Vingerafdrukscanners op de bankkaarten van MasterCard - wat is de zorg?
Op 20 april kondigde MasterCard de introductie van haar nieuwe biometrische betaalpassen in Zuid-Afrika aan. De uitgever van de kaart wil het land gebruiken als testterrein om aanpassingen aan te brengen en de technologie te laten rijpen voordat deze wordt uitgebreid naar andere landen.
Ondanks de over het algemeen positieve ontvangst van mensen die vermoedelijk zouden genieten van het vooruitzicht hun betalingen sneller dan ooit te verrichten, moet men zich afvragen of vingerafdrukken noodzakelijkerwijs veiliger zijn dan ouderwetse pincodes. Het is immers geen gegeven dat authenticatiemethoden die handiger en futuristischer zijn, effectievere beveiliging bieden.
Biometrische authenticatie is een sterke trend
De methode om een wachtwoord te gebruiken om toegang te krijgen tot bevoorrechte informatie bestaat al sinds de tijd dat oude schildwachten uitdringers uitdaagden om een zin te herhalen om te bepalen of ze al dan niet door konden gaan. In het digitale tijdperk waren ze een goedkope en gemakkelijke manier om de veiligheid van gebruikersaccounts te handhaven. Authenticatie via vingerafdrukken was meestal alleen van belang voor grote bedrijven en overheidsinstellingen.
Dit alles werd op zijn kop gezet nadat Apple en Samsung met elkaar begonnen te beginnen met vingerafdrukscanners op hun telefoons. Sindsdien is het een trend om biometrische authenticatie op te nemen in verschillende hoogwaardige producten. Samsung's nieuwste Galaxy S8 bevat zelfs een iris-scanner.
Mensen hebben de neiging om deze vorm van authenticatie te vertrouwen omdat het uniek is . Het is veilig om te veronderstellen dat een potentiële hacker niet dezelfde vingerafdruk of irispatroon heeft als jij. Er is een zeker gevoel van zekerheid, wetende dat je "biologisch gebonden" bent aan je apparaten en accounts, wat waarschijnlijk een van de redenen is waarom MasterCard besloot om dit vertrouwen te gebruiken en een vingerafdrukscanner direct op zijn kaarten te implementeren om veilige, PIN-codes te maken. minder betalingen mogelijk.
Waarom er reden is om bezorgd te zijn
De laatste zet van MasterCard werpt ook een paar vragen op over de vraag of iets zo intiem als uw bankrekening gekoppeld moet zijn aan een vingerafdruk in plaats van een pincode. In eerste instantie lijkt het een goede strategie. Wat kan mogelijk veiliger zijn dan uw vingerafdruk? De traditionele viercijferige pincode heeft 10.000 mogelijke variaties (0000 - 9999), terwijl een vingerafdruk meerdere miljard mogelijke permutaties heeft. Je zou het moeilijker hebben om het laatste te raden.
Er is een klein probleempje met die logica: dieven en hackers proberen maar zelden de authenticatiedetails te raden van een kaart die ze net hebben gestolen. Het kost te veel energie en veel kaarten worden buitengesloten na een bepaald aantal mislukte pogingen. Het stelen van de inloggegevens elimineert het giswerk. Het blijkt dat je de pincode van een persoon gewoon kunt krijgen via een aantal slimme methoden, zoals het installeren van een nep-toetsenbord op een geldautomaat of gewoon kijken hoe het slachtoffer het over de schouder typt.
Vanaf het begin lijkt het erop dat PIN-nummers aanzienlijk minder veilig zijn dan biometrische gegevens. Vingerafdrukken kunnen niet worden gestolen, toch?
Fout.
Stelen van een vingerafdruk is eigenlijk best gemakkelijk. Een bekende hacker genaamd Jan Kissler slaagde erin om vingerafdrukgegevens te extraheren uit hoge resolutie foto's van de Duitse minister van defensie Ursula von der Leyen en deze goed genoeg te reproduceren om toegang te krijgen tot haar biometrisch vergrendelde gegevens.
Pogingen om vingerafdrukscanners robuuster te maken door aderpatronen in de vingers in kaart te brengen, werden ook onbruikbaar gemaakt nadat Zwitserse onderzoekers speciale beeldvormingstechnieken gebruikten om deze methode te omzeilen. En natuurlijk mogen we de schending van het Amerikaanse Office of Personnel Management in juli 2015 niet vergeten toen hackers 21, 5 miljoen sofinummers stalen. Samen met die gegevens hebben ze ook de vingerafdrukken van 5, 6 miljoen mensen gestolen.
En hier is waarom het ertoe doet
Wanneer een enorme database zoals degene die ik zojuist noemde wordt geschonden en hackers erin slagen om wachtwoorden te stelen, zijn de effecten nogal streng, maar je kunt voorkomen dat de schade zich verspreidt door je wachtwoord snel te veranderen. Maar wat als uw vingerafdruk wordt gestolen? Hoe verander je dat?
Dit is de kern van het probleem: uw vingerafdruk is een onherroepelijk gegeven. Je wordt daarmee geboren en dat is wat je hebt voor de rest van je leven. Hetzelfde geldt voor uw iris of een ander biometrisch kenmerk. Je kunt het beste van vingers wisselen, maar je hebt er maar tien. Als je een bekend doelwit bent of veel foto's met een hoge resolutie hebt gepubliceerd op het web, kun je echt niet ontsnappen aan de realiteit die dit met zich meebrengt.
Het blijkt dat biometrische authenticatie het meest effectief is wanneer het wordt gebruikt in een zeer gevoelige en veilige omgeving door mensen die geen erg openbare levens hebben (bijvoorbeeld overheidsagenten). Als onderdeel van consumententechnologie is het een gemak dat mogelijk de veiligheid opoffert. Ironisch genoeg wordt je vingerafdruk minder veilig als je een meer openbare persoon wordt.
Zoals het er nu uitziet, kan het vertrouwen op biometrie een tikkende tijdbom blijken te zijn die over een paar jaar een staat van entropie zal bereiken wanneer hackers toegang proberen te krijgen tot grote vingerafdruk / iris-databases.
Denkt u dat er manieren zijn om biometrische authenticatie veiliger te maken voor gebruik in consumententechnologie? Vertel ons er alles over in een opmerking!