Biometrische verificatie is niet veilig

Alhoewel we elke vooruitgang op het gebied van beveiliging toejuichen, zijn we niet meteen fan van biometrisch verificatie. Deze manier van verificatie is snel en makkelijk in gebuik wanneer de juiste hardware aanwezig is, maar is minder veilig dan het lijkt.

Om te kunnen oordelen hoe veilig iets is, moet we kijken hoe de verificatie gebeurt. In deze analyse gaan we uitgaan van een vingeradrukscanner aangezien deze mainstream is geworden op smartphones.

De vingerafdrukscanner

Het eerste probleem waar we op stuiten is het feit dat we zelf onze vingeradruk niet kunnen wijzigen. Het is als het ware een wachtwoord dat je zelf nooit kan veranderen, dus wanneer het in iemands bezit komt, zal het altijd blijven werken.

Het tweede probleem dat zich voordoet is het feit dat het onmogelijk is een vingeradruk twee maal op identiek dezelfde manier te nemen. Dit betekent dat er een bepaalde foutenmarge moet zitten in het algoritme dat bepaald vanaf wanneer een vingerafdruk voldoende gelijkt op het origineel. Deze foutenmarge maakt het voor onbevoegden makkelijker om je vingerafdruk te kraken, aangezien meerdere afdrukken dus als geldig aanzien worden. Verder geeft deze beperking ook technische moeilijkheden.

Omdat zoals gezegd, een vingerafdruk nooit tweemaal exact hetzelfde is, moet het origineel steeds in te lezen zijn om berekeningen op te doen en te kunnen vergelijken. Dit maakt het mogelijk voor aanvallers om je originele vingerafdruk te kopiƫren en te gebruiken om toegang te krijgen.

Een derde punt van kritiek op deze verificatiemethode bestaat eruit dat het bijna onmogelijk is je vingerafdruk geheim te houden. Je pakt immers de hele dag spullen vast en maakt hiermee dus eigenlijk je wachtwoord beschikbaar voor onbevoegden. Wachtwoorden moeten ten alle tijde geheim zijn om effectief te zijn.

Waarom bouwen fabrikanten het dan?

Het is duidelijk dat mensen altijd al hebben zitten worstelen met wachtwoorden. Ze kiezen vaak voor zwakke wachtwoorden die ze dan ook nog eens op tientallen diensten gebruiken. Een vingerafdrukscanner, gezichtsherkenning, iris-scanners lijken voor veel mensen hip, trendy en veilig. Deze eerste twee kloppen, van het derde weten we intussen dat dit niet het geval is. Om de opkomst van deze verificatiemethodes te verklaren, moeten we kijken naar de smartphonefabrikanten. Zij hebben deze hardware immers algeheel beschikbaar gemaakt voor de consument. De reden waarom vingerafdrukscanners in smartphones worden ingebouwd is tweeledig.

Allereerst biedt het de gebruiker ontzettend veel comfort (supersnel inloggen zonder wachtwoord) en een (vals) gevoel van veiligheid. Een smartphone worden tot wel 50 keer per dag aangezet, telkens een veilig wachtwoord moeten ingeven om deze te ontgrendelen is een helse taak.

Het tweede gedeelte komt voort uit de grote concurentie die zich bevindt op de smartphonemarkt. Het is moeilijk voor fabrikanten elk jaar opnieuw met iets nieuws te kopen. Goedkopere smartphones worden steeds beter dus hebben fabrikanten nood aan nieuwe trends om de duurdere modellen te kunnen blijven verkopen. De vingerafdrukscanner is er daar een van en Samsung heeft intussen ook de iris-scanner in zijn productlijn zitten. Hardwarefabrikanten proberen zich op deze manier te onderscheiden van de rest.

Conclusie

Het blijft dus belangrijk een sterk wachtwoord te kiezen. Biometrische verificatie kan een extra beveiligingslaag zijn maar is niet onfeilbaar en mag nooit als enige verificatie dienen. Verder geven we ook nog mee dat het belangrijk is te weten aan wie u uw vingerafdruk doorgeeft, m.a.w. vertrouwd u de applicatie die om uw vingerafdruk vraagt?