Iedereen is het erover eens dat wachtwoorden niet altijd ideaal zijn, je kan ze als gebruiker vergeten, maar ook worden databases met wachtwoorden nog weleens gehackt en dan loop je het risico dat mensen ineens toegang hebben tot allerlei databases waar je hetzelfde wachtwoord hebt gebruikt. Bijvoorbeeld je Outlook of Gmail-adres. De oplossing ligt volgens veel bedrijven bij biometrische wachtwoorden zoals vingerafdrukken, hackers en beveiligingsexperts denken daar er echter heel anders over.

Ellit Williams, is een auteur, hacker en beveiligingsexpert en hij is duidelijk over wachtwoorden en vingerafdrukken. Wie dacht dat wachtwoorden niet veilig zijn, vingerafdrukken zijn dat nog minder. Hij deed onderzoek naar vingerafdruksensoren en de beveiliging ervan. Zijn conclusie is dat vingerafdrukken helemaal niets beveiligen, dat lijkt wel zo omdat niemand je vingerafdruk kan raden en een wachtwoord mogelijk wel. Gaan we echter een stapje verder, als een database met wachtwoorden wordt gestolen bij een hack op een bedrijf, dan heb je als gebruiker de mogelijkheid je wachtwoorden aan te passen, je vingerafdruk aanpassen is onmogelijk, want ook die kan worden buitgemaakt.

Daarnaast zijn vingerafdrukken helemaal niet zo geheim, want alles wat je aanraakt beschikt over je vingerafdruk, eigenlijk laat je je nieuwe biometrische wachtwoord overal slingeren. Dat is niet te voorkomen of je moet de hele dag handschoenen gaan dragen. De Duitse hacker Jan Krissler toonde enkele jaren geleden al aan dat een vingerafdruk is te vervalsen, hij bouwde in twee dagen een nepvinger waarop hij een vingerafdruk toepaste die iemand had achtergelaten op een koffiemok en daarmee was de iPhone 5S van Apple te ontgrendelen. 

De kosten om een vingerafdruk na te maken zijn zeer laag het kost alleen veel tijd, maar de vingerafdrukscanners trappen er allemaal in. Bij vingerafdrukken wordt verwacht dat er een bepaalde foutmarge is, zodat als je je vinger net iets schever of lager houdt op de scanner, dat je vinger ook wordt herkend. Ook als je een wondje op je vinger hebt hoop je dat je vingerafdrukscanner nog gewoon werkt. Hierdoor kan een vingerafdruk niet worden gehashed want elke invoer is anders, vingerafdrukken moeten daarom versleuteld worden opgeslagen en moeten ook weer te ontsleutelen zijn zodat ze vergeleken kunnen worden en er een foutmarge kan worden gehanteerd.

Dit brengt automatisch een groter gevaar met zich mee, als een systeem een vingerafdruk kan versleutelen en ontsleutelen, is het ook mogelijk voor hackers om zo'n database te stelen inclusief de methode om ze te ontsleutelen. De volgende stap zou dan zijn een vingerafdruk na te maken op basis van zo'n database of een scanner te laten denken dat er een bepaalde vingerafdruk is ingevoerd die vervolgens softwarematig wordt aangeleverd. 

Alles bij de bron; TechZine



Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha