Seht selbst.

Denk nicht. War tatsächlich so. Hat neben mir damit rumgespielt und auf einmal kam ein "Papa, ich habs!". Purer Zufall eben. Das von meiner Frau hat er nicht "geknackt". Und da hätte er mehr Möglichkeiten, zuzuschauen.

Was aber wiederum nichts mit dem Scanner zu tun hat

Die Frage ist ja: Was sind die kritischen Daten? Jemand, der mein Smartphone unter Kontrolle hat, der hat schonmal Zugriff auf sehr viele Accounts und bekommt allgemein einen tiefen Eindruck von mir. Es könnte sich für den Angreifer sogar lohnen mir mein Gerät wieder unverändert zukommen zu lassen. Mit den ganzen Infos, die der Angreifer gesammelt haben könnte würde sich eine wunderbare Social Engineering Attacke fahren können. Ganz behutsam und gut vorbereitet. Diese Methode funktioniert schon mit wenigen Infos über die Zielperson. Wie gut muss das denn erst mit so vielen funktionieren?

Diese Diskussion kenne ich schon vom Desktop mit den ganzen Viren, Würmern und Trojanern. Da sagen auch viele, daß sie eh nichts interessantes haben. Da geht es im meist wesentlichen nur darum, daß die Rechner dann in Bot-Netze integriert werden, um andere windige Dinge zu tun.


Bislang war es so, daß Sicherheit und Bequemlichkeit nicht vereinbar war und es hat sich durch TouchID definitiv nicht geändert.

Stimmt!

Es geht im Grunde doch immer darum, welchen Schaden ich als User habe, wenn jemand doch an meinen Fingerabdruck kommt, und ich diesem gleich mein gesamtes Profil mitliefere.

Öffnet Betrügern Tür und Tor und für mich als Besitzer des "original" Fingers wird es umso schwerer zu beweisen, dass nicht ich es war, der zB. Gesetze missachtet hat.

Tja, damals als der Mensch erschaffen wurde, hat man noch nicht an fälschungssichere Finger gedacht. ... und die Garantie ist auch schon abgelaufen. Hätte man sich doch einen Tag mehr Zeit genommen, damals ...

Kommt wohl auf den PIN-Code an. Ich habe auf einen 8-stelligen PIN-Code umgestellt (nur Ziffern, dann erscheint bei der Eingabe nur das Nummernfeld - geht schneller). Das Eintippen dauert, wenn man die Kombi trainiert hat mit der Zeit, auch nicht wesentlich schneller als bei 4 Stellen.

Trotzdem würde ich auch TouchID verwenden, denn der Aufwand, an den Abdruck zu kommen, ist doch sehr groß.

Was heißt hier "TouchID geknackt"??

Da wurde doch gar nichts geknackt oder gehackt! Da wurde lediglich KOPIERT...

Und zwar der Finger! Das ist doch billig und völlig logisch, dass das funktioniert...

Völlig überflüssige Diskussion...

Richtig, da ist nichts gehackt oder geknackt. Genau so gut kann man auch jedes Passwort durch genaues hinsehen und aufschreiben "knacken". Die machen es halt aufwendiger. Passenden Fingerabdruck des richtigen Fingers in guter Qualität besorgen (was gar nicht so einfach ist), in höchster Qualität scannen (entspricht dem hinsehen und aufschreiben) und dann reproduzieren erscheint mir aufwendiger als jemanden bei der Eingabe des Passworts zu filmen und dann das Passwort zu notieren. Der Vorgang ist der gleiche. Im Zuge von PRISM scheinen alle dem Verfolgungswahn zu verfallen.

Wer die nächste Aufwandstufe haben will nimmt einen Retina Scan und auch den kann man mit entsprechenden Aufwand "knacken".

Ich würde sagen fälschen oder kopieren wäre der bessere Ausdruck in dem Fall in dem man Identifikationsmerkmale nachmacht. Sonst könnte man ja auch sagen, Geldfälscher knacken die Bundesbank.

LOL wenn man hier die Antworten liest, dann bin ich echt entsetzt! Wenn die Passcode sperre nicht greift, dann wird hier geschimpft was das zeug hält

Wenn der Fingerabdruck nicht sicher ist bzw. so leicht zu überlisten ist, dann ist das Teil wertlos! So einen Fingerabdruck kann ich nicht ändern, einen Passcode so oft, wie ich will

Du musst mich jetzt echt nicht anmachen. Über Android wird viel hergezogen, gerade im Bezug auf Viren, und anscheinend hat sich bisher keiner die Mühe gemacht, die Gesichtserkennung zu knacken. Und Fakt ist, dass Apple gerne den Mund weit aufreisst. daran muss man sie messen. Nicht mehr und nicht weniger.

Öhm doch und zwar direkt nach Release.

zwobot bei Android hast Du bei der Bildschirmsperre die Wahl zwischen :
keine
Wischen
Gesichtserkennung
Muster
PIN
Kennwort

waehlst Du die Gesichtserkennung sagt Dir das System, dass die nicht so sicher ist !!!

Sorry, sollte keine blöde Anmache sein...

Halte einfach mal ein Bild vor die Gesichtserkennung eines Android Phones.
Hack fertig...

Es hat sogar schon mal Entsperrt, obwohl meine Frau das Teil gerade in der Hand hatte...

Gestern in der Kneipe lud mich einer auf ein Bier ein und hat mich gefragt, ob er einmal meinen Finger fotografieren dürfte. Wir haben dann noch für ausreichen Licht gesorgt, damit ich nicht so still halten musste ...

Das Thema ist so spannend wie Viren am Mac: ohne mein Zutun passiert da gar nichts. Und sicherer als der Passcode, der seit OS7 auf einer riesigen Tastatur mit aufleuchtenden Zahlen eingegeben wird, ist der Fingerabdrucksensor allemal.

Er hätte den Abdruck auch vom Bierglas nehmen können.. darum geht es.. aber egal,
die Diskussion nervt, den sicher ist gar nichts, außer vielleicht du benutzt dein iPhone nur im Tresor von Fort Knox und selbst da kommt man rein wenn man unbedingt will... es ist immer nur eine Frage von Zeit und Aufwand den man treiben will. 1. Sicherheitsmaßnahme ist... schau das keiner dein iPhone in die Finger bekommt, dann brauchst du dir über PIN und Fingerabdruck keine sorgen machen...

Diese Android-Anhänger greifen doch nach jedem noch so fadenscheinigen Verdacht, Apple könnte ein Fehler unterlaufen sein. Das würde ich an deren Stelle auch tun. Das hat aber nichts mit der Realität zu tun. Kinderkram.

" Zur Klarstellung. Ja, der Touch ID Sensor kann auf diese Weise definitiv ausgetrickst werden. Ich spare mir hier mal bewusst das Wort "gehackt". Nein, Apple hat nie behauptet, dass dies nicht mit einer solchen Methode möglich wäre. Legen wir aber mal den Schalter um und wechseln wieder in die Realität. Da kommt also jemand daher, klaut mir mein iPhone und sucht sich dann auch noch meinen passenden Fingerabdruck. Ist klar. Selbst wenn er dazu in der Lage wäre, ihn von der Rückseite meines Geräts abzufotografieren, müsste er dann immer noch den künstlichen Fingerabdruck erzeugen. Und hey, wenn er das schafft, dann hat er es auch verdient. " Zitat aus Flo´s Weblock... und ganz ehrlich, ich bin der selben Meinung - wer macht sich bitte diese Mühe????

Erinnert sich noch jemand an das "Yps!" Heft?

Vor 13 bzw 15 Jahren hab ich in so nem Heftchen mal ein Spionage- Equip mit Pulver und TesaFilm gehabt......

Mehr fällt mir dazu nicht ein........

Das sagt mir als Laie garnichts.

2400 dpi , mit was erreicht man diese Auflösung problemlos? Kamera? Objektiv? Und das wahrscheinlich auf einem Tischstativ befestigt, damits scharf wird?

Oder schafft das jede Kompaktkamera?

Genau darum geht es doch. Nämlich, ob sich das Austricksen unter realen Bedingungen wiederholen lässt. Der Beweis dazu steht afaik noch aus. Deswegen ist der Status bei diesem "Preisausschreiben" eben noch auf "maybe".

Bäääm

Und? Wo ist das Video mit dem tatsächlich Aufwand und den Bedingungen die erfüllt sein müssen?

Meine Fresse, Paulchen... es darf nicht sein, was nicht sein darf? Oder was ist dein Problem?

Ich hab mir das Video nicht angesehen. Enthält es nicht alles, um das selbst nachzuvollziehen? Wenn ja, dann haben sie längst alles geliefert, was du willst. Bau den Scheiss nach. Dann weisst du es. Falls du Handwerklich krine Ahnung hast, ist es für dich sicherlich schwieriger als für jemanden, der seine Werkzeuge beherrscht. Nur, weil du dir damit Stinden um die Ohren schlägst bedeutet das nicht, daß andere das deutlich schneller hinbekommen.

die holländische macsite omt hat einen guten artikel hier geschrieben.
und vor allem der film am schluss sagt viel dazu

http://www.onemorething.nl/2013/09/hoe-touch-id-gekraakt-is-en-hoe-weinig-dat-zegt/

Oh, in meinem letzten Posting fehlt ein "nicht". (Hint: letzter Satz.)

