3min

Iedereen is het erover eens dat wachtwoorden niet altijd ideaal zijn, je kan ze als gebruiker vergeten, maar ook worden databases met wachtwoorden nog weleens gehackt en dan loop je het risico dat mensen ineens toegang hebben tot allerlei databases waar je hetzelfde wachtwoord hebt gebruikt. Bijvoorbeeld je Outlook of Gmail-adres. De oplossing ligt volgens veel bedrijven bij biometrische wachtwoorden zoals vingerafdrukken, hackers en beveiligingsexperts denken daar er echter heel anders over.

Ellit Williams, is een auteur, hacker en beveiligingsexpert en hij is duidelijk over wachtwoorden en vingerafdrukken. Wie dacht dat wachtwoorden niet veilig zijn, vingerafdrukken zijn dat nog minder. Hij deed onderzoek naar vingerafdruksensoren en de beveiliging ervan, zeker nu steeds meer smartphones maar ook betaaldiensten er gebruik van maken.

Zijn conclusie is dat vingerafdrukken helemaal niets beveiligen, dat lijkt wel zo omdat niemand je vingerafdruk kan raden en een wachtwoord mogelijk wel. Gaan we echter een stapje verder, als een database met wachtwoorden wordt gestolen bij een hack op een bedrijf, dan heb je als gebruiker de mogelijkheid je wachtwoorden aan te passen, je vingerafdruk aanpassen is onmogelijk, want ook die kan worden buitgemaakt.

Daarnaast zijn vingerafdrukken helemaal niet zo geheim, want alles wat je aanraakt beschikt over je vingerafdruk, eigenlijk laat je je nieuwe biometrische wachtwoord overal slingeren. Dat is niet te voorkomen of je moet de hele dag handschoenen gaan dragen. De Duitse hacker Jan Krissler toonde enkele jaren geleden al aan dat een vingerafdruk is te vervalsen, hij bouwde in twee dagen een nepvinger waarop hij een vingerafdruk toepaste die iemand had achtergelaten op een koffiemok en daarmee was de iPhone 5S van Apple te ontgrendelen.

De kosten om een vingerafdruk na te maken zijn zeer laag het kost alleen veel tijd, maar de vingerafdrukscanners trappen er allemaal in. Dat is ook niet zo makkelijk op te lossen, want wachtwoorden kan je bijvoorbeeld hashen. Hierdoor krijg je steeds dezelfde hash als je een wachtwoord als basis gebruikt, je kan het echter niet andersom toepassen en er zit geen speling op een hash. Ook kan je op basis van een hash niet afleiden of je warm bent bij het raden van een wachtwoord.

Bij vingerafdrukken is dat heel anders, die kan je namelijk niet hashen en die zijn ook nooit helemaal hetzelfde. Bij vingerafdrukken wordt verwacht dat er een bepaalde foutmarge is, zodat als je je vinger net iets schever of lager houdt op de scanner, dat je vinger ook wordt herkend. Ook als je een wondje op je vinger hebt hoop je dat je vingerafdrukscanner nog gewoon werkt. Hierdoor kan een vingerafdruk niet worden gehashed want elke invoer is anders, vingerafdrukken moeten daarom versleuteld worden opgeslagen en moeten ook weer te ontsleutelen zijn zodat ze vergeleken kunnen worden en er een foutmarge kan worden gehanteerd.

Dit brengt automatisch een groter gevaar met zich mee, als een systeem een vingerafdruk kan versleutelen en ontsleutelen, is het ook mogelijk voor hackers om zo’n database te stelen inclusief de methode om ze te ontsleutelen. De volgende stap zou dan zijn een vingerafdruk na te maken op basis van zo’n database of een scanner te laten denken dat er een bepaalde vingerafdruk is ingevoerd die vervolgens softwarematig wordt aangeleverd.

Als je alles bij elkaar optelt is een vingerafdruk minder veilig dan een goed gekozen wachtwoord. Het is alleen een beetje afhankelijk voor welke toepassing je beveiliging zoekt. Om je smartphone te ontgrendelen is een vingerafdruk makkelijk en veiliger want niemand kan over je schouder je code meelezen. Voor het doen van mobiele betalingen met je vingerafdruk moet je misschien nog eens nadenken, de gevolgen daarvan kunnen een stuk groter zijn.