Sicherungspasswort und Fingerabdrücke beim S5mini

[micmen]

ah, super, das hilft mir dann ein wenig weiter

also gerade nochmals getestet bei mir: bei der Registrierung der Fingerabdrücke muss ein Password definiert werden. Muss mindestens 6 Zeichen haben und mindestens ein Buchstabe und Zahl.

verstanden - und dann kann ich meine in Frage kommenden Kandidaten mal auf diese Merkmale abgrasen

Kaum jemand würde so was kaufen wenn es lauter Backdoors gäbe, also zum Bsp irgendein Universal defoult Master Password welches auch noch irgendwo publiziert wäre.

Also mit Default-PW meine ich doch nur eins, das voreingestellt ist, und keine Art "Generalschlüssel-PW": Sowas wie eine 1234 zum User admin für den Zugang einer Router-Konfiguration... Und klar sollte jeder diese 1234 gegen ein echtes PW austauschen.

Biometrische Merkmale dürfen nur für Identifikation und Nachweis der persönlichen Anwesenheit verwendet werden.
Um Aktionen auszuführen oder starten, ist ein Geheimnis nötig, welches nur die mit dem biometrischen Merkmal identifizierte Person kennt.
Das sind nun mal elementare Grundregeln unter denen biometrische Merkmale angewendet werden sollen.
Das hat damit zu tun, dass alle biometrische Merkmale grundsätzlich als öffentlich und allen bekannt sind gelten.

Also darüber muß ich mir mal Gedanken machen, spontan ist mir nicht klar, warum das gelten soll, diese Unterscheidung. Wer meine Iris oder Fingerkuppen "kennt", muß erstmal eine funktionierende Kopie herstellen, um sich meine Zugänge zu verschaffen.

micman hast dir mal 2- 3 beiträge über deinem hier gelesen?

ja, nachträglich, denn mein Post wurde ja aus einem anderen Thread hierher verschoben - aber ist ein paar Tage her

Gleich vorweg mit dem Android Gerätemanager ist nix zu machen. Der ist dafür gedacht, wenn dein Gerät geklaut wurde... um es zu sperren.

irgendwo stand, der würde auch dazu dienen, sich selbst einen Zugang zu einem Gerät einzubauen...

Ich kann dir sagen was du noch machen kannst:
A: du probierst alle Passwörter durch bis eins passt
B: Hardreset inkl. Verlust aller auf dem Phone gespeicherten Daten

ersteres werde ich jetzt versuchen, letzteres will ich um jeden Preis vermeiden...

Das Passwort hast du bei der Einrichtung des Sensors vergeben. 1000%ig
Zwar genau für den Fall, der jetzt eingetreten ist, das der Sensor nicht funktioniert bzw. kaputt gegangen ist.

Ist das Deine Vermutung, daß bei meinem Teil der Sensor im Eimer ist? einfach so? Dann käme ich ja um ein Einsenden eh nicht herum... :-(

Ich vermute du hast das Update auf Lollipop 5.1.1 installiert und der Fingerabdrucksensor war vorher schon eingerichtet?

Kann ich im Moment nicht prüfen, aber das wäre vermutlich fürchterlich, nach dem, was ich alles gelesen habe.
Und wäre auch eine ziemliche Schweinerei, denn ich bin mir der damit zusammenhängenden Gefahren ja voll und ganz bewußt und weiß, daß ich auf keinen Fall etwas antippen darf, das das auslösen könnte - sollte das trotzdem passiert sein, wäre das ein Indiz, daß Samsung diesbezüglich sehr aggressiv gegen seine Kunden vorgeht, daß selbst jemandem wie mir das unbemerkt passiert.


danke und ich melde mich!

 

[ottosykora1]

Also darüber muß ich mir mal Gedanken machen, spontan ist mir nicht klar, warum das gelten soll, diese Unterscheidung. Wer meine Iris oder Fingerkuppen "kennt", muß erstmal eine funktionierende Kopie herstellen, um sich meine Zugänge zu verschaffen.

