerdings ist es natürlich nur ein frommer Wunsch, durch den "Bundesclient" Windows sicher nutzen zu können und das Programm wird sicherlich nicht billig. Schließlich wird in den Rechnern weiterhin das Backdoor der Intel Management Engine laufen und unsere bürgerlichen Daten mitteilen können. Zudem wird es nur in der öffentlichen Verwaltung eingesetzt - Richtlinien für Krankenkassen, Krankenhäuser usw. fehlen weiterhin!
Andere haben die einzig logische Konsequenz aus den ganzen Datenschutzskandalen gezogen, die vor allem amerikanische Firmen zu verantworten haben:
Schleswig-Holstein läutet Abschied von Microsoft ein

Edit:
Die schleswig-holsteinische Landesdatenschutzbeauftragte Marit Hansen wies gegenüber heise online darauf hin, dass die Basis der Informationsgesellschaft "zurzeit auf einem unsicheren Fundament basiert – mit Sicherheitslücken, versteckten Hintertüren und eingebauten Überwachungs- und Tracking-Möglichkeiten."
Ich kann nur jedem Mann, der sich als Sicherheitsexperte wähnt, und in der IT-Branche auf Microsoft-Produkte setzt, empfehlen, sich mal ein Beispiel an dieser offensichtlich sehr gebildeten Frau zu nehmen! Die Zukunft kann meiner Meinung nach nur OpenSource als Fundament sein, damit die in den Rechten eingeschränkten Programme darauf sicher laufen können und so wird man auch Closed-Source-Programme auf Benutzerebene sicher betreiben können.
 
Zuletzt bearbeitet:
Andere haben die einzig logische Konsequenz aus den ganzen Datenschutzskandalen gezogen, die vor allem amerikanische Firmen zu verantworten haben:
Schleswig-Holstein läutet Abschied von Microsoft ein

Tralala Ende von LiMux: Umstellung auf Windows 10 kostet Stadt München knapp 50 Millionen Euro | ZDNet.de

Am Ende ist es immer die Bequemlichkeit des End Benutzers das die großen (evtl. auch richtigen ) Pläne im Sande verlaufen lässt. Hast du dann noch externe Dienstleister die es nicht schaffen alle georderten Programme sauber zu integrieren, bleibt doch nur auf bekannte und funktionierende (besser bekannte Macken) Lösungen zu setzen.

Und für solche Projekte werden sinnlos Millionen Steuergelder verschwendet, die an zig anderen Stellen Stellen (nein keine Geld Geschenke an andere Staaten), sinnvoller angewendet werden könnten.

Davon abgesehen hat das aber eigentlich auch nichts mit dem Thread zu tun.



Zitat Zitat von Flatsch Beitrag anzeigen
Besser wäre also ein System wo man ein Passwort für Diebe setzen kann zum verraten, wo nur Sachen zu sehen sind die einem nicht stören und alles was verändert wird nur bis zum ausschalten des Displays bleibt

Hat Motorola bzw auch andere Android Systeme nicht so etwas in der Art bzw. kann man so nutzen? Man müsste doch nur eine getrennte Authentifizierung einsetzen um in den Privaten oder in den Unternehmen Modus zu starten. Siehe Knox usw...
 
Zuletzt bearbeitet:
Am Ende ist es immer die Bequemlichkeit des End Benutzers das die großen (evtl. auch richtigen ) Pläne im Sande verlaufen lässt.
Das ist es in dem Fall aber ja nicht. Die IT-Firmen, Gutachter, Sicherheitsberater, Opposition etc. haben sich ja größtenteils massiv gewehrt. Der selbsternannte "Microsoft-Fan" Dieter Reiter, OB der Stadt München, hat quasi als erste Amtshandlung mit Microsoft einen Deal beschlossen, dass das Unternehmen seinen Hauptsitz vom wenige Kilometer nördlich gelegenen Oberschleißheim nach München verlegt. Die Microsoft Deutschland GmbH hat einen Umsatz von ca. 3,4 Milliarden Euro pro Jahr. Wenn die Microsoft Deutschland GmbH ähnliche Gewinnanteile am Umsatz hat, wie Microsoft als gesamtes, dann könnte München somit mit deutlich mehr als 100 Millionen Euro Einnahmen aus der Gewerbesteuer rechnen. Dann würde so ein Geschäft München in reinem Geld dennoch ein paar Millionen Euro bringen, selbst wenn sie knapp 100 Mio. für den Umstieg bräuchten. Und die Einnahmen fließen ja in den Folgejahren weiter.

Nehmen wir jetzt einfach mal ganz hypothetisch an, der Münchner OB hätte Oberschleißheim die Umsatzsteuer von Microsoft gestohlen, indem er Microsoft verspricht, zurück auf Windows zu wechseln. Dann wird auch klar, warum die Opposition mit Argumenten wie Sicherheit, immensen Kosten, Datenschutz der Münchner Bürger etc. gegen eine Wand redet, während die aktuelle Stadtregierung so einleuchtende Argumente hervorbringt, wie: Zitat Anne Hübner, SPD: "Wir brauchen den Windows-10-Client". :rofl: - Die reinste Karnevalsveranstaltung, weil anscheinend keiner sagen möchte, wie die Sache eigentlich gelaufen ist.

Ich kann ja leider niemandem etwas unterstellen, aber wenn es so gewesen wäre :hust:, dann hätte es die deutsche Bevölkerung als Gesamtes viele Millionen gekostet, zudem würden die Münchner um die Sicherheit ihrer Daten betrogen und nur Microsoft und die Stadt München hätten etwas mehr Geld in der Tasche.

Davon abgesehen hat das aber eigentlich auch nichts mit dem Thread zu tun.
In diesem Thema geht es hauptsächlich um FaceID und somit auch Datensicherheit. Dass es im Zusammenhang mit dem iPhone steht, ist aber nicht Hauptgegenstand des Themas, sondern es geht darum, dass Gesichtsscanner allgemein nicht so sicher sind, wie Passwörter. Bei der FaceID und auch beim Fingerabdruckscanner ist eine höhere Bequemlichkeit vorhanden, als beim klassischen Passwort. Dennoch hält sich die Zahl der Nutzer in Grenzen. Ich sehe die meisten weiterhin ein Passwort nutzen, auch weil die paar Zahlen eben doch nicht so schwer zu merken sind, wenn man sie jeden Tag wie automatisch eingibt.

Insgesamt stimme ich zu, dass Sicherheit bequem sein sollte. Und dass es auch ein Hindernis sein kann, wenn sie zu unbequem wird: Beispielsweise Verschlüsselung mittels PGP. Da wird es den meisten dann doch einfach zu lästig. Aber es gibt da durchaus eine Schwelle, bei der die Leute auch gerne kleinere Hürden in Kauf nehmen. Ich finde es auch wichtig, beispielsweise im Zusammenhang mit FaceID darüber zu diskutieren, wie bequem Sicherheit sein muss und wie viel Bequemlichkeit die Menschen bereit sind, dafür aufzugeben.
Nur wenn es um Geld geht, und wenn ein paar Millionen winken, dann gibt es eben auch skrupellose Leute, die ihre eigene Mutter verkaufen würden.
 
Zuletzt bearbeitet:
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh