Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Smartphones en biometrie vormen het grote plaatje

 

Computable Expert

ing. Corné van Rooij
District Manager Benelux & Zwitserland, RSA - The Security Division of EMC. Expert van Computable voor het topic Security.

Een van de grootste aankondigingen op het gebied van smartphone-beveiliging de afgelopen weken was de introductie van de Apple iPhone 5S met de ingebouwde vingerafdrukscantechnologie Touch ID. Op dit moment lijkt het erop dat het gebruik van de biometrische functie voorlopig beperkt zal blijven tot het vervangen van de pin-code. De functionaliteit zal ook niet direct beschikbaar komen voor ontwikkelaars. Maar hoe je er ook tegenaan kijkt, dit is een serieuze stap voorwaarts voor de biometrische beveiligingsindustrie!

Laten we met het grote nieuws beginnen. Een groot technologiebedrijf adopteert een alternatieve technologie voor pin/wachtwoorden die straks in handen komt van een zeer groot aantal gebruikers. Op basis van de pre-orders van de iPhone 5S is het aannemelijk dat eind 2013 zeker twintig miljoen mensen beschikken over de nieuwe finger swipe-technologie. Hoeveel van die mensen er daadwerkelijk gebruik van gaan maken is de vraag, maar voor mensen die enthousiast zijn over de toepassingen van biometrie is dit de belangrijkste stap sinds…. ooit eigenlijk.

Nooit grootschalig toegepast

Biometrie is vooralsnog eigenlijk nooit echt grootschalig toegepast buiten overheden en geheime diensten. Dat komt voornamelijk omdat de baten niet opwegen tegen de nogal aanzienlijke kosten voor de aanschaf van readers en middleware, de privacy-uitdagingen en mogelijke problemen bij het gebruik (false positives, gefrustreerde gebruikers, et cetera). De meeste experts zijn het er altijd over eens geweest dat authenticatie op basis van biometrie pas echt breed geaccepteerd zou worden wanneer het onderdeel zou zijn van iets dat consumenten altijd bij zich dragen en zich comfortabel bij voelen. Zoiets als…. een smartphone bijvoorbeeld!

Deze eerste zet van Apple kan ervoor zorgen dat andere smartphone-fabrikanten zullen reageren en dat er wellicht een innovatieoorlog ontketend wordt. Security-bedrijven en ontwikkelaars kunnen vast gaan nadenken over de mogelijkheden voor toekomstige applicaties die dankzij biometrische authenticatie toegankelijk worden. Niet alleen om apparaten te ontgrendelen, maar ook om gebruikers te authenticeren en autoriseren voor allerlei applicaties en transacties. 

Banken kunnen bijvoorbeeld om een ‘voice print’ vragen voordat geld kan worden overgemaakt, of het bedrijfs-vpn vraagt om een geldige irisscan of gezichtsherkenning voordat het iemand toelaat op het netwerk. Gebruikers kunnen hun pc ontsluiten door gebruik te maken van near-field communication (nfc), noem maar op! Organisaties in allerlei industrieën kunnen de byod-uitdagingen beter te lijf gaan omdat ze de identiteit nu beter kunnen verifiëren en op basis daarvan rechten kunnen toekennen.

Gevaren liggen op de loer

Dit klinkt allemaal te gek, maar er liggen ook gevaren op de loer. Het grootste nadeel dat security-onderzoekers hebben opgemerkt, heeft te maken met de opslag van de biometrische gegevens (ik heb de iPhone 5S zelf nog niet in handen gehad, dus ik baseer me volledig op wat ik hierover heb gelezen). Onderzoekers willen weten waar en hoe de vingerafdruk is gegenereerd op het apparaat, waar die is opgeslagen en welke applicaties of functies van de smartphone er toegang toe hebben en onder welke omstandigheden.

Omdat de biometrie volledig is gebaseerd op het onderliggende iOS-besturingssysteem (in tegenstelling tot de op hardware gebaseerde Trusted Platform Module), is alle zekerheid ineens weg wanneer de iPhone ‘jailbroken’ is. Een digitale versie van een vingerafdruk is immers net zo makkelijk te manipuleren als een gestolen wachtwoord.

