Een vingerafdruk is uniek, niet na te maken en zodoende veiliger dan wachtwoorden. Toch? Sommige hackers en beveiligingsexperts denken daar anders over en adviseren om een geschreven wachtwoord te gebruiken in plaats van biometrische beveiliging.
Dat wachtwoorden verre van perfect zijn om gegevens te beschermen mag duidelijk zijn. Sony, Pepper, LinkedIn: regelmatig hoor en lees je over wachtwoordgegevens die zijn buitgemaakt door hackers. Als je hetzelfde wachtwoorden voor meerdere online diensten gebruikt, dan ben je nog verder van huis.
De oplossing lijkt eenvoudig: biometrische beveiliging, iets wat we bij steeds meer tablets en smartphones zien. Het is immers niet mogelijk om een iris of vingerafdruk na te maken, omdat deze uniek zijn. Super veilig toch? Fout, zo zeggen hackers en beveiligingsexperts.
‘Je laat je wachtwoord overal slingeren’
Eén van hen is Ellit Williams. Hij deed onderzoek naar vingerafdruksensoren en de beveiliging ervan. De conclusie van zijn onderzoek liegt er niet om: een vingerafdruk is niet meer dan schijnbeveiliging. Je vingerafdruk wordt net als een wachtwoord opgeslagen in een database. Als deze gehackt wordt heb je een probleem, omdat je je vingerafdruk niet kunt wijzigen. Een geschreven wachtwoord is op ieder moment te veranderen.
Verder zegt Williams dat je altijd en overal je wachtwoord laat slingeren als je gebruikmaakt van biometrische beveiliging. De Duitse hacker Jan Krissler toonde enkele jaren al aan dat een vingerafdruk is te vervalsen. De kosten hiervoor zijn laag en alle vingerafdruksensoren trappen hier in. Dat probleem is volgens hem niet eenvoudig op te lossen omdat vingerafdrukken niet te hashen zijn.
Hashing betekent dat wachtwoorden versleuteld worden opgeslagen in een database. Mocht deze database gehackt worden, dan is er nog een extra laag beveiliging die het moeilijker maakt om versleutelde gegevens te decoderen. Deze manier van beveiligen is niet toe te passen op vingerafdrukken. Ook houden vingerafdruksensoren rekening met een foutmarge: bijvoorbeeld als je je vinger wat scheef op de sensor houdt of je een wondje op je vinger hebt, herkent de sensor nog steeds je vingerafdruk.
‘Gebruik een wachtwoord’
Williams is duidelijk: heb je de mogelijkheid, gebruik een geschreven wachtwoord.
“Don’t use fingerprints as if they were passwords. Being permanent and relatively-easily verified and obtained makes them great for criminal investigations or for certifying that you are who you say you are. But they’re not passwords because they’re not secret, they’re not revocable, and they’re very difficult to store securely.”
Wie schakelt er na het lezen van artikel over van vingerafdruk naar wachtwoord?
