Waarom je beter niet met je vingerafdruk kunt inloggen
“Wachtwoorden zijn waardeloos. Maar weet je wat nog erger is dan een wachtwoord? Je vingerafdruk.” Dat zegt Elliot Williams van Hackaday. Hij nam inloggen met je vingerafdruk onder de loep, en komt – met Apple Pay in aantocht – tot opvallende conclusies.
Volgens Williams zijn er drie redenen waarom een vingerafdruk niet goed werkt als beveiliging.
Te gemakkelijk na te bootsen
De eerste is, dat vingerafdrukken niet geheim zijn. Vingerafdrukken laat je overal achter. En daardoor zijn ze relatief makkelijk te bemachtigen. De Duitse hacker Jan Krissler liet enkele jaren terug al zien dat het mogelijk is een vingerafdruk te vervalsen op basis van een afdruk die achtergelaten is op en koffiebeker. Dat kost behalve tijd bijna niets. Krisler had twee dagen nodig om een nepvinger van kunsstof te maken die TouchID van de iPhone 5 voor de gek kon houden.
Onvervangbaar
Tweede bezwaar is dat vingerafdrukken niet herroepbaar zijn. Als een database met wachtwoorden gekraakt wordt, en dat gebeurt wel eens, dan kun je je wachtwoorden vervangen. Met vingers is dat wat lastiger.
Extra beveiliging met hash niet mogelijk
Bezwaar drie is dat vingerafdrukken niet goed te hashen zijn. Dat heeft te maken met het feit dat ‘bijna’ bij vingerafdrukherkenning goed genoeg is, en ook moet zijn. Een vingerafdruk moet ook herkend worden wanneer de afdruk meer of minder vervormt als iets harder of zachter dan anders wordt gedrukt op de vingerafdrukherkenner, en ook als er een wondje is opgelopen. Het principe van hashen is, dat kleine verschillen juist worden opgeblazen, zodat een hacker niet kan vaststellen of hij in de buurt van de oplossing komt. De hash van !wachtwoord123 lijkt daarom totaal niet op !Wachtwoord123, hoewel ze alleen verschillen in de hoofdletter W. Daardoor kan een database met vingerafdrukken niet worden beveiligd met het hash-principe. Opgeslagen vingerafdrukken kunnen alleen beveiligd worden met encryptie, waardoor de opslag noodzakelijkerwijs een zwakke plek vormt.
De analyse van Hackaday roept de vraag op of het wel verstandig is gebruik te gaan maken van diensten zoals Apple Pay, die met je vingerafdruk te ontsluiten zijn.
Bron: Automatiseringgids
Fout opgemerkt of meer nieuws? Meld het hier