1. Foren
  2. Kommentare
  3. Sonstiges
  4. Alle Kommentare zum Artikel
  5. › Vietnamesische Sicherheitsforscher…

KUDOS

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. KUDOS

    Autor: Sea 28.11.17 - 08:56

    an Apple... Es braucht SO einen Aufwand um das System zu überlisten. Dann haben sie alles richtig gemacht. Und das sage ich als erklärter Apple-Gegner.

    Man muss das System ja auch so gestalten, das änderungen am/im Gesicht auch durchgehen. Ne Narbe, blaues Auge, Brille, Schal usw.
    Von daher ... wer sein Telefon als Datentresor verwenden will, der muss sich halt irgend ein anderes, superduper abgesichertes holen. Oder einen Bodyguard, der es für einen trägt ...

    Mal ernsthaft. "Unsicher" ist hier echt der falsche Ausdruck

  2. Re: KUDOS

    Autor: non_existent 28.11.17 - 09:06

    Sea schrieb:
    --------------------------------------------------------------------------------
    > an Apple... Es braucht SO einen Aufwand um das System zu überlisten. Dann
    > haben sie alles richtig gemacht. Und das sage ich als erklärter
    > Apple-Gegner.
    >
    > Man muss das System ja auch so gestalten, das änderungen am/im Gesicht auch
    > durchgehen. Ne Narbe, blaues Auge, Brille, Schal usw.
    > Von daher ... wer sein Telefon als Datentresor verwenden will, der muss
    > sich halt irgend ein anderes, superduper abgesichertes holen. Oder einen
    > Bodyguard, der es für einen trägt ...
    >
    > Mal ernsthaft. "Unsicher" ist hier echt der falsche Ausdruck

    Hört sich schon bisschen an wie eine Fanboyaussage. Nach deiner Aussage ist auch MD5 noch sicher. Für Otto-Normaluser ist das Ganze vlt. sicher genug, sobald man aber brisantere Infos auf dem Gerät speichert (was in der Geschäftswelt nicht ganz unüblich ist, Cloud sei dank) endet das nicht gut. Natürlich wird die Freundin sich keinen Steinmehl-3D Drucker anschaffen, nur um ihren Freund überwachen zu können, aber wenn wir mal zwischen die Konkurrenz zwischen Multimilliardenkonzernen denken ... da sind solche Möglichkeiten schon wahrscheinlicher. Und das wird auch im Text erwähnt - es soll im Geschäftsumfeld nicht verwendet werden.

    Hätte hier Apple einen 10stelligen Passcode hinterlegt, der mit bcrypt verschlüsselt ist, hätte man von "sicher" sprechen können. Auch für das Businessumfeld. Aber FaceID ist nicht sicher.

  3. Re: KUDOS

    Autor: Somberland 28.11.17 - 09:10

    non_existent schrieb:
    ------------------------------------------------------------------------
    > Hätte hier Apple einen 10stelligen Passcode hinterlegt, der mit bcrypt
    > verschlüsselt ist, hätte man von "sicher" sprechen können. Auch für das
    > Businessumfeld. Aber FaceID ist nicht sicher.


    Na zum Glück zwingt dich Apple ja nicht FaceID zu verwenden. Numerische oder komplexe Passwörter können natürlich weiterhin verwendet werden. FaceID setzt ja eh einen gesetzten Passcode voraus. Wenn einem das also zu unsicher ist, einfach deaktivieren.

    ---Management ist, wenn 10 Leute für das bezahlt werden, was 5 billiger tun könnten, wenn sie nur zu dritt sind und davon 2 krank sind.

  4. Re: KUDOS

    Autor: non_existent 28.11.17 - 09:25

    Somberland schrieb:
    --------------------------------------------------------------------------------
    > non_existent schrieb:
    > ------------------------------------------------------------------------
    > > Hätte hier Apple einen 10stelligen Passcode hinterlegt, der mit bcrypt
    > > verschlüsselt ist, hätte man von "sicher" sprechen können. Auch für das
    > > Businessumfeld. Aber FaceID ist nicht sicher.
    >
    > Na zum Glück zwingt dich Apple ja nicht FaceID zu verwenden. Numerische
    > oder komplexe Passwörter können natürlich weiterhin verwendet werden.
    > FaceID setzt ja eh einen gesetzten Passcode voraus. Wenn einem das also zu
    > unsicher ist, einfach deaktivieren.

    Richtig. Aber das ändert doch nichts an der Tatsache, dass sich FaceID mit einem (für große Konzerne) relativ geringem Aufwand knacken lässt.