Klar, versuche es zu überlegen, oder nachlesen irgendwo, es ist einfach so.
Gerade das mit der Iris ist ein schlechter Beispiel. Gute Hacker haben doch vor nicht zu langer Zeit ein Plakat fotografiert, drauf hat gewisse Angela M schön freundlich gelächelt. Daraus haben sie dann den Iris Datensatz dieser Dame erstellt. Und klar, damit wären sie dann in der Lage etwaige Aktionen die auf diesem Datensatz basieren auszulösen.
Geht jedoch nicht, seriöse Anwendungen brauchen dann noch ein Geheimnis dazu, welches eben die AngelaM kennt. Durch die Iris wird nur festgestellt: ja es ist die AM welche vor der Tür steht, sie ist persönlich anwesend. Aber ist sie wirklich berechtigt in diesem Raum was zu suchen? Das wird dann mit dem Geheimnis geklärt.

 

[micmen]

...also wirklich logisch klingt mir das nicht...
Entweder ein solches Identifizierungs-System taugt was, dann ist es auch für sich allein als Schutz ausreichend, oder es taugt nix, dann sollte man es gar nicht benutzen.
"Es betätigt, daß der richtige Mensch da ist, aber da es überlistbar ist, braucht man zusätzlich ein Geheimnis", das ist in meinen Augen keine sehr seriöse Verfahrensweise...
Das wäre dann lediglich ein etwas verbesserter PW-Schutz (PW plus man kann hoffen, daß es von der richtigen Person eingetippt wird).

Jede Zugangsbeschränkung soll sicherstellen, daß nur berechtigte Personen Zugang bekommen. Ob das System so perfekt ist, daß es einen Menschen zweifelsfrei identifiziert, oder aber es ein PW benötigt, von dem man hofft, daß es kein Fremder erhalten/erraten kann, das ist eigentlich gleichwertig.

Wenn die Anonymität gewahrt werden soll oder wegen anderer Datenschutz-Aspekte, fällt Identitätsprüfung aus, dann geht nur PW. Andernfalls kann man entweder das eine, oder das andere verwenden, vorausgesetzt, die Identitätsprüfung ist überlistungssicher.


Und ich habe heute beim Support angerufen. U.a. wurde mir als Regel für das "alternat. Paßwort" gesagt, daß es mindestens einen Großbuchstaben und mindestens eine Ziffer und insgesamt mindestens 6 Zeichen enthalten muß.
Wobei ich mich jetzt frage, ob 5 Großbuchstaben und eine Ziffer akzeptiert würden, oder auch mindestens ein Kleinbuchstabe enthalten sein muß...

P.S.:
"Aber ist sie wirklich berechtigt in diesem Raum was zu suchen? Das wird dann mit dem Geheimnis geklärt." Da widerspreche ich: Ob die Person aktuell dort oder dort "etwas zu suchen hat" (durchgelassen wird), entscheidet das System bzw. derjenige, der es verwaltet, nicht ein Geheimnis. Denn auch das Geheimnis wird generiert in Übereinstimmung mit dem System bzw. dem, der es verwaltet.

 

[ottosykora1]

Also ich weiss , es ist kompliziert zu verstehen, aber das sind nunmal Grundlagen der Sicherheitstechnik.

Ich kann dir diverse Beispiele geben aus der wirklichen Praxis.
Zum Bsp hat jemand das Geheimnis jemandem 'ausgeliehen' , konkret ein Hilfsarbeiter konnte mit der RFID Karte eines Ingenieurs Wartungsarbeiten an IT in einer Bank ausführen. Verrechnet wurde dann eine Ing Stunde.
Sicher nicht gut.
Wurde dann zusätzlich mit Fingerscann ergänzt. Jetzt musste der Ing, der eigentliche Besitzer der RFID wirklich vor Ort sein und mit seinem Geheimnis (RFID und PIN) Zutritt bekommen.

Glaube mir, alle seriösen Anwendungen bei denen die Sicherheit ein wenig eine Rolle spielt sind so aufgebaut.


PW bei S5:
bei mir geht es auch nir mit Kleinbuchstaben und Zahlen, aber es müssen mindestens 6 sein (5 geht nicht)

 

[micmen]

Gut, das mit dem RFID ist weder ein PW, noch ein Identitätsmerkmal - eher wie ein gewöhnlicher Schlüsselbund.

Vielleicht macht man das wegen "doppelt gemoppelt hält besser", das würde ich verstehen. Aber von der Theorie ist es doch so:
Ist eine Identitätsprüfung sicher, dann "weiß" das System immer 100% zuverlässig, wer gerade was machen möchte, und erteilt Zugang, oder nicht. Ein Mensch, der aktuell autorisiert ist, wird zugelassen, ein anderer nicht. Daran würde kein PW etwas ändern. Es würde keinen Sinn ergeben, daß das System entscheidet "der Mensch ist berechtigt, er hat Zugang, aber wenn er gleich ein falsches PW eingibt, ärgere ich ihn mal und lasse ihn einfach nicht durch"...

Ein PW (Geheimnis) wäre dann nur zur Sicherheit für den Fall, daß jemand es geschafft hat, die Identitätsprüfung zu überlisten, und sich als jemand berechtigtes auszugeben.


Wofür ist dann der Support, wenn er falsche Auskünfte gibt...

 

[ottosykora1]

Vielleicht macht man das wegen "doppelt gemoppelt hält besser", das würde ich verstehen.

Nein so ist es nicht.
Es geht darum, dass die biometrischen Merkmale grundsätzlich öffentlich sind und allen bekannt und allen verfügbar sind.
Das Geheimnis ist nicht öffentlich und nicht allen verfügbar.

Wie kompliziert es ist im Einzelfall einen biometrischen Merkmal wirklich von einer anderen Person zu verwenden kann nicht diskutiert werden, es genügt dass dies grundsätzlich machbar ist.
Biometrische Merkmale sind andererseits nicht austauschbar und mit einer Person verbunden, können aber nicht ersetzt oder ausgetauscht werden.

Geheimnis ist austauschbar und ersetzbar.

Die zwei Sachen ergänzen sich zwar, können sich aber nicht gegenseitig ersetzen weil sie völlig andere Funktion haben.

 

[micmen]

Ja, ok - ich sage mal, ich "habe es verstanden"...
Wobei für mich nach wie vor die zentrale Frage ist (ist so ein bißchen der Unterschied Theorie und Praxis?):

1. Ist das Merkmal 100% sicher zuzuordnen, also nicht austauschbar/imitierbar, dann ist die Identitätsprüfung geeignet als Methode, ganz bestimmten Menschen ganz bestimmte Zugänge zu gewähren, und nichts weiter (Schlüssel, Geheimnisse) wäre noch erforderlich. Das System entscheidet, welche Zugänge der jeweilige Mensch im Moment hat und welche nicht. Ein Geheimnis bringt in diesem Fall Null zusätzliche Sicherheit.
   
2. Ist das Merkmal nicht fälschungssicher, dann bringt so eine Identitätsprüfung nicht sehr viel und ist nur eine zusätzliche Hürde, Menschen an unberechtigtem Zugang zu hindern: Dann ist das PW der eigentliche Schutz und bei der Identprüfung hofft man, daß der anwesende Mensch aktuell nicht Kopien von Iris, Fingerkuppen, etc. verwendet.

Aber auch mal zum zurück Thema:
Bzw. nicht, denn ich will fragen, ob ich OT weitermachen darf :

Lohnt sich die ganze PW-Raterei überhaupt, ist es so viel Arbeit, das SmartPhone zurückzusetzen und neu einzurichten?
Vielleicht übersehe ich gerade in Gedanken etwas, aber der größte Verlust ist wohl, daß man die ganzen Apps neu installieren und die 1000 WLAN-Zugänge wieder neu einrichten muß, alles andere ist wohl in einer Stunde erledigt? Ok, der achwiesüüüüüüüüüüüüße Lieblingsgoldhamster muß noch als Hintergrundbild eingerichtet werden
Immer blöd, wenn man erst hinterher merkt, daß man da was übersehen hatte...

Ich habe mit dem MPE nochmal die Kontakte synchronisiert und ein paar Dateien vom Telefonspeicher auf dem PC gesichert.

 

[ottosykora1]

man kann es probieren mit dem Raten, da gibt es so was wie eine Verzögerung nach Falscheingaben. Das macht es etwas komplizierter, weil es dann lange dauern kann.

Reset kann man machen, je nach dem was man eingestellt hat, installieren sich die Apps auch von selber.
Klar diverse Einstellungen muss man noch machen. Bei den WLAN, da kann man nicht helfen, die muss man nach und nach wieder sammeln.
Kleine , wichtige Daten hast du im MPE, also soo schlimm wird es nicht sein.
Mich nervt es auch immer wenn ich ein neu aufsetzen muss. Bei meinem Motorola habe ich oft machen müssen, ging dann auch mal ganzes Wochenende.






>also nicht austauschbar/imitierbar,<

es wird immer angenommen dass es nicht austauschbar ist jedoch es wird angenommen es ist imitierbar
Darum sind biologische Merkmale nicht geeignet für sichere Vorgänge zu starten.
Die beiden Begriffe sind nicht äquivalent.
Darum wird in der Sicherheitstechnik biologisches Merkmal ohne Geheimnis als Wertlos betrachtet wenn es darum geht sicherheitsrelevante Vorgänge zu starten.
Hingegen werden die biologischen Merkmale als hinreichend zuverlässig betrachtet wenn es darum geht eine Person zu identifizieren und deren persönliche Anwesenheit zu prüfen.

 

[micmen]

Danke Leidensgenosse!
Auch mich hat Motorola trainiert (Defy mini: das ohne Speicher und daher nur gerootet verwendbar)

austauschbarslashimitierbar sollte nicht heißen, daß für mich beides das gleiche ist, sondern "entweder oder"

Deine letzten beiden Sätze verstehe ich aber nicht, in meinen Augen widersprechen sie sich logisch, und genau das ist auch das, was mir von Anfang an Bauchschmerzen machte:
Wenn biologische Merkmale "wertlos" sind für sicherheitsrelevante Vorgänge, können sie ja nicht "sicher" sein, eine Person zu identifizieren und deren Anwesenheit sicherzustellen.
Wenn sie "imitierbar" sind, wie Du schreibst, dann können sie nicht wirklich verwendbar sein, eine Person zu identifizieren, sondern nur "ein bißchen mehr Hindernis" sein, Betrug zu erschweren.


Ja, ich werde es dann zurücksetzen.
Nochmal schauen, welche Möglichkeiten es da gibt, einen RESET durchzuführen.
Am liebsten würde ich dann gleich auf CyanogenMod umsteigen, um Google so weit wie nur irgend möglich aus dem Weg zu gehen, aber dazu fehlen mir leider noch Infos.


danke

 

[ottosykora1]

also bei meinen früheren konnte man es auch mit irgendeinem Affengriff machen, Bei dem S5 habe ich es noch nicht probiert. Da müssen wir da in in den gepinnten Beiträgen suchen.

 

[micmen]

ja, ich habe den <Laut + Home + Ein/Aus> verwendet

Und ich habe diesmal beim "alternat.Paßwort" A) aufgepaßt und B) rumgetestet und die Bedingung ist lediglich "mindestens 4 Zeichen, von denen mindestens eines ein Buchstabe sein muß". Ab dem vierten eingetippten Zeichen wird der Weiter-Button aktiv und wenn man keine Buchstaben verwendet hatte, kommt die Meldung, daß mindestens ein Buchstabe dabei sein muß.
Habe testweise mal die beiden Paßwörter "qwer" und "123q" verwendet, beide wurden akzeptiert und haben auch funktioniert.

Damit sind u.a. auch beide Antworten des (kostenpflichtigen...) Samsung-Telefonsupports falsch gewesen - schon kraß.

 

[der von da]

Tja, hier zu Hause ist auch gerade großes Drama ausgebrochen. Meine Tochter behauptet steif und fest das ihr Sicherungspasswort richtig ist, aber das Telefon ist da anderer Meinung. Wie kann ich das Teil denn via Google account entsperren ? Die Option wird mir auch nach 50 Versuchen nicht angeboten. Wäre super wenn jemand ne Idee hätte.