Waarom we moeten opletten met biometrische verificatie

Door Joris Vaesen op 31 dec 2021
Vingerafdruksensor

Alhoewel ik elke vooruitgang op het gebied van beveiliging toejuich, moeten we wel degelijk opletten met biometrisch verificatie. Deze manier van verificatie is snel en makkelijk in gebruik wanneer de juiste hardware aanwezig is, maar is minder veilig dan het lijkt.

Om te kunnen oordelen hoe veilig het is, kijk ik hoe de verificatie in elkaar zit. Het uitgangspunt hier is een vingerafdrukscanner, aangezien deze intussen terug te vinden is in bijna elke smartphone.

De vingerafdrukscanner

Het eerste probleem is dat we zelf onze vingerafdruk niet kunnen wijzigen. Het is als het ware een wachtwoord dat je zelf nooit kan veranderen. Wanneer het in iemands bezit komt, zal het dus altijd blijven werken. Dat is problematisch vanuit veiligheidsoogpunt.

Een ander probleem is dat het bijna onmogelijk is een vingerafdruk twee keer op identiek dezelfde manier te nemen. Probeer je vinger maar eens meerdere keren op exact dezelfde manier en plaats op de sensor te leggen. De originele vingerafdruk en de afdruk die even later genomen wordt als je je smartphone wilt ontgrendelen zijn dus nooit exact hetzelfde. Dit betekent dat er een foutenmarge moet zitten in het algoritme dat bepaald of een vingerafdruk voldoende overeenkomt met het origineel.

De foutenmarge

Deze foutenmarge maakt het voor onbevoegden makkelijker om je vingerafdruk te kraken, aangezien meerdere afdrukken dus als geldig aanzien worden. Ook geeft deze beperking technische moeilijkheden. Een gewoon wachtwoord wordt nooit zomaar opgeslagen, deze wordt altijd eerst gehasht. Dat is een versleuteling die onomkeerbaar is. Met de gehashte versie van een wachtwoord kan je nooit terug naar het oorspronkelijke wachtwoord.

Maar dat is bij een vingerafdruk niet mogelijk, want daar moet je steeds met het origineel kunnen werken om te berekenen of een latere afdruk voldoende overeenkomt. Dit is by design een minder veilige oplossing en maakt het potentieel mogelijk voor aanvallers om je originele vingerafdruk te stelen en te gebruiken om toegang te krijgen.

Een ander kritiek punt van deze verificatiemethode is dat het bijna onmogelijk is je vingerafdruk geheim te houden. Je pakt immers de hele dag spullen vast en maakt hiermee dus eigenlijk je wachtwoord potentieel voor iedereen beschikbaar. Terwijl wachtwoorden ten alle tijde geheim moeten blijven om effectief te zijn.

Waarom bouwen fabrikanten het dan?

Het is duidelijk dat mensen altijd al hebben zitten worstelen met wachtwoorden. Ze kiezen vaak voor zwakke wachtwoorden die ze dan ook nog eens bij meerdere diensten gebruiken. Een vingerafdrukscanner, gezichtsherkenning of iris-scanner lijkt voor veel mensen een veilige technische vooruitgang. Het geeft mensen een vals gevoel van veiligheid.

Toch lijkt het gebruik van deze verificatiemethodes niet meer te stoppen. Zeker niet in smartphones. Fabrikanten hebben deze hardware breed beschikbaar gemaakt. Het biedt de gebruiker comfort (supersnel inloggen zonder wachtwoord) en een (vals) gevoel van veiligheid. Een smartphone wordt tot wel 50 keer per dag aangezet, telkens een wachtwoord moeten ingeven om deze te ontgrendelen is een helse taak.

De concurrentie tussen smartphone fabrikanten doet hen steeds op zoek gaan naar nieuwe snufjes. Goedkopere smartphones worden steeds beter dus hebben fabrikanten nood aan nieuwe features om de duurdere modellen te laten opvallen. Fabrikanten proberen zich op deze manier te onderscheiden en te diversifiëren binnen hun eigen assortiment. Een eenvoudige manier van ontgrendelen stond hoog op de prioriteitenlijst en biometrische verificatie paste in dat plaatje.

Conclusie

Het blijft dus belangrijk een sterk wachtwoord te kiezen. Biometrische verificatie kan een extra laag van beveiliging zijn maar is niet onfeilbaar en mag nooit als enige verificatie worden gebruikt.

Als de politie u vraagt om uw vingerafdrukken te nemen, geeft dat meteen een ongemakkelijk gevoel. Die reflex zouden we altijd moeten hebben wanneer om biometrische data wordt gevraagd, ook door private bedrijven. Weet goed aan welke partijen u uw vingerafdruk geeft.