Microsoft - Raziskovalci iz podjetja Blackwing Intelligence so ugotovili, kako je možno pretentati zaklep računalnik s prstnim odtisom v Windows Hello. Na prošnjo MORSE (Microsoft Offensive Research and Security Engineering) so analizirali varnost treh različnih tipov čitalnikov prstnih odtisov v prenosnih računalnikih in odkrili resne ranljivosti.

Ranljivi so čitalniki podjetij Goodix, Synaptics in ELAN, ki so jih preizkusili na napravah Dell Inspiron 15, Lenovo ThinkPad T14 in Microsoft Surface Pro X. Izdelali so posebno napravo, ki se na računalnik priključi prek USB-ja in omogoča izvedbo napada s prestrezanjem (MITM). Tako je možno odkleniti ukradene prenosnike, če je le kdo kdaj v preteklosti uporabil prstni odtis za prijavo.

Že pred časom je Microsoft ugotovil, da 85 odstotkov ljudi, ki to možnost imajo, za prijavo uporablja prstni odtis. Prvo resno ranljivost v Windows Hallo je Microsoft odpravil leta 2021, ko so ljudje ugotovili, da je možno pretentati prepoznavanje obrazov za...

Slo-Tech - O svetu brez gesel smo že večkrat pisali, denimo ob standardizaciji WebAuthn in sprejetju tehnoloških velikanov, a na ključni preboj še čakamo. Morda bo odločilen korak, ki ga je danes napravil Google z začetkom velikega testiranja ključev (passkey), v katerem sodeluje 9 milijonov organizacij. Od danes lahko omogočijo prijavo svojim zaposlenim v Google Workspace al Google Cloud s ključem.

To je nova tehnologija preverjanje istovetnosti, ki ne uporablja gesel in jo razvija Združenje FIDO, v katerem sodelujejo tudi Google, Apple in Microsoft. Ključi omogočajo prijavo v storitve s potrjevanjem istovetnosti na nivoju naprave, torej s prstnim odtisom na telefonu, Windows Hello ali Face ID v iPhonu. S tem odpade potreba po geslih in dvostopenjski avtentikaciji ali smsih. Ključev ni možno ukrasti, ker ne vsebujejo nobenega nespremenljivega zaporedja znakov (kot je geslo), ki bi ga bilo možno prekopirati.

Uporabo ključev bodo morali odobriti lokalni administratorji v organizacijah. Poleg...

FIDO Alliance - Informacijski velikani Apple, Google in Microsoft so oznanili, da na osnovi tehnologije združenja FIDO postavljajo platformo za brezgeselno vpisovanje v uporabniške račune na vseh svojih napravah in operacijskih sistemih. To bi lahko pomenilo ključen premik v prodoru tehnologij za strojno avtentikacijo brez klasičnega gesla.

Z nenehno rastjo števila nalinijskih aplikacij, ki za rabo zahtevajo uporabniški račun, znakovna gesla postajajo vse večji varnostni problem. Ker si je praktično nemogoče ročno zapomniti veliko množico različnih varnih gesel, ljudje bodisi uporabljajo preveč enostavna bodisi jih na različnih platformah reciklirajo in s tem postanejo tarče za potencialne napade z rabo baz kompromitiranih gesel (password spraying). Zato se že več kot desetletje vztrajno krepi težnja po raznoraznih alternativah, med katerimi so bili sprva priljubljeni preprostejši upravljalniki gesel, zadnje čase pa prodirajo naprednejše avtomatizirane platforme, kot sta OpenID in WebAuthn, pri...

Slo-Tech - Konzorcij za svetovni splet (W3C), ki je pristojen za potrjevanje standardov, je objavil končno verzijo Web Authentication API, ki je s tem postal standard WebAuthn. Gre za tehnologijo, ki so jo leta 2015 prvi predlagali velikani Apple, Google, Microsoft, Intel in drugi, prva pa sta jo v praksi udejanjila Dropbox in Microsoft. Danes jo podpirajo vsi veliki brskalniki, tudi Chrome, Firefox in Safari.

WebAuthn je API, ki spletnim stranem omogoča izvajanje avtentikacije (preverjanje pristnosti) s komunikacijo z varnostno napravo, ki ji uporabnik dovoli dostop. To je lahko na primer varnostni ključ FIDO ali biometrika. Tako lahko sedaj uporabljamo prstne...

Slo-Tech - Biometrika je že dodobra zakorakala med pametne telefone, ki se ne odklepajo več le s prstnimi odtisi, temveč tudi s prepoznavanjem obraza. LG pa je šel še korak dlje in predstavil telefon, ki nas prepozna po vzorcu ven. LG G8 ThinQ za odklep prebere vzorec ven na dlani, kar so v podjetju poimenovali Hand ID. V osnovi gre za podoben koncept kot pri prepoznavanju obraza, le da naj bi bilo sistem bistveno teže pretentati.

Telefon ima posebno kamero za IR, ki zazna vzorec ven v dlani. Druga, 3-D kamera (ToF - time of light) pa prepozna obliko, debelino in druge značilnosti dlani. V praksi to poteka tako, da telefonu približamo dlan nad kamero za selfije, pa se bo odklenil. Prvi preizkusi kažejo, da je...

Slo-Tech - Mozilla, Google in Microsoft podpirajo prihajajoč spletni standard WebAuthentication (WebAuthn), ki prinaša enotni način preverjanja pristnosti na internetu in utegne zamenjati prijavo z gesli. WebAuthn podpira več načinov potrjevanja identitete, denimo prstne odtise, USB-žetone, biometriko ipd., uporabil pa bi, kar bi imel uporabnik na zalogi. Gre za tehnologijo, ki prinaša podporo za USB, Bluetooth in NFC v brskalnik. WebAuthn pripravljata FIDO Alliance in Konzorcij W3C (World Wide Web Consoritum), trenutno pa je v stadiju CR (Candidate Recommendation). Delovna skupna, ki pripravlja standard, je torej v glavnem že zbrala in definirala funkcionalnosti...

Slo-Tech - Samsungov nov pametni telefon Galaxy S8 ima med ostalimi bonbončki tudi možnost odklepa s prepoznavanjem biometričnih značilnosti uporabnika. Z drugimi besedami: Galaxy S8 lahko odklene s svojim prstnim odtisom, s šarenico ali prepoznavanje obraza. Slednja funkcija je bolj kisel bonbonček, so pokazali zadnji preizkusi, saj jo je mogoče pretentati že -- s fotografijo.

Španski uporabnik je pokazal, da zadostuje preprost selfie. Odklep telefona je imel nastavljen na prepoznavanje obraza. Potem je z drugim telefonom napravil selfie in ga pokazal Galaxyju S8, ki se je hitro odklenil. Zvijača je enostavno ponovljiva.

Samsung ni prvi, ki se je ujel v to zanko. Ko je Google dodal Face Unlock že v Android 4.0 leta 2011, ga je bilo mogoče...

Ars Technica - Kakorkoli obrnemo, gesla ostajajo najpogostejša možnost za ugotavljanje istovetnosti uporabnikov računalniških sistemov. Lokalno je sicer mogoče uporabljati biometrijo, recimo prepoznavanje glasu, prstnih odtisov ali šarenice, na internetu pa nam do neke mere na pomoč priskočijo certifikati, a brez gesel ne gre. In ker je storitev, za katere potrebujemo geslo, čedalje več, ljudi pa nismo čedalje pametnejši, gesla recikliramo, uporabljamo ista gesla, si jih pišemo na listke itn. Zato vsake toliko časa vznikne kakšna zamisel, kako bi z gesli opravili enkrat za vselej. Sedaj imajo tako idejo v Paypalu.

Kot pojasnjuje Paypalov vodja računalniške varnosti Michael Barrett, želijo v prihodnjih letih doseči odpravo gesel, številk PIN in...

International Business Times - WebOS Nation je uspel pridobiti razvojno različico nikoli predstavljene 7-palčne različice HP TouchPada, imenovane TouchPad Go. HP ga je opustil konec poletja ob zaprtju celotnega WebOS oddelka, kar je precej škoda, ker gre za eno boljših 7 palčnih tablic (še tudi) ta hip.

Strojne specifikacije so večidel iste, z izjemo za 2.7'' manjšega zaslona, ki ima še vedno isto resolucijo 1024x768, vendar v razmerju 4:3 in je prvenstveno namenjen landscape (ne portrait) orientaciji. Vse aplikacije za večjega brata zato delujejo brez težav ali prilagoditev. Pravzaprav je naprava še malo boljša, z snemljivim hrbtiščem in zamenljivo baterijo, vključeno 5-megapikselno kamero s fiksnim zoomom in na prstne odtise bolj odpornim zaslonom. Celo...