Steam Account gehijacked

Wobei ich den FIDO2 Ansatz sehr gut finde. Einmal stark authentifiziert, du bekommst für deine Maschine ein Token, ggf. mit Ablaufdatum. Mit dem Token und Zugriff darauf eben "biometrisch" gehts dann ohne Passwort und gefummel am Handy weiter.

Heisst: Nur bei einer neuen Maschine muss man sich per 2FA authentifizieren, danach geht die jeweilige Maschine die eingestellte Zeitspanne und eben Biometrisch per z.B. Fingerabdruck. Diese Kryptochips sollten seit etwa 2016 Standard sein. Bei alten muss man das Modul sowie die Biometrie entweder Onboard nachrüsten oder eben als USB Modul nachstecken.

Mein Fingerabdrucksensor für den PC hat keine 30€ gekostet und funktioniert ausreichend gut. Das einzige, was mich stört: Dass ich in Windows dazu einen lokalen Account in einen "Microsoft-Account" umstellen musste, der wiederum per Authenticator abgesichert ist. Eigentlich mag ich unnütze zentrale "Auths" nicht bzw. mir hätte ein "Opt Out" an der Stelle gereicht.

Was die Praxis angeht: Wenn ich mich beim Start von Steam/Epic/Ubisoft/You_Name_it eben mit nem Fingerabdruck anmelden muss damit das Token abgefragt werden kann - das ist viel weniger Gewürge als mit superstarkem Passwort und am besten noch SMS aufs Handy bei jedem Start / Login genervt zu werden. Das Thema Passwort/Authenticator macht dann nach wie vor dein "Passwortverwaltungsprogramm des geringsten Misstrauens".

mein laptop damals (wirklich damals) hatte auch biometrische funktion mit eingebaut, war aber nur winblöd anmelden gedacht. jetzt hat mich @RobMitchum wieder auf die idee gebracht. hm, werde auch mal nach eine usb lösung nachdenken magst du mir dein dongle schreiben, egal ob hier öffentlich oder privat?

Keine Empfehlung meinerseits. Hab auf Ebay einen "Fingerprint-Sensor" bestellt, das wars. Angeblich "Plug & Play" ... und den Treiber dann per Dropbox Link bekommen. Ja, der ist echt und nein, keine Empfehlung des Lieferanten in irgendeiner Art. "ChipSailing" Device, gruseliger Treibersupport.

Da ich bei "CSL" als eine Art "geprüfte Chinaware" bisher nicht enttäuscht worden bin:

Gute Sensoren sind unter 50€ zu bekommen, unter 20€ gibts nur Schrott. Hab in meinen Schreibtisch eine 4xUSB 3.0 Steckdose eingefräst, da steckt der Sensor drinne. Finger drauf, eingelogged, gut ist.

Mal eine vielleicht blöde Frage: Kann man so einen Fingerabdruck Sensor dann auch für die KeePass Datenbank auf dem PC nutzen?
Oder EMail-Konten, Amazon, eBay, Foren, Onlinebank usw? Dass mein Firefox den nutzt um mich bei diesen Konten mit Fingerabdruck einzuloggen.
Oder ist der nur gut für den Windows-Login?

Ich möchte nur einmal anmerken, dass ein Fingerprint nicht wirklich sicherer als ein Passwort ist (stellenweise sogar unsicherer, je nachdem mit wievielen Marker-Punkten gearbeitet wird... meist sind es nicht viele).
Der einzige Unterschied besteht darin, dass man es nicht eintippen muss.

Hat der CCC nicht bereits vor 15-20 Jahren Fingerabdrücke mit Tesafilm, einem etwas fettigem Pinsel, Kohlepulver und Cyanacrylat kopiert?
Ich kann mich da vage dran erinnern. xD

Ja, das geht noch immer. Ist hier aber nicht das Problem.
Es geht hier um Verschlüsselung. Und ob da nun als Seed ein Fingerprint mit einer Hand voll Minuzien-Punkten genutzt wird oder "p4$$w0rd!".
Technisch betrachtet ist es das selbe.

