Een van de grootste aankondigingen op het gebied van smartphone-beveiliging de afgelopen weken was de introductie van de Apple iPhone 5S met de ingebouwde vingerafdrukscantechnologie Touch ID. Op dit moment lijkt het erop dat het gebruik van de biometrische functie voorlopig beperkt zal blijven tot het vervangen van de pin-code. De functionaliteit zal ook niet direct beschikbaar komen voor ontwikkelaars. Maar hoe je er ook tegenaan kijkt, dit is een serieuze stap voorwaarts voor de biometrische beveiligingsindustrie!
Laten we met het grote nieuws beginnen. Een groot technologiebedrijf adopteert een alternatieve technologie voor pin/wachtwoorden die straks in handen komt van een zeer groot aantal gebruikers. Op basis van de pre-orders van de iPhone 5S is het aannemelijk dat eind 2013 zeker twintig miljoen mensen beschikken over de nieuwe finger swipe-technologie. Hoeveel van die mensen er daadwerkelijk gebruik van gaan maken is de vraag, maar voor mensen die enthousiast zijn over de toepassingen van biometrie is dit de belangrijkste stap sinds…. ooit eigenlijk.
Nooit grootschalig toegepast
Biometrie is vooralsnog eigenlijk nooit echt grootschalig toegepast buiten overheden en geheime diensten. Dat komt voornamelijk omdat de baten niet opwegen tegen de nogal aanzienlijke kosten voor de aanschaf van readers en middleware, de privacy-uitdagingen en mogelijke problemen bij het gebruik (false positives, gefrustreerde gebruikers, et cetera). De meeste experts zijn het er altijd over eens geweest dat authenticatie op basis van biometrie pas echt breed geaccepteerd zou worden wanneer het onderdeel zou zijn van iets dat consumenten altijd bij zich dragen en zich comfortabel bij voelen. Zoiets als…. een smartphone bijvoorbeeld!
Deze eerste zet van Apple kan ervoor zorgen dat andere smartphone-fabrikanten zullen reageren en dat er wellicht een innovatieoorlog ontketend wordt. Security-bedrijven en ontwikkelaars kunnen vast gaan nadenken over de mogelijkheden voor toekomstige applicaties die dankzij biometrische authenticatie toegankelijk worden. Niet alleen om apparaten te ontgrendelen, maar ook om gebruikers te authenticeren en autoriseren voor allerlei applicaties en transacties.
Banken kunnen bijvoorbeeld om een ‘voice print’ vragen voordat geld kan worden overgemaakt, of het bedrijfs-vpn vraagt om een geldige irisscan of gezichtsherkenning voordat het iemand toelaat op het netwerk. Gebruikers kunnen hun pc ontsluiten door gebruik te maken van near-field communication (nfc), noem maar op! Organisaties in allerlei industrieën kunnen de byod-uitdagingen beter te lijf gaan omdat ze de identiteit nu beter kunnen verifiëren en op basis daarvan rechten kunnen toekennen.
Gevaren liggen op de loer
Dit klinkt allemaal te gek, maar er liggen ook gevaren op de loer. Het grootste nadeel dat security-onderzoekers hebben opgemerkt, heeft te maken met de opslag van de biometrische gegevens (ik heb de iPhone 5S zelf nog niet in handen gehad, dus ik baseer me volledig op wat ik hierover heb gelezen). Onderzoekers willen weten waar en hoe de vingerafdruk is gegenereerd op het apparaat, waar die is opgeslagen en welke applicaties of functies van de smartphone er toegang toe hebben en onder welke omstandigheden.
Omdat de biometrie volledig is gebaseerd op het onderliggende iOS-besturingssysteem (in tegenstelling tot de op hardware gebaseerde Trusted Platform Module), is alle zekerheid ineens weg wanneer de iPhone ‘jailbroken’ is. Een digitale versie van een vingerafdruk is immers net zo makkelijk te manipuleren als een gestolen wachtwoord.
Er is echter nog een erger scenario denkbaar…. Als de iPhone op een of andere manier wordt geïnfecteerd met malware, kunnen de bad guys aan de haal gaan met jouw digitale identiteit op basis van de vingerafdruk. Waarmee we weer terug komen bij de stelling dat je nooit kunt aannemen dat biometrie veiliger is dan andere beveiligingsmaatregelen als je niet precies begrijpt wat de gebruiker er mee doet en hoe het apparaat en de applicaties werken.
Zowel goed- als kwaadwillende security-professionals zullen aan de slag gaan om gaten te vinden in de Touch ID-technologie van Apple. Sterker nog, de eerste lekken zijn inmiddels al ontdekt. Maar toch beklijft bij mij het positieve gevoel dat deze lancering een nieuw tijdperk van gebruiksvriendelijke, mobiele biometrie inluidt die zal zorgen voor veiligere online ervaring in de (nabije) toekomst!
@Henri
Sorry maar dat klinkt nogal dom, gevaarlijk zelfs als daardoor dingen onomkeerbaar worden. Want hoe veilig is dan straks betalen met je vingerafdruk of andere dingen die op basis van two/multi-factor authenticatie gebruik maken van deze biometrie?
@Maarten
Ik maak me niet druk om vingerafdrukken bij de NSA, die hebben ze waarschijnlijk toch al omdat je deze met nog wat andere biometrische kenmerken moet geven als je de US binnen wilt en anders hebben ze deze misschien wel gekregen van NL overheid toen ik een nieuw paspoort aanvroeg.
http://www.bprbzk.nl/Reisdocumenten/Nieuws/Plenaire_behandeling_wijziging_Paspoortwet
Nog even en ook het BSN wordt niet alleen meer gebruikt door de overheid omdat het zo makkelijk is. Oh wacht, het zit al in EPD en vele andere administraties omdat we overal kopie paspoort moesten geven en toen pas advies kregen om bepaalde informatie onleesbaar te maken in verband met identiteitsdiefstal.
Te laat, te laat riep Winnetou het zaad is reeds naar binnen toe!
@Ewout, het dringt nog steeds niet tot je door. Of ik domme dingen zeg, of dat jij allemaal nare scenario’s voor je ziet doet er toch helemaal niet toe? Als iets aanslaat, dan slaat het aan, en ik voorspel je dat het aanslaat omdat men nu eenmaal gemak verruild voor veiligheid en/of privacy. Daarnaast is de mens een kudde dier. Als iedereen het doet is het de norm, dus doe ik het ook maar. Dus wellicht als lemmings lopen wij ons ondergang tegemoet, maar een succes wordt het, let maar op!
@Ewout,
Natuurlijk hebben ze dat al, vandaar even inloggen op Prism!, maar weer een dimensie erbij maakt het weer makkelijker. Nu wordt het elektronisch aangeleverd, daarvoor had je er alleen nog maar vieze vingers van, nu ook nog een vieze smaak.