angezien de aanvaller een tweede PC aan de computer moet
koppelen die wordt aangevallen...

Dus de 2e pc moet gekoppeld worden dmv een andere manier dan
via een netwerk/ internet?
Ik denk dat de meeste 'hacks' plaatsvinden dmv een 2e
computer al dan niet via internet.

En eerlijk is eerlijk > heb het artikel niet volledig gelezen..

T

Wat lees je altijd over passwords? Als je veilig wil zijn, moet je
voor elke site een ander password gebruiken, en die eigenlijk ook
nog af en toe aanpassen. Wat doet Microsoft? Ze laten mensen
overal hetzelfde wachtwoord gebruiken (de vingerafdruk) wat
vervolgens ook nog eens niet aan te passen is (of hooguit 10x).

Er zijn misschien twee pc's nodig voor een aanval, maar het moet vrij
eenvoudig zijn een embedded versie te maken, dus in een klein,
handzaam kastje.

Hoe is het in hemelsnaam mogelijk dat Microsoft een fingerprint device
maakt en zo langs de kant van de weg aanmoddert...Onbegrijpelijk! Een
onversleutelde verbinding....Ik begin zo langzamerhand te geloven dat
Klungel-Smurf in Redmond voor het zeggen heeft gekregen!

wat een onzin-artikel weer

Volgens mij gaat er helemaal geen vingerafdruk informatie
over het net... en die info valt dus ook niet te sniffen.

Met de vingerafdruk reader wordt op de PC een database
aangelegd waar een username-wachtwoordcombi PER website
wordt opgeslagen MET de vingerafdruk. Op het moment dat je
moet inloggen op een bepaald webadres zal de
vingerafdruklezer ACCOUNT en PASSWORD naar de website
sturen net zoals het toetsenbord dat normaal doet.

Je kunt dus prima unieke naam-wachtwoord combi's per website
gebruiken, maar die - of allemaal door je browser laten
onthouden, waardoor je overal vanzelf inlogt - of door de
fingerprint-reader laten onthouden, waardoor je automatisch
NA invoeren fingerprint kunt inloggen.

Eerst even goed lezen. Overigens heeft mijn keyboard ook geen beveiligde
verbinding met de PC als ik mijn wachtwoord type.

lees het rapport voor meer begrip, oordeel niet zo snel.

Micrsoft maakt het device niet, digital persona maakt hem.

Op USB driver info, 1 bit (voor encryptie aan) en behuizing na is device
identiek aan uru 4000 sensor.

Mikko Kiviharju is verder een goede internetter die met gegevens waarop
anderen hebben gewezen (in dit geval was ik het) een presentatie geeft op
basis van informatie die hij niet zelf bij elkaar gesprokkelt heeft zonder
bron vermelding.

Verder heb ik hem er op gewezen dat replay attack bij geen enkele officiele
SDK kit die uru4000 of microsoft scanner ondersteunen. (er zijn een paar
niet door vendor goedgekeurde SDK kits die de scanners ondersteunen
maar waarvan dit onbekend is).

Verder moet je administrator access hebben om een usbsniffer te
installeren of je moet er fysiek bij kunnen (usb onpluggen kun je
detecteren) maar in beide gevallen heb je veel grotere problemen.

Los hiervan staat er letterlijk op de verpakking dat het geen security device
is en dat je hem hier ook niet voor kunt gebruiken.
Het is niets meer of minder dat een website password manager, maar als
jij al reeds administrator bent of fysiek toegang hebt, zul je wellicht niet
geïntresseerd zijn in een paar website passwords....

Hierop heb ik mijnheer Kiviharju ook op gewezen.

Verder heeft hij niets gehacked, hij heeft net als vele andere ontdekt dat
images onversleuteld worden verzonden.
Maar dat je met 1 bit de encryptie aan zet en dan de firmware identiek is
aan de uru4000 die standaard encryptie aan heeft staan, heeft hij van mij
te horen gekregen.

Verder is er maar slechts 1 echte hacker van het device, dat is een brit die
met ondersteuning van mij een device driver voor linux heeft geschreven.

Enige nuance op mijn vorige reactie.

Ten eerste maakt hij in de PDF van de presentatie duidelijk aan de hand
van de help tekst van Digital Persona password manager (dat
meegeleverd word) dat het geen security oplossing is, maar er is geen
verwijzing dat het op de doos op de buitenkant ook vermeld is.

Ten tweede hij vermeld wel de link naar de linux driver development project.
Niet volledige bron vermelding want ook hierop heb ik hem gewezen.

Ten derde hij heeft het over de Giaule SDK kit, deze is geen officiele kit
voor digital persona, sterker nog, men mag de Microsoft scanner als ook
de U.r.U 4000 niet gebruiken (volgens de licentie) met software die niet
met een goedgekeurde SDK is gemaakt. Officieel mag men de uru ook
niet eens los verkopen aan een afnemer indien men niet zeker weet of
men er volgens licentie voorwaarden gebruik van gaat maken.

Ten vierde volledige bron vermelding ontbreekt.

De kans dat er ooit een commercieële applicatie verkocht word met SDK
van Griaule is klein, immers men heeft geen enkele relatie met Digital
persona en schenden de licentie voorwaarden.