Je nach Art der Implementierung kann es sogar recht unsicher sein.

Die technisch notwendige Beschränkung auf nur wenige Minuzien zur Auswertung hat auch rein praktische Probleme.
So fing REWE mal an, dass man per Fingerabdruck bezahlen konnte. Das haben die aber ganz schnell wieder in der Versenkung verschwinden lassen, als sie dem Problem nicht Herr wurden, das diverse unterschiedliche Leute auf Basis der angewendeten Minuzien-Auswertung für das System ein und die selbe Person war. Da hat einer fleißig die Einkäufe für noch 5 weitere Bezahlt...
Andererseits kann man nicht mit hoher Anzahl von Minuzien-Punkten arbeiten, weil die Fingerprint-Scans nie perfekt sind und die Epidermis an den Fingern unterschiedlich starke Papillarleisten-Ausprägungen hat. Es führt dann dazu, dass man den Lümmel duzende mal auf den Scanner prügeln muss, damit der endlich grünes Licht gibt.

Das macht Fingerprints relativ witzlos. Als zusätzlicher Faktor für gewisse Anwendungen ist das ganz hilfreich. Sagen wir für eine Zutrittskontrolle. Wo es dann eben nicht reicht, dass einer irgend eine RFID-Karte geklaut hat, der braucht auch noch den passenden Finger. Hier reicht aber z.B. auch eine simple PIN-Eingabe als zweiter Faktor.

Am Ende muss einem klar sein, dass das Minuzien-Mapping genau so (elektronisch) geklaut werden kann, wie ein Passwort.
Datentechnisch sicher wäre nur ein System, welches als Secure-Element fungiert. Dort wird, im Grunde wie bei einer SIM-Karte oder dem EMV-Chip auf Bankkarten, das "Geheimnis" (in dem Fall das Minuzien-Mapping) nie nach außen gegeben. Es geht also ein Request hinein, alles passiert in dem "Ding" und es kommt ein Session-Schlüssel raus, ohne das man weiß, wie der zustande gekommen ist.
Der riesengroße Nachteil an dem Verfahren ist, dass es dann an genau diesen einen Fingerprint-Scanner gebunden ist - alle Kryptographie steckt ja in dem Teil selbst. Geht das Teil kaputt oder kommt es abhanden, is dann Essig...
Deswegen arbeiten die gängigen Scanner nicht so, weil sonst wären sie nicht austauschbar.

Der eigentliche Vorteil besteht dann nur noch darin, dass man einen Fingerprint nicht vergessen kann (dafür kann man sich aber verletzten, was dem Folgeproblem im Grund ähnelt) und man findet Fingerprints eben auch nicht als Notiz unter eine Tastatur geklebt.

Sehe ich anders. Siehe Microsoft Dokumentation:

"Sensoren, die die Erweiterte Anmeldesicherheit unterstützen, verfügen über ein Zertifikat, das bereits bei der Herstellung eingebettet wurde. Dieses Zertifikat kann von den in VBS ausgeführten biometrischen Windows-Komponenten überprüft werden und wird verwendet, um eine sichere Sitzung mit dem Sensor einzurichten. Der Sensor und die biometrischen Windows-Komponenten nutzen diese Sitzung, um Registrierungsvorgänge zu kommunizieren und die Ergebnisse sicher abzugleichen."

Zudem hast du eben mit der FIDO2 Methode nach wie vor ein Backup zum Fingerabdruck (die meisten dieser Dinger können 10 Fingerprints ab). Vorteil: Die nervige 2FA wie über Nutzername/Passwort und dann Email/SMS ist eben je PC und Nutzer nur einmal, danach reicht der Fingerabdruck. Heisst: Die Wahrscheinlichkeit, dass der Allerweltsnutzer diese Methode verwendet statt "das Passwort meines Mailaccounts ist sicher" zu hoffen - die steigt. Die "Sicherheitskette" ist somit nicht den Fingerabdruck an sich als Ersatz für ein Passwort zu nehmen, sondern eben durch einen anderweitig authentifizierten und biometrisch identifizierten User (siehe Windows-Account) nach einmaliger 2FA ein Zugriffstoken zu geben, was sich eben nicht im Klartext irgendwo befindet - sondern im TPM Modul des Rechners. Somit auch nur mit diesem funktioniert. So arbeiten vermutlich 99% aller Banking-Apps auf aktuellen Smartphones.

Firefox (der aktuelle) und Google Chrome unterstützen bereits die Passwortablage nach mit (biometrischem) Zugang über Windows Hello (wo auch die Pin geht). Heisst aber auch, dass z.B. Trojaner/Keylogger nach eingerichteter 2FA nur sehr geringe Chancen haben. Weil einmal eingerichtet wirst du mit nem Token authentifiziert und musst kein mitloggbares Passwort händisch eingeben. Zudem macht die 2FA nur dann so "richtig" Sinn, wenn du zwei voneinander getrennte Hardwareplattformen nutzt (wie eben einen Accountnamen/Passwort beim PC) und einen weiteren Authenticator (am Handy, siehe MS/Google-AUTH, SMS-Tan, "Brief der Bank mit Aktivierungscode"). Weil ohne Zugriff auf genau dieses Handy bei AUTH Zahlengeneratoren, den Briefkasten... kommste an den Account auch nicht oder nur sehr schwer dran. Und genau darum gehts - ein einzelnes Daten-Leck darf dich nicht komplett lahmlegen. Bei einem Authenticator als "starke Methode" nützt es dir im Gegensatz zur SMS-TAN nicht mal die SIM-Karte zu kapern.

Es ist vollkommen Wurscht wie du etwas siehst. Die Realität interessiert sich für deine Meinung nicht.
Das Windows-Hello Verfahren stützt sich auf Credential-Provider Hardware, die auch ein Fingerprint-Scanner sein kann (angefangen hat das mal mit Chip-Karten).
Letztenendes beschreibt es genau den Topic, den ich erwähnt hatte: Hardware, in der selbst die Kryptographie abläuft.
Speziell bei dem Windows-Verfahren ist es aber noch schlimmer: Weil die Hardware im Grunde nur sagt: Ja oder Nein (vereinfacht gesagt). Sonst wäre es fatal wenn die kaputt geht.
Das ergibt eine Vielzahl von Angriffsvektoren, die, wegen einem ähnlich gelagertem Problem, auch TPM zum Verhängnis wurden.
Letztlich dockt es dann an dem gewöhnlichen Windows-Anmelde Mechanismus an, bei dem eine Anmeldesession erzeugt wird, auf die selbe Weise wie bei einer Passworteigabe.

Aber wenn man das angreifen will, muss man sich damit gar nicht abmühen, weil wie erwähnt Fingerprints sehr unsicher sind.
Viele der "Windows Hello" tauglichen Fingerprint-Lösungen nutzen weniger als eine Hand voll Minuzien-Punkte. Das bewegt sich auf dem Sicherheitsniveau einer 4-Stelligen PIN und ist damit einfach nur lachhaft.

Deswegen wird das ja auch offiziell nicht als Sicherheitsmerkmal verkauft (sonst würde man sie aus Sicherheitskreisen zerreißen), sondern als "Komfort-Funktion". O-Ton: Vergessen sie nie wieder Ihr Passwort!

Glaub an was immer du willst. Dein Problem. Nur heul dann nicht hinterher rum.

Edit:
Ich musste es noch eben wieder raussuchen, weil ich da vergangenes Jahr etwas öffentlich zu gelesen habe:
Da wird nicht nur ein Teil des Prozesses beschrieben, wie ich ihn oben schon vereinfacht beschrieben habe, sondern auch noch nebenbei erklärt wie man das komplette Konzept erfolgreich umgehen kann.
Der Punkt an dem ganzen Verfahren ist eben, dass der Fingerprint mit der kompletten Kryptographie im PC-System rein gar nichts zu tun hat. Man könnte auch Sticks mit einer Taste verkaufen, auf der "Ich bin's!" steht. Denn nicht mehr passiert hier mit dem Fingerabdruck.

Mag sein dass du sowas anders siehst. Oder die Realität. Arbeite in einem DAX Konzern und der gesamte "Scheiss" mit Chip-Karten aus den frühen 2000ern und PINs bei jedem Login (an Hardware gebunden) wird gerade abgeschafft bzw. "Fingerabdruck reicht" für ein Systemlogin. Für 99% der User ausreichend.

Neu ist seit etwa 3 Jahren "Hello" nebst Biometrie-Option (ausschließlich Fingerabdruck, keine Webcam) und eine ziemlich starke Erst-Authentifizierung. Sowie eine Folge-Authentifizierung bei jedem Zugriff auf deutlich beschänkte Inhalte (One Time PIN per AUTH auf einem vertrauenswürdigem Handy). Also entweder hat "unsere" IT da keine Ahnung oder du liegst mit deiner Meinung daneben. Suchs dir aus.

Achja, SMS TAN ist komplett abgeschafft - weil SIM Karten "gehijacked" wurden und damit war "nur" noch ein (geknacktes/mitgeloggtes) Passwort beim Remote-Zugang notwendig. Vereinfacht gesagt.

RobMitchum schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

ein ehmaliger sehr guter kumpel ist vor ca 15 jahren von meiner stadt weg gezogen und wohnt nun ca 60km weit entfernt. wir haben noch regelmässig kontakt. er ist auch felsenfest der meinung, das seine simkarte geclont worden ist von den nachbarn. er hatte aber nie persönlichen kontakt mit denen, sodas sein (er hat noch oldschool ein Handy) Handy mal für einen augenblick abhanden gekommen worden wäre. wenn wir sms schreiben (geht ja nur beim handy ^^), dann wissen angeblich die nachbarn sofort, was wir geschrieben haben und er hört es durch seine wände, das die sich grade darüber unterhalten, auch mit unseren namen etc. glaube aber irgendwie, das er durch seinen harten drogenkonsum vor vielen jahren was in seinem kopf kaputt gemacht hat. oder lag ich da jetzt doch so falsch und er hat recht mit seinen nachbarn?

bei mir sieht es grade so aus bei meinem e-mailkonto:

Letzter Login: 23.02.2024 15:56 Uhr
363 fehlgeschlagene Login-Versuche

das geht jetzt schon etwas länger, mal schauen wann die keinen bock mehr darauf haben ^^ aber ich denke, da wird dann wohl ein bot für die am laufen sein.

Neuerdings lassen die Täter esims unter hilfenahmen von social engineering registrieren. Aber das beide aktiv bleiben wäre mir neu. Hier in DE werden bei dem Vorgang die Physischen Sims deaktiviert in dem Moment in dem die esim freigeschaltet werden.

Das IMEI System soll ja auch genau das verhindern.

Ich such mal eben den Artikel.

Ist nicht die eigentliche Quelle aber das gleiche Thema.

SIM Hijacking für Anfänger: sowie

Edit:

Hab leider den Link nimmer, gab/gibt ein AFAIK Schweizer "Unternehmen", was wie ein Mobilfunk-Provider im Netz auftritt und behaupten kann, es hätte die Nummer gerade in seinem Einzugsbereich. Für staatliche ist es noch weit einfacher.

Wenn ich all diese Sicherheitslücken lese und wie einfach es scheinbar geworden ist, einen zu Hijacken....
Denke ich zurück an die Zeiten, in denen ich als Angler an meinen "Privatplatz" (der war nicht privat, nur so weit ab vom Schuß, das außer mir vermutlich nichtmal der Pächter des Gewässers oder die Jäger/Förster jemals dort waren).
Mitten in dem Waldstück am großen Baggersee. Eine kleine Lichtung mit sandiger Strandfläche. Alles ca 50qm im Radius. Eine kleine Erhebung von ca. 30cm mit 5qm. Da das Zelt plaziert. Feuerstelle unter dem Vordach.
Und DA einfach mal wieder ein WE zu verbringen, klingt gerade himmlisch. Vor allem, wenn es Nachts über regnet.
Kein Handy/Smartphone, kein I-Net, keine Streams, eigentlich GAR KEINE Elektronik am Start.
Nur Feuer, eine Pfanne, 2-3 Angeln und ein Sixpack und 3 Joints.
Einfach mal zurücktreten vom digitalen Wahnsinn...

RobMitchum schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Weil die Leute ihre Karte in der Tatstatur haben stecken lassen, während sie "mal eben" Kacken gingen oder sonstiges.
So die gängige Erklärung dazu. Was irgendwie noch keinem aufgefallen ist, ist die Tatsache, dass man einen Finger ja nicht permanent auf dem Scanner liegen hat...
Das ist eben wie Wein, das braucht noch ein paar Jahre bis das reift...

RobMitchum schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Was besser ist, als dass Passwörter unter der Tastatur kleben.

RobMitchum schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Ich habe keine Meinung, ich habe die Faktenlage beschrieben und die Methode wie Windows Hello aufgebaut ist und ziemlich einfach umgangen werden kann.
Das ist weit entfernt von Meinung. Das sind einfach Tatsachen. Für die verlinkten Angriffe gibt es auch keine Mitigation. Das Verfahren an sich ist nämlich einfach nicht sicher.

Ich hatte aber tatsächlich mal die Meinung, dass es Schwachsinn ist auf permanent wechselnde Login-Passwörter zu setzen, was von nahezu jeder IT gebetsmühlenartig eingefordert wurde, da dies nur zu irgendwo notierten Passwörtern führt.
Es ist nun etwa 3 oder 4 Jahre her, dass Microsoft es war, die die Empfehlung gaben, dass ständig wechselnde Passwörter ein Sicherheitsproblem darstellen, weil die Nutzer dazu neigen irgendwo Passwörter zu notieren und eindringlich empfahlen nicht mehr auf wechselnde Passwörter für die Domänen-Anmeldung zu setzen.
Wer hätte es ahnen können...

Ob so eine IT also eine realistische Einschätzung der Situation hat oder einfach einer Einheitsmeinung hinterherläuft, die gar nicht hinterfragt wird: Suchs dir aus.

Aber um es kurz zu machen: Jede IT wird die gängige "best practice" umsetzen, völlig egal ob die was taugt oder nicht.
Weil man sich dann bei Problemen immer drauf zurückziehen kann zu sagen: Wir haben das dem Standard gemäß umsetzt.
Es geht also nicht um besser oder schlechter, es geht darum, dass keine Scheiße an einem kleben bleibt.

Und mal aus dem Nähkästchen:
Mir sind aktuell zwei große Läden aus dem Finanzsektor bekannt die auch wechseln. Nein, nicht auf Fingerprint, sondern auf PKI Karten.
Denn mit denen ist nämlich echte Kryptographie umsetzbar, nicht bloß simple Legitimierung.

@GuyFawkes667 nimm mich mit. Klingt super.

Dumme Frage:

Klappt das mit dem "Simkarten-Raub" auch bei Prepaid?

Ja. Gerade Profis, die "claimen" eine Sim-Karte bzw. Telefonnummer für den Bestätigungscode" sei in Ihrem Mobilfunknetz --> da hast du keine Chance. Siehe diverse gekaperte prominente Twitter-Accounts, die 2FA aktiv hatten. Siehe

Nochmal für jemanden, der nachdenken will:

Hast du einen Account "nur" mit einem passwort gesichert, ist die Wahrscheinlichkeit dieses abzugreifen, zu knacken oder zu erraten nicht unendlich klein. Einmal einloggen, der Account ist "weg" und du rennst dem hinterher. Jedenfalls sobald das Passwort "geknackt" ist.

Passwort und 2FA via Handy oder Email-Account: Setzt voraus, dass auch der zweite Faktor gekapert wird. SIM Hijacking zum Beispiel oder den zur SIM Karte bzw. zweiten Faktor gehörenden Mail-Account übernehmen. Siehe "überall dasselbe Passwort". Dafür nervt dich das Handy/Email bei quasi JEDEM Programmstart.

Windows Hello (also Betriebssystem-TPM) nach 2FA und "biometrisch": Du authentifizierst dich beim Einrichten deines Windows-Accounts "stark" gegenüber eben "Windows Hello". Also Email, Passwort, dazu ein Authenticator mit OneTimePin. Biometrie ist nun in Windows verfügbar. Substanzielle Änderungen: One-Time-Pin aus dem Handy ist dazu einmalig erforderlich. Windows speichert nun das Zertifikat des Fingerprint-Sensors mit den neu eingerichteten Abdrücken und merkt sich "Den kenn ich samt Sensor" in dem TPM Modul. Die gesamte Kommunikation "System <-> Sensor" ist zudem asymmetrisch verschlüsselt. Das ist dein biometrischer Faktor. Anderer Rechner, selbe Email-Adresse? Andere TPM Signatur wie "Zweitrechner" - das reicht im Weiteren nicht. Auch ein neuer Fingerabdrucksensor muss "stark" eingerichtet werden. Du musst dich eben wenigstens mit dem Windows AUTH als OneTimePin Generator einmal auf einem neuen System erfolgreich identifizieren, was auch gilt wenn du Board/CPU/wasweissich wechselst.

Du kannst das ganze weiter absichern, indem du beim ersten Kauf oder Login auf Steam & Co z.B. 1 Cent Erstattung nebst einem Code "AAAA-BBBB-CCCC-DDDD" auf die Zahlungsmethode wie dein Konto als Überweisung bekommst. Womit dir Steam zugleich ein Master-Passwort wie eine Art "PUK" nennt. Ändert sich was substanzielles wie Email/Rechner/TPM oder Handy-AUTH (Windows Hello sagt "den Typen kenn ich nicht"), so muss dieser Code bei Steam ggf. neu eingegeben werden.

Klingt wild, aber es ist im Folgenden auch sehr bequem. Weil hast du dich erfolgreich in dein System nebst STEAM (um beim Beispiel zu bleiben) einmal STARK eingelogged, gibts z.B. bei der 2FA Einrichtung durch FIDO2 in dein TPM Modul ein Steam-Zugangs-Token. Da steht quasi drin: "Account@XY kenn ich, Rechner ist bekannt und dessen zugehöriges TPM Modul ebenfalls". Konsequenz: Du loggst dich in deinen Rechner ein (Fingerprint), startest Steam, drückst/streichst den Finger nochmal über den Sensor, das Token wird aus deinem TPM Modul ausgelesen, du bist auch bei Steam drin. Gilt aber NUR für genau diesen Rechner. Kein Gehampel mit Code-SMS/EMail bei jedem Start oder sonstiger Spökes.

Wer also einen Account übernehmen will, der muss _alle_ folgenden Bedingungen erfüllen:
(a) physisch deinen Rechner übernehmen mit einem wie auch immer gefakten Fingerabdruck oder deine Windows-Hello PIN kennen.
(b) dein Handy samt Authenticator übernehmen (Spoiler: Sim reicht nicht, da das Handy auch ein TPM Feature hat) um den Windows-Account (beispiel HELLO) zu übertragen weil dich
(c) Steam/Epic/whatever nach dem "bitte bestätigen Sie, dass sich die Mail/Telno/werweisswas geändert hat" zu dem bei der Erstauth genannten Mastercode per 1 Cent Überweisung vormals benannten Master-Passwort abfragen will.

Am Arbeitsplatz eines "kenianischen Prinzen" ohne physischen Zugriff auf den Rechner kaum zu machen. Und selbst ein Tastaturlogger/Malware nützt wenig. Du brauchst Rechner, Sensor, einen Fake-Fingerabdruck oder die Windows-PIN, dazu das mal mit einem AUTH eingerichtete Handy physikalisch im Zugang und eben bei "komisch" das Master-Passwort aus der Überweisung. Unmöglich? Nein, aber nicht wirklich wahrscheinlich.