Er is echter nog een erger scenario denkbaar…. Als de iPhone op een of andere manier wordt geïnfecteerd met malware, kunnen de bad guys aan de haal gaan met jouw digitale identiteit op basis van de vingerafdruk. Waarmee we weer terug komen bij de stelling dat je nooit kunt aannemen dat biometrie veiliger is dan andere beveiligingsmaatregelen als je niet precies begrijpt wat de gebruiker er mee doet en hoe het apparaat en de applicaties werken.

Zowel goed- als kwaadwillende security-professionals zullen aan de slag gaan om gaten te vinden in de Touch ID-technologie van Apple. Sterker nog, de eerste lekken zijn inmiddels al ontdekt. Maar toch beklijft bij mij het positieve gevoel dat deze lancering een nieuw tijdperk van gebruiksvriendelijke, mobiele biometrie inluidt die zal zorgen voor veiligere online ervaring in de (nabije) toekomst!

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/4880885). © Jaarbeurs IT Media.

?


Lees meer over


 

Reacties

Ergens krijg ik de indruk dat Apple enkel en alleen met biometrie is gekomen omdat hun community zo dom is dat ze geen wachtwoord kunnen onthouden, makkelijk maar niet veiliger.

Uit het intro.
"Op dit moment lijkt het erop dat het gebruik van de biometrische functie voorlopig beperkt zal blijven tot het vervangen van de pin-code. "

Nee, het is geen vervanger van de pincode, het is een en/en. Er kan ten alle tijden ook ingelogd worden met een pincode (bij storing, verstoring zoals bijv. natte vingers).

Het is een vernuftige gimmick die de productiviteit ten goede komt, maar meer is het niet en onfeilbaar zeker ook niet. Iemand met hoge clearance zal dit niet instellen en zal overigens de hele iPhone links laten liggen.

biometrisch is in mijn ogen nog vooral interessant als en/en of voor als veiligheid geen topprioriteit heeft.

Biometrie op een smartphone, en dat in combinatie met Prism.... weer een dimensie erbij om een gebruiker te identificeren....niet zo zeer voor de toegang tot het apparaat.

Blokker en wis op afstand in combinatie met een wachtwoord is ruim voldoende voor de beveiliging. Heb je meer nodig, dan zou je je nog eens moeten afvragen of een smartphone wel het juiste device is om mee te werken.

"Een van de grootste aankondigingen op het gebied van smartphone-beveiliging de afgelopen weken was de introductie van de Apple iPhone 5S met de ingebouwde vingerafdrukscantechnologie"

Hm, het zal wel aan mij liggen, maar ik vond dat niet zo spannend (en nee, ik ben geen Apple-basher). Ten eerste is de vingerafdrukscanner niet verplicht om te gebruiken. Ten tweede beweert Apple dat de afdruk nooit de telefoon verlaat, sterker nog, alleen een soort hash wordt gemaakt. Of dat zo is, kunnen we helaas niet controleren, maar goed... En ten derde zijn er al jaren andere apparaten met vingerafdrukscanners, zoals USB-drives/sticks of laptops, dus het is geen nieuwe technologie. Het was dus simpelweg een kwestie van tijd totdat de technologie goedkoop en klein genoeg was voor een populaire smartphone.

De geschetste scenario's zie ik nog niet zo snel gebeuren omdat er nog totaal geen standaarden zijn m.b.t. de vingerafdrukken, de uitwisseling en de verificatie.

Spannend? Nee. Er schiet mij spontaan een spreekwoord te binnen over een meteorologische storing in een glas met vloeistof.


@Ewout,

was dit je meest intelligente opmerking dit jaar....?

Wij hebben van jongs af aan geleerd dat vingerafdrukken uniek zijn voor ieder mens, daarom voelt het intuïtief alsof authenticatie m.b.v. een vingerafdruk ontzettend veilig is, maar dat is het niet. Dit is gewoon een typisch gevalletje handige marketing.

De echte reden waarom 'overheden en geheime diensten' geen gebruik maken van deze technologie is dat ze niet veiliger is dan bijv. wachtwoorden. Om snel een betrouwbaar te zijn moet de vingerafdruk sterk worden versimpeld (details weglaten) om hanteerbaar te zijn. De vingerafdruk hashes zijn niet veel sterker dan bijv. een PIN of een zwak wachtwoord.

Het is hem vergeven, hij weet niet waarover hij spreekt.

Lees eens wat over privacy en biometrie, bij voorkeur op duitse websites,
goed voor de ontwikkeling.

Ter aanvulling, de dactyloscopische dienst had meer als 20 jaar geleden al een programma "Havank" genaamd dat profielen van vingerafdrukken opsloeg ter ondersteuning van de politie die daders op het spoor was.
Dat draaide op VMS an legde een vektoren-konstrukt vast van dactyloscopische kenmerken van vingerafdrukken.
De techniek is dus alles behalve nieuw.

Vingerafdrukken veranderen zich echter ook met het stijgen van de leeftijd, net als de iris. Biometrie is dus niet zo zeker of uniek als iedereen denkt. Daarbij komt dat er genoeg mogelijkheden zijn die systemen te manipuleren.

Maar ja eppel heeft weer een marketingtruukje, dan heet het innovatie . . . wie daar nu nog in trapt heeft het werkelijk niet begrepen.

@maarten

Denk dat ik nog 70 (stand 1-10-2013 18:27) van dit soort reacties geef;-)

Apple heeft gewoon een schot in de roos met deze prachtig uitgevoerde techniek! Het doet namelijk iets zo goed dat **alle** andere fabrikanten dit **binnen** een jaar zullen overnemen en dit de nieuwe feitelijk standaard wordt. Punt.

Het gaat helemaal niet dat het perfect is. Het is namelijk goed genoeg en de winst zit hem in het gemak. Ieder nadenkend mens zet een beveiliging op z'n telefoon. Als mijn pincode tien keer verkeerd wordt ingetoetst wordt mijn toestel gewist. Met een simpele druk kun je "inloggen" op je telefoon en dat is gewoon briljant.

Men zag ook lang de toegevoegde waarde niet van een touch scherm waarvoor een vinger goed genoeg was, maar die simpele verandering heeft het spel van de mobiele telefoons voorgoed veranderd.

Men grapte ook over de iPad. Ik zeg niet dat deze verandering net zo revolutionair is als de iPad, maar het komt aardig in de buurt...

@Henri

Als je om 11:38 roept dat het niet meer dan een gimmick is welke qua beveiliging weinig toevoegt en om 19:04 weer wat anders wordt het wel verwarrend. Maar als andere fabrikanten het binnen een jaar overnemen dan wachten we nog wel even dat ook Google het biedt met Android;-)

Gimmick is wellicht een te lichte woordkeuze. Al zullen veel mensen het als zodanig zien. Het is niet super veilig, maar in veel van de gevallen veilig genoeg voor dagelijks gebruik.

Intelligente lezers zoals jij hadden dat natuurlijk allang door dat ik het zo bedoelde.

@Ewout

inmiddels 69?

@Henri

geen weldenkend mens zet zijn vingerafdruk op een apparaat waar niemand kontroleren kan wat er mee gebeurt.
Dat is hetzelfde als je bankrekeningnummer samen met je pinkode leesbaar bewaren op je telefoon.
Ik weet niet hoe jij dat doet, maar ik ben een beetje voorzichtiger.

Henri,

Neem aan dat je laatste reactie aan mij geadresseerd was hoewel laatste zin me weer doet twijfelen;-)

Hetzelfde geldt voor de marketing rond een feature (zo beter?) waarvan toegevoegde waarde nogal bedenkelijk is door net na uitkomen al aangetoonde zwakheden. Als ik dan lees dat zