Windows 10: Hello-Gesichtserkennung hält einem Foto nicht Stand

In der Auseinandersetzung darum, wie gut die Gesichtserkennung im neuesten iPhone X funktioniert, waren Urteile schwer zu fällen, weil es nur recht bedingt gute Vergleiche zu anderen Systemen gab. Jetzt haben aber zwei Sicherheitsforscher auch Microsofts Biometrie-Verfahren unter die Lupe genommen und zwangen dieses recht schnell in die Knie. Die Security-Experten Matthias Deeg und Philipp Buchegger, die beim Unternehmen SySS tätig sind, kamen mit dem immer gleichen Spoofing-Angriff allerdings zu recht unterschiedlichen Ergebnissen. Ob die Attacke erfolgreich ist, hing von dem genutzten Gerät, der Windows-Version und der Aktivierung der "Enhanced Anti-Spoofing"-Funktion ab. Letztere lässt sich nicht auf jeder Hardware-Konfiguration aktivieren.

Differenzierte Ergebnisse bekamen die Sicherheits-Forscher beim Einsatz eines Surface Pro 4-Systems von Microsoft. Dieses ist von Haus aus mit der Wunsch-Konfiguration für Windows Hello ausgestattet. Dem Angriff der Experten hielt das Biometrie-Verfahren Microsofts hier aber nur Stand, wenn eine neuere Windows-Build mit aktiviertem Enhanced Anti-Spoofing eingesetzt wurde. Ohne das genannte Feature hielt das Verfahren schlicht gar nicht stand.

Es geht noch schlechter

Die zweite Testreihe führten die Sicherheitsforscher mit einem Dell Latitude-Notebook durch, an das eine Windows Hello-kompatible USB-Kamera angeschlossen wurde. Diese Konfiguration erlaubt die Aktivierung des Enhanced Anti-Spoofings überhaupt nicht. Und ohne diesen Zusatzschutz war die Attacke über alle getesteten Windows-Versionen hinweg erfolgreich.

Für den Angriff verwendeten die Sicherheitsforscher im Grunde einfach nur einen Ausdruck eines Fotos. Voraussetzung für den Erfolg war dabei allerdings, dass das Gesicht frontal fotografiert und die Aufnahme im Nahinfrarotbereich erstellt wurde - so wie es eine Windows Hello-Kamera auch tut. Darüber hinaus gab es noch einige kleinere Bildanpassungen, die dann auf einem Laserdrucker auf Papier gebracht wurden. Windows 10, Windows, Login, Anmeldung, Windows hello, Login Screen Microsoft