Biometrie: eindelijk gedaan met paswoorden onthouden?

Inleiding

Touch IDAl geruime tijd is er sprake van biometrie om toestellen en gegevens te beveiligen. Sedert de lancering van Apple Touch ID gaat veel aandacht naar vingerafdrukken. Maar ook andere vormen van biometrie zijn mogelijk: stemherkenning, gezichtsherkenning, iriskenmerken, netvliespatroon en zelfs aderpatroon en hartslag.

Meer en meer duiken berichten op van biometrische oplossingen die ons het leven gemakkelijker moeten maken. Windows Hello zal ons toelaten onze computer te ontgrendelen op basis van vingerafdruk, gezichtsherkenning of irisscan. Mastercard voert testen uit omtrent het uitvoeren van betalingen op basis van gezichtsherkenning en vingerafdruk: in de lens van je smartphonecamera kijken, even knipperen en hup, betaald! Het kan zelfs op basis van je hartslag met de Nymi armband.

In deze blog focussen we op de vingerafdruk als meest gebruikte biometrische techniek. De kernvraag die we ons stellen is of het straks eindelijk gedaan is met het onthouden van al die paswoorden.

Gebruiksgemak

De belangrijkste drijfveer achter biometrie is het gebruiksgemak. Het grote voordeel van het gebruik van biometrie bij authenticatie is dat het niet afhangt van kennis: je hoeft geen wachtwoord of pincode te onthouden. Het hangt ook niet af van bezit van een smartcard of fysiek token.

Bovendien is het gemakkelijker om een vingerafdruk te scannen dan om een paswoord in te geven op een touchscreen. De gebruiksvriendelijkheid is er nog op vooruit gegaan met de touch-enabled readers zoals Apple’s Touch ID: aanraken is voldoende, er moet niet meer geveegd worden.

Gedaan dus met het onthouden van paswoorden en het meezeulen van smartcards of fysieke tokens zou je denken. Maar zijn die vingerafdrukken wel veilig en betrouwbaar?

Betrouwbaarheid

Eén van de problemen waar biometrie mee kampt is de betrouwbaarheid. Het kan namelijk voorvallen dat een vingerafdruk ten onrechte geweigerd wordt (false rejection) of dat een valse vingerafdruk ten onrechte toegelaten wordt (false acceptance).

Een false acceptance houdt een veiligheidsrisico in. De Touch ID vingerafdrukscanner heeft bijvoorbeeld een false acceptance rate van 1 op de 50.000. Dat betekent dat één op 50.000 mensen in staat is om je iPhone of iPad met Touch ID te ontgrendelen. Maar bij een klassieke pincode van 4 characters is die kans bij een gok één op 10.000, slechter dus! Al bij al kunnen we zeggen dat er betrouwbaarheidsissues zijn met paswoorden, maar die zijn er ook bij een vingerafdruk. Gartner gaat er bijvoorbeeld van uit dat Touch ID geen hoger betrouwbaarheidsniveau voorziet dan een alfanumeriek paswoord van 6 characters.

Een false rejection kan vervelend zijn, maar dan probeer je toch gewoon even opnieuw? Het gebeurt namelijk ook wel eens dat je een verkeerde pincode ingeeft.

Hacking en spoofing

Een belangrijker probleem is het feit dat biometrische kenmerken, net als paswoorden, in verkeerde handen kunnen vallen.

Op vlak van hacking kan een goed ontworpen biometrisch systeem wel wat doorstaan. Zo wordt bijvoorbeeld niet de vingerafdruk zelf op het toestel opgeslagen, maar een rekenkundige voorstelling ervan die niet terug omgezet kan worden in de oorspronkelijke vingerafdruk. Helaas gebeurt het nog dat biometrische informatie niet correct beveiligd wordt. Zo werd de vingerafdruk op de HTC One Max onbeveiligd opgeslagen onder de vorm van een image, leesbaar voor alle apps. Dit probleem werd intussen verholpen, maar dergelijke designfouten, onzorgvuldigheden en bugs kunnen ervoor zorgen dat aanvallers biometrische informatie in handen krijgen.

hackEen vingerafdruk kan ook in verkeerde handen vallen door spoofing, waarbij men het systeem voor de gek houdt. Zo werd Touch ID kort na de lancering al gekraakt op basis van een nagebootste vingerafdruk. Bij gezichtsherkenning zou men een foto kunnen tonen om het systeem te misleiden.

Er zijn technieken die spoofing proberen tegen te gaan, zoals liveness detection. In het geval van een vingerafdruk gaat men na of het om een echte (levende) vinger gaat. Bij gezichtsherkenning kan men bijvoorbeeld vragen om even te knipperen.

Het is niet voor iedereen weggelegd om dergelijke aanvallen uit te voeren, maar ze zijn wel mogelijk.

Statisch paswoord

De belangrijkste bezorgdheid is echter dat een biometrisch gegeven zoals een vingerafdruk niet veranderd kan worden. Een paswoord kan je nog veranderen als het in verkeerde handen valt, een vingerafdruk niet. Een vingerafdruk kan je dus zien als een statisch paswoord. Zo heb je in de praktijk hoogstens 10 statische paswoorden (tenen buiten beschouwing gelaten).

Daartegenover staat dat biometrische informatie doorgaans opgeslagen wordt op het toestel van de gebruiker en niet op een centrale server. Een aanvaller is niet in staat om massaal biometrische gegevens te stelen, maar moet dat gericht doen, toestel per toestel. Dit is bijvoorbeeld het model dat gehanteerd wordt door de FIDO Alliance. Het idee is dat je lokaal op het toestel door middel van je vingerafdruk een sleutel ontgrendelt die vervolgens gebruikt wordt om te authenticeren ten opzichte van een service provider. In een eerdere blogpost wordt meer informatie gegeven over de FIDO Alliance.

Het verdict

Biometrische technieken worden stilaan volwassen: de betrouwbaarheid is al van een hoog niveau en er worden anti-spoofing technieken ingebouwd. Toch betekent biometrie vandaag voornamelijk een hoger gebruiksgemak ten opzichte van paswoorden, eerder dan een hoger niveau van veiligheid. Daarom wordt een biometrisch gegeven best gecombineerd met één of meerdere andere factoren voor authenticatie. Een voorbeeld is het inschakelen van het toestel van de gebruiker als bezitsfactor: het feit dat je enkel kan authenticeren of betalen met een vingerafdruk of via gezichtsherkenning vanop een specifiek toestel maakt het voor aanvallers een pak moeilijker. Wie weet vervangt onze smartphone zo ooit op termijn onze betaalkaarten en eID. Wat er ook van zij, de eerste stappen zijn gezet naar een veralgemeend gebruik van biometrie. De toekomst zal moeten uitwijzen welke vorm van biometrie het meest aanvaard wordt door de gebruikers en of de leveranciers de hackers een stapje voor kunnen blijven.

This entry was posted in Mobile, Security by Bert Vanhalst. Bookmark the permalink.
avatar

About Bert Vanhalst

Bert is sinds 2001 research consultant bij Onderzoek Smals. Na het introduceren van Service Oriented Architecture en web services, verlegde hij de focus op mobile development en security. Tegenwoordig spitst hij zich toe op sterke (mobiele) authenticatie en conversationele interfaces.

Leave a Reply

Your email address will not be published. Required fields are marked *