微软Windows hello指纹认证漏洞被曝光,指纹也不安全?

来自Blackwing Intelligence安全研究人员已经绕过了Windows Hello指纹认证直接破解电脑登录，而且不受电脑品牌限制，包括在戴尔(Dell)、微软(Microsoft)和联想(Lenovo)笔记本电脑上都有效。

破解Windows Hello指纹认证的研究人员使用了USB设备，该设备支持MitM攻击。根据报告，MitM攻击可以绕过Windows Hello指纹认证。

该研究报告进一步强调，该技术可能会让不良行为者获得访问权限。这意味着任何使用MitM的攻击者都可以访问被盗的笔记本电脑，当然，需要开启指纹身份验证才能使漏洞发挥作用。研究人员对以下内容进行了Windows Hello漏洞测试:

• 联想ThinkPad T14
• 戴尔Inspiron 15
• 微软Surface Pro X

研究人员在自定义TLS中发现了Windows Hello的安全漏洞。这个漏洞在Synaptics（新思国际）传感器上。他们为这些设备设计了硬件和软件。他们研究的也不是Synaptics的传感器。研究中心还包括ELAN和Goodix。

在这一点上，还不清楚微软计划如何处理这个Windows Hello漏洞。尽管如此，研究人员指出，他们能够在没有启用SDCP保护的情况下绕过。那么，什么是SDCP保护呢?

SDCP(Secure Device Connection Protocol)代表安全设备连接协议。它通过指纹传感器提供安全的生物识别功能。该协议确保以下内容:

• 设备是受信任的
• 它处于健康状态
• 来自设备的输入受到保护

因此，为了安全起见，研究人员建议用户始终保持SDCP保护。这将有助于防止容易的攻击和黑客绕过Windows Hello。此外，研究人员还敦促OEM厂商确保开启SDCP。他们还建议有资质的专家审核指纹传感器。

这是什么意思?

指纹识别登录现在很流行。甚至很多Windows用户也不再只依赖PIN码了。确切地说，微软透露超过85%的用户正在使用Windows Hello。微软并没有考虑简单的PIN码。而且，这个数据是三年前的了。所以，在目前阶段，这一比例可能超过85%。

但是Windows Hello的这种漏洞使得无密码的未来有点令人担忧。不过，好消息是，我们已经看到了大公司的推动。微软最近的举措是允许Windows 11用户使用密码。Windows Hello还允许用户在保存的设备上管理他们的密码。

我们看到谷歌也采取了类似的做法。它一直在鼓励用户使用密码。相比之下，密钥比指纹更安全。你的设备存储了密码。黑客无法猜测这些密钥，也无法重复使用它们。所以，当你通过Windows Hello启用密码时，它们会留在你的Windows设备中。

另外，研究团队Blackwing Intelligence目前也在探索其他安全漏洞。这些内容涵盖Android、Linux和Apple设备上的传感器固件和安全性。

喜欢点赞收藏！欢迎关注SevenTech!