Wenn dies dein erster Besuch hier ist, lies bitte zuerst die Hilfe - Häufig gestellte Fragen durch. Du musst dich vermutlich registrieren, bevor du Beiträge verfassen kannst. Klicke oben auf 'Registrieren', um den Registrierungsprozess zu starten. Du kannst auch jetzt schon Beiträge lesen. Suche dir einfach das Forum aus, das dich am meisten interessiert.
Ankündigung
Einklappen
Keine Ankündigung bisher.
[OpenKNX-Ready] Zutrittskontrolle mit Fingerprint / Fingerabdruck
Ich sehe das Risiko als eher gering an, dass jemand auf diesem Weg jemand unberechtigt ins Haus kommt.
Meines Erachtens bringt das Passwort nur was, wenn nur der Fingerprintreader im Außenbereich ist und das OpenKNX-Gerät im Innenbereich ist.
Das Passwort wird doch auf der seriellen Schnittstelle im Klartext übermittelt und das Passwort muss ja mindestens einmal nach dem Einschalten übertragen werden.
Oder hab ich da was noch nicht richtig verstanden?
Genau, das ist korrekt, was du schreibst.
Das Passwort wird allerdings tatsächlich nur beim Start der Firmware einmalig an den Fingerleser übertragen. Solange die Firmware läuft und die Verbindung zum Fingerleser steht, muss das Passwort nicht erneut übertragen werden.
Ich sehe das Risiko als eher gering an, dass jemand auf diesem Weg jemand unberechtigt ins Haus kommt.
Meines Erachtens bringt das Passwort nur was, wenn nur der Fingerprintreader im Außenbereich ist und das OpenKNX-Gerät im Innenbereich ist.
Das Passwort wird doch auf der seriellen Schnittstelle im Klartext übermittelt und das Passwort muss ja mindestens einmal nach dem Einschalten übertragen werden.
Oder hab ich da was noch nicht richtig verstanden?
In der ETS ist mir kein Weg bekannt, ein Eingabefeld verpflichtend zu machen, man könnte nur einen Default setzen, der dann wieder bei allen gleich ist => sinnlos.
Doch das geht aber die ETS gibt eine Warnung im Log aus. Leeres Feld mit Regex. Haben wir für Hostname im ofm-network auch gemacht.
Diese Passwortfunktion ist absolut nützlich, aber auch "gefährlich":
Vergisst man nämlich das Passwort, kann man den Fingerabdruckleser tatsächlich wegschmeißen.
Das Passwort sollte daher vom Benutzer schon "bewusst" gesetzt werden und dieser Punkt in der ETS wird auch mit einem entsprechenden Hinweis/Warnung versehen sein.
Also definitiv möglich ein Passwort zu nutzen, grundsätzlich auch empfohlen, aber dennoch optional und per Default deaktiviert bis der Nutzer bewusst ein Passwort gesetzt hat.
Damit hat jeder alle Möglichkeiten, aber trotzdem mit der Sicherheit nicht zu schnell versehentlich den Scanner kaputt machen zu können. ;-)
Da wäre ich dagegen, sonst kann man - wenn die Platine kaputt gehen sollte - den Fingerprint gleich mit entsorgen. Fände ich schade. Ich finde schon, das PW sollte vom User setzbar sein.
In der ETS ist mir kein Weg bekannt, ein Eingabefeld verpflichtend zu machen, man könnte nur einen Default setzen, der dann wieder bei allen gleich ist => sinnlos.
Ich denke, wenn jemand ein PW haben will, wird er es eintippen und an den Fingerprint übertragen müssen.
Das PW kann man dann in der ETS stehen lassen (weil man z.B. das ganze Projekt über ein PW gesichert hat) oder einfach rauslöschen, das wir nur erneut gebraucht, wenn man das PW ändern will. WENN man es rauslöscht und vergisst, ist es weg und kann nicht erneut ausgelesen werden, auch nicht über Rekonstruktion.
Das ist die aktuelle Idee. Und bevor der falsche Eindruck entsteht: Ich bin an der Firmware nur marginal beteiligt, bin hier eher Ideengeber und Tester und habe einen Teil der ETS-Applikation mit designed. Wie das dann final implementiert wird, obliegt abtools.
Ah, danke! Das ist mir irgendwie durch die Lappen gegangen.
IMHO sollte es die Standardeinstellung sein, dass ein Passwort [gesetzt ist|generiert wird|angegeben werden muss]. Oder anders gesagt, die Verwendung eines Passwortes sollte nur durch explizites Opt-Out deaktiviert werden können.
Derzeit ist die Finger-Id nur 2 Byte, daraus eine 16 Byte UUID zu machen würde einige Probleme für die KNX-Übertragung verursachen und in der ETS-Applikation das Editieren erheblich erschweren.
KNX-Secure ist ja nur vom Bus her bis zur OpenKNX-Hardware relevant, nicht aber zwischen OpenKNX-Hardware und dem Fingerprint. Daher die Frage: Merkt eure Firmware, wenn man vorn dran den Fingerprint austauscht? Sprich, die OpenKNX-Hardware ist "innen", der Fingerprint "aussen". Jetzt tauscht mir jemand den Fingerprint aus und schickt "seine" Finger-IDs. Was passiert dann?
Der BCU Key ist in meinen Augen keine gute Idee. Selbst Geräte mit BCU Key können ausgelesen werden.
KNX Data Secure ist hier der bessere Weg, da die Kommunikation verschlüsselt ist.
Die Finger-ID wird ja vermutlich eine Art UUID sein,
Stand heute ist das nicht so, ich weiß auch nicht, ob das wirklich helfen würde. Und es gibt auch einen technischen Aspekt: Derzeit ist die Finger-Id nur 2 Byte, daraus eine 16 Byte UUID zu machen würde einige Probleme für die KNX-Übertragung verursachen und in der ETS-Applikation das Editieren erheblich erschweren.
Wie gesagt, echte Sicherheit gibt es erst mit Secure. Die Idee hier war erstmal, nur wenige GA durch die Filter zur Außenlinie durchlassen zu müssen und alle Schlatvorgänge auf der Innenlinie erledigen zu können.
Anderes Thema bezüglich Sicherheit: Wir haben eine Idee, wie wir das Passwort so ablegen, dass es nicht durch eine Rekonstruktion ausgelesen werden kann. Bedeutet allerings wirklich, dass wenn man das Passwort vergisst, man die Fingerprint-Scanner wegwerfen kann. Es gibt dann kein Weg zurück, weil wir das Passwort auch nicht mehr rausbekommen.
mumpf die Idee gefällt mir! Die Finger-ID wird ja vermutlich eine Art UUID sein, wodurch sie ja nicht durch Brute-Force "erraten" werden kann.
Für NFC wird die Platine ja zwangsweise außen benötigt wenn ich das richtig verstanden habe, daher wäre die andere Variante dann ja nicht mal möglich.
Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.
Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.
Einen Kommentar schreiben: