Zo (niet) veilig zijn biometrische authenticatie technieken. Warning!

Irisscan
Zo (niet) veilig zijn biometrische authenticatietechnieken. Warning!

De Chaos Computer Club (CCC), een Duitse hacker club, had er maar weinig voor nodig om het beschermingssysteem (met het woord ‘bescherming’ tussen aanhalingstekens) van de nieuwe Samsung Galaxy S8 te kraken.

Hiermee toonden de CCC aan dat de irisscan, een omstreden authenticatie-techniek (voorstanders onderstrepen de veiligheid van dit systeem, tegenstanders werpen problemen in verband met de persoonlijke privacy op) zo veilig nog niet is, in ieder geval niet als beschermingstechniek voor een smartphone.

Wat heeft de CCC gedaan? Het is heel eenvoudig. Het ei van Columbus. De CCC hebben de ogen van een testpersoon gefotografeerd, niet eens van al te dichtbij. Vervolgens hebben de hakkers de foto op natuurlijke grootte gescand (rigoureus met een Samsung scanner…) en – geniale vondst – een contactlens op de afdruk van het oog geplaatst zodat het er heel realistisch uitzag.

Tot zover de voorbereidingen voor deze spectaculaire test.

Nu was het alleen nog maar een kwestie van proberen. En ja hoor. De smart(not so smart?)phone reageerde op de foto van het oog en ontgrendelde het toestel.

No comment. Onze complimenten aan de CCC.

Een advies: blijf uit de buurt van biometrische authenticatietechnieken, tenzij ze wettelijk verplicht zijn, en wantrouw alle nieuwigheden op dit gebied. Er kleven altijd technische problemen aan, ze zijn fraudegevoelig, en de reikwijdte ervan is niet te overzien. Vertrouw liever op dat oude vertrouwde paswoord dat je af en toe voor de zekerheid verandert. En mocht iemand om een of andere reden je paswoord nodig hebben, dan beschik je altijd nog over het reserveantwoord: ‘Eh… ik ben het… vergeten?

Klik hier om de website van de Chaos Computer Club te bezoeken. Het is de moeite waard.

ADVERSUS

Wil jij op de hoogte blijven van de trends en nieuwtjes op ADVERSUS? Schrijf je in voor de gratis nieuwsbrief. Klik hier.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.