Is de vingerafdrukscanner echt zo veilig als we denken?

Redactie WINMAG Pro
Is de ene vinger waardevoller dan de andere? Als het gaat om beveiliging wel. Dat bleek in 2014 na een geruchtmakende demonstratie van de Duitse ethische hacker Jan Krissler. Aan de hand van zelf genomen en publieke foto’s wist hij de vingerafdruk van Ursula von der Leyen, de Duitse minister van Defensie, na te maken. ‘Na afloop van deze presentatie zullen alle politici in het vervolg wel handschoenen dragen als ze over straat lopen’, grapte hij.

Hoe veilig is de vingerafdrukscanner? In een tijd waarin beveiligingsexperts het er over eens zijn dat het aloude wachtwoord zo snel mogelijk moet worden afgeschaft, is het belangrijk dat ook deze vraag wordt gesteld. De vingerafdrukscanner staat namelijk helemaal bovenaan het lijstje om de rol van het wachtwoord over te nemen.

Wachtwoorden

Op het eerste gezicht heeft dat alleen maar voordelen. Het gros van de mensen moet tegenwoordig zoveel wachtwoorden onthouden dat ze er weinig moeite meer voor doen. Iedere keer als we ons aanmelden voor een webshop, of een andere online dienst, vullen we gemakshalve hetzelfde wachtwoord in. Dan kun je hem in ieder geval niet vergeten. Over de sterkte van dat wachtwoord kun je ook het nodige zeggen. P@ssword en 12345 zijn nog steeds erg populair. Makkelijk om te onthouden, nog makkelijker om te hacken.

Groter belang

Bijkomend probleem is het belang van goede identifi catie. Zeker voor bedrijven die inmiddels massaal overstappen op werken in de cloud, zodat hun personeel thuis kan werken en er minder plekken op kantoor nodig zijn. Omdat je bij de cloud dus letterlijk overal ter wereld in kunt loggen, kan iedere hacker gemakkelijk bij je bedrijfsserver. Niet een erg geruststellende gedachte.

Tijd voor vervanging

Grote aanbieders van cloudsoftware, zoals Google, Amazon en Microsoft, trekken daarom alles uit de kast om hun gebruikers te verleiden andere inlogmethodes te gebruiken. De vingerafdrukscanner is daarvan de belangrijkste en de meest toegankelijke.

Inloggen met je smartphone

De reden daarvoor is onze smartphone. Steeds meer telefoons beschikken over een eigen vingerafdrukscanner. Door de telefoon aan de computer te koppelen kun je inloggen in de cloud, door je vinger te scannen op je telefoon. Simpel en doeltreffend. Je hebt er geen extra hardware voor nodig en een knappe hacker die nu nog binnen weet te komen. Tenminste, dat zou je zeggen.

Bijzonder onderzoek

Uit steeds meer onderzoek blijkt namelijk dat de vingerafdrukscanner, en zeker die op de telefoon, niet helemaal waterdicht is. In 2017 deden universiteiten in New York en Michigan onderzoek naar de kwetsbaarheid van vingerafdrukscanners. Dat deden ze op een originele manier. Namelijk door te proberen een soort van supervingerafdruk in elkaar te knutselen, waarmee je een groot deel van alle smartphones kunt ontgrendelen. Bizar genoeg lukte het nog ook. Dat levert uiteraard de nodige vraagtekens op. Hoe kan dat? Iedere vingerafdruk is toch uniek?

Beperkingen vingerafdrukscanners

Dat klopt inderdaad. Tenminste, de hele vingerafdruk dan. Het probleem van een vingerafdrukscanner op je telefoon is dat deze maar een klein gedeelte van je vinger scant. Meer laat de grootte van de scanner niet toe. Daar komt bij dat je nooit slechts één afdruk opslaat van je vinger. In veel gevallen maak je wel tientallen afdrukken, zodat je zeker weet dat de scanner jouw vinger herkent. In feite creëer je zo echter dertig verschillende wachtwoorden, waarvan je er als hacker maar eentje hoeft te hebben. En dan is het ook nog eens een onvolmaakte vingerafdruk.

Masterprint

Wat de onderzoekers vervolgens deden was uitvogelen welke kenmerken het meeste voorkomen bij vingerafdrukken. Vervolgens maakten ze een serie nieuwe vingerafdrukken, zogenaamde ‘Masterprints’, die zoveel mogelijk van deze algemene kenmerken combineerden. Daarna begon het grote uitproberen. Het ‘voordeel’ is dat je bij iedere telefoon een aantal mogelijkheden hebt voordat de telefoon blokkeert. Je hebt dus verschillende kansen om het 'wachtwoord' te kraken.

Resultaat

De resultaten waren ontstellend. Uit het onderzoek bleek dat de masterprints in ongeveer 65 procent van de gevallen sterk overeenkwamen met echte vingerafdrukken. Zet je dit af tegen het kraken van een smartphone, dan is het naar verluidt bij 40 tot 50 procent van de gevallen mogelijk om met een masterprint de telefoon te ontgrendelen, voordat deze wordt geblokkeerd.

Gevolgen

Betekent dit dat de vingerafdrukscanner ineens onveilig is geworden? Nee, niet direct. Zelfs al zou je één op iedere twee telefoons met een namaakvingerafdruk kunnen ontgrendelen, dan nog zul je als hacker hoe dan ook moeten beschikken over de telefoon. In tegenstelling tot het wachtwoord, waarbij een hacker van overal ter wereld kunt proberen die te kraken.

De ene scanner is de andere niet

Wel is het duidelijk dat vingerafdrukscanners op telefoons nog wel wat verder ontwikkeld mogen worden. En dat de ene vingerafdrukscanner de andere niet is. Wil je als bedrijf gebruikmaken van scanners op de smartphones van je medewerkers, check dan van te voren wel even de kwaliteit daarvan. Of koop alsnog een hogere kwaliteit vingerafdrukscanner die wel de hele vinger kan bevatten.

afbeelding van Redactie WINMAG Pro

Redactie WINMAG Pro | Redacteur

Bekijk alle artikelen van Redactie