Een van de grootste aankondigingen op het gebied van smartphone-beveiliging de afgelopen weken was de introductie van de Apple iPhone 5S met de ingebouwde vingerafdrukscantechnologie Touch ID. Op dit moment lijkt het erop dat het gebruik van de biometrische functie voorlopig beperkt zal blijven tot het vervangen van de pin-code. De functionaliteit zal ook niet direct beschikbaar komen voor ontwikkelaars. Maar hoe je er ook tegenaan kijkt, dit is een serieuze stap voorwaarts voor de biometrische beveiligingsindustrie!
Laten we met het grote nieuws beginnen. Een groot technologiebedrijf adopteert een alternatieve technologie voor pin/wachtwoorden die straks in handen komt van een zeer groot aantal gebruikers. Op basis van de pre-orders van de iPhone 5S is het aannemelijk dat eind 2013 zeker twintig miljoen mensen beschikken over de nieuwe finger swipe-technologie. Hoeveel van die mensen er daadwerkelijk gebruik van gaan maken is de vraag, maar voor mensen die enthousiast zijn over de toepassingen van biometrie is dit de belangrijkste stap sinds…. ooit eigenlijk.
Nooit grootschalig toegepast
Biometrie is vooralsnog eigenlijk nooit echt grootschalig toegepast buiten overheden en geheime diensten. Dat komt voornamelijk omdat de baten niet opwegen tegen de nogal aanzienlijke kosten voor de aanschaf van readers en middleware, de privacy-uitdagingen en mogelijke problemen bij het gebruik (false positives, gefrustreerde gebruikers, et cetera). De meeste experts zijn het er altijd over eens geweest dat authenticatie op basis van biometrie pas echt breed geaccepteerd zou worden wanneer het onderdeel zou zijn van iets dat consumenten altijd bij zich dragen en zich comfortabel bij voelen. Zoiets als…. een smartphone bijvoorbeeld!
Deze eerste zet van Apple kan ervoor zorgen dat andere smartphone-fabrikanten zullen reageren en dat er wellicht een innovatieoorlog ontketend wordt. Security-bedrijven en ontwikkelaars kunnen vast gaan nadenken over de mogelijkheden voor toekomstige applicaties die dankzij biometrische authenticatie toegankelijk worden. Niet alleen om apparaten te ontgrendelen, maar ook om gebruikers te authenticeren en autoriseren voor allerlei applicaties en transacties.
Banken kunnen bijvoorbeeld om een ‘voice print’ vragen voordat geld kan worden overgemaakt, of het bedrijfs-vpn vraagt om een geldige irisscan of gezichtsherkenning voordat het iemand toelaat op het netwerk. Gebruikers kunnen hun pc ontsluiten door gebruik te maken van near-field communication (nfc), noem maar op! Organisaties in allerlei industrieën kunnen de byod-uitdagingen beter te lijf gaan omdat ze de identiteit nu beter kunnen verifiëren en op basis daarvan rechten kunnen toekennen.
Gevaren liggen op de loer
Dit klinkt allemaal te gek, maar er liggen ook gevaren op de loer. Het grootste nadeel dat security-onderzoekers hebben opgemerkt, heeft te maken met de opslag van de biometrische gegevens (ik heb de iPhone 5S zelf nog niet in handen gehad, dus ik baseer me volledig op wat ik hierover heb gelezen). Onderzoekers willen weten waar en hoe de vingerafdruk is gegenereerd op het apparaat, waar die is opgeslagen en welke applicaties of functies van de smartphone er toegang toe hebben en onder welke omstandigheden.
Omdat de biometrie volledig is gebaseerd op het onderliggende iOS-besturingssysteem (in tegenstelling tot de op hardware gebaseerde Trusted Platform Module), is alle zekerheid ineens weg wanneer de iPhone ‘jailbroken’ is. Een digitale versie van een vingerafdruk is immers net zo makkelijk te manipuleren als een gestolen wachtwoord.
Er is echter nog een erger scenario denkbaar…. Als de iPhone op een of andere manier wordt geïnfecteerd met malware, kunnen de bad guys aan de haal gaan met jouw digitale identiteit op basis van de vingerafdruk. Waarmee we weer terug komen bij de stelling dat je nooit kunt aannemen dat biometrie veiliger is dan andere beveiligingsmaatregelen als je niet precies begrijpt wat de gebruiker er mee doet en hoe het apparaat en de applicaties werken.
Zowel goed- als kwaadwillende security-professionals zullen aan de slag gaan om gaten te vinden in de Touch ID-technologie van Apple. Sterker nog, de eerste lekken zijn inmiddels al ontdekt. Maar toch beklijft bij mij het positieve gevoel dat deze lancering een nieuw tijdperk van gebruiksvriendelijke, mobiele biometrie inluidt die zal zorgen voor veiligere online ervaring in de (nabije) toekomst!
@Henri
Als je om 11:38 roept dat het niet meer dan een gimmick is welke qua beveiliging weinig toevoegt en om 19:04 weer wat anders wordt het wel verwarrend. Maar als andere fabrikanten het binnen een jaar overnemen dan wachten we nog wel even dat ook Google het biedt met Android;-)
Gimmick is wellicht een te lichte woordkeuze. Al zullen veel mensen het als zodanig zien. Het is niet super veilig, maar in veel van de gevallen veilig genoeg voor dagelijks gebruik.
Intelligente lezers zoals jij hadden dat natuurlijk allang door dat ik het zo bedoelde.
@Ewout
inmiddels 69?
@Henri
geen weldenkend mens zet zijn vingerafdruk op een apparaat waar niemand kontroleren kan wat er mee gebeurt.
Dat is hetzelfde als je bankrekeningnummer samen met je pinkode leesbaar bewaren op je telefoon.
Ik weet niet hoe jij dat doet, maar ik ben een beetje voorzichtiger.
Henri,
Neem aan dat je laatste reactie aan mij geadresseerd was hoewel laatste zin me weer doet twijfelen;-)
Hetzelfde geldt voor de marketing rond een feature (zo beter?) waarvan toegevoegde waarde nogal bedenkelijk is door net na uitkomen al aangetoonde zwakheden. Als ik dan lees dat zo’n device misschien ook gebruikt kan worden in een beveiligingsketen dan moet ik stiekem denken aan de wet van Murphy. Biometrie blijft desondanks interessant maar het lijkt me dan wel handig als er niet te lichtzinnig mee om gegaan wordt. Niet veel anders dan wachtwoorden/pincode natuurlijk maar als je zelf al aangeeft dat het niet veilig is maar goed genoeg voor dagelijks gebruik dan moet je me even vertellen hoe ik mijn vingerafdrukken kan wijzigen als deze ‘gelekt’ zijn?
@Maarten
Ik heb hier en daar nog wat ‘vingerafdrukken’ achtergelaten en ben de tel kwijt geraakt.
@Ewout,
ik zal even inloggen op Prism straks en dan stuur ik je alibi’s wel op via de TNT-post 🙂
Om het cru te zeggen, en misschien dat het punt dan overkomt, onze mening doet er niet toe!
Of het veilig is of niet, of het spielerei is of niet. Als het bij de grote groep gebruikers aansluit wordt het gewoon mainstream en is de kans groot dat het niet alleen ook op je volgende telefoon zit, maar dat je het ook nog gaat gebruiken. Ik weet nu zeker dat je aan mij gaat denken als je de feature aan zet, haha.
Snel, goedkoop en cloud hebben de toekomst, Larry (Ellison) heeft het gezegd, dan moet het waar zijn 😉 Nu is de iPhone niet goedkoop, maar de rest zal volgen en is wellicht wel goedkoop. Punt is dat er niet per se het beste gekocht wordt (Spotify / iTunes hadden en hebben niet de beste kwaliteit), maar hebben de wind in de zeilen.
Over een jaar kunnen we zien of mijn voorspelling uit komt.
En Ewout, ja dat over intelligent enzo gaat over jou :-0
@ Henri
in een punt heb je gelijk, over 1 tot 3 jaar weten we wat er met al die vingerafdrukken is gebeurd . . .
Biometrie in deze context lijkt eerder op symptoombestrijding.