今年5月,微軟啟動了一項重大舉措,向無密碼未來邁進,將新帳戶設定預設為使用金鑰和Windows Hello等替代方案。此舉是旨在增強安全性並簡化用戶訪問的更廣泛趨勢的一部分。
然而,德國研究人員蒂爾曼·奧斯瓦爾德(Tillmann Osswald)和巴蒂斯特·戴維博士(Dr. Baptiste David)在拉斯維加斯黑帽大會上展示的最新研究成果,揭露了企業版Windows Hello系統中存在的漏洞。他們的演示展示了一種破壞系統生物識別安全性的方法。
在事件發生期間,David 博士成功使用臉部辨識技術登入了他的設備,而 Osswald 則以擁有本地管理員權限的攻擊者身份,利用了一系列命令。他將在另一台電腦上捕獲的臉部掃描資料注入目標系統的生物辨識資料庫。令人驚訝的是,攻擊者俯身靠近,認出他是 David 博士,設備毫不猶豫地解鎖了。
了解漏洞
問題的核心在於 Windows Hello 業務架構的內部運作。系統初始設定時,會產生一個公鑰/私鑰對,其中公鑰透過組織的識別提供者(例如 Entra ID)註冊。雖然生物辨識資料儲存在由 Windows 生物辨識服務 (WBS) 管理的加密資料庫中,但目前的加密方法有時無法阻止擁有本機管理員權限的攻擊者,從而使他們能夠解密這些關鍵資料。
增強登入安全性作為解決方案
為了解決這些漏洞,微軟推出了增強登入安全性 (ESS)。此功能有效地將生物辨識身分驗證流程隔離在由系統管理程式管理的安全環境中。然而,ESS 的實現需要特定的硬體:支援硬體虛擬化的現代 64 位元 CPU、TPM 2.0 晶片、韌體中的安全啟動以及經過適當認證的生物識別感測器。
ESS 在阻止此類攻擊方面非常有效,但並非每個人都能使用。例如,我們大約一年半前購買了 ThinkPad,但遺憾的是它們沒有攝影機安全感測器,因為它們使用的是 AMD 晶片,而不是英特爾晶片。
未來的挑戰
儘管 ESS 非常有效,但要全面修復非 ESS 系統中的現有漏洞仍是一項艱鉅的挑戰。 Osswald 和 David 認為,如果不進行徹底的重新設計,就無法修復底層架構問題。因此,使用未啟用 ESS 的 Windows Hello 的企業需要考慮徹底停用生物辨識身分驗證,轉而選擇 PIN 碼等替代方案。
如何驗證 ESS 相容性
若要確定您的系統是否支援 ESS,請前往您的設置,並檢查帳戶下的「登入選項」。尋找標示為「使用外部攝影機或指紋辨識器登入」的開關。如果此開關關閉,則 ESS 處於活動狀態,這表示您的 USB 指紋辨識器將無法用於登入。打開它會停用 ESS 功能,允許外部裝置運行,但可能會降低安全性。
據微軟稱,部分相容於 Windows Hello 的周邊設備可能會啟用 ESS。雖然此功能本身並不存在安全問題,但它會使設備使用變得複雜。微軟建議始終保持所有相容週邊設備的連接,預計 ESS 下的外部設備全面支援要到 2025 年底。
發佈留言