So in etwa arbeitet "unsere" IT, dazu ein paar Maßnahmen wie "Neuer Rechner (TPM Modul) und dessen Übergabe persönlich und Einrichtung durch deinen IT-Verantwortlichen vor Ort im Firmennetz". Und andere kaum sichtbare Hürden dieser Art. Zugriff auf sensibles Material? Je Arbeitstag bzw. Windows-Session einmal per Authenticator (Handy) mittels OneTimePin einloggen. Trotzdem kannst du dich mit Fingerabdruck anmelden. Und hast nach der Ersteinrichtung keinerlei Ärger mit Passwörtern.

So arbeitet übrigens quasi jedes Onlinebanking. Nur dass die dir nichts überweisen, sondern einen Aktivierungscode per Post nach Hause schicken. Ab da gibts "TPM-Tokens" in die Speicher der Handys. Daher einmal Fingerabdruck --> du kannst lesend auf deine Kontodaten zugreifen. Schreibend bzw. Überweisend eben noch mit einem nachgelagerten dynamischen TAN-Generator.

Edit: Bin ein Riesenfan von FIDO2 - drölfzig-mal am Tag ein 12-stelliges Passwort eingeben und dann noch obendrein die Chipkarte samt Passwort ins Lesegerät stecken, das war zum Kotzen. Nun gibts nach der Kaffepause bzw. dem Gang zum Kaffeeautomaten eben den Fingerabdruck und gut ist.

Für die Fingerprint-Hippies die noch immer davon träumen wie "sicher" der ist:
Heute ist mir ein Paper untergekommen, das auf dem NDSS Symposium vorgestellt wurde. Und das klingt zunächst erst einmal wie ein Aprilscherz.
Denn die haben einen Seitenkanalangriff auf Fingerprints realisiert, der schlicht weg auf dem Geräusch basiert, was der Finger macht, wenn er z.B. über ein Display swiped.
Dazu muss das Geräusch einfach aufgenommen werden. Ein simpley Handy mit einer entsprechenden App reicht.

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Ganz grob können die bei knapp einem Drittel der so "gescannten" Fingerprints den Print zumindest in Teilen so rekonstruieren, dass er für Printscanner funktioniert und in knapp unter 10% sogar den Fingerprint vollständig korrekt rekonstruieren.

Quelle:


Die Nummer ist quasi taufrisch. Ich dachte es passt grad so schön.
Wenn das die Runde macht, ist ein Fingerprint schneller geklaut als ein Passwort. Denn im Gegensatz zu Audioaufnahmen verbergen Mobil-Betriebssysteme Usereingaben aller Art vor anderen Apps, wenn es sie nix angeht.

2FA ist heute auf jeden Fall wichtig - dennoch begleitet mich dabei auch immer stetig dieses Gefühl, dass man sich damit ganz bequem selbst aussperrt - und sei es nur temporär. Ich sage mal, Urlaub, Dein Handy macht die Grätsche oder kommt weg - und jetzt brauchst Du mit einem Fremdgerät Zugriff auf eines Deiner Konten - na hoffentlich hast Du dran gedacht, überhaupt ein Backup-Device für den 2FA zu haben oder ihn dann mitgenommen zu haben.
Ist zu Hause das Handy mal leer und jetzt kommt die 2FA-Abfrage - dann nehme ich eben das Tablet... aber... das ist ja nicht immer dabei.

Will sagen: Sicherheit kann auch immer nach hinten losgehen. Genau so donglet man sich schon fast an seine Handynummer. So wie die schon bei vielen Diensten als Basis zum 2ten Faktor genommen wird... im Leben denkst Du nicht bei einer Änderung Deiner Nummer daran, wirklich alle Dienst abzuklopfen oder anzupassen... Da war das simple "Merk' Dir ein Passwort" schon convenient...

Naja... Zeiten ändern sich. Vielleicht wird der alte Ork auch irgendwann mal Vertrauen zu Passkeys aufbauen... wer weiß, wer weiß.