Zijn vingerafdrukscanners op smartphones wel zo veilig?
Je telefoon ontgrendelen doe je doorgaans met een cijfercode, FaceID (het scannen van je gezicht) of je vingerafdruk. Het gaat vliegensvlug en het zijn alle drie over het algemeen veilige manieren om toegang te krijgen tot je telefoon. Toch? In dit artikel gaan we in op de risico's van vingerafdrukscanners.
Waar een cijfercode uiteindelijk altijd te raden is, is dat minder makkelijk voor de biometrische gegevens. Zeker FaceID blijkt daarin erg veilig, al is ook dat niet waterdicht. In China bleek iemand die erg leek op de telefooneigenaar alsnog een telefoon te kunnen ontgrendelen en er zijn telefoons die ontgrendelen als iemand de ogen dicht heeft.
Vingerafdrukscans zijn nog iets minder veilig. Zoals je ongetwijfeld eens in spionagefilms hebt gezien (zoals Bondfilm Diamonds are Forever), kun je een vingerafdruk vrij gemakkelijk neppen. Je kunt deze al namaken op basis van iemands afdruk op een glas. De eerste vingerafdrukscanners konden voor de gek worden gehouden door een stukje kinderklei te gebruiken.
Er zijn ook veel voordelen aan vingerafdrukscans: je hoeft geen wachtwoorden te onthouden, je hebt hem altijd bij je en je kunt hem dankzij nieuwe technologie straks op zo’n beetje je hele telefoonscherm zetten om te unlocken, in plaats van alleen een specifiek aangewezen plek. Hierdoor kun je nog sneller je telefoon in.
Echter is het voordeel van wachtwoorden dat je deze altijd kunt veranderen. Dat is niet het geval bij een vingerafdrukscan. Is je vingerafdruk eenmaal bekend, dan kun je die nooit meer veilig ergens voor gebruiken. Dan heb je hem nog steeds altijd bij je, maar je kunt er niets meer mee waar het gaat om authenticatie. Nu wordt het hackers wel zo moeilijk mogelijk gemaakt om toegang te krijgen tot iemands vingerafdruk, maar uiteindelijk staat ook deze informatie ergens opgeslagen om te kunnen controleren of je nieuwe invoer klopt met wat er bekend is.
GDPR
Er wordt wel vaak enorm veel zorg gedragen dat de vingerafdruk veilig blijft, iets dat onder andere nog meer op de kaart is komen te staan toen de EU de GDPR instelde, waardoor zeker biometrische data als speciale categorie persoonlijke data wordt gezien. Dit betekent dat deze informatie nooit mag worden gedeeld, zeker niet zonder nadrukkelijke toestemming. Nu slaat de iPhone die gegevens op in een los bestandje dat niet online is, maar er zijn veel andere telefoonmakers die de vingerafdruk toch via een netwerk naar een centrale opslag sturen. Zeker in die laatste categorie is er dus voor hackers een mogelijkheid om deze informatie te onderscheppen, of deze nu versleuteld is of niet.
Een telefoon heeft vaak geen volledige vingerafdruk nodig om te ontgrendelen. Juist omdat je vaak ook niet je complete vinger op je toestel duwt, zijn de vingerafdrukscanners van telefoons zo gemaakt dat alleen het randje van je vingerafdruk vaak al genoeg is. Een kleiner gedeelte betekent dat er minder informatie nodig is om toch toegang te krijgen, wat het makkelijker maakt om iets na te maken. Daarnaast speelt het ook mee hoeveel vingerafdrukken je in je telefoon hebt staan, want hoe meer ‘sleutels’ er zijn die toegang geven, hoe eerder er een match is met een nagemaakt exemplaar.
Het is niet alleen gevaarlijk voor de toegang tot je telefoon. Veel banken maken ook gebruik van vingerafdrukscanners om je niet alleen toegang te geven tot je rekening, maar ook betalingen te verrichten. Het is daarbij moeilijk te bewijzen dat je het echt zelf niet was die een bepaalde betaling heeft laten uitvoeren. Bovendien geldt ook hier: als je vingerafdruk eenmaal op straat ligt, hoe ga je deze apps dan nog gebruiken? De kans is groot dat je dan toch terug moet naar een cijfercode, met alle securityrisico’s van dien.
Kaspersky-ring
Er wordt daarom hier en daar gewerkt aan manieren om iets te doen tegen vingerafdrukscans die niet langer privé zijn. Securitybedrijf Karspersky heeft een ring ontwikkeld met daarop je vingerafdruk, die kan worden aangepast wanneer je weet dat deze in handen is van hackers. Nu is dat op zich een innovatieve oplossing en de ring ziet er ook best mooi uit, maar het is uiteindelijk slechts een oplossing voor een groot probleem dat vingerafdrukscans met zich meedragen.
Zeker nu kunstmatige intelligentie een steeds grotere rol speelt in de wereld. Deze systemen worden gevoed met duizenden afbeeldingen van vingerafdrukken om zo nepvingerafdrukken te creëren. Uiteindelijk zal dit ook met gezichtsscans gaan gebeuren, alleen hebben die vaak een 3D-element waardoor deze minder makkelijk te neppen zijn dan de iets meer tweedimensionale vingerafdruk.
Hoewel vingerafdrukscans makkelijker zijn omdat deze ook in het donker werken en je geen wachtwoord hoeft te onthouden, kun je uiteindelijk altijd beter kiezen voor een gezichtsscan. Als je die keuze tenminste krijgt voorgeschoteld.