Overslaan en naar de inhoud gaan

Waarom je beter niet met je vingerafdruk kunt inloggen

Elliot Williams neemt geen blad voor de mond in zijn bijdrage voor Hackaday. De kop zegt al genoeg: Your unhashable fingerprints secure nothing.
Inlog met vingerafdruk
© Pixabay Public Domain CC0
Pixabay Public Domain CC0

Te makkelijk na te bootsen

Williams koestert drie fundamentele bezwaren tegen het gebruik van vingerafdrukken. De eerste is, dat vingerafdrukken niet geheim zijn. Vingerafdrukken laat je overal achter. En daardoor zijn ze relatief makkelijk te bemachtigen. De Duitse hacker Jan Krissler (die werkt onder de naam Starbug) liet enkele jaren terug al zien dat het mogelijk is een vingerafdruk te vervalsen op basis van een afdruk die achtergelaten is op een koffiebeker. Dat kost behalve tijd bijna niets. Krisler had twee dagen nodig om een nepvinger van kunststof te maken die TouchID van de iPhone 5 voor de gek kon houden, memoreert Williams.

Niet vervangbaar

Tweede bezwaar is, dat vingerafdrukken niet herroepbaar zijn. Als een database met wachtwoorden gekraakt wordt, en dat gebeurt wel eens, dan kun je je wachtwoorden vervangen. Met vingers is dat wat lastiger, aldus Williams.

Extra beveiliging met hash niet mogelijk

Bezwaar drie is dat vingerafdrukken niet goed te hashen zijn. Dat heeft te maken met het feit dat ‘bijna’ bij vingerafdrukherkenning goed genoeg is, en ook moet zijn. Een vingerafdruk moet ook herkend worden wanneer de afdruk meer of minder vervormt als iets harder of zachter dan anders wordt gedrukt op de vingerafdrukherkenner, en ook als er een wondje is opgelopen. Het principe van hashen is, dat kleine verschillen juist worden opgeblazen, zodat een hacker niet kan vaststellen of hij in de buurt van de oplossing komt. De hash van !wachtwoord123 lijkt daarom totaal niet op !Wachtwoord123, hoewel ze alleen verschillen in de hoofdletter W. Daardoor kan een database met vingerafdrukken niet worden beveiligd met het hash-principe. Opgeslagen vingerafdrukken kunnen alleen beveiligd worden met encryptie, waardoor de opslag noodzakelijkerwijs een zwakke plek vormt, stelt Williams.

Williams analyse roept de vraag op, of het wel verstandig is gebruik te gaan maken van diensten zoals Apple Pay, die met je vingerafdruk te ontsluiten zijn. Williams zelf gaat dat vast niet doen, gezien zijn verzuchting: “Luisteren jullie wel, Apple en Google? Nee, ik dacht ik al van niet.”

Gerelateerde artikelen
Gerelateerde artikelen

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in