FIDO2-Token mit biometrischer Sicherung angreifbar
Dass mit einem gewissen Aufwand die Fingerabdruckerkennung von FIDO2-Token überwindbar ist, hatten wir schon im Test in iX 10/2023 vermutet. Nun folgt der praktische Versuch.
Die in der Oktober-Ausgabe getesteten FIDO2-Schlüssel mit biometrischer Zugangssicherung schickten wir noch einmal zum CCC-Aktivisten Jan Krissler (aka Starbug), der unter anderem 2013 schon drei Tage nach dem Erscheinen von Apples iPhone 5S dessen Fingerabdruckscanner ausgetrickst hatte. Untersucht hat er die Token
- T2F2-Bio FIDO2.1 von Token2,
- StarSign Key Fob von Giesecke+Devrient,
- FIDO2 K45 von Feitian,
- YubiKey USB-A Bio FIDO Edition von Yubico,
- Verimark Guard USB-C Fingerprint Key von Kensington und
- Verimark Desktop Fingerprint Key desselben Herstellers.
Alle Keys erlauben nur eine bestimmte Anzahl von Fehlversuchen bei der Fingerabdruckerkennung, nach der man eine Freigabe-PIN eingeben muss. Die Anzahl der erlaubten Fehlversuche ist wichtig, weil davon abhängt, wie oft man die Attrappe in einem realen Angriffsszenario verwenden kann. Diesen Wert haben die Hersteller sehr unterschiedlich implementiert, von lediglich drei beim Feitian-Token bis zu 50 bei Giesecke+Devrients Key Fob. Allerdings lässt sich der Zähler des Feitian zurücksetzen, wenn man den Stick zwischendurch aus- und wieder einsteckt. Die jeweiligen Werte sind der Tabelle zu entnehmen.