Machine learning kan vingerafdrukscanner misleiden
Een kunstmatig ontwikkelde vingerafdruk kan in veel gevallen een vingerafdrukscanner om de tuin leiden. Dat vormt een risico voor toegangscontrole op basis van een vingerafdruk.
Het gaat om onderzoek van de New York University van Tandon dat werd voorgesteld op een securityconferentie in LA. De volledige paper kan je hier nalezen.
In het kort gaat het om DeepMasterPrints: een techniek waarbij met de hulp van machine learning een vingerafdruk wordt gegenereerd die als master key kan functioneren. Volgens The Guardian faalt het systeem slechts in één op vijf gevallen. Wel moeten we nuanceren dat dit vooral van toepassing is op bijvoorbeeld toegangscontrole waar er meerdere mensen toegang kunnen krijgen met hun vingerafdruk. Als het gaat om pakweg een smartphone waar één of twee gebruikers geregistreerd staan, dan is de aanpak minder evident.
DeepMasterPrints maakt gebruik van twee zwakke plekken in het systeem. Zo wordt er bij het registreren verschillende keren een deel van je vinger gescand. Die losse fragmenten worden niet samengevoegd. Dat maakt dat er een vrij grote marge is om te matchen met een bewaarde vingerafdruk die ergens toegang tot verschaft. Het gaat immers maar om een fragment met een ander fragment, in plaats van de volledige vingerafdruk.
Het tweede probleem is dat sommige eigenschappen van vingerafdrukken vaker voorkomen dan anderen. Dat maakt het mogelijk om veel van die gemeenschappelijke eigenschappen in een nagemaakte vingerafdruk te stoppen. Die twee kwetsbaarheden gecombineerd maakt de kans vrij groot om een vingerafdrukscanner te misleiden.
De onderzoekers vergelijken hun techniek met een woordenboek-aanval, waarbij een wachtwoord wordt geraden door gekende woorden uit te proberen. Het volstaat om een algoritme voldoende vingerafdrukken te voeden om er uit te leren en vervolgens een volledige vingerafdruk na te maken die, door vaak voorkomende elementen te combineren, in veel gevallen toegang geeft.
Fout opgemerkt of meer nieuws? Meld het hier