De duistere kant van biometrische authenticatie. Je vingerafdruk is niet zo veilig als je denkt.

Ik las laatst dat de Koeweitse overheid van plan was om het DNA van iedereen in het land te testen en te loggen. Ik werd er meteen aan herinnerd hoe slecht zulke ideeën zijn, verschrikkelijk als het de persoonlijke privacy en algehele beveiliging betreft.

Waarom is zoiets slecht voor de beveiliging? Zou DNA niet juist de ultieme biometrische identifier zijn? Nee! Het zou juist resulteren in precies het tegenovergestelde (en dat gebeurt al bijna). Voordat ik ga uitleggen hoe en waarom, is het misschien handig uit te leggen op welke manieren DNA en andere biometrische identifiers worden verzameld.

Mijn vingerafdrukken worden regelmatig afgenomen voor beveiligingstoepassingen waar ik mijzelf voor heb aangemeld. Of ik nu wel of geen toegang krijg en of het proces nou wel of niet wordt afgerond: de vingerafdrukken zijn verwerkt. Een deel van het inschrijvingsproces stelt vast dat de aanbieder de vingerafdrukken voor altijd mag houden. Ze worden verwerkt in een nationale vingerafdrukdatabase, ook als je niet verwacht wordt van een misdrijf.

Als je naar een ander land reist, worden je vingerafdrukken waarschijnlijk ook afgenomen bij aankomst en in sommige gevallen moet je je vingerafdrukken zelfs afgeven voor je werk. In Amerika moet je een volledige set van vingerafdrukken afgeven als je je rijbewijs aanvraagt.

Ik weet niet wie de beste gezichtsherkenning heeft maar ik gok dat Facebook bij een van de betere hoort. Het verbaast mij nog steeds hoe accuraat hun gezichtsherkenningstechnologie is. Sommige onderzoeken claimen dat Facebooks technologie accurater is dan het menselijk brein en de FBI. Gezichtsherkenning wordt zo’n beetje overal gebruikt. Winkelsauto’s en acces control systemen. Zelfs je computer heeft tegenwoordig gezichtsherkenning aan boord als inlogmogelijkheid.

Op dit moment is DNA nog niet zo populair als andere biometrische oplossingen maar daar gaat verandering in komen er is immers niets persoonlijker dan je DNA. Ik heb mijn DNA ooit opgegeven voor een stamboom analyse en de kans is zeer groot dat deze uiteindelijk in een grote database zit. Sommige grote stamboom-websites en zelfs Google zijn bezig gigantische DNA databases te bouwen. Medische onderzoekers en de politie proberen steeds vaker toegang te krijgen tot deze publieke sites en willen deze databases vergelijken met hun eigen databases om medische en criminele mysteries op te lossen.

Ondertussen vraagt de politie steeds vaker voor toegang tot (privé) DNA-databases en in tenminste één geval (waarschijnlijk veel meer) zijn er al mensen opgepakt omdat hun DNA overeenkwam (geen exacte match) met een dat van een ongeïdentificeerde verdachte.

Hoe lang gaat het duren voordat ziekenhuizen verplicht zijn het DNA van pasgeboren kinderen af te nemen en deze toe te voegen aan een gecentraliseerde database, in de naam van de wetenschap en het terugdringen van ziektes, maar dat betekent dus wel dat iedereens persoonlijke en gevoeligste gegevens worden opgeslagen in een of meer databases. Wist je trouwens dat je tegenwoordig een draagbare DNA-analyse-machine kan kopen en een volledige analyse kan hebben binnen een uur?

Dit is het probleem: De meeste biometrische identiteiten kunnen makkelijk worden gestolen en hergebruikt. We zouden geen biometrische identiteit moeten gebruiken voor serieuze of kritische dingen. Het is namelijk onmogelijk te voorkomen dat kwaadwillenden deze gegevens kunnen hergebruiken voor slechte dingen. Geen van de instanties die jouw biometrische gegevens oplaan zijn veilig of onhackbaar. Hoe hard ze ook claimen dat wel te zijn. Het is heel simpel. Als iemand je biometrische identiteit steelt kunnen zij het hergebruiken (en jij kan deze “identiteit” niet wijzigen). Het systeem waar jij op inlogt kan (en moet) een tweede authenticatie factor gebruiken. Zoiets als een pincode. Maar als je biometrische identiteit wordt gestolen is deze factor direct onbetrouwbaar… voor altijd!

Bron

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *