Bin gerade über ein Papier zur Sicherheit von RF-basierten Fingerprint-Lesern gestolpert. Das ist ja die Technologie, die laut ekey nicht knackbar ist.

didi126 kannst Du dazu was sagen?

Im Gegensatz dazu suggeriert ein Waffenherstelller einem aber nicht dass mit seiner Waffe auf keinen Fall Unschuldige erschossen werden können.
Wie ist aber der Umgang mit dem Thema hier?

"ja alles sicher weil AES"
"ja bei anderen geht das schon aber wir machen das ganz anders und sind net von diesem Problem betroffen"
"Ja würde vielleicht schon gehen *zähneknirsch* aber mal ehrlich wer macht sowas in der Praxis?"

Ich mein ist ja toll wenn der Hersteller ein Stück weit darauf vertraut dass jemand dies und jenes nicht tut damit sein Produkt sicher zu sein scheint.

Bei Keyless Entry am Auto hatte man auch warscheinlich nie gedacht dass jemand die Signale mal stört und mitschneidet. Waren bestimmt auch so Leute die gesagt haben "ja aber kommt in der Praxis nicht vor".

Ja ist dann so die Frage ob man darauf Bock hat wenn einem die Versicherung im Regen stehen lässt und der Hersteller sagt das irgendwo was im Handbuch stand und sie deswegen auch net zahlen müssen.

So war es doch auch bei den keyless Autos:
Anfangs haben sich die Versicherer auf den Standpunkt gestellt, dass ein solches Auto nicht unbemerkt gestohlen werden könne und haben nicht bezahlt.
Dabei reicht es, mit einem Gerät vor der Haustüre zu stehen, hinter welcher der Autoschlüssel liegt und das Signal so weiterzureichen.

Könnte auch ein interessanter Ansatzpunkt für Angriffe auf RFID-Türsysteme sein:
Vielleicht lassen sich die Tags mit entsprechender Antenne auch auf eine Distanz von ein paar Metern auslesen und das Signal an die Türe weiterreichen. Mein (herkömmlicher) Hausschlüssel hängt jedenfalls an der Wand direkt neben der Eingangstüre, es müssten also nur etwas Backstein und Isolation überwunden werden.
Ist jetzt alles nur Mutmassung, klingt für mich aber nicht so unrealistisch.

Von Autodieben wird diese Methode ja in der Praxis bereits eingesetzt, ist also nicht nur Theorie! Wieso sollten also Einbrecher dies bei entsprechender Verbreitung der Systeme nicht auch tun?

Wovon träumst Du denn nachts?

Du würdest auch darauf hoffen, dass ein Hersteller von Schusswaffen zur Rechneschaft gezogen wird, wenn jemand erschossen wird?

ROTFL!

Ich habe versucht, mich beim Versicherer kundig zu machen: unterm Strich zählt allein, ob Einbruchspuren vorhanden sind. Ob das nur ein einfacher Kontakt ist oder eine VdS/BSI-Zulassung hat, interessiert schlicht nicht. Das würde erst bei extrem hohen Versciherungssummen interessant werden.

Unter diesem Aspekt betrachtet ist eine Code-Tastatur, bei der der Türöffner zugänglich ist wenn man sie von der Wand reisst zu bevorzugen. Denn hier würde die Versicherung zahlen(!).

Ich hoffe nicht, dass Raketentechnologie aus Bleistiften, Folie und Leim besteht

Das ist ja noch viel einfacher die Methode mit der Platine, die seinerzeit von C'T benutzt wurde...

Da aber Gerätschaften wie Bleistift, Frischhaltefolie und Holzleim nur in Forschungslabors für Raketentechnologie zu finden sind, können wir uns alle beruhigt zurücklehnen ;-)

Und wenn sich nachweisen lässt dass der Reader durch relativ simple Technik zu überlisten ist durch Dinge die man fast in jedem Haushalt hat oder sich sehr einfach besorgen kann, haftet dann der Hersteller weil der Reader "zu einfach" umgangen werden konnte ODER redet er sich aber raus?
Also welche Art von Garantie ist der Hersteller denn bereit zu übernehmen wenn er selbst hohes Vertrauen in sein Produkt/Produkte hat so müsse sich das im Marketing doch auch irgendwie wiederspiegeln außer darin dass man nur sagt "ist alles sicher" ?

Denn mal ehrlich wenn der Reader versagt der Dumme ist am Ende der Kunde, denn er hat den Ärger und der Hersteller sein Geld und die Versicherung ist auch fein raus wenn sie sagen kann "keine Einbruchspuren".
Ist halt nur "blöd" wenn man ein teures Produkt kauft und irgendwann realsiert etwas für 50eus von Pearl hätte dieselbe Sicherheit gebracht.

Finde schon dass hier etwas zu leichtsinnig mit dem Thema umgegangen wird wenn man so Kommentare liest wie "ach wird schon keiner machen" "sowas hat kaum jemand zuhause"
Ob es jemand zuhause hat oder nicht ist manchmal nur eine Onlinebestellung entfernt.
Leute die Autos klauen scheuen sich ja auch nicht vor gewissen Anschaffungen wenn sich dass dann relativ schnell amortisiert

Wenn ich mich richtig erinnere, braucht es dafür Frischhaltefolie, Graphitstaub und Weissleim...

Nachtrag: Sucht man bei Google nach diesen drei Begriffen, führt der erste Treffer gleich zur Anleitung des CCC: https://www.google.ch/search?q=Frisc...taub+Weissleim

Also ich kenne keine Hobby Elektroniker, welche in der Werkstatt Material haben, um einen lebend- Fakefinger, welcher im Fingerscanner auch gespeichert sein muss, nachzubauen oder auf Platinen zu löten oder was auch immer

Genau. Selbst wenn wir unterstellen, dass das System heute sicher ist, heisst das noch lange nichts für die Zukunft. Oder würde heute noch jemand ernsthaft DES oder WEP verwenden?

Früher wurde (von den Banken) auch immer postuliert, man wäre leichtfertig mit seiner PIN umgegangen wenn es seltsame EC-Abbuchungen gab. Heute zahlen die Banken häufig freiwillig, damit die Schwachstellen nicht publik werden.

Und das ist genau das Problem: wo keine Spuren, da gibt es auch nix von der Versicherung.

Das schreiben die doch in die Anleitung damit sie sich aus der Verantwortung stehlen können.

Ich glaube nicht, dass das irgend jemand in diesem Thread gefordert hat.

Solch ein "Labor" hat jeder halbwegs ambitionierte Hobby-Elektroniker unter seinem Werkstatt-Tisch stehen und betreibt diesen "enorm viel Aufwand" regelmässig, wenn er mal schnell eine Platine benötigt.

OK, heutzutage eher seltener. Angesichts der Ramsch-Preise von MM und Sat**n verliert dieses eigentlich tolle Hobby immer mehr an Popularität...

Ja und nein. Natürlicht macht ein höhere FAR die ganze Geschichte sicherer. Dennoch ist der Wert an sich für das Szenerario dass jemand gezielt den Scanner mit Fälschungen füttert wertlos.
Ich mein du wirst ja wohl einsehen dass bei einem FAR von 1:1000 die Warscheinlichkeit dass der Scanner die Eingabe akzeptiert viel höher ist wenn jemand mit Kopien eines berechtigten Fingers anrückt, als wenn einfach stumpf und wahllos möglichst verschiedene echte Finger ausprobiert werden.
Was der Wert letztendlich nicht aussagt ist wieviele Kopien er zurückweist.

Ich sehe das Argument nicht. Soll das jetzt heißen weil ich nicht haufenweise Goldbarren zuhause aufbeware brauche ich auch keine hohe Sicherheit? Und letztendlich hat man noch was viel wertvolleres zuhause, nämlich seine Familie. Darum geht es letztendlich auch dass ich nicht irgendeine Räuberbande im Wohnzimmer stehen habe, meine Frau oder Sohn sie entdeckt und sie kurzerhand kurzen Prozess mit ihm oder ihr machen...

Und letztendlich stimmt auch was smai sagt. Mit zunehmender Verbreitung werden solche "Personen" sich auf solche Dinge spezialisieren. Mit ner Kopie eines Fingers die funktioniert, kannst du nämlich völlig spurlos einbrechen und auch der Nachbar denkt sich nix dabei wenn er die Person sieht denn er hat nur gesehen wie eine Person seinen Finger auf den Scanner gelegt hat und die Tür dann aufging und die Person verschwunden ist. Da wird er nie im Leben an Einbruch denken in dem Moment.
Und irgendwo sehe ich da auch die Hersteller in der Verantwortung dass ein teures Sicherheitssystem nicht durch simpelste Tricks übergangen werden kann und alles was der Hersteller dazu dann sagt ist "ja ist halt so, stand in der Anleitung auf Seite 596.
Völlige Sicherheit gibt es nicht, allerdings ist es irgendwo auch lustig wenn ein Hersteller selbst einfach stumpf behauptet das was er baut sei sicher ohne jemals dann den Beweis angetreten zu sein.

Wie gesagt muss jeder selber wissen, ich persönlich würde das Teil aber im Urlaub oder Nachts abschalten oder noch zusätzlich einen Zahlencode benutzen wenn irgendeine Logik merkt da will grad eine Person das Haus betreten und sonst ist niemand im Haus. Sind Leute im Haus so reicht tagsüber dann nur der Fingerabdruck. Ist keiner da muss die Person sich noch über einen Pin oder das Handy authentifizieren.

Jeder Einbrecher wird den für ihn einfachsten Weg nehmen.
Wenn sich Fingerscanner immer weiter verbreiten und die Standardsysteme zu wenig sicher sind, wird sich das auch bei den Einbrechern schnell herumsprechen.
Zur Not kooperieren die osteuropäischen Einbrecherbanden mit den osteuropäischen Hacker-Banden, die ja schon sehr professionell sind (das wird jetzt hoffentlich nicht rassistisch verstanden).

Man könnte meinen, wir hätte jeder ein Fort Knox zuhause. Jeder Einbrecher wird einfach das Fenster nehmen. Es wird wohl zuviel Mission Impossible geglaubt

Hubertus81

klar ist alles "hackbar", aber man sollte schon die Kirche im Dorf lassen und nicht Systeme über einen Kamm scheren die dann doch etwas unterschiedlich arbeiten. Will man wirklich über die Tür in ein Haus, gibt es noch genauso "leichte" / "schwere" Möglichkeiten. Ich glaube nicht, dass man für einen herkömmlichen Haustürschlüssel immer Knete braucht, um ihn nach zu machen. Ein Foto von einem Schlüssel dürfte heutzutage auch schon reichen (über zB eine versteckte Kamera im Blumenkübel) ... oder mal eben den Haustürschlüssel vom Kind gemopst. Selbst mit einem Fingerabdruck ist es mit dem nachgebauten Wurstfinger einfacher über das Smartphone des Besitzers das Smarthome zu öffnen, als mit dem Wurstfinger sein Glück an der Haustür zu versuchen. Bei meinem Smartphone brauche ich nur einen kleinen Teil des Fingers, um das Telefon zu entsprerren. Bei meinem ekey-Scanner muss ich schon ab dem ersten Gelenk den Finger über den Scanner ziehen. Solange ich nicht vermehrt Negatives über Fingerscanner lese, halte ich diese Zugangskontrolle für genauso sicher wie einen Schlüssel und freue mich über den Komfortgewinn. Dank Smarthome kann man Zugangskontrollen ja auch zeitweise deaktivieren, zB im Urlaub > der Blumengießer kommt dann mit dem herkömmlichen Schlüssel ins Haus oder es sind nur 2 RFID-Token aktiv und die Finger sind deaktiviert. ... Sollte irgendwann mal der Fingerabdruck zu unsicher werden (wie beim Beispiel mit dem Zahlencode auf dem USB-Stick), dann kann man immer noch auf andere Zugangskontrollen ausweichen.


Ich glaub nicht, dass Smarthomes für Gelegenheits-Einbrecher attraktiv sind. Wenn man das Smarthome nicht kennt, kann alles mögliche an Sicherheitsmaßnahmen verbaut sein. Einbrecher, die bewusst irgendwo reinwollen, die kommen auch rein, egal was an Sicherheitsmaßnahmen verbaut wurde.