  5. Re: KUDOS

    Autor: ChMu 28.11.17 - 10:39

    non_existent schrieb:
    --------------------------------------------------------------------------------
    > Somberland schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > non_existent schrieb:
    > > ------------------------------------------------------------------------
    > > > Hätte hier Apple einen 10stelligen Passcode hinterlegt, der mit bcrypt
    > > > verschlüsselt ist, hätte man von "sicher" sprechen können. Auch für
    > das
    > > > Businessumfeld. Aber FaceID ist nicht sicher.
    > >
    > >
    > > Na zum Glück zwingt dich Apple ja nicht FaceID zu verwenden. Numerische
    > > oder komplexe Passwörter können natürlich weiterhin verwendet werden.
    > > FaceID setzt ja eh einen gesetzten Passcode voraus. Wenn einem das also
    > zu
    > > unsicher ist, einfach deaktivieren.
    >
    > Richtig. Aber das ändert doch nichts an der Tatsache, dass sich FaceID mit
    > einem (für große Konzerne) relativ geringem Aufwand knacken lässt.

    Nicht wirklich. Um an die Informationen im iPhone zu kommen, ist das so ziemlich die schlechteste Moeglichkeit, da es viel zu lange dauert und dazu auch noch keine Garantie gibt das es klappt.
    Zuerst mal muessen die Daten der Zielperson gesammelt werden. Dazu braucht es Infrarot Aufnahmen der Augen der Zielperson. Dann mindestens 8h Print. Dann die Bearbeitung des Prints, die Temperatur Angleichung ect. Dann braucht man das Phone. In der heutigen Zeit faellt es aber auf, wenn Dein Phone verschwunden ist und im Fall des Geheimnistraegers noch mehr. Der duerfte innerhalb von Minuten das Telefon geloescht haben und wenn dann, nach all dem Aufwand und uU sogar success der Entschluesselung die Konkurenz ins Telefon schaut, so sieht sie ein leeres Telefon welches nach dem iTunes Passwort des Besitzers fragt oder sich in einen Briefbeschwerer verwandelt.
    Was soll das ganze also?

  6. Re: KUDOS

    Autor: Ground0 28.11.17 - 10:48

    Das ganze lässt sich vorher erstellen und anschliessend am Telefon direkt durchführen ... es muss ja nicht Zwingend bereits vorhanden sein um die Maske zu erstellen ...

  7. Re: KUDOS

    Autor: gbpa005 28.11.17 - 10:48

    Ich denke, es geht v. a. um Strafverfolgungsbehörden und dabei besonders um totalitäre Staaten: Jemanden festzusetzen, das iPhone wegzunehmen, das Gesicht zu fotografieren und dann ohne weitere Hilfe des Eigentümers das Gerät zu entsperren, ist wohl kein schwieriges Problem. Andererseits kann man auch durch Folter das Passwort erpressen.

  8. Re: KUDOS

    Autor: Dino13 28.11.17 - 10:52

    Warum Folter. Totalitäre Staaten müssen ja das Telefon der festgesetzten Person nur vor das Gesicht halten. Die brauchen das nicht.

  9. Re: KUDOS

    Autor: ChMu 28.11.17 - 11:00

    gbpa005 schrieb:
    --------------------------------------------------------------------------------
    > Ich denke, es geht v. a. um Strafverfolgungsbehörden und dabei besonders um
    > totalitäre Staaten: Jemanden festzusetzen, das iPhone wegzunehmen, das
    > Gesicht zu fotografieren und dann ohne weitere Hilfe des Eigentümers das
    > Gerät zu entsperren, ist wohl kein schwieriges Problem. Andererseits kann
    > man auch durch Folter das Passwort erpressen.

    Wozu der Aufwand wenn man das Telefon einfach der Person vors Gesicht halten muss?

  10. Re: KUDOS

    Autor: Sea 28.11.17 - 11:04

    Naja ist zwar ein ganz übler Äpfel-Birnen-Vergleich mit FaceID und MD5, aber OK ...

    Ich sage ja nichts anderes als:
    Dem Anwendungszweck (Problemloses entsperren für jedermann anhand des Gesichts) entsprechend ist das sehr gut. Das man sich als Geheimnisträger damit fahrlässig verhält, sollte einem solchen klar sein.
    Für sowas haben die Behörden und Konzerne entsprechende Vorschriften und Möglichkeiten diese zu erzwingen.
    In diesem Fall wäre das wohl das unterbinden von FaceID und erzwingen von einem langen Passwort. Oder die Kombination aus FaceID, Fingerabdruck und Passwort. Oder halt ... kein iPhone. Ist jetzt nicht so, das die Dinger Sicherheitstechnisch eine grossartige Herausforderung wären. pwn2own demonstriert das ja jedes Jahr aufs neue.

    Ist auch irgendwie müßig sich hier um solche Details zu unterhalten.
    JEDES Biometrische System kann mit mehr oder weniger Aufwand überlistet werden.
    Es gibt beim Thema Sicherheit immer einen Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit. Je sicherer das System wird, desto Benutzerunfreundlicher wird es. War noch nie anders.

    Das ist wie zu sagen, mein Passwort ist sicher, weil es per bcrypt verschlüsselt ist. Das hat mit Sicher auch nix zu tun, wenn das Passwort "1234" ist.
    Deshalb wundere ich mich auch schwer über deinen letzten Satz.
    Warum wäre irgendwas am iPhone sicherer, wenn da was mit bcrypt verschlüsselt wird?
    Das ist nur die auf dem Gerät gespeicherte Info über das Kennwort/Gesichts-Hash/wasauchimmer. Wenn ein Angreifer längere Zeit seine Griffel an das Gerät bekommt hat man eh schon verloren. Wenn er dann auch noch an die im Gerät (verschlüsselten) Daten kommt, ist ganz sicher Schluss.

    Anders gesagt: Wenn ein Angreifer physischen Zugang zur Hardware bekommt, dann ist kein Gerät der Welt noch wirklich sicher. Ausgenommen OTPs vielleicht. Aber auch da braucht man ja nur "physischen" Zugang zu demjenigen, der den Schlüssel hat...

  11. Re: KUDOS

    Autor: tomate.salat.inc 28.11.17 - 11:06

    Wäre zu einfach ...

  12. Re: KUDOS

    Autor: ChMu 28.11.17 - 11:07

    Ground0 schrieb:
    --------------------------------------------------------------------------------
    > Das ganze lässt sich vorher erstellen und anschliessend am Telefon direkt
    > durchführen ... es muss ja nicht Zwingend bereits vorhanden sein um die
    > Maske zu erstellen ...

    Natuerlich nicht. Aber was wenns dann nicht gleich klappt? Du brauchst das Telefon. Schliesslich willst Du an die Daten. Du hast keinen Zugang zum Besitzer. Der bekommt also mit, das sein Telefon weg ist. Du meinst also, der laesst die Daten da drauf? Wenn er ueberhaupt Daten da drauf hat, welche es rechtfertigen, diesen Aufwand zu treiben, werden diese Daten nicht nur verschluesselt aufzufinden sein ( Telefon ist eine Sache, die Daten sind oft in einer zusaetzlich gesicherten App gespeichert) sondern lange remote gewiped sein bis Du das Telefon ins Labor geschafft hast und versuchst es durch face ID zu entsperren. Also das Passwort waere einfacher. Das wirst Du frueher oder spaeter sowiso brauchen.

  13. Re: KUDOS

    Autor: Sea 28.11.17 - 11:08

    Der Aufwand für "große Konzerne" vor allem mal, das man jemanden braucht, der Kriminell genug ist sowas durch zu ziehen. Und wenn man den hat, braucht man keine Maske und all den Scheiss. Dann reicht ein Knüppel und 10 Sekunden unbeobachtet sein.
    -> Niederknüppeln, iPhone aus der Tasche ziehen und ihm vors Gesicht halten. Abhauen und dabei das Display aktiv halten ...

  14. Re: KUDOS

    Autor: Trollversteher 28.11.17 - 11:15

    >Hört sich schon bisschen an wie eine Fanboyaussage.

    Nein, im Gegenteil, das hört sich nach einer objektiven aussage ganz ohne Fanboy-Hintergedanken an.

    >Nach deiner Aussage ist auch MD5 noch sicher.

    Extrem schlechter Vergleich.

    >Für Otto-Normaluser ist das Ganze vlt. sicher genug, sobald man aber brisantere Infos auf dem Gerät speichert (was in der Geschäftswelt nicht ganz unüblich ist, Cloud sei dank) endet das nicht gut.

    Diese Funktion ist *exakt* aund *ausschliesslich* für "Otto-Normaluser" gedacht, der sich das regelmäßige Eingeben des PINs sparen möchte. Es ist keine Sicherheitsfunktion für sensible, streng geheime Daten und das wollte es auch nie sein.

    >Natürlich wird die Freundin sich keinen Steinmehl-3D Drucker anschaffen, nur um ihren Freund überwachen zu können, aber wenn wir mal zwischen die Konkurrenz zwischen Multimilliardenkonzernen denken ... da sind solche Möglichkeiten schon wahrscheinlicher. Und das wird auch im Text erwähnt - es soll im Geschäftsumfeld nicht verwendet werden.

    Natürlich nicht, wer im Geschäftsumfeld sensible Daten mit sich herumträgt, der sperrt sein iPhone weder mit FaceID noch mit einem 4 stelligen PIN, sondern mit einem komplexeren Passcode.

    >Hätte hier Apple einen 10stelligen Passcode hinterlegt, der mit bcrypt verschlüsselt ist, hätte man von "sicher" sprechen können. Auch für das Businessumfeld. Aber FaceID ist nicht sicher.

    Genau das hat Apple getan, und noch viel mehr, neben dem 10 stelligen Passcode gibt es auch noch die Möglichkeit einer "Passphrase" mit beliebig langen Zeichenketten. Face ID ist nur *eine* Option unter vielen, und bei weitem nicht die mit dem höchsten Sicherheitsgrad.

  15. Re: KUDOS

    Autor: Trollversteher 28.11.17 - 11:19

    >Warum Folter. Totalitäre Staaten müssen ja das Telefon der festgesetzten Person nur vor das Gesicht halten. Die brauchen das nicht.

    Weil ein Benutzer, der Daten auf seinem Smartphone mit sich herumträgt die sein Leben gefährden können, sein iPhone nicht mit FaceID sperren, sondern eine der sicheren Methoden verwenden wird? Diese Funktion ist weder für Geheimagenten noch für hochrangige Geheimnisträger, noch für oppositionelle Widerstandskämpfer in Diktaturen gedacht, sondern für den "harmlosen" Ottonormalverbraucher der sich das mühsame ständige Eintippen eines PINs oder einer Passphrase ersparen möchte.

  16. Re: KUDOS

    Autor: non_existent 28.11.17 - 11:46

    Trollversteher schrieb:
    --------------------------------------------------------------------------------
    > Diese Funktion ist *exakt* aund *ausschliesslich* für "Otto-Normaluser"
    > gedacht, der sich das regelmäßige Eingeben des PINs sparen möchte. Es ist
    > keine Sicherheitsfunktion für sensible, streng geheime Daten und das wollte
    > es auch nie sein.

    Und weil etwas NUR für unsensible Daten gedacht ist, ist es plötzlich sicher?

    Biometrische Sicherheitsverfahren sind vermutlich das Unsicherste, was wir haben. Punkt. Das ist meine Kernaussage.

  17. Re: KUDOS

    Autor: Trollversteher 28.11.17 - 11:53

    >Und weil etwas NUR für unsensible Daten gedacht ist, ist es plötzlich sicher?

    Richtig. Weil die Anwendung die Anforderung diktiert. Man bezeichnet einen Kinderwagen auch nicht als "unsicher", weil er keine kugelsicheren Scheiben hat und in einer Schießerei keinen Schutzt bietet.

    >Biometrische Sicherheitsverfahren sind vermutlich das Unsicherste, was wir haben. Punkt. Das ist meine Kernaussage.

    Das ist total überzogener Quatsch, und objektiv Unsinn. Ein vierstelliger PIN ist unsicherer, ein "Swipe" entsperren ist ebenfalls unsicherer und ein Passwort welches sich erraten lässt, weil es auf persönlichen Daten oder bekannten Worten basiert ebenfalls - und ein ungesperrtes Smartphone sowieso. Und wer sein Gerät rootet und Software aus unsicheren Quellen installiert kann genau so gut gleich sein Gerät ungesperrt herumliegen lassen.

    Was viele nicht kapieren: Biometrische Entsperrfunktionen in Consumer-Geräten sind keine Sicherheitsverfahren, sondern Komfortfunktionen, Erleichterungen, die das Entsperren auf Kosten der Sicherheit bequemer machen sollen.

    Wie gesagt, Sicherheit ist kein absolutes Gut, es gibt immer nur relative Sicherheit, und die muss eben dem Anwendungszweck entsprechend gewährt sein.



    1 mal bearbeitet, zuletzt am 28.11.17 11:57 durch Trollversteher.

  18. Re: KUDOS

    Autor: fanreisender 28.11.17 - 12:48

    > Na zum Glück zwingt dich Apple ja nicht FaceID zu verwenden. Numerische
    > oder komplexe Passwörter können natürlich weiterhin verwendet werden.
    > FaceID setzt ja eh einen gesetzten Passcode voraus. Wenn einem das also zu
    > unsicher ist, einfach deaktivieren.

    Wusste ich nicht. Nach den ganzen Diskussionen klang das, als wäre Face-ID die einzige Zugangsmöglichkeit.
    Wenn das Ganze lediglich eine von mehreren Optionen ist, dann sprechen wir doch von einem Sturm im Wasserglas. Bequemlichkeit hat ihren Preis, u.a. auch den der Sicherheit.

  19. Re: KUDOS

    Autor: underlines 28.11.17 - 13:04

    Mehrfach erwähnt: "Remote Wipe" würde die Aktion sinnlos machen.

    Zwei Möglichkeiten dagegen:

    -> SIM Karte entfernen, iPhone hat keine Datenverbindung. Remote-Wipe funktioniert nicht
    -> iPhone gleich nach Akquise mit GSM jammer versehen, oder in Elektromagnetisch abgeschirmte Box packen.

  20. Re: KUDOS

    Autor: Trollversteher 28.11.17 - 13:11

    >Zwei Möglichkeiten dagegen:

    >-> SIM Karte entfernen, iPhone hat keine Datenverbindung. Remote-Wipe funktioniert nicht
    >-> iPhone gleich nach Akquise mit GSM jammer versehen, oder in Elektromagnetisch abgeschirmte Box packen.

    Also erstens muss das Gerät ja irgendwann wieder ins Netz, wenn es den benutzt werden soll. Und die Remote-Wipe bzw "Find my iPhone" Funktion lässt sich nicht ohne die Apple ID und das zugehörige Passwort deaktivieren.

    Zweiten hilft dann immer noch die Sperrung per PIN oder Passcode, denn auch bei aktiver Face ID muss in regelmässigen Abständen (afaik einmal pro Tag) die PIN zusätzlich zur biometrischen Entsperrung eingegeben werden, das war auch schon bei "TouchID" so.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. über duerenhoff GmbH, Raum Hannover
  2. WEINMANN Emergency Medical Technology GmbH & Co. KG, Hamburg
  3. Klinikum Esslingen GmbH, Esslingen
  4. Stromnetz Hamburg GmbH, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-20%) 47,99€ (Release April 2021)
  2. 18,69€
  3. gratis


Haben wir etwas übersehen?

E-Mail an news@golem.de


Bauen: Ein Hochhaus aus Holz für Hamburg
Bauen
Ein Hochhaus aus Holz für Hamburg

Die weltweite Zementherstellung stößt jährlich mehr CO2 aus als der Luftverkehr. Ein nachwachsender Rohstoff soll Bauen umweltfreundlicher machen.
Ein Bericht von Werner Pluta

  1. Transformation Söder will E-Auto-Gutschein beim Kauf von Verbrennern
  2. Kohlendioxidabscheidung Norwegen fördert Klimaschutzprojekt mit 1,5 Milliarden Euro
  3. Rohstoffe Kobalt-Kleinbergbau im Kongo soll besser werden

IT-Jobs: Die schwierige Suche nach dem richtigen Arbeitgeber
IT-Jobs
Die schwierige Suche nach dem richtigen Arbeitgeber

Nur jeder zweite Arbeitnehmer ist mit seinem Arbeitgeber zufrieden. Das ist fatal, weil Unzufriedenheit krank macht. Deshalb sollte die Suche nach dem passenden Job nicht nur dem Zufall überlassen werden.
Von Peter Ilg

  1. Digitalisierung in Firmen Warum IT-Teams oft übergangen werden
  2. Jobs Unternehmen können offene IT-Stellen immer schwerer besetzen
  3. Gerichtsurteile Wann fristlose Kündigungen für IT-Mitarbeiter rechtens sind

Apple: iPhone 12 bekommt Magnetrücken und kleinen Bruder
Apple
iPhone 12 bekommt Magnetrücken und kleinen Bruder

Das iPhone 12 ist mit einem 6,1-Zoll- und das iPhone 12 Mini mit einem 5,4-Zoll-Display ausgerüstet. Ladegerät und Kopfhörer fallen aus Gründen des Umweltschutzes weg.

  1. Apple iPhone 12 Pro und iPhone 12 Pro Max werden größer
  2. Apple iPhone 12 verspätet sich
  3. Back Tap iOS 14 erkennt Trommeln auf der iPhone-Rückseite