Sicherheitslücke in Fingerprint-Software

Mornsgrans

Mornsgrans

Help-Desk
Teammitglied
Themenstarter
Registriert
20 Apr. 2007
Beiträge
73.375
Alle Kritiker des Fingerprint-Readers lagen goldrichtig, wenn auch etwas daneben:
Das Fingerprint-Passwort ist leichter zu knacken als gedacht - man muss also nicht umständlich künstliche Fingerabdrücke generieren:
http://arstechnica.com/security/2012/09/windows-passwords-exposed/
(in englisch)

Selbst der Zugriff auf per Fingerprint verschlüsselte Daten ist möglich.
 
Jetzt fehlt nur noch die Anleitung im Netz
 
Naja... war weder vom Fingerprint-Reader noch vom Administratorpasswort respektive Passwörter von eingeschränkten Konti bis dato grossartig überzeugt. Brauche selbst gerade mal zwei Minuten, um das Administratorpasswort und die Passwörter für die eingeschränkten Konti zu ändern oder zu löschen, und dies bei allen gängigen Windows-Versionen.

Fazit: Fingerprint-Reader noch Admin-Passwörter bzw. Passwörter für eingeschränkte Konti geben eine gewisse Sicherheit, sind aber leicht "auszuhebeln".
 
Zuletzt bearbeitet:
[Heute, 9.10.] Heise: (Windows) Fingerabdruck-Software verrät Passwort

[Lenovo verbaut ebenfalls den Fingerabdruck-Scanner von UPEK:
http://forums.lenovo.com/t5/W-Serie...int-Software-Upek-Protector/m-p/855061#M32477 (aus #2 von martind...darin der link in #3) ]

Die eigentliche Meldung: http://www.heise.de/newsticker/meldung/Fingerabdruck-Software-verraet-Passwort-1702778.html

daraus: "ElcomSoft empfiehlt, die Login-Funktion zu deaktivieren, wodurch das in der Registry gespeicherte Passwort gelöscht werden soll. Bei uns führte das jedoch nicht zum gewünschten Erfolg. Selbst nach dem Ändern des Windows-Passworts konnten wir es in der aktuellen Version mit dem Tool auslesen. Erst die vollständige Deinstallation der Treibersoftware schaffte Abhilfe.

UPEKs Mutterfirma AuthenTec bestätigte das Problem gegenüber heise Security und gab an, im Laufe dieser Woche eine Version zum Download anbieten zu wollen, die den geheimen Schlüssel mit einem gehärteten Algorithmus generiert"
 
Zuletzt bearbeitet:
Trifft dies nur zu wenn man die Original-Software einsetzt oder auch wenn Windows selber den FP managed? Beim Cleaninstall habe ich nur den Treiber installiert, nicht die Software-Suite.
 
ich will ja eig net neugierig sein, aaaaber ... gibt's diesbezüglich denn schon "news" (von offizieller seite)?? :huh:
 
gaku schrieb:
ich will ja eig net neugierig sein, aaaaber ... gibt's diesbezüglich denn schon "news" (von offizieller seite)?? :huh:
Zum Vergrößern anklicken....
Klicke den von mir im Startbeitrag geposteten Link zum Lenovo-Forum an und wie Du siehst, siehst Du nichts ;)
 
Inzwischen gibs nen Update der FPR Software inkl. Patch....
 
sl500 schrieb:
Inzwischen gibs nen Update der FPR Software inkl. Patch....
Zum Vergrößern anklicken....

ist schon toll ... nur wie ich beim genaueren hinsehen gemerkt hab, wurde leider nur die v5.9er reihe (für Win7 & neu Win8) mit verbesserter sicherheit rausgebracht. :facepalm: die v5.8er (welche zuletzt im Juli 2012) auf 5.8.8-7081 aktualisiert wurde hat leider (noch???) KEINen patch erhalten. zumal die v5.8er selbst im neuen v5.9er Update unter gewissen voraussetzungen für Win7 direkt auf der lenovo-seite empfohlen wird! :pinch:

also weiter warten?
 
UPDATE: neu -> Lenovo Fingerprint Software for Vista v5.8.9 b7266 (83f506ww_64) ist raus.

damit ist nun endlich die Lücke auch in den Vista installern geschlossen! ein späteres _downgrade_ ist NICHT mehr möglich (ohne alle einstellungen und ALLE gespeicherte finger-scans zu löschen) aufgrund der geänderten verschlüsselung der Fingerprints.

das gilt übrigens auch für die _ebenfalls_ neu erschienene v5.9.8, kein downgrade mehr im anschluss.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben