Haker pokazał, jak ominąć zabezpieczenia Windows Hello

Haker pokazał, jak ominąć zabezpieczenia Windows Hello

Autor: Krzysztof Sulikowski

Opublikowano: 12/13/2021, 2:51 PM

Liczba odsłon: 1476

Od paru lat Microsoft i inni dostawcy promują podejście bezhasłowe, w którym zamiast tradycyjnego hasła tekstowego uwierzytelniamy się za pomocą technik biometrycznych, urządzeń towarzyszących czy innych technik. Z założenia są one bezpieczniejsze, trudniejsze do złamania i bardziej unikalne. Nie ma jednak (póki co) zabezpieczeń, których nie da się złamać, i niestety dotyczy to również Windows Hello.

Na przestrzeni ostatnich lat system biometryczny Windows Hello był z powodzeniem omijany już przynajmniej kilka razy z zastosowaniem różnych technik. Certyfikowaną kamerę z czujnikiem podczerwieni albo czytnik linii papilarnych trudno jest oszukać (np. wydrukiem zdjęcia twarzy albo odcisku palca), dlatego techniki celują raczej w modyfikacje sprzętowe. Jedną z takich metod zaprezentował ostatnio Omer Tsarfati, badacz zabezpieczeń z CyberArk, który wykorzystał do tego zewnętrzne urządzenie USB.

W 30-minutowej prezentacji haker omawia sposób działania uwierzytelniania poprzez rozpoznawanie twarzy oraz to, jak oszukać silnik Windows Hello for Business za pomocą zmodyfikowanego urządzenia USB i jak przechwycić odpowiednie ramki obrazu, by przejść przez fazę logowania. Dodatkowo zobaczymy, jak te odkrycia mogą wpłynąć na inne systemy biometryczne na różnych urządzeniach i systemach.

Podejście passwordless zdobywa coraz większą popularność i można powiedzieć, że ubiegły rok był dla niego przełomowy. Technologia bezhasłowa nadal jednak wymaga poprawy, dlatego naszym zdaniem nie warto polegać tylko na niej (jak też na samych tylko hasłach tekstowych), dlatego najlepszym rozwiązaniem zawsze będzie uwierzytelnianie wieloskładnikowe łączące przynajmniej dwie różne techniki.