NilsK 2.957 Geschrieben 14. Juli 2015 Melden Teilen Geschrieben 14. Juli 2015 Moin, also, ich bin weiterhin für Differenzierung. Es geht hier nicht um Hochsicherheitstrakte, sondern um die Absicherung alltäglicher Vorgänge. Nicht mehr, aber eben (und vor allem) nicht weniger. [besser mit Touch | heise Security]http://www.heise.de/security/artikel/Besser-mit-Touch-1965801.html Jürgen Schmidt ist nicht irgendwer, und er steht mit der Einschätzung nicht alleine. Und dass sich die Spezialkameras verbreiten werden, ist beabsichtigt und natürlich kein Problem, sondern prinzipiell ein Gewinn. Das ist ja gerade der Witz daran. Solange es gängige Praxis ist, dass auch IT-Profis für wichtige Systeme Lulli-Kennwörter verwenden, halte ich alternative Methoden für einen grundsätzlichen Gewinn, auch wenn sie (wie jede andere Methode) keinen 100-Prozent-Schutz bieten. Gruß, Nils PS. Microsoft speichert die Biometrie-Daten für Windows Hello eben nicht in der Cloud. [Making Windows 10 More Personal and More Secure with Windows Hello | Blogging Windows]http://blogs.windows.com/bloggingwindows/2015/03/17/making-windows-10-more-personal-and-more-secure-with-windows-hello/ Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 14. Juli 2015 Melden Teilen Geschrieben 14. Juli 2015 Da werden wir wohl zu keinem Konsens kommen. Fingerabdrücke sind sinnlos. Erstens kann man sie ganz leicht fälschen und zweiten haben Behörden sie dank Personalausweis, Reisepass etc frei Haus geliefert bekommen. Diverse Privtfirmen verwenden sie auch. Man muss sie also als "bekannt" ansehen. Das mit den Spezialkameras war dein Argument. Die neue Gesichtserkennung mit Windows Hello wird sich eben nicht so einfach austricksen lassen. Sie braucht dafür auch spezielle Hardware (neuartige Kamera) Das diese Hardware in absehbarer zeit eben nicht mehr speziell sein wird macht dein Argument eben nichtig.Ich freu mich schon auf den ersten Vortrag zum Thema. Ich habe gar nicht gegen zusätzliche Metoden zu Passwörtern, ich habe nur was gegen die Vorstellung das Biometrie das Problem mit den schwachen Passwörtern löst. Ich halte das nur für eine scheinbare Erhöhung der Sicherheit die im Zweifelsfall eher gefährlicht ist: "ich brauch kein vernünftiges Passwort, ich hab ja Biometrie". Deinem Link nach wird doch lokal gespeichert? Damit wäre wenigstens dieses Prolem gelöst, bleibt der, in meinen Augen, nur scheinbare Sicherheitsgewinn. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 14. Juli 2015 Melden Teilen Geschrieben 14. Juli 2015 Moin, ich kann deinen Argumenten nicht ganz folgen. Nur dem, dass wir uns hier wohl nicht einigen werden. :D Warum soll es ein Problem sein, wenn die speziellen Kameras weit verbreitet sind? Der Sicherheitsgewinn liegt ja nicht darin, dass niemand diese Kameras hätte. Er liegt darin, dass diese Kameras über Technik verfügen, die sich nicht so einfach austricksen lässt. Einfache Fotos reichen dafür nicht aus. Und nein, natürlich ist diese Technik nicht zu 100 Prozent sicher. Welche Alternative hattest du noch genannt, die dieses Kriterium erfüllt? Das Argument mit den Fingerabdrücken, die bei Behörden liegen, erschließt sich mir ebenfalls nicht. Warum soll dies grundsätzlich die Authentisierung an einem konkreten Gerät unsicher machen? Weil Angreifer grundsätzlich in der Passbehörde arbeiten und sich vorher gezielt den richtigen "Abdruck" raussuchen? (Der dort im übrigen gar nicht gespeichert ist, es liegen ja nur Identifikationsdaten vor, die auf dem Abdruck beruhen, ähnlichen einem Kennworthash.) Ein Sicherheitsgurt im Auto schützt auch nicht vor jedem Schaden. Trotzdem nutze ich ihn selbstverständlich. Gruß, Nils Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 14. Juli 2015 Melden Teilen Geschrieben 14. Juli 2015 Wozu Sicherheitsgurt, du hast doch einen Airbag... Mit den Kamera hatte ich wohl deinen Satz falsch verstanden. Das Problem mit den Fingerabdrücken ist das man sie weit streut. Abgesehen davon das man sie auf dem zu hackendem Gerät hinterlässt werden sie nunmal auch digital immer öfter gespeichert, im ePass z.B. anderenors in Dauerkarten für Schwimmbäder etc. Ist der einmal irgendwo gespeicher ist er nunmal "verbrannt". man verwendet ja bei verschiedenen Diensten auch verschiedenen Passwörter. 100%ige Sicherheit gibt es nicht. Die Biometrie hat aber nunmal den Nachteil das sie nicht auf "Wissen" sondern auf "Haben" basiert, und zwar auf einem unveränderlichen "Haben". Im übrigen: nur weil man etwas als schlecht bezeichnet muss man noch lange keine bessere Lösung anbieten können. Dieser Logik nach dürfte ich auch schlechtes Essen nicht kritiseren nur weil ich nicht besser kochen kann. Für PCs gibts diverse günstige SecurityTokens. Für mobiles hab ich leider auch keine wirklich gute Idee. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 15. Juli 2015 Melden Teilen Geschrieben 15. Juli 2015 Moin, man muss aber auch nicht an jedem Essen herummäkeln, nur weil es anders schmeckt, als man es gewohnt ist. Als Vater weiß ich, wovon ich rede. ;) Ich verstehe die grundsätzlichen Vorbehalte durchaus. Sie führen mich aber nicht dazu, einen neuen Ansatz pauschal abzulehnen. Gruß, Nils Zitieren Link zu diesem Kommentar
s_sonnen 20 Geschrieben 15. Juli 2015 Melden Teilen Geschrieben 15. Juli 2015 Hi Ihr Zwei. Da werden wir wohl zu keinem Konsens kommen. Müßt Ihr nicht, werdet Ihr wohl auch nicht, ... und geben tut's da wohl auch keinen. Grundlegend wichtig ist doch eher die Tatsache, daß die allgemeine Sicherheit für alle, also kritische und unkritische, Situationen angehoben wird. Der Bauer mit den großen Kartoffeln wird durchaus davon profitieren können, daß die "eingebaute" Sicherheit höher ist, schließlich will er sich ja nicht extra darum kümmern müssen und wenn's ein bißchen sicherer wird wird er's nehmen, ... und wahrscheinlich nicht mal bemerken. Wenn sich das Sicherheitsniveau erhöht dann wird's für die 08/15-Angriffe auch ein bißchen schwerer, eh schon sicherheitskritische Bereiche können ja nach wie vor auf ein zwei- oder mehrstufiges System zurückgreifen. Sensible Bereiche wirklich gegen jeden vorstellbaren Sicherheits-GAU abzusichern dürfte wohl nicht machbar sein, eine hohe Sicherheitsstufe jedoch schon (ich kann mich da an einen James-Bond-Film erinnern in dem eine Netzhaut verpflanzt wurde um den Irisscanner zu bedienen). ciao und einen angenehmen Mittwochnachmittag M. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 15. Juli 2015 Melden Teilen Geschrieben 15. Juli 2015 Grundlegend wichtig ist doch eher die Tatsache, daß die allgemeine Sicherheit für alle, also kritische und unkritische, Situationen angehoben wird. Genau das ist aber doch die Frage. Ich behaupte hier wird Sicherheit vorgegaukelt die gar nicht vorhanden ist. Aber lassen wir das lieber. Wer das nutzen möchte soll das tun. Ich bin einfach gespannt wie das System geknackt wird. Foto auf 38° aufwärmen und rund biegen o.ä. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 15. Juli 2015 Melden Teilen Geschrieben 15. Juli 2015 If you have an audio recording of somebody typing on an ordinary computer keyboard for fifteen minutes or so, you can figure out everything they typed. https://freedom-to-tinker.com/blog/felten/acoustic-snooping-typed-information ALARM! Passwörter sind nutzlos! Ein simples Aufzeichnungsgerät reicht aus und wir sind alle doomed. Ich behaupte, bei Passworten wird Sicherheit vorgegaukelt, die gar nicht vorhanden ist. Verstehst Du die Analogie? Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 15. Juli 2015 Melden Teilen Geschrieben 15. Juli 2015 Das Passwort kann ich im Zweifelsfall alle halbe Stunde ändern oder nutzte Einmalpasswörter. Wie ändere ich noch mal meine Fingerabdruck oder mein Gesicht? Ich denke das erklärt das Problem mit Biometrie. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 15. Juli 2015 Melden Teilen Geschrieben 15. Juli 2015 (bearbeitet) Noch einmal: Du verwechselst Passwort mit biometrischen Merkmalen. Das ist nicht das gleiche: http://devtechnology.com/emerging-biometric-technology-revocable-biometric-features/ und http://www.scholarpedia.org/article/Cancelable_biometrics Weiterhin gibt es durchaus Unterschiede in der Fälschungssicherheit bei biometrischen Sensoren:http://www.ifsecglobal.com/truth-is-the-key-addressing-criticism-of-biometrics/ Ich kann auch weitermachen mit meinem Beispiel: Das Passwort zu ändern nutzt Dir gar nichts, wenn ich beim nächsten Eintippen über die Tippgeräusche das Passwort wieder erfahre. ALARM! Passworte sind sinnlos!!! bearbeitet 15. Juli 2015 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 16. Juli 2015 Melden Teilen Geschrieben 16. Juli 2015 Einmalpasswörter! ich verwechsle nichts, mir ist der unterschied klar. Da hier das Gesicht als Ersatz für ein Passwort genutzt werden soll ist der Unterschied aber zu vernachlässigen wenn man die Sicherheit vergleicht. mist, jetzt hab ich doch wieder was dazu geschrieben... Dsd mit den tippgeräuschen klappt übrigens nicht bei z.b. Touchscreens sondern nur bei "klackernden" tastaturen. der wechselintervsll ist beliebig und bei det eingabe könnte verlangen das eine variable anzahl an zeich vor und nach dem passwort getippt werden muss. viele möglichkeiten. wie war das noch mal mit dem gesicht? Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 16. Juli 2015 Melden Teilen Geschrieben 16. Juli 2015 Moin, nein, du hast es anscheinend immer noch nicht verstanden ... :( Das Gesicht musst du gar nicht ändern. Niemand außer dir hat dein Gesicht. Ändern muss man die Fehleranfälligkeit der Gesichtserkennung, damit man ihr nicht so leicht etwas vorgaukeln kann. Genauso verhält es sich mit Fingerabdrücken und allen weiteren biometrischen Merkmalen. Dass der Stand der Technik nicht für jedes Szenario ausreichend sicher ist, ist ein anderes Thema. Genau deshalb zwingt Windows 10 ja auch niemanden, auf eine bestimmte Technik umzusteigen. Und niemand verlangt, dasselbe Verfahren für alle Zwecke einzusetzen. Und wie genau wolltest du Einmalpasswörter bei Nicht-Enterprise-Systemen umsetzen? (Nein, wir müssen das nicht diskutieren, nimm es als Hinweis, dass es nun mal nicht so einfach ist und dass es kein "One size fits all" gibt.) Gruß, Nils Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 16. Juli 2015 Melden Teilen Geschrieben 16. Juli 2015 (bearbeitet) Was mir immer wieder auffällt, ist die Annahme, dass etwas 100% perfekt sein muss, um eine bestehende Technik abzulösen. Sei die alte Technik noch so löchrig - mit deren Problemen lebt man aber und hat gelernt, sie zu ignorieren. ... Ausserdem muss man Biometrie ja nicht als alleinigen Authentikator nutzen. Denk mal an Zwei-Faktor-Authentifizierung zum Beispiel. Damit sind wir wieder am Anfang der Diskussion. BTW: Biometrische Merkmale sind etwas, das man ist. Passworte sind etwas, was man weiß. Einmalpassworte sind etwas, was man hat. Deine Kritik an Biometrie zielt darauf ab, dass sie an etwas anknüpft, was man ist. Das ist aber der Kern. Biometrie soll ja gerade nicht etwas sein, was man hat oder weiss. Du argumentiertest am Anfang dagegen, dass es besser ist, etwas zu haben, was man weiß. (Passwort) und schwenkst dann um auf etwas, was man hat (Einmalpasswort). Inwieweit wäre denn eine TAN-Liste sicherer? Beim Onlinebanking haben sich diese nicht als besser herausgestellt. Lies mal hier weiter: https://www.cs.cornell.edu/courses/cs513/2005fa/nnlauthpeople.html bearbeitet 16. Juli 2015 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
jostrn 13 Geschrieben 16. Juli 2015 Melden Teilen Geschrieben 16. Juli 2015 BTW: Biometrische Merkmale sind etwas, das man ist. Passworte sind etwas, was man weiß. Einmalpassworte sind etwas, was man hat. Deine Kritik an Biometrie zielt darauf ab, dass sie an etwas anknüpft, was man ist. Das ist aber der Kern. Biometrie soll ja gerade nicht etwas sein, was man hat oder weiss. Das Kernproblem biometrischer Merkmale ist die Erkennungstechnik, wie Nils schon ausführte. Wären die Sensoren fälschungssicher, dann wäre das Verfahren optimal. Insoweit broken by implementation, statt broken by design! Jedes Authentifizierungsverfahren läßt sich mit entsprechendem Aufwand brechen, Sicherheit an sich ist ein Konstrukt, kein Faktum ;-) 2 Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 16. Juli 2015 Melden Teilen Geschrieben 16. Juli 2015 Manche Anwender wollen eventuell -warum auch immer- ihre biometrischen Daten nicht ihrer Firma geben. Da hilft keine Diskussion und keine Überzeugungsarbeit weiter. Zwingen kann man niemanden zur Biometrie, kündigen deswegen auch nicht. Damit bräuchte die Firma für diesen Personenkreis ein paralleles Ersatzauthentificationssystem wie z.B. Smartcard, was aber wieder Aufwand für eine PKI-Struktur bedeutet. Es gibt auch Länder wie Frankreich, die die zentrale Speicherung biometrischer Daten juristisch nicht erlauben. Bei Fingerprint kommt dazu, dass ein gewisser Prozentsatz (~0.5%) der Menschheit keinen einzigen geeigneten Finger mit einem genügend stark ausgeprägtem Fingerabdruck zum Scannen besitzt. Fingerprint als zweiter Faktor zum Authentisieren ist wirklich geil und meines Erachtens sehr sicher, aber es hat auch grundsätzliche Probleme. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.