Vingerafdrukken doen verkeerd dienst: ze zijn géén goede wachtwoorden. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.
Het gebruik als wachtwoord van een biometrisch kenmerk zoals een vingerafdruk lijkt een goed idee. Het is niet iets dat je kunt kwijtraken of vergeten. Daarin schuilt nu net het grote probleem, waardoor het juist géén goed wachtwoord is. Na een hack waarbij wachtwoorden zijn gestolen, luidt het standaardadvies: verander je wachtwoorden. Een loos advies als er digitaal opgeslagen vingerafdrukken zijn buitgemaakt, zoals bij de geruchtmakende cyberinbraak bij het Amerikaanse hr-orgaan voor overheidspersoneel.
Daarbij zijn de vingerafdrukken van 5,6 miljoen mensen gestolen, waarbij eerst nog werd geschat dat het ‘slechts’ 1,1 miljoen overheidsbeambten betrof. Natuurlijk, overstappen naar een andere vinger(afdruk) is mogelijk. Alleen is de houdbaarheid van die oplossing op twee handen te tellen. Als er niet al volledige handensets zijn gehackt. Het maken van nepvingers wordt ook steeds gemakkelijker en goedkoper. Vingerafdrukken zijn dus eigenlijk gebruikersnamen en geen wachtwoorden. Wat vind jij?
Als professional me met o.m. security en toepasbaarheid van IT ICT componenten bezig houdend, heb ik eerder al geroepen dat er hiaten bestaan bij gebruik van biometrische data.
Ja, je kan ze heel goed toepassen bij tal van zaken en nee, je kunt ze niet wijzigen als een wachtwoord. Daarnaast is het aardig wanneer je biometrische data steelt, je kunt die niet zomaar gebruiken. Daar zul je eerst een stap voor moeten zetten om deze biometrische data om te zetten naar iets fysieks, en daar schuilt hem dan ook meteen het grote gevaar. De technische mogelijkheden zijn gewoon te koop, vrijwel op elke spreekwoordelijke hoek met alle denkbare gevolgen van dien.
DNA en Vingerafdrukken
Er zijn al zaken bekend waarbij duidelijk werd dat gevonden DNA materiaal en/of vingerafdrukken, weliswaar konden worden toegeschreven aan een persoon, doch gelukkig dat de betreffende persoon aan kon tonen fysiek niet in de mogelijkheid zijnde geweest, die sporen op de plaats van delict te hebben achter gelaten of gebracht.
Nader onderzoek naar de betreffende sporen, zover zijn we gelukkig ook al, wees uit dat de kans meer dan 90% was dat de betreffende sporen daar op andere wijze naartoe waren gebracht. Laten we wel zijn, de kennis, de mogelijkheden, biometrische data te stelen en te ‘hergebruiken’ zijn er en het komt al voor. Dat is duidelijk.
Zoals ik altijd heb voorgesteld is gewoon de koppeling blijven maken tussen gebruik van biometrie en die koppelen aan technische IT peripherals met als zekerheid dat niets uiteindelijk waterdicht is.
Een oude discussie. Ik ben het eens met de stelling, daarbij nog opgemerkt dat vingerafdrukken ook een weinig wijzigen bij ouder worden.
Als je een glas steelt van een bezoeker van een bar kun je al een eind komen.
Probeer het eens met een wachtwoord van minimaal 15 posities, met letters cijfers en speciale tekens.
Zoiets als “k0nput4b!315T0p” dat kun je nog onthouden, een verbastering van “Computable is top”.
Bij 20 posities wordt het al erg moeilijk om te ontcijferen, een beetje kreativiteit is gevraagd.
En natuurlijk websites die https gebruiken, wat nog steeds niet zo vanzelfsprekend is.
Het hele circus met vingerafdrukken is bedoel om wereldwijd de acceptatie van biometrische beveiliging te bevorderen. Dat het niet dekkend is was al vanaf de conceptie bekend en men heeft de oplossing hiervoor al klaar liggen maar heeft nog wat tijd nodig om de opinie hierover te masseren. Dwz het ‘chippen’ van mensen is over een decennium realiteit.
Dus iets wat je hebt (vingerafdruk) en iets wat je weet (pincode, wachtwoord).
Dan kun je altijd de pincode of het wachtwoord wijzigen. Maar ja, dat is teveel werk, zo’n hele pincode intiepen….
Het gebruiken van een vingerafdruk voor authenticatie is als het hebben van één en hetzelfde wachtwoord voor alle systemen, waarbij je dit wachtwoord niet kan vervangen en waarbij je dit wachtwoord overal achterlaat. Uitleg: Je hebt namelijk maar (maximaal) 10 vingers, waarbij in de praktijk vooral de wijsvinger wordt gebruikt. De afdrukken van je vinger kan je niet wijzigen en je laat deze achter op alles wat je vastpakt.
Een vingerafdruk kan beter gezien worden als een gebruikersnaam, niet als een wachtwoord.