Bitte - an wen / welche Gruppe? Fingerprint-Schloss Kopiersicherheit etc

[Franz Glaser]

Bitte - an wen oder welche Gruppe kann ich mich mit diesem Thema wenden?

Mechanikfrage, Schlosserfrage, Elektronikfrage

Fingerprint-Schloss, Aufbruch- und Kopiersicherheit etc.

Ich habe mehrere Tresor-Fingerprintschlösser gekauft aber die
Einbrecher haben bisher alle geknackt indem sie den Notschlüssel
"gefunden" bzw. aus einem Minitresor mit Zahlenschloss XXXX entwendet
haben.


GL (letzter Eintrag datm = 10.12.22)

[Marco Moock]

Am 31.08.2023 schrieb Franz Glaser <fr...@meg-glaser.com>:

> Fingerprint-Schloss, Aufbruch- und Kopiersicherheit etc.

Der Fingerabdruck ist kein gutes alleiniges Merkmal zur
Authentifizierung. Mit etwas Aufwand kann man den von all dem kopieren,
was du angefasst hast. Dann muss man nur noch ein Modell bauen und den
dort aufbringen.
Letzteres dürfte zwar komplizierter sein, aber wer es machen will, wird
es schaffen.

Bitte Follow-Up-To beachten!

[Franz Glaser]

Ja, danke, allerdings sind die "heutigen" Sensoren auf Blutfluss in den
Adern präpariert und der ist dann doch schon viel schwieriger kopierbar.

Das Problem dieser Sensoren verlagert sich auf die Aufregung, auf den
Pulsschlag.

Ein weiterer Aspekt ist das Rundumlicht, weil die Finger (außer Daumen)
die Sensorfläche nicht abdecken. Eine flimmernde Lampe. Und der Winkel,
mit dem der Finger auf die Fläche drückt. Und die Oberflächenfeuchte
des Fingers.


GL

[Sebastian Suchanek]

Am 31.08.2023 um 14:26 schrieb Franz Glaser:
> Bitte - an wen oder welche Gruppe kann ich mich mit diesem Thema wenden?
>
> Mechanikfrage, Schlosserfrage, Elektronikfrage
>
> Fingerprint-Schloss, Aufbruch- und Kopiersicherheit etc.

> [...]

Schau Dir mal auf dem YouTube-Kanal "LockPickingLawyer" ein paar Videos
zum Thema "Smart Lock(s)" an. Ich denke, danach bist Du von dererlei
ganz grundsätzlich geheilt.


Tschüs,

Sebastian

[Hergen Lehmann]

Am 31.08.23 um 15:31 schrieb Franz Glaser:

> Ja, danke, allerdings sind die "heutigen" Sensoren auf Blutfluss in den
> Adern präpariert und der ist dann doch schon viel schwieriger kopierbar.

In der Regel wird hier nur geprüft, ob überhaupt Lebenszeichen vorhanden
sind. Da braucht man nichts kopieren, eine Simulation reicht. Oft genügt
wohl der kopierte Fingerabdruck als PVA-"Maske" auf dem Finger des
Einbrechers.

> Das Problem dieser Sensoren verlagert sich auf die Aufregung, auf den
> Pulsschlag.
>
> Ein weiterer Aspekt ist das Rundumlicht, weil die Finger (außer Daumen)
> die Sensorfläche nicht abdecken. Eine flimmernde Lampe. Und der Winkel,
> mit dem der Finger auf die Fläche drückt. Und die Oberflächenfeuchte
> des Fingers.

In der Richtung auch nicht vergessen: Ein Fingerabdruck ist keineswegs
unveränderlich. Eine flächige Verletzung der Fingerkuppe genügt, und du
stehst draußen.

[Marco Moock]

Am 31.08.2023 schrieb Hergen Lehmann <hlehmann.ex...@snafu.de>:

> In der Richtung auch nicht vergessen: Ein Fingerabdruck ist
> keineswegs unveränderlich.

Er ist aber nie änderbar wie ein Passwort. Gibt man einer Stelle
diesen, kann die theoretisch einen Nachbau fertigen und woanders damit
zugreifen.
Es hat seine Gründe, warum empfohlen wird, nicht überall das gleiche
Passwort zu nutzen.
Ich rate davon ab, ausschließlich einen Fingerabdruck für Auth zu
nutzen.
Kombiniert ist das ok.

Ist der Abdruck einmal kompromittiert, kann man diesen Finger nie wieder
für Authentifizierung nutzen, was man auch beachten sollte.

[Ermene Gildo]

Hergen Lehmann <hlehmann.ex...@snafu.de:

>
> In der Richtung auch nicht vergessen: Ein Fingerabdruck ist keineswegs
> unveränderlich. Eine flächige Verletzung der Fingerkuppe genügt, und du
> stehst draußen.
>

Alle 10 Finger und dann noch die Zehen registrieren, eine solche
Verletzung dürfte unwarscheinlich sein

[Helmut Schellong]

Ich denke auch, in Verbindung mit den besonders /smarten/ Themen der Zukunft, wie z.B.
Level_5_Auto und KI, wird man noch sehr oft und lange Zeit auf die Schnautze fallen.
Alle scheinen aufgrund von dämlichen Hypes zu glauben, morgen schon sei das alles fertig!

Ich las aktuell, daß nach ZF nun auch Bosch die Schiene der Entwicklungen in Richtung
des voll autonomen Autos beendet hat (LIDAR)!
Man hat angesichts der Verläufe, Fortgang zu diesem Thema die Zuversicht verloren.
Experten sagen auch, man war hier in DE "Viel zu spät, und schnell wieder raus.".


--
Mit freundlichen Grüßen
Helmut Schellong

[Franz Glaser]

Die Software ist stolz drauf, mehrere Finger in OR-Verknüpfung zu
erkennen aber in AND hintereinander habe ich noch keine gefunden.

Das müssen "IT-Experten" mit Hotelfachschulabschluss sein.


GL
--
Die parlamentarische Demokratie bedeutet, dass die Gesetze von allen
Parlamentariern diskutiert und erlassen werden. Gesetzesvorschläge aus
Ministerkonferenzen sind nicht parlamentarisch. Abgeordnete brauchen
weder Parteichefs noch zusätzliche, zufällige, nichtgewählte Berater.

[Franz Glaser]

On 31.08.23 16:56, Sebastian Suchanek wrote:

> Schau Dir mal auf dem YouTube-Kanal "LockPickingLawyer" ein paar Videos
> zum Thema "Smart Lock(s)" an. Ich denke, danach bist Du von dererlei
> ganz grundsätzlich geheilt.

Ja, von ABUS krieg ich um 25 €uro ein Klasse "8 von 10" sicheres
Schloss beim Amazon und um 7 €uro einen "Reserveschllüssel" in
2 Wochen dazu auf der gleichen Internetseite als Reklame wenn ich
nur die Schlüsselnummer angebe.

Einen Dietrichkoffer um 30 €uro in 2 Wochen weil er sich durch den
Zoll plagen muss.

[Franz Glaser]

On 31.08.23 17:07, Marco Moock wrote:

> Ist der Abdruck einmal kompromittiert, kann man diesen Finger nie wieder
> für Authentifizierung nutzen, was man auch beachten sollte.

Ob das die Behörden wissen?

Im Ernst: Mir ist es ursprünglich um eine sichere Methode gegangen,
den Safe jederzeit öffnen zu können, ohne den Schlüssel verstecken
zu müssen und eine Zahl im Kopf zu behalten, die mir die Einbrecher
in Trance sowieso herauslesen können.

Aber mir wäre eine 2 und 3 - Finger Abfrage hintereinander schon
lieber. Die Safes müssen ja auch mit einem Rad richtig hin und
retour gedreht werden.

Und die Finger im richtigen Winkel und vom Umgebungslicht abgedeckt
oder bestrahlt. Und abgeLECKT oder trocken.

[Ole Jansen]

Am 31.08.23 um 14:26 schrieb Franz Glaser:

> Bitte - an wen oder welche Gruppe kann ich mich mit diesem Thema wenden?

Es geht also um Sicherheitsmechanismen und ihre Schwachstellen.
Mal beim Chaos Computer Club persönlich vorsprechen?

O.J.

[Marco Moock]

Am 31.08.2023 um 21:46:32 Uhr schrieb Franz Glaser:

> On 31.08.23 17:07, Marco Moock wrote:
>
> > Ist der Abdruck einmal kompromittiert, kann man diesen Finger nie
> > wieder für Authentifizierung nutzen, was man auch beachten sollte.
>
> Ob das die Behörden wissen?

Bestimmt erst dann, wenn denen das vom BSI per Brief übermittelt wurde.
:-)

[Franz Glaser]

Danke für den Hinweis.


GL

[Franz Glaser]

Zusatzinformation und Bemerkung:

Ich babe verschiedene Fingerprint-Geräte gekauft.

Einige sind auf _schnelles_ Erkennen konstruiert und nicht auf Sicherheit.

Andere sind sehr sensibel und vielleicht nicht der neueste Stand,
die vertragen kein Licht von der Decke oder vom Fenster, wenn es
nicht mit eingespeichert ist aber das kann variabel sein.

Eines verträgt keinen Schmutz und es wird verrückt, wenn ich die
Fläche mit einem Brillenputztuch sauber mache.

Die Gemeinsamkeit aller Fingerprint-Geräte ist, dass sie viel zu
_wenig_praktisch_ausprobiert_ worden sind. Das gilt für so ziemlich
alle "heutigen" Geräte und Computerprogramme gleichermaßen. Und
zusätzlich, dass die _Bedienungsanleitungen_ eine Katastriophe sind.


GL (auf d.a.t.m beschränkt)

[Hergen Lehmann]

Am 02.09.23 um 11:56 schrieb Franz Glaser:

> Zusatzinformation und Bemerkung:
>
> Ich babe verschiedene Fingerprint-Geräte gekauft.

Möglicherweise wäre es billiger gewesen, sich VORHER über die
praktischen Grenzen dieser Technologie zu informieren.

> Einige sind auf _schnelles_ Erkennen konstruiert und nicht auf Sicherheit.

Ein Fokus auf Sicherheit ist mit dieser Technologie schlicht nicht
möglich, denn dazu müsste man sie so sensibel machen, das auch
berechtigte Nutzer regelmäßig abgewiesen würden. Da die Kundschaft dies
nicht akzeptieren würde, liegt der Fokus der meisten Geräte notgedrungen
auf einer ODER-Verknüpfung verschiedener Erkennungsmerkmale, also "im
Zweifelsfall Zugriff zulassen".

Es wurde in diesem Thread schon erwähnt, aber der Vollständigkeit noch
einmal: Der Fingerabdruck taugt nur als ZUSÄTZLICHES Sicherheitsmerkmal
in Rahmen einer Mehrfaktor-Authentifizierung. Er ist selbst in diesem
Kontext unter Fachleuten umstritten, weil er nach einer Kompromittierung
nicht geändert werden kann.

> Die Gemeinsamkeit aller Fingerprint-Geräte ist, dass sie viel zu
> _wenig_praktisch_ausprobiert_ worden sind.

Milliarden verkaufte Smartphones mit Fingerabdruckscanner beweisen das
Gegenteil - ein breiterer Praxistest ist kaum möglich. Die Erkennung
funktioniert bei modernen Sensoren fast 100% zuverlässig, selbst unter
widrigen Bedingungen wie stark wechselnden Lichtverhältnissen und durch
ein Display hindurch.
Das Aussperren nicht berechtigter Nutzer hingegen... nunja...

> Das gilt für so ziemlich
> alle "heutigen" Geräte und Computerprogramme gleichermaßen. Und
> zusätzlich, dass die _Bedienungsanleitungen_ eine Katastriophe sind.

Welche Bedienungsanleitung?
Mehr als ein Heftchen mit den gesetzlich vorgeschriebenen
Sicherheitshinweisen in 30+ Sprachen plus 1-2 Seiten "erste Schritte"
legt doch kaum noch jemand bei. Der moderne, konsumorientierte Markt
fordert alle 6-12 Monate eine neue Geräte- und Softwaregeneration, da
kommen Handbuchschreiber und Druckereien einfach nicht mehr hinterher,
von der Ressourcenverschwendung für das viele (am Ende ohnehin meist
ungelesen weggeworfene) Papier ganz zu schweigen.

[Lennart Blume]

Am Sat, 2 Sep 2023 14:46:50 +0200 schrieb Hergen Lehmann:

>Milliarden verkaufte Smartphones mit Fingerabdruckscanner beweisen das
>Gegenteil - ein breiterer Praxistest ist kaum möglich. Die Erkennung
>funktioniert bei modernen Sensoren fast 100% zuverlässig, selbst unter
>widrigen Bedingungen wie stark wechselnden Lichtverhältnissen und durch
>ein Display hindurch.

Naja, mein Samsung A50 hatte erhebliche Probleme mit der Erkennung,
insbesondere in dunkler Umgebung. Die Zuverlässigkeit lag da eher
zwischen 0 und 50%.

Die Geräte, die den Sensor auf einer Taste haben, schneiden da
deutlich besser ab.

>Das Aussperren nicht berechtigter Nutzer hingegen... nunja...

Da habe ich bislang noch keine Fehler feststellen können.
Aber grundsätzlich gebe ich Dir Recht, das Verfahren bietet nur eine
eingeschränkte Sicherheit.

Gruß
Lennart

[Franz Glaser]

On 02.09.23 14:46, Hergen Lehmann wrote:
>>
>> Ich babe verschiedene Fingerprint-Geräte gekauft.
>
> Möglicherweise wäre es billiger gewesen, sich VORHER über die
> praktischen Grenzen dieser Technologie zu informieren.

:-o)

Für einen Erfinder und Entwickler ist "Krämer-billiger" kein Maßstab.
Ausprobieren und Neues lernen hat oberste Priorität. Inklusive die
Erfahrenen im usenet fragen :-)


> [Fingerabdruck] Er ist selbst in diesem Kontext unter Fachleuten

umstritten, weil er nach einer Kompromittierung nicht geändert werden kann.

Da sehe ich die Fachleute auf dem Holzweg. Auch die 10 Finger haben
360° rundum-Oberfläche und dazu noch eine verwendbare Länge von über 5cm
mit Muster, das auf dem Bier-/Weinglas keine Spuren hinterlässt.

Das Problem sehe ich im *Zeitdruck der Manager auf die Entwickler*.


> [Handies] Milliarden verkaufte Smartphones mit Fingerabdruckscanner
beweisen das Gegenteil.


So ein Ding habe ich auch. Und das verlangt praktisch täglich 2 bis 5
mal, dass ich das Password neu eingeben muss, weil der fingerprint
nicht gut genug funktioniert hat.

Ein Password hat der Safe nicht, nur einen primitiven Notschlüssel,
den ich mit viel Aufwand in einem anderen Safe aufbewahren muss. Ich
alter Mann soll mir das alles im Kopf merken und nicht durcheinander
bringen :-/

Du hast mir aus der Seele gesprochen - aber das Problem ist einfach
ein Berg mit einer Lawine. :-)

Die fingerprints waren *als Ersatz* für meine PASSWORD-VERGESSLICHKEIT
gemeint :-(