Gezichtsherkenning tientallen smartphones met foto te omzeilen
De gezichtsherkenning van tientallen smartphones is met een goede foto te omzeilen, zo blijkt uit onderzoek van de Consumentenbond. Voor het onderzoek werd de gezichtsherkenningsfunctie van 110 toestellen getest. Bij 42 toestellen was het mogelijk om het toestel met een foto te ontgrendelen.
Het gaat onder andere om de Samsung Galaxy A7 en A8, Huawei P20, P20 Lite en P20 Pro, Nokia model 3.1 en 7.1 en Sony Experia XZ2 en XZ2 Compact die met een goede portretfoto van de telefoongebruiker om de tuin zijn te leiden. De Consumentenbond adviseert om bij deze toestellen alleen een vergrendelcode of een andere vorm van biometrische beveiliging in te stellen, of een combinatie van beide. De Honor 7A en vijf toestellen van LG waren ook met een foto te ontgrendelen, maar gebruikers kunnen bij deze toestellen de gezichtsherkenning wel 'strikter' instellen.
"Bij het instellen van gezichtsontgrendeling tonen telefoons vaak wel een waarschuwing dat de techniek niet zo veilig is als andere. Maar dat de beveiliging zó zwak is, zal niet elke gebruiker aannemen", aldus de Consumentenbond.
Reacties (28)
Maar ook iPhone gebruikers zou ik af willen raden om biometrie te gebruiken voor authenticatie, gewoon biometrie helemaal NIET gebruiken.
03-01-2019, 09:56 door
spatieman
leuke optie, maar onveilig als hell.
Toch leuk dat iedere keer weer blijkt dat de makers en invoerders van al die biometrie de zogenaamd onfeilbare veiligheid maar gewoon aannemen. En dus helemaal niet eens zelf de simpelste truuks proberen zodat ze weten wat ze in huis hebben. Best kans dat de ontwikkelaars zelf fotos gebruikt hebben om te kijken of hun sensoren tenminste iets detecteerden.
Het is geen onverwachte ontwikkeling. Gezichtsherkenning meet de relative afstand tussen diverse kenmerkende punten van het gezicht vanaf een foto die het zelf maakt. In een foto van hetzelfde gezicht zal, mits invalshoek en dergelijke gelijk genoeg zijn, hetzelfde gemeten worden. Dat gezichtsherkenning overweg moet kunnen met verschillende invalshoeken, belichting en andere variabelen maakt dat het bepaalde imperfecties moet kunnen tolereren en maakt de 'hack' alleen maar eenvoudiger.
Is het daarmee waardeloos? Nee. Voor allerlei triviale doelstellingen waar de risico's van identiteitsfraude en false positives/negatives nauwelijks impact hebben, is het een gemakkelijke manier van authenticatie. Maar voor meer kritische toepassingen moeten we ons wel vijf keer bedenken voor we er mee willen werken.
Is het daarmee waardeloos? Nee. Voor allerlei triviale doelstellingen waar de risico's van identiteitsfraude en false positives/negatives nauwelijks impact hebben, is het een gemakkelijke manier van authenticatie. Maar voor meer kritische toepassingen moeten we ons wel vijf keer bedenken voor we er mee willen werken.
Ik zie geen probleem, gezichtsherkenning is een goede preventie tegen broekzak bellen op mijn verder onbeveiligde telefoon.
Oud nieuws, dit is zo ontzettend simpel, en geldt ook voor veel andere camera systemen. Het is niet voor niks zo dat je voor goede en veilige gezichtsherkenning toepassing dit onder toezicht moet doen. Dus is het voor je telefoon eigenlijk helemaal niet geschikt. En dat geldt natuurlijk ook voor toepassingen als je geen valse vingers wil toestaan. De gezichtsherkenning van de iphone heb ik nog niet kunnen foppen, maar met een 3d gezicht lukt dat misschien ook wel.
Makkelijk voor AI of is het AU om je werkelijkheid aan te passen. Fake news te leveren op bestelling. We moeten snel weg met decentrale BAT token gedreven eigen interpretatie. Ik wil mijn "eigen" wereld, niet die bedacht door Facebook en Google achterna.
03-01-2019, 13:04 door
karma4
Een ontgrendelcode als 1234 is natuurlijk superveilig.
Bedenk even het is een telefoon. Met een t65 had je het misbruik op een andere manier onder controle dan een slot.
