Sinds mei zet Microsoft bij nieuwe accounts standaard in op een wachtwoordloos beleid. In plaats van traditionele wachtwoorden worden gebruikers gestimuleerd om passkeys of Windows Hello te gebruiken. Die laatste optie maakt gebruik van biometrische gegevens zoals gezichtsherkenning. Klinkt veilig, maar dat blijkt niet altijd zo te zijn.
Biometrische beveiliging
Tijdens de Black Hat-conferentie in Las Vegas demonstreerden de Duitse onderzoekers Tillmann Osswald en dr. Baptiste David hoe eenvoudig de zakelijke versie van Windows Hello kan worden misleid. In hun live demonstratie toonde David hoe hij zijn laptop ontgrendelde met gezichtsherkenning. Vervolgens kreeg Osswald, die lokaal administratorrechten had, toegang tot de machine. Hij voerde een paar regels code uit en injecteerde zijn eigen gezichtsprofiel in de biometrische database van het systeem. En voilà: toen hij naar de camera keek, herkende de computer hem als David en werd direct ontgrendeld.
Architectuur
Hoe is dit mogelijk? Het antwoord ligt in de architectuur van Windows Hello. Wanneer Windows Hello for Business wordt ingesteld, genereert het systeem een openbaar/privé-sleutelpaar. De publieke sleutel wordt geregistreerd bij de identiteitsprovider van de organisatie (zoals Entra ID), maar de biometrische gegevens zelf worden lokaal opgeslagen in een database beheerd door de Windows Biometric Service (WBS). Hoewel die database versleuteld is, kan een aanvaller met administratorrechten die versleuteling omzeilen.
Biometrische authenticatieproces
Microsoft heeft wel een oplossing: ‘Enhanced Sign-in Security (ESS)’. ESS verplaatst het hele biometrische authenticatieproces naar een beveiligde omgeving binnen de hypervisor van het systeem. Maar er zit een addertje onder het gras: ESS vereist moderne hardware, waaronder een 64-bit CPU met virtualisatieondersteuning, een TPM 2.0-chip, Secure Boot, én speciale, gecertificeerde biometrische sensoren. Veel bestaande systemen, zoals bepaalde ThinkPads met AMD-processoren hier niet aan voldoen.
Een patch? Die is volgens Osswald en David nagenoeg onmogelijk zonder een grondige herziening van de architectuur. Tot die tijd raden zij bedrijven aan om biometrie uit te schakelen en over te stappen op veiliger alternatieven zoals een PIN.
Bij twijfel
Twijfel je of jouw systeem ESS ondersteunt? Ga dan naar de aanmeldingsopties in de instellingen en zoek naar een schakelaar zoals ‘Aanmelden met een externe camera of vingerafdruklezer’. Is die optie niet beschikbaar? Dan ben je mogelijk kwetsbaar.