Vingerafdruk faalt na hack
Betalen met je vingerafdruk heeft de toekomst. Het is eenvoudiger dan de wachtwoorden en codegeneratoren die de banken nu gebruiken voor internetbankieren. De vraag is echter hoe veilig het is om je vingerafdruk aan een bank, de overheid of een e-mailprovider te geven.
tekst Marc Seijlhouwer MSc
Een vingerafdruk is niet per se een veiliger wachtwoord dan een regeltje tekst. Ongeveer een op de tienduizend keer levert een vingerscan een vals positief resultaat op en kan iemand anders dus bij jouw gegevens. Dat is precies dezelfde kans als bij een pincode, waarvan er tienduizend verschillende bestaan. Toch heeft de vingerafdruk voordelen: je draagt hem altijd met je mee, en het gebruik ervan voorkomt dat mensen simpele wachtwoorden kiezen of hun wachtwoorden gaan herhalen.
‘Als een database met veel persoonlijke gegevens, waaronder vingerafdrukken, wordt gehackt en de informatie komt op straat te liggen, is er wel een probleem’, zegt dr.ir. Raymond Veldhuis, hoogleraar Biometric Pattern Recognition aan de Universiteit Twente. Als je je vingerafdruk voor meerdere dingen gebruikt, kunnen criminelen na de hack op al die plaatsen inbreken. Uniek nadeel van de vingerafdruk ten opzichte van het wachtwoord is dat je vingerafdruk niet makkelijk is te veranderen. ‘Je kunt een andere vinger gebruiken, maar dat houdt ook op. Bij iris- of spraakherkenning is dat probleem nog groter’, geeft Veldhuis aan. Het betekent dat een hack een groter probleem vormt dan nu.
Rekenkracht
Er zijn echter oplossingen, bijvoorbeeld door de vingerafdrukscan om te zetten in een regeltje getallen dat wordt versleuteld. Die versleuteling gebruikt iemand vervolgens om zichzelf te identificeren. In het geval van een hack, pakt de gebruiker gewoon een andere versleuteling en kan hij of zij zonder zorgen verder – net zo makkelijk als het veranderen van een wachtwoord. Het probleem is dat deze manier niet universeel is. Zolang niet alle apparaten hetzelfde versleutelingssysteem gebruiken, is het op deze manier versleutelen lastig.
Een andere oplossing om het hacken tegen te gaan is computers krachtig genoeg maken om versleutelde vingerafdrukken te herkennen. Nu moeten gegevens uit een database vaak worden ontsloten voordat ze zijn te vergelijken met de aangedragen vingerafdruk. ‘Daar zit een groot beveiligingsrisico. Als je die stap kan overslaan, is de kans veel kleiner dat ze iets kunnen met de vingerafdruk’, aldus Veldhuis. Het betekent dat, op het moment dat je je vingerafdruk scant, een programma deze versleutelt en het versleutelde resultaat vergelijkt met de database. Dit kost veel rekenkracht, en tot voor kort waren computers niet snel genoeg om deze berekeningen in redelijke tijd te maken. ‘Maar het begint nu langzaam te komen. Delen van het proces zijn al op deze manier te doen, zonder dat de gebruiker er last van heeft. Aangezien computers steeds krachtiger worden, is dit een interessante manier om de veiligheid te versterken.’
Voorlopig worden vingerafdrukken echter goeddeels onveilig bewaard. ‘Zolang we gewone wachtwoorden hebben als back-up, is dat geen enorm probleem’, vindt Veldhuis. ‘En wachtwoorden zullen nog lang blijven bestaan, aangezien er veel praktische problemen zijn met biometrie. Na een weekend klussen zijn afdrukken bijvoorbeeld weggesleten en hoe ouder iemand wordt, hoe moeilijker het is om zijn of haar vingerafdruk te lezen.’
Aderpatroon
Naast gegevensdiefstal via het web heeft biometrie het probleem dat een vingerafdruk redelijk makkelijk ‘in het echt’ is te stelen. We laten onze sporen na op muren, bekers en toetsenborden. Als een kwaadwillend iemand bewust op zoek is naar gegevens, zijn die makkelijk te vinden. Veldhuis pleit dan ook voor minder kopieerbare biometrie. ‘Aderpatroonherkenning is een techniek die ze in Japan al gebruiken, waarbij met infrarood licht de handpalm wordt gescand. Een aderpatroon is veel moeilijker te achterhalen, dus veiliger. Dat is vooral nuttig voor plekken die heel veilig moeten zijn, zoals kerncentrales of overheidsgebouwen.’
Voor het probleem van de onvervangbare vingerafdruk, die je kwijt bent als een bankdatabase gehackt wordt, moet snel een oplossing worden gevonden. Als die er eenmaal is, zijn we misschien eindelijk verlost van het onthouden van de eindeloze wachtwoordenbrij; dan volstaat de vingerafdruk, die onmogelijk is te vergeten.