Bedenk even het is een telefoon. Met een t65 had je het misbruik op een andere manier onder controle dan een slot.
Door Anoniem: Het is geen onverwachte ontwikkeling. Gezichtsherkenning meet de relative afstand tussen diverse kenmerkende punten van het gezicht vanaf een foto die het zelf maakt. In een foto van hetzelfde gezicht zal, mits invalshoek en dergelijke gelijk genoeg zijn, hetzelfde gemeten worden. Dat gezichtsherkenning overweg moet kunnen met verschillende invalshoeken, belichting en andere variabelen maakt dat het bepaalde imperfecties moet kunnen tolereren en maakt de 'hack' alleen maar eenvoudiger.
Is het daarmee waardeloos? Nee. Voor allerlei triviale doelstellingen waar de risico's van identiteitsfraude en false positives/negatives nauwelijks impact hebben, is het een gemakkelijke manier van authenticatie. Maar voor meer kritische toepassingen moeten we ons wel vijf keer bedenken voor we er mee willen werken.
Is het daarmee waardeloos? Nee. Voor allerlei triviale doelstellingen waar de risico's van identiteitsfraude en false positives/negatives nauwelijks impact hebben, is het een gemakkelijke manier van authenticatie. Maar voor meer kritische toepassingen moeten we ons wel vijf keer bedenken voor we er mee willen werken.
Eerste alinea. Niets meer aan te te voegen. Precies dit.
Het heeft een gimmick factor die gebruikers op het verkeerde been zet want "leuk" en "scifi" zoals in films maar nu in je eigen broekzak. Het is volgens mij ern bewuste verkoop pitch want die "met gezichtsherkenning" wordt als nieuwtje genoemd bij de nieuwr modellen telefoons.
Weet iemand verder hoe en waar de data wordt opgeslagen in Android (directory, hashfunctie enz) en hoe (en of) dit vernuft bij Iphones ook zijn intrede heeft gemaakt?
leuke optie, maar onveilig als hell.
Ach, hoe groot is daadwerkelijk het risico dat je hierdoor loopt. En zou je graag veel meer betalen, voor onfeilbare biometrische controle ? Men neemt voor consumentenprodukten meestal niet de meest dure en geavanceerde techniek.
Toch leuk dat iedere keer weer blijkt dat de makers en invoerders van al die biometrie de zogenaamd onfeilbare veiligheid maar gewoon aannemen.
Toch leuk, dergelijke aannames. Fabrikanten maken ook een kosten/baten afweging. En op mijn telefoon verwacht ik niet dezelfde beveiliging, als bijvoorbeeld bij toegangscontrole op een zwaarbeveiligde lokatie. Wie zegt dat zij (of ik) onfeilbare veiligheid aannemen ?
Door karma4: Een ontgrendelcode als 1234 is natuurlijk superveilig.
Bedenk even het is een telefoon. Met een t65 had je het misbruik op een andere manier onder controle dan een slot.
Bedenk even het is een telefoon. Met een t65 had je het misbruik op een andere manier onder controle dan een slot.
Wie heeft het hier over 1234 als ontgrendelcode? Het gaat over gezichtsherkenning/biometrische gegevens als authenticatiemiddel wijk nou eens niet af van het onderwerp, reageren is niet verplicht hoor.
Het gebruik van biometrische gegevens onveilig, dat blijkt keer op keer. Natuurlijk kan je 10 verschillende bioparameters nemen samen met een toegangswachtwoord en een hardware token maar dat maakt die biogegevens totaal overbodig.
In combinatie met deze tech, zou het securitylevel ENORM verhoogd kunnen worden. Dat haalt foto's onmiddelijk onderuit.
http://www.eenewseurope.com/news/infineon-brings-60ghz-radar-technology-google-sensor-project
http://www.eenewseurope.com/news/infineon-brings-60ghz-radar-technology-google-sensor-project
Hierbij ook blogpost uit December afkomstig van OneSpan (voormalig VASCO)
https://blog.vasco.com/authentication/biometric-facial-recognition-software/
https://blog.vasco.com/authentication/biometric-facial-recognition-software/
60ghz? Dan moet je heel dichtbij zitten of veel vermogen leveren. Een stuk papier of een dikke beschermhoes over de foon cam zal al aardig absorberen.
Ben de naam kwijt van het github project. Ipv radar kun je netzogoed met software uit te voeten om een patroon te tekenen in de lucht of een voorwerp op kleur of vorm of ern combi van voorwerpen te gebruiken in de herkenningstraining voor secundaire inlog tokens. De software is er al en extra sensoren die stroom vreten zijn niet nodig. Leuk idee om te koppelen aan de PAM login ook. Dan weet je meteen waarom de systeembeheerder altijd eerst naar de camera zwaait of een hartje in de lucht tekent.
Door Rexodus: In combinatie met deze tech, zou het securitylevel ENORM verhoogd kunnen worden. Dat haalt foto's onmiddelijk onderuit.
http://www.eenewseurope.com/news/infineon-brings-60ghz-radar-technology-google-sensor-project
http://www.eenewseurope.com/news/infineon-brings-60ghz-radar-technology-google-sensor-project
Ik zou dan eerder voor een combinatie met warmtebeeld gaan, al is het alleen maar omdat Google erbij betrokken is.
Door Anoniem: ................, is het een gemakkelijke manier van authenticatie. .........
NEE!
het is een manier van IDENTIFICATIE, niet authenticatie daarom is het ook zo'n faal.
03-01-2019, 18:28 door
karma4
Door Anoniem:
Het gebruik van biometrische gegevens onveilig, dat blijkt keer op keer. Natuurlijk kan je 10 verschillende bioparameters nemen samen met een toegangswachtwoord en een hardware token maar dat maakt die biogegevens totaal overbodig.
Passwords zoals pincodes zijn vrijwel totaal onbruikbaar als beveiliging gebleken. Het haalt niet eens meer het nieuws als er eentje gehacked is. Onderzoek in die hoek krijgt niet eens een podium. Dan kun je beter met iets werken wat nog enige bescherming biedt. Het gebruik van biometrische gegevens onveilig, dat blijkt keer op keer. Natuurlijk kan je 10 verschillende bioparameters nemen samen met een toegangswachtwoord en een hardware token maar dat maakt die biogegevens totaal overbodig.
Je hoeft je onrust en onvrede niet via potjes te uiten. Laten we eens met inhoud op beveiliging bezig zijn.
Door Anoniem:
Ik zou dan eerder voor een combinatie met warmtebeeld gaan, al is het alleen maar omdat Google erbij betrokken is.
Door Rexodus: In combinatie met deze tech, zou het securitylevel ENORM verhoogd kunnen worden. Dat haalt foto's onmiddelijk onderuit.
http://www.eenewseurope.com/news/infineon-brings-60ghz-radar-technology-google-sensor-project
http://www.eenewseurope.com/news/infineon-brings-60ghz-radar-technology-google-sensor-project
Ik zou dan eerder voor een combinatie met warmtebeeld gaan, al is het alleen maar omdat Google erbij betrokken is.
Wat een onzin.
Door karma4:
Door Anoniem:
Het gebruik van biometrische gegevens onveilig, dat blijkt keer op keer. Natuurlijk kan je 10 verschillende bioparameters nemen samen met een toegangswachtwoord en een hardware token maar dat maakt die biogegevens totaal overbodig.
Passwords zoals pincodes zijn vrijwel totaal onbruikbaar als beveiliging gebleken. Het haalt niet eens meer het nieuws als er eentje gehacked is. Onderzoek in die hoek krijgt niet eens een podium.Het gebruik van biometrische gegevens onveilig, dat blijkt keer op keer. Natuurlijk kan je 10 verschillende bioparameters nemen samen met een toegangswachtwoord en een hardware token maar dat maakt die biogegevens totaal overbodig.
Een veilig wachtwoord is een eigen keuze en kan na een hack veranderd worden, biogegevens niet.
03-01-2019, 20:07 door
karma4
Door Anoniem: ....
Een veilig wachtwoord is een eigen keuze en kan na een hack veranderd worden, biogegevens niet.
Passwords pincodes met een gestolen toestel maken het zo weer werkend en verkoopbaar. Een vast biometrische gegeven is lastiger. Je moet een goed gelijkende foto die daarbij werkt zien te krijgen.Een veilig wachtwoord is een eigen keuze en kan na een hack veranderd worden, biogegevens niet.
Door karma4:
Door Anoniem: ....
Een veilig wachtwoord is een eigen keuze en kan na een hack veranderd worden, biogegevens niet.
Passwords pincodes met een gestolen toestel maken het zo weer werkend en verkoopbaar. Een vast biometrische gegeven is lastiger. Je moet een goed gelijkende foto die daarbij werkt zien te krijgen.Een veilig wachtwoord is een eigen keuze en kan na een hack veranderd worden, biogegevens niet.
Beter dan een foto is een kort filmpje van een webcam of cam, getoond op een tablet. Met de overkant van een lach naar een serieus of normale gelaatstrek. Dit werkt als een bruteforce attack. De intensiteit van het scherm en de grootte van het gezicht kun je direct aanpassen. Een foto is zo.... ouderwets en statisch. Na het lezen van dit artikel is dit een aanvulling van handige hary. Het zal wel werken.
Vergeet niet dat al die onzin wordt bedacht om het volgende modelletje smartphone weer duurder te maken. Ze moeten tenslotte met "iets nieuws" komen. Daarna wordt je en masse gebruikt als gratis proefkonijn. En zelfs als die mooie "nieuwe" technologie voor geen meter werkt, dan hebben ze wel weer een vette database met testdata. En die kunnen ze dan vrolijk nog eens doorverkopen. Je wordt op die manier dus driedubbel getild. Maar als ze je op straat tegen zouden komen? Ze zouden zelf je gezicht niet herkennen. Je bent al een uitgemolken koe. Dus je hoeft niet meer herkend te worden. Doei, en koop maar vast een slaapzak om voor de winkel te gaan liggen. Want er komt weer een nieuw model uit.
In december een nieuwe iPhone XS Max gekocht, gewoon inloggen met zes cijfers en voor mij geen gezichtsherkenning.
Door karma4:
Door Anoniem: ....
Een veilig wachtwoord is een eigen keuze en kan na een hack veranderd worden, biogegevens niet.
Passwords pincodes met een gestolen toestel maken het zo weer werkend en verkoopbaar. Een vast biometrische gegeven is lastiger. Je moet een goed gelijkende foto die daarbij werkt zien te krijgen.Een veilig wachtwoord is een eigen keuze en kan na een hack veranderd worden, biogegevens niet.
Kennelijk gebruik jij een telefoon/OS waarbij dat zo is, mijn telefoon laat zich met een 6 cijferige pincode niet zomaar unlocken, ook overheidsdiensten hebben daar erg veel moeite mee volgens de berichtgeving. De fabrikant van mijn telefoon schakelt ook de externe toegangspoort uit zodat het unlocken met een speciaal unlock device nauwelijks tot de mogelijkheden behoort.
Maar laat ik de vraag eens stellen hoe jij denkt dat gestolen biometrische gegevens nog ooit veilig gebruikt kunnen worden?
De vraag is natuurlijk niet of ze ooit gestolen zullen worden maar wanneer.
Het is wachten op de eerste 3d geprinte hoofden.
Even voor de camera houden en voila.
Totalitaire control freak methodieken wordt een voortdurende strijd die de aanjagers van anti-privacy toch gaan verliezen.
Even voor de camera houden en voila.
Totalitaire control freak methodieken wordt een voortdurende strijd die de aanjagers van anti-privacy toch gaan verliezen.
Door Anoniem:
Beter dan een foto is een kort filmpje van een webcam of cam, getoond op een tablet. Met de overkant van een lach naar een serieus of normale gelaatstrek. Dit werkt als een bruteforce attack. De intensiteit van het scherm en de grootte van het gezicht kun je direct aanpassen. Een foto is zo.... ouderwets en statisch. Na het lezen van dit artikel is dit een aanvulling van handige hary. Het zal wel werken.
Daar heb je gelijk in. Een pasfoto waarbij je statisch op voorspelbare er op moet staan is een beetje erg ouderwets.Beter dan een foto is een kort filmpje van een webcam of cam, getoond op een tablet. Met de overkant van een lach naar een serieus of normale gelaatstrek. Dit werkt als een bruteforce attack. De intensiteit van het scherm en de grootte van het gezicht kun je direct aanpassen. Een foto is zo.... ouderwets en statisch. Na het lezen van dit artikel is dit een aanvulling van handige hary. Het zal wel werken.
Beeldherkenning combineren met gedrag heb je meteen een 2fa oplossing. Dat rare gedrag tonen in het openbaar vraag om geluiddicht ontgrendelhokjes voor smarthpones. Ik zie een nieuwe markt voor overgevoeilge uiterste veiligheid wensen.
die interlocling cabines wat aanpassen desnoods met liftcombinatie lijkte me wel iets https://www.asmag.com/showpost/25895.aspx
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