Solltest Du vielleicht tun. Denn da drinne ist gar nix nachvollziehbar. Also aufhörn zu schwätzen. Ich will das "wie" wissen. Nicht, daß es geht. Das wusste ich schon vorher.

Dann schau dir halt das alte Fingerabdruck-Video (das von vor ein paar Jahren) an. Das wird nicht viel anders laufen.

Ein Glück trinke ich nur Wein. Da kann ich für den Sensor den kleinen Finger der linken Hand verwenden.

Für die ganz paranoiden: hebt euch den Finger der toten Oma auf ...

Vielleicht doch. Auf eine Vermutung baue ich nicht. Ich will genau wissen, wie das geht. Das Video steht ja offenbar immer noch aus.

Die Grundmessage ist ja: wieso wird ausgerechnet ein Fingerabdruck als Sicherheitscode verwendet? Ein Fingerabdruck, den man tausendfach täglich überall verbreitet und hinterlässt?

Lookout.com, Marc Rogers (23.09.2013): Why I Hacked Apple’s TouchID, And Still Think It Is Awesome.

So, die Anleitung für Touch ID knacken:

Sauberer Fingerabdruck, auf einer ebenen Fläche = Glasplatte.
(Geht einfach zum Glaser Eurer Wahl und kauft Euch eine 10 cm x 10 cm Glasplatte. Das was Ihr auf Euren iPhones habt sind keine Fingerabdrücke, sondern Grabscher.)

Gute Kamera mit Makroobjektiv.
Tischstativ, und eine ordentliche Ausleuchtung (keine Lichtreflexe).

Laserdrucker.
Latexmilch.

Fingerabdruck vom 5s Eigner auf Glasplatte geben lassen, mit Bildbearbeitung alle Vertiefungen wegmachen, es dürfen nur die eigentlichen Fingerabdrucklinien sichtbar bleiben.
Nun das Bild auf Folie drucken, insgesamt deckungsgleich mid. fünf mal, sodaß letztlich auf der Folien ein dreidimensionaler Fingerabdruck gefertigt wird.
Da Latex drauf, trocknen lassen, und "Zack" ist alles fertig.

Das habe ich aus anderen Foren, wo Leute mit entsprechender Ausrüstung es probiert haben, aber kläglich gescheitert sind.

Vermutlich ist das Touch ID knacken so wie ein Spaziergang auf dem Mond:
Die Drei, die schon mal draufrum gelaufen sind, sagen/sagten: War alles ganz einfach, wir sind in den Transporter eingestiegen, und nach einer schönen Flugreise von ein paar Stunden auf dem Mond ausgestiegen.

TC (19.09.2013): Watch A Cat Unlock The iPhone 5s Using Touch ID And The Fingerprint Sensor

GIGA (19.09.2013): Video: Wie eine Katze das iPhone 5s entsperrt (Fingerabdruckscanner)

Statt mit der Pfote seiner Katze hat wohl auch schon jemand sein iPhone 5s mit seiner Stirn entsperren können. Oder einer Brustwarze, oder seinem Fußzeh:

Kommentar Frank Rieger, CCC, zu der CCC-Methode, Touch-ID zu überlisten:

Ok, scheint also (bis jetzt) nicht ganz so trivial zu sein. Also würde ich es als Option in Verbindung mit langem Kennwort (statt 4 Ziffern) vorziehen. Jedoch lassen sich auch mehr als 4 Ziffern als komplexes Kennwort festlegen und es wir schlauerweise dann nur die Zahlentastatur eingeblendet. Das macht es doch ein bissl komfortabler als kryptische Zeichen. Aber es ist verlockend, daß mit dem Sensor.

PS: @@sirkb Danke für den Link. Das ist das was ich lesen wollte. Keine doofen Vermutungen.

CCC.de (21.09.2013): Chaos Computer Club breaks Apple TouchID :

[2] CCC.de (24.10.2004) How to fake fingerprints?

Tja, offenbar geht es nicht genau so. Es muß wohl sehr viel Präziser sein. Und das ist der Knackpunkt. Nix mehr mit Haushalt

CCC.de (27.11.2007): Fingerabdruck an der Supermarkt-Kasse genauso unsicher wie Biometrie im Reisepass :


heise.de (23.09.2013): US-Senator befragt Apple zu Touch ID

GIGA (23.09.2013): Touch ID: US-Senator stellt Apple Fragen bezüglich des Datenschutzes

TouchID is not a “strong” security control. It is a “convenient” security control

Die Methode mit Methylancrylat aka Sekundenkleber verdampfen*…und gleich einen Abdruck haben, finde ich extrem elegant…*ThumpsUp*

Zugegeben, einen "sauberen Abdruck" zu gewinnen…ist wohl nicht extrem einfach und Equipment von einigen Tausendern, Nunja…haben oder hatten wir "hier" wohl schon Zuhause oder in der Arbeit oder in der Uni rumstehen…wobei ein *Luftabzug ja alleine schon mit paar Tausendern zu Buche schlägt, Cam/Computer/Bildbearbeitungsprogramm und ja hier wohl auch ein Laser, mit im Zweifel 2400DPI…trotzdem ist m.e. der Grundgedanke gezeigt worden...verfeinerte Methode zwar, aber eben nichts wirklich neues.

Selbst im Link wird auf "Verfahren" aus 2002 verwiesen und mit weniger Auflösung ja auch zuletzt von CCC beim Schäuble und Internetsperren/Stop vor wenigen Jahren gebracht.

Interessant, war es aber allemal

Die Öffentlichkeit sollte nicht länger vom CCC mit falschen Aussagen an der Nase herumgeführt werden!
Nach den Meldungen des CCCs geistert durch die Schlagzeilen, der "Hack" sei mit "einfachsten Mitteln" möglich.
Daraus:

CCC.de (09.10.2013): Wie können Fingerabdrücke nachgebildet werden?

Nicht extrem einfach? Mit ein wenig Übung wohl vielleicht nicht extrem einfach, aber zumindest nicht schwer -- zumindest die CCC-Methode.
Equipment von einigen Tausendern? Mitnichten. Wenige EUR reichen dazu wohl aus; wenn man die teilweise profanen Hilfsmittel dazu als Büro- und Bastelmaterial bereits schon im Haushalt hat, erst recht.

Today just over 50 percent of users have any PIN on their smartphones at all, and the number one reason people give for not using the PIN is that it’s inconvenient.

50 Prozent haben Überhaupt einen Pin gesetzt am Smartphone…von daher gesehen…ist das schon ein heftigster Sec Gewinn…vergesse immer gerne mal…die Realitäten…"Da Draussen", wobei ich trotzdem niemanden kenne, der nicht mal nen Pin am Smartphone gesetzt hat, ehrlicherweise

beanchen:

Bitte lies die Dir vorliegenden Texte und Links vollständig. Marc Rogers führt in seinem Text als weitere Methode, außer der von ihm angewendeten, die CCC-Methode auf. Und jene IST billig, relativ einfach und mit einfachsten Mitteln reproduzierbar.

CCC.de (27.11.2007): Fingerabdruck an der Supermarkt-Kasse genauso unsicher wie Biometrie im Reisepass :

Statement nicht aus dem Zusammenhang reissen: cam mit Kamera, Computer, Laserdrucker, Bildbearbeitungsprogramm kosten schon mal ein paar Euro…mehr…und nen Luftabzug erst recht…auch wenn ein Aquarium + Lüften im Zweifel auch mal langt…die Frage ist halt, von wo man Anfängt

Und die Geschichte, mit dem 5 Jährigen der relativ sofort den Pin knackt, ist gar nicht mal so weit hergeholt…letztens erst die Fotofunktion bei falscher Pin Eingabe testen wollen, an nem Kumpel…"Weißes, leeres Bild"

Vorführeffekt ?

Eventuell…

DonQ:

Na, wenn das alles so harmlos ist und kleingeredet werden kann, dann haben ja Datenschützer und auch US-Senator Al Franken mit seinem offenen Brief und seinen 12 Fragen an Apple (die sich inhaltlich und von der Stoßrichtung durchaus mit dem decken, was die CCC-Leute anzumerken haben, während sie die Gefahren und Risiken aufzeigen), , (PDF) alle keinen Anlass, besorgt zu sein. Dann können sie der Öffentlichkeit ja vermelden: "Es gibt hier nichts zu sehen, bitte gehen sie weiter!"

Deine (wie ich finde, verharmlosenden weil abwiegelnden und relativierenden) Worte in Gottes Ohr.

Luftabzug? Wozu? Gar nicht notwendig, ein Flaschenverschluß oder irgendwas Anderes, um die Dämpfe aufzufangen und die darin enthaltene Luft damit anzureichern oder aufzufangen, reicht (hast noch nie selber mal mit Sekundenkleber irgendwas geklebt? Bestimmt, oder? Dann wäre Dir das nämlich bekannt, dass das Zeug weiße Spuren beim Verdampfen an Gegenständen und Fingern hinterlässt, wenn man's mit den Fingern anpackt und einen beißenden Geruch in der Nase und tränende Augen hinterlässt, wenn man zu nah das Gesicht über die Klebestelle hält):

Ich habe mir zwar alles durchgelesen, es ist aber zur Widerlegung überhaupt nicht notwendig. Es scheitert schon immer am ersten Punkt: einen sauberen, vollständigen und unverwischten Fingerabdruck von genau dem Finger zu bekommen, mit dem das iPhone "gesichert" wurde.
Nenn mir bitte nur eine Situation aus dem alltäglichen Leben, wo das "problemlos" möglich ist.
Der CCC verweist hier auf die allgemeine Möglichkeit biometrische Sperren zu umgehen und macht damit auf die allgemeinen Schwächen dieser Systeme aufmerksam und das ist legitim.
Was jetzt vom CCC angestoßen durch die Presse geistert ist einfach nur Panikmache.
Jeder Fachmann in Sachen Spurensicherung wird Dir bestätigen, dass das, was man im Fernsehen sieht – saubere, vollständige Fingerabdrücke – einem Sechser im Lotto gleich kommt. Und genau diese sauberen, vollständigen und gut ausgeleuchteten Fingerabdrücke werden in jedem Deiner Links als Voraussetzung beschrieben oder im Bild gezeigt.
Sorry, aber das ganze ist so lachhaft. Den Sensor zu umgehen erfordert kriminelle Energie, Wissen und Technik in nicht unerheblichem Aufwand. Wenn ich all dies habe, bin ich mit dem Ausspähen des Pins hundertmal schneller und erfolgreicher.

SierkB
Tatsache, so gesehen…ein richtig fahler Beigeschmack und durchaus eine Berechtigung Forderung nach der sicheren Verwendung…bzw. eben nicht Nutzung:

Let me put it this way: if hackers get a hold of your thumbprint, they could use it to identify and impersonate you for the rest of your life."

Übersetzung:

Wenn "Hacker" an (d)eine(n) Fingerabdrücke kommen, können die damit für den Rest des Lebens…dich Identifizieren und Beeinträchtigen.

Nur, die meisten 50% werden sich nicht fragen, ob es einen Unterschied macht, ob eine Firma oder eine Behörde die Daten hat…also die Forderung nach einem Sensiblen Umgang damit…derart sensibler Daten…ist wohl mehr als Berechtigt…erst Recht weiter gedacht, 1-2 Jahrzehnte…zb. DNA Profil, noch einige Tacken krasser…was man übrigens ja auch "relativ" leicht…"reproduzieren kann und genauso von den "Behörden" weggewischt wird als Hollywood Legende, wie ein Lockpick, weil nachweisbar eher nur unter dem Elektronenmikroskop.

Ich schweife ab.

Das stimmt.

Angestoßen vom CCC? Mitnichten. Deswegen fragt US Senator Al Franken, der mit dem CCC nichts zu tun hat, auch per Brief bei Apple nach. Weil der, händchenhaltend, den deutschen CCC gebraucht hat, der ihn diesbzgl. angestoßen hat, von alleine wäre der niemals drauf gekommen, solche kritischen Fragen an Apple zu stellen. Nicht, dass er von sich aus tätig geworden wäre, weil ihn in seinem Heimatstaat ziemlich ähnlich Sorgen plagen wie der CCC sich welche macht und er in der Vergangenheit auf diesem Feld schon öfters Anfragen gestellt hat zu ähnlichen Themen...

Du verkennst das Problem, redest es klein. Für so Manches erfordert es kriminelle Energie. Obwohl's leicht zu beschaffen und zu bewerkstelligen wäre. Ein Küchenmesser als Tatwerkzeug in einem Mordfall zu verwenden, bedeutet keinen großen Aufwand, keine große Technik. Den Tachostand eines Fahrzeugs zu manipulieren, geht heutzutage ebenfalls relativ einfach, derlei Service oder Geräte dazu kannst Du heutzutage kaufen. Steuern zu hinterziehen geht auch relativ einfach. Jemanden zu betrügen, übers Ohr zu hauen, ist relativ einfach. Für alles das braucht man wenig Wissen, wenig oder keine Technik, wenig Aufwand. Aber eben kriminelle Energie. Und es gibt zur Genüge Menschen mit krimineller Energie. Oder Macht- und Kontrollhunger (eine Staatsführung und die ihr unterstellten Organe z.B.) oder auch eine Mischung aus beidem.