Hoe veilig is je vingerafdruk?
Zo’n beetje iedere premium smartphone heeft ‘m: een vingerafdrukscanner om je telefoon te ontgrendelen. Maar is je vingerafdruk als wachtwoord een goed idee?
Op de eerste oogopslag lijkt een vingerafdruk een goede keuze als wachtwoord: je kan je vinger vergeten noch kwijtraken. Daarnaast is je vingerafdruk relatief uniek en dus een sterk wachtwoord. Zo maakt Apples vingerafdrukscanner van jouw vingerafdruk een ‘wiskundige voorstelling’ die tot vijf keer sterker is dan een normale viercijferige pincode. De verwachting is dat steeds meer telefoons een vingerafdrukscanners zullen krijgen: tegen 2019 zitten ze op de helft van alle smartphones, zo voorspellen analisten.
Toch is het niet al goud dat blinkt: op basis van foto’s van een vingertop hebben onderzoekers al een mal van nota bene houtlijm gemaakt waarmee ze een telefoon kunnen ontgrendelen. Los van foto’s van vingers, lijkt het scherm van je smartphone wel speciaal gemaakt om zoveel mogelijk vettige vingerafdrukken aan te trekken en daarmee – en wat geleidende gel – kunnen experts een vingerafdruk namaken.
Wiskundige voorstelling
In die wiskundige voorstelling zit de crux: een vingerafdruk opslaan is erg riskant. Want deze – en andere zogenaamde biometrische kenmerken – vallen te herleiden naar een individu, zo zegt de Autoriteit Persoonsgegevens. Maar een versleuteling van je vingerafdruk mag wél opgeslagen worden, want deze versleuteling werkt maar één kant op: je vingerafdruk kan uit die code niet herleid worden en dus ook op je smartphone
Vingerafdrukken mogen dus alleen versleuteld worden opgeslagen. Hoe werkt dat? Je vingerafdruk wordt gedigitaliseerd en vergeleken met wat er opgeslagen ligt in een database. Of zoals de Autoriteit Persoonsgegevens het omschrijft: ‘De versleutelde code wordt op het moment van scannen herkend.’ Apple heeft deze database op een aparte – streng beveiligde – chip gezet, die het bedrijf een Secure Enclave noemt. Android is meer gefragmenteerd: meerdere fabrikanten maken toestellen met vingerafdrukscanners met het Android besturingssysteem en de precieze oplossing hangt af van het specifieke model. De Autoriteit Persoonsgegevens vindt lokale opslag een belangrijke voorwaarde: ‘Het is belangrijk dat je vingerafdruk op het apparaat zelf wordt opgeslagen, en niet ergens in de cloud. Je moet niet hebben dat met dit soort gegevens iets mis gaat.’
Toch kan je als consument met een paar dingen rekening houden:
- Ga bewust om met het gebruiken van je vingerafdruk als wachtwoord. Vergeet nooit dat als deze eenmaal op straat ligt, je dit nooit meer kan wijzigen.
- Houd je smartphone up-to-date en kies voor fabrikanten die vaak en veel updaten.
- Installeer apps alleen van betrouwbare bronnen, zoals de Google Playstore of iOS app store.
Geen vingerafdruk
Sommige privacy activisten vinden helemaal niet - ongeacht de beveiligingssterkte - dat bedrijven biometrische informatie moeten gebruiken als wachtwoord. Ze stellen dat je je alleen mag identificeren met een vingerafdruk, maar niets zou moeten kunnen autoriseren. Een wachtwoord is daar beter voor: dat bestaat alleen in je hoofd, je kan het veranderen, roteren en je kan het helemaal zelf bedenken.
‘Biometrische gegevens zijn gevoelige gegevens,’ besluit de Autoriteit Persoonsgegevens, ‘de toegang en beveiliging moet gewaarborgd zijn.’