😊All Things N
ดูตามหัวข้อ ไมโครซอฟท์ วินโดวส์ แมคโอเอส ลีนุกซ์ แอนดรอยด์ ไอโฟน การเล่นเกม ปัญญาประดิษฐ์
😊All Things N

Contents

เครื่องสแกนลายนิ้วมือ Windows Hello ถูกแฮ็ก: คุณควรใช้มันต่อไปหรือไม่?

 included in Windows Windows 10 Windows 11 Hacking Biometrics
   219 words   2 minutes 

การเข้าสู่ระบบแล็ปท็อป Windows ด้วยเครื่องสแกนลายนิ้วมือเป็นเรื่องง่าย เพียงวางนิ้วของคุณบนสแกนเนอร์ ระบบปฏิบัติการก็จะให้คุณเข้าไปได้ อย่างไรก็ตาม นักวิจัยได้แสดงให้เห็นว่า แม้ว่าวิธีนี้จะสะดวก แต่ก็ไม่สามารถป้องกันการแฮ็กได้

แท้จริงแล้ว มีวิธีการต่างๆ มากมายที่บุคคลสามารถเลี่ยงผ่านเครื่องสแกนลายนิ้วมือของ Windows Hello ทำให้เกิดคำถามเกี่ยวกับประสิทธิภาพของมาตรการรักษาความปลอดภัย

ผู้คนสามารถแฮ็กเครื่องสแกนลายนิ้วมือ Windows Hello ได้หรือไม่

/th/images/passwords-are-a-thing-of-the-past-passwordless-logins-benefits.jpg

เพื่อหลีกเลี่ยงกลไกการรับรองความถูกต้องทางชีวภาพที่ใช้โดยระบบปฏิบัติการ Windows เพื่อวัตถุประสงค์ในการเข้าสู่ระบบของผู้ใช้ รวมถึงหมายเลขประจำตัวส่วนบุคคล (PIN) การจดจำใบหน้า และการตรวจสอบลายนิ้วมือ บุคคลที่พยายามละเมิดมาตรการรักษาความปลอดภัยของอุปกรณ์ที่ใช้ Windows จึงพยายามหลีกเลี่ยง การป้องกันที่ได้รับจากบริการ Windows Hello

ในส่วนหนึ่งของการวิจัยเกี่ยวกับจุดแข็งของ Windows Hello แฮ็กเกอร์หมวกขาวสองคน Jesse D’Aguanno และ Timo Teräs ได้โพสต์รายงานบนเว็บไซต์ของพวกเขา Blackwing HQ รายงานให้รายละเอียดว่าพวกเขาเจาะข้อมูลอุปกรณ์ยอดนิยมสามรายการได้อย่างไร ได้แก่ Dell Inspiron 15, Lenovo ThinkPad T14 และ Microsoft Surface Pro Type Cover

วิธีที่แฮกเกอร์เจาะระบบ Windows Hello บน Dell Inspiron 15

จากการตรวจสอบ Dell Inspiron 15 ชุมชนแฮ็กพบว่ามีความเป็นไปได้ที่จะเริ่มต้นระบบปฏิบัติการ Linux บนอุปกรณ์ เมื่อเข้าสู่ระบบแพลตฟอร์มทางเลือกนี้สำเร็จ ผู้ใช้สามารถลงทะเบียนตัวระบุไบโอเมตริกซ์เฉพาะภายในระบบได้ จากนั้นจึงกำหนดหมายเลขประจำตัวที่เหมือนกันกับบัญชี Windows ที่ระบุที่พวกเขาต้องการเข้าถึง

ต่อจากนั้น บุคคลหนึ่งทำการโจมตีแบบแทรกกลางบนลิงก์การสื่อสารที่เชื่อมต่อคอมพิวเตอร์ส่วนบุคคลและเซ็นเซอร์ การตั้งค่าถูกจัดเรียงในลักษณะที่เมื่อ Microsoft พยายามที่จะยืนยันว่าลายนิ้วมือที่สแกนมีความถูกต้องหรือไม่ ในที่สุดระบบจะปรึกษาฐานข้อมูลลายนิ้วมือของ Linux แทนที่จะเป็นของตัวเอง

เพื่อหลบเลี่ยงมาตรการรักษาความปลอดภัยของ Windows Hello อาชญากรไซเบอร์ใช้วิธีการที่เกี่ยวข้องกับการยักยอกข้อมูลลายนิ้วมือที่จัดเก็บไว้ในระบบที่ใช้ Linux ด้วยการอัปโหลดและกำหนดตัวระบุที่เหมือนกันให้กับบัญชีผู้ใช้บน Windows ผู้โจมตีพยายามเข้าถึงโดยไม่ได้รับอนุญาตผ่านการใช้การรับรองความถูกต้องทางชีวภาพ ในการทำเช่นนั้น พวกเขาจัดการการรับส่งข้อมูลเครือข่ายในระหว่างกระบวนการเข้าสู่ระบบ โดยส่งแพ็กเก็ตไปยังฐานข้อมูล Linux แทนที่จะเป็นแหล่งที่มาของ Windows ที่ถูกต้อง สิ่งนี้ทำให้เกิดการยืนยันอันเป็นเท็จว่าบุคคลที่เชื่อมโยงกับหมายเลขประจำตัวนั้นได้เตรียมที่จะลงชื่อเข้าใช้ ซึ่งท้ายที่สุดแล้วสามารถข้ามมาตรการรักษาความปลอดภัยได้

วิธีที่แฮกเกอร์เจาะระบบ Windows Hello บน Lenovo ThinkPad T14

จากการตรวจสอบ Lenovo ThinkPad อาชญากรไซเบอร์พบว่าอุปกรณ์ดังกล่าวใช้เทคนิคการเข้ารหัสพิเศษสำหรับการรับรองความถูกต้องด้วยไบโอเมตริกซ์ ผู้โจมตีสามารถถอดรหัสระบบนี้ได้โดยใช้ความพยายามอย่างขยันขันแข็ง จึงสามารถเข้าถึงกลไกที่รับผิดชอบในการตรวจสอบการระบุลายนิ้วมือได้

เมื่อกระบวนการเสร็จสิ้นสำเร็จ อาชญากรไซเบอร์ก็สามารถจัดการฐานข้อมูลลายนิ้วมือเพื่อให้สามารถจดจำข้อมูลไบโอเมตริกซ์ของตนได้ว่าเป็นของแท้ จากนั้นพวกเขาเพียงแค่สแกนลายนิ้วมือใหม่เพื่อเข้าสู่อุปกรณ์ Lenovo ThinkPad

แฮกเกอร์เจาะข้อมูล Windows Hello บน Microsoft Surface Pro Type Cover ได้อย่างไร

ความคาดหวังเบื้องต้นของแฮ็กเกอร์คือ Surface Pro จะนำเสนอความท้าทายที่น่ากลัวที่สุดในบรรดาอุปกรณ์ทั้งหมด อย่างไรก็ตาม พวกเขาประหลาดใจเมื่อพบว่าไม่มีโปรโตคอลความปลอดภัยที่แข็งแกร่งสำหรับการตรวจสอบลายนิ้วมือที่ถูกต้องบน Surface Pro แท้จริงแล้วปรากฏว่าการหลีกเลี่ยงแนวป้องกันเพียงแนวเดียวและบอก Surface Pro อย่างหลอกลวงว่าการสแกนลายนิ้วมือสำเร็จแล้ว ทำให้สามารถเข้าถึงอุปกรณ์ได้ทันที

Hacks เหล่านี้มีความหมายต่อคุณอย่างไร?

/th/images/professional-thinking-with-laptop.jpg

แม้ว่าความเสี่ยงที่อาจเกิดขึ้นจากการใช้เทคโนโลยีจดจำลายนิ้วมือในการเข้าถึงแล็ปท็อปอาจดูน่ากังวล แต่สิ่งสำคัญคือต้องคำนึงถึงปัจจัยสำคัญหลายประการก่อนที่จะละทิ้งวิธีการตรวจสอบสิทธิ์นี้โดยสิ้นเชิง

การโจมตีดำเนินการโดยแฮกเกอร์ผู้ชำนาญ

Ransomware-as-a-service (RaaS) ก่อให้เกิดภัยคุกคามที่สำคัญเนื่องจากการเข้าถึงบุคคลที่มีความรู้ด้านความปลอดภัยทางไซเบอร์อย่างจำกัด อย่างไรก็ตาม การโจมตีขั้นสูง เช่น การโจมตีที่เกี่ยวข้องกับการเลี่ยงผ่านการรับรองความถูกต้องของอุปกรณ์ผ่านการระบุตัวตนแบบไบโอเมตริกซ์ จำเป็นต้องใช้ความเชี่ยวชาญทางเทคนิคในระดับที่สูงกว่า

การโจมตีต้องการให้ผู้โจมตีโต้ตอบทางกายภาพกับอุปกรณ์

เพื่อให้การโจมตีทางไซเบอร์ดังกล่าวเกิดขึ้น ต้องมีปฏิสัมพันธ์ทางกายภาพโดยตรงกับอุปกรณ์เป้าหมาย จากผลการวิจัยพบว่า แม้ว่าอาจเป็นไปได้ที่จะพัฒนาอุปกรณ์ USB ที่สามารถเริ่มการโจมตีเมื่อมีการเชื่อมต่อได้ แต่วิธีการดังกล่าวจะทำให้ผู้ประสงค์ร้ายต้องแทรกอุปกรณ์ภายนอกเข้าสู่ระบบคอมพิวเตอร์ของตน ดังนั้นจึงก่อให้เกิดความเสี่ยงด้านความปลอดภัยที่สำคัญ

การโจมตีใช้งานได้กับอุปกรณ์เฉพาะเท่านั้น

ควรรับทราบว่าการดำเนินการโจมตีให้สำเร็จนั้นจำเป็นต้องมีแนวทางที่แตกต่างกันเพื่อให้บรรลุวัตถุประสงค์เดียวกัน อุปกรณ์แต่ละชิ้นมีคุณสมบัติเฉพาะตัว ส่งผลให้ยุทธวิธีที่มีประสิทธิภาพในเครื่องมือหนึ่งไม่มีประสิทธิภาพในอุปกรณ์อื่น ดังนั้นจึงเป็นการไม่รอบคอบที่จะถือว่า Windows Hello ประสบปัญหาการประนีประนอมอย่างครอบคลุมในทุกอุปกรณ์ แต่การประเมินนี้เกี่ยวข้องกับสามกรณีที่การหาประโยชน์ไม่ประสบผลสำเร็จเท่านั้น

แม้ว่าการโจมตีเหล่านี้อาจดูน่ากลัว แต่การดำเนินการให้สำเร็จบนอุปกรณ์ในโลกแห่งความเป็นจริงอาจพิสูจน์ได้ว่าเป็นเรื่องยากมาก ในกรณีส่วนใหญ่ ผู้โจมตีจะต้องยึดการครอบครองฮาร์ดแวร์เป้าหมายทางกายภาพเพื่อดำเนินการดังกล่าว ซึ่งเป็นแนวทางที่จะทำให้เกิดการแจ้งเตือนจากเจ้าของเดิมอย่างไม่ต้องสงสัย

วิธีรักษาความปลอดภัยจากการแฮ็กลายนิ้วมือ

/th/images/hacher-hat.jpg

ดังที่กล่าวไปแล้ว การละเมิดความปลอดภัยที่กล่าวมาข้างต้นเกี่ยวข้องกับขั้นตอนที่ซับซ้อนซึ่งมักจำเป็นต้องมีการเข้าถึงทางกายภาพโดยตรงไปยังอุปกรณ์ที่เป็นปัญหา ดังนั้นจึงลดโอกาสที่เหตุการณ์ดังกล่าวจะมุ่งเป้าไปที่ผู้ใช้แต่ละรายลงอย่างมาก

ในกรณีที่ยังคงมีความไม่พอใจอยู่ สามารถใช้มาตรการบางอย่างเพื่อป้องกันตนเองจากการละเมิดเทคโนโลยีสแกนลายนิ้วมือที่อาจเกิดขึ้น:

อย่าทิ้งอุปกรณ์ไว้โดยไม่มีใครดูแลและไม่มีการป้องกัน

เพื่อป้องกันการเข้าถึงอุปกรณ์ของคุณโดยไม่ได้รับอนุญาตโดยแฮกเกอร์ที่ต้องการปฏิสัมพันธ์ทางกายภาพ สิ่งสำคัญคือต้องป้องกันความเป็นไปได้ที่จะถูกขโมยหรือวางผิดที่ ในส่วนของแล็ปท็อปโดยเฉพาะ มาตรการต่างๆ เช่น การละเว้นจากการทิ้งอุปกรณ์ไว้โดยไม่มีใครดูแลในพื้นที่สาธารณะ และการใช้ถุงป้องกันการโจรกรรมที่ปลอดภัย สามารถช่วยยับยั้งผู้ที่อาจขโมยจากการพยายามขโมยหรือยุ่งเกี่ยวกับอุปกรณ์

ใช้วิธีการเข้าสู่ระบบอื่น

Windows Hello มีตัวเลือกการรับรองความถูกต้องมากมาย ตั้งแต่ตัวเลือกที่มีความปลอดภัยน้อยไปจนถึงมีความปลอดภัยสูง หากความกระตือรือร้นในการระบุตัวตนแบบไบโอเมตริกซ์ของคุณลดลง เช่น การจดจำลายนิ้วมือ มันอาจจะคุ้มค่าที่จะสำรวจวิธีการอื่นในการเข้าสู่ระบบ รวมถึงการจดจำใบหน้า การสแกนม่านตา การตรวจสอบลายนิ้วมือ การป้อนหมายเลขประจำตัวส่วนบุคคล (PIN) หรือการป้อนรหัสผ่านตัวอักษรและตัวเลข และเลือก สำหรับวิธีการที่สอดคล้องกับความต้องการและข้อกำหนดด้านความปลอดภัยของคุณมากที่สุด

สิ่งสำคัญคือต้องรับรู้ว่าโอกาสที่จะถูกอาชญากรไซเบอร์ตกเป็นเป้าหมายที่เกี่ยวข้องกับการละเมิดความปลอดภัยเหล่านี้มีค่อนข้างน้อย ด้วยเหตุนี้ การใช้มาตรการพิสูจน์ตัวตนแบบไบโอเมตริกซ์ เช่น การสแกนลายนิ้วมือ จึงถือว่าปลอดภัยโดยทั่วไป อย่างไรก็ตาม ขอแนะนำให้ใช้ความระมัดระวังและหลีกเลี่ยงการทิ้งอุปกรณ์ส่วนตัวทิ้งไว้โดยไม่มีใครดูแลหรือเสี่ยงต่อการถูกขโมย

Updated on 2023-12-01
Back | Home