26 Jan 2018

Windows Hello – Anmeldung über die Kamera umgehen ?

Beitrag von veröffentlicht am 26.01.2018 7:01 Uhr

Es ist schon wieder einige Wochen her als über die Newsticker die Meldung verbreitet wurde, dass sich die Anmeldung mit dem Gesicht über Windows Hello ganz einfach umgehen lässt. Wir schauen mal was da dran ist.

Was ist eigentlich Windows Hello ?

Windows Hello ermöglicht die Windows-Anmeldung per Fingerabdruck-, Gesichts- oder Iriserkennung. Es muss kein Kennwort mehr zur Anmeldung am PC eingegeben werden. Es handelt sich also um ein biometrisches Anmeldeverfahren. Mit den Surface Pro 4 kam das erste Gerät aus der Surface-Reihe auf den Markt, was bereits eine Kamera für die Gesichtserkennung eingebaut hatte. Diese Kamera wurde fortan in den Surface Tablets eingebaut. Auch jedes Modell des Surface Book enthält eine entsprechende Kamera. Sie versteckt sich leicht links von der Mitte des Tablets im oberen Bereich. Ist sie aktiv, leuchtet sie rot auf.

 

Aus der Surface Zubehör-Reihe kann ein Type Cover mit Fingerabdrucksensor ebenfalls zur Anmeldung mit Windows Hello verwendet werden. Für Nutzer von PCs verweise ich mal auf den Artikel “Windows Hello nutzen, nicht nur am Surface” in dem ich eine zusätzliche Windows Hello taugliche Kamera für den PC getestet habe, die ich zuhause am PC noch nutze.

 

Wie wird Windows Hello eingerichtet ?

Über die Schaltfläche Start und dann

  • Einstellungen
  • Konten
  • Anmeldeoptionen

wird Windows Hello eingerichtet. Unter dem Punkt Windows Hello sind die Optionen für die Gesichts-, Fingerabdruck- oder Iriserkennung angezeigt, sofern das Gerät über ein entsprechendes, kompatibles  Gerät, z.B. Fingerabdruckleser oder eine geeignete Kamera, verfügt.  Normalerweise ist die Einrichtung von Windows Hello schon bei der ersten Inbetriebnahme des Geräts erledigt worden und es muss nichts weiter installiert der konfiguriert werden. Mit dem Fall Creators Update, auch als Windows 10 – 1709 (Build 16299.xxx) bekannt, hat die Anmeldung mit Windows Hello nochmal einen richtigen Geschwindigkeitsschub erfahren. In einem Bruchteil einer Sekunde werde ich von meinem Surface Pro 2017 oder Surface Pro 4 erkannt.

 

Wie wurde Windows Hello ausgetrickst ?

Zunächst einmal muss man unterscheiden. Windows Hello ist ja nur der Dienst, der sich hinter der biometrischen Anmeldung verbirgt.

Fingerabdruck

Schon seit Jahren ist bekannt, dass man einen Fingerabdruck relativ einfach nachmachen kann. Die ersten Videos dazu, die die Suchmaschinen im Internet ausspucken, sind von 2006. Viele aktueller ist dann noch der Bericht aus dem Jahr 2014 “CCC-Tüftler hackt Merkels Iris und von der Leyens Fingerabdruck“. Alles zusammen auch ein Grund für mich, warum ich der Anmeldung mit Fingerabdruck nicht wirklich vertraue.

Gesichtserkennung

Viel mehr Vertrauen schenkte ich da schon der Gesichtserkennung, bis vor kurzem dann die Sicherheitsforscher von SySS eine Weg gefunden haben, die Gesichtserkennung von Windows Hello auszutricksen. So schreiben sie in ihrem Artikel “Bypassing an Enterprise-Grade Biometric Face Authentication System“, dass man lediglich einen Papierausdruck mit ein paar Eigenschaften braucht um Windows Hello auszutricksen. Diese sind:

  • Das Gesicht der Person wurde frontal fotografiert
  • Die Aufnahme der Person wurde im Nahinfrarotbereich erstellt
  • Helligkeit und Kontrast der Aufnahme wurden mit einfachen Mitteln verändert
  • Der Papierausdruck wurde mit einem Laserdrucker erzeugt

Zu guter Letzt muss man dann natürlich auch noch das Gerät haben um einen Nutzen aus alle dem ziehen zu können. So demonstrieren die Forscher in einem kurzen Video, dass es geht:

Eine Kleinigkeit am Rand wurde bei der Nachricht von den meisten Newsseiten jedoch unterschlagen. Der Proof of Concept funktionierte nur bei den nicht aktuellen Windows Versionen auf dem Surface Pro 4. Setzt man das aktuelle Fall Creators Update (oder das Creators Update – 1703) ein, sieht’s schon etwas besser aus. Allerdings nur weil es noch eine Einstellung gibt, die gesetzt werden sollte.

Enhanced Anti Spoofing heißt dieses Feature, was im Standard leider ausgeschaltet ist! In diesem Zustand würde der Angriff mit dem Laserdrucker-Bild noch funktionieren. Schaltet man es ein, nutzt Windows zusätzliche Algorithmen zur Erkennung ob es sich um ein Foto oder einen echten Menschen handelt.

 

Aktivierung von Enhanced Anti-Spoofing

Hier gibt es zwei Möglichkeiten. Über den Gruppenrichtlinien Editor oder über einen Registry Key.

Gruppenrichtlinien Editor

Start dazu den Befehl “gpedit.msc” und Navigieren zu den Einstellungen

  • Computer Konfiguration
  • Administrative Vorlagen
  • Windows Komponenten
  • Biometrie
  • Gesichtserkennung
  • Doppelklick auf “Erweitertes Anti-Spoofing konfigurieren”
  • Dort den Radiobutton auf “aktiviert” setzen

 

Registry Key

Direkt in der Registry kann die entsprechende Einstellung auf vorgenommen werden (Über GPEDIT wird genau der Wert auch gesetzt)

  • Starte das Programm regedit.exe
  • Navigiere zu
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Biometrics\FacialFeatures
  • Erstelle einen neuen Eintrag mit dem Namen EnhancedAntiSpoofing
    als REG_DWORD und gib ihm den Wert 1
  • Der Wert 1 aktiviert die Einstellung EnhancedAntiSpoofing
  • Der Wert 0 deaktiviert die Einstellung EnhancedAntiSpoofing

Egal über welchen Weg man das einstellt, in beiden Fällen sollte nach der Aktivierung Windows Hello neu konfiguriert werden.

Auf Youtube sind von SySS insgesamt 3 Videos Online, in denen ihr anschauen könnt, wie Windows Hello ausgetrickst wurde.

Resümee

Ich glaube nicht, dass sich jemand ernsthaft sorgen machen muss, dass nun der böse Verbrecher mit Spezialkamera und Laserdrucker vorbeikommt, Frontalbilder macht, das Surface klaut und dann mit Windows Hello euer Surface entsperrt. Dennoch zeigt dieser Proof of Concept auf, dass Systeme überlistet werden können und nicht unfehlbar sind. Er gibt Microsoft weitere Hausaufgaben an der Sicherheit der Systeme weiter zu arbeiten, wenn man denn irgendwann die Vision “ohne Passwort” realisiert haben möchte.

Und hey, Microsoft: warum aktiviert ihr “Enhanced Anti-Spoofing” nicht einfach per Default?

 

[affilinet_performance_ad size=468×60]

Über den Autor: Ralf Eiberger

Schon 2012 als das erste Surface noch nicht angekündigt war und man spekulierte, dass Microsoft ein Tablet bauen würde, hatte ich es bereits in der Hand. Seither lässt mich das Thema Surface nicht mehr los. Seit 2013 bin ich MVP für Surface, inzwischen in der Kategorie Windows and Devices.