Expert: pink is veiligste vinger voor iPhone Touch ID
Eigenaren van een iPhone 5S die de vingerafdruklezer gebruiken om het toestel te ontgrendelen, kunnen dit het beste met de pink doen. De pink wordt namelijk niet gebruikt voor de navigatie op de telefoon en is ook het moeilijkst om van een oppervlak te halen. Dat stelt beveiligingsexpert Robert Graham.
Een Duitse hacker wist met een foto van een vingerafdruk een vinger van latex na te maken waarmee de iPhone werd ontgrendeld. "Veel mensen beweren dat deze hack 'teveel werk is', dat is helemaal niet het geval", stelt Graham. "Alleen omdat het voor jou teveel werk is, houdt dit niet in dat het teveel werk is voor een detective die door je ex-man is ingehuurd. Of het zoontje van de buren. Of een FBI-agent", gaat de expert verder.
Pink
Daarnaast zou de helft van de gebruikers hun toestel niet vergrendelen omdat het invullen van een viercijferige pincode teveel werk is als ze de telefoon willen gebruiken. Als deze gebruikers Touch ID gebruiken in plaats van helemaal geen bescherming zijn ze veiliger dan voorheen.
Graham geeft daarnaast ook een tip om de hack te omzeilen. Namelijk het gebruik van de ringvinger of pink, aangezien die niet op de telefoon zelf worden gebruikt en lastiger te achterhalen zijn.
Twee-factor authenticatie
Eerder werd al gesteld dat Apple twee-factor authenticatie zou moeten invoeren, zodat de vingerafdruklezer in combinatie met een pincode kan worden gebruikt. Die oproep wordt herhaald door Marc Rogers van beveiligingsbedrijf Lookout. "De vingerafdruk en een viercijferige pincode is een combinatie die sterk genoeg is om de gebruiker tegen de meeste scenario's van fysieke diefstal tot phishingaanvallen te beschermen."
Rogers stelt dat als het goed geïmplementeerd zou worden, twee-factor authenticatie met Touch ID binnen bedrijven een goede bescherming tegen phishingaanvallen zou kunnen bieden. "Je kunt een gebruiker misleiden om zijn wachtwoord te geven, maar het is veel lastiger om de gebruiker zijn of haar vingerafdrukken van de andere kant van de wereld weg te laten geven."
Alleen gaat die gebruikers eerst zijn/haar telefoon unlocken door middel van de vingerafdruk en daarna het phishingmailtje of de SMS ontdekken. Niet andersom.
Zeg maar http://xkcd.com/538/ voor biometrie. Alleen dan in het echt.
Merk op dat ook als de lezers "verbeterd" worden dat ze niet werken met dode vingers, je nog steeds je vingers kwijt bent, wellicht onherroepelijk, aan criminelen die dat nog niet doorhadden. Doe mij dan maar een sleutel die ik (sidderend en bevend, maar heelhuids) af kan geven.
Persoonlijk heb ik geen PIN op de SIM -- het is een naamloze prepaid en als'ie weg is, is'ie weg. Het zou wel mooi zijn als ik mijn contacten en wat er verder nog zoal op staat kon versleutelen maar daar helpen vingerafdruklezers niet tegen. En er is geen enkele manier dat een grootbedrijf als apple dat in voldoende robuustheid gaat leveren.
Wat er op neerkomt dat de boel "verzekeren" met (vervolgens makkelijk omzeilbare!) afsluitmechanismen een leuk marketeeringideetje is waar je een hoop moeite voor moet doen maar waar je relatief weinig aan hebt. Als gebruiker danwel als beheerder van een bedrijfsvloot.
Een op-afstand-wissen functie heeft geen algemene afsluitmogelijkheden nodig, en de bestaande afsluitingen zijn al niet sterk genoeg om de tijd tussen moedwillig gejat (of inbeslagname door d'een of d'andere overheidshurk van om het even welke datasteeloverheid) en erachterkomen en opdrachtgeven tot dat wissen en onbruikbaarmaken te overbruggen. Met andere woorden, dit is honderd procent schijnzekerheid, en daarmee beveiligingskwakzalverij.
Een "expert" die zich druk maakt over welke vinger je moet gebruiken maar deze tuinvijverwalvis over het hoofd ziet kan ik dientengevolge ook niet erg serieus nemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
