Beheer

Security
Biometrische inlog

Waarom je beter niet met je vingerafdruk kunt inloggen

© Pixabay Public Domain CC0,  TheDigitalWay - Kris
27 november 2015
‘Wachtwoorden zijn waardeloos. Maar weet je wat nog erger is dan een wachtwoord? Je vingerafdruk.’ Elliot Williams nam inloggen met je vingeradruk de maat, en komt – met Apple Pay in aantocht - tot behartenswaardige conclusies.

Elliot Williams neemt geen blad voor de mond in zijn bijdrage voor Hackaday. De kop zegt al genoeg: Your unhashable fingerprints secure nothing.

Te makkelijk na te bootsen

Williams koestert drie fundamentele bezwaren tegen het gebruik van vingerafdrukken. De eerste is, dat vingerafdrukken niet geheim zijn. Vingerafdrukken laat je overal achter. En daardoor zijn ze relatief makkelijk te bemachtigen. De Duitse hacker Jan Krissler (die werkt onder de naam Starbug) liet enkele jaren terug al zien dat het mogelijk is een vingerafdruk te vervalsen op basis van een afdruk die achtergelaten is op een koffiebeker. Dat kost behalve tijd bijna niets. Krisler had twee dagen nodig om een nepvinger van kunststof te maken die TouchID van de iPhone 5 voor de gek kon houden, memoreert Williams.

Niet vervangbaar

Tweede bezwaar is, dat vingerafdrukken niet herroepbaar zijn. Als een database met wachtwoorden gekraakt wordt, en dat gebeurt wel eens, dan kun je je wachtwoorden vervangen. Met vingers is dat wat lastiger, aldus Williams.

Extra beveiliging met hash niet mogelijk

Bezwaar drie is dat vingerafdrukken niet goed te hashen zijn. Dat heeft te maken met het feit dat ‘bijna’ bij vingerafdrukherkenning goed genoeg is, en ook moet zijn. Een vingerafdruk moet ook herkend worden wanneer de afdruk meer of minder vervormt als iets harder of zachter dan anders wordt gedrukt op de vingerafdrukherkenner, en ook als er een wondje is opgelopen. Het principe van hashen is, dat kleine verschillen juist worden opgeblazen, zodat een hacker niet kan vaststellen of hij in de buurt van de oplossing komt. De hash van !wachtwoord123 lijkt daarom totaal niet op !Wachtwoord123, hoewel ze alleen verschillen in de hoofdletter W. Daardoor kan een database met vingerafdrukken niet worden beveiligd met het hash-principe. Opgeslagen vingerafdrukken kunnen alleen beveiligd worden met encryptie, waardoor de opslag noodzakelijkerwijs een zwakke plek vormt, stelt Williams.

Williams analyse roept de vraag op, of het wel verstandig is gebruik te gaan maken van diensten zoals Apple Pay, die met je vingerafdruk te ontsluiten zijn. Williams zelf gaat dat vast niet doen, gezien zijn verzuchting: “Luisteren jullie wel, Apple en Google? Nee, ik dacht ik al van niet.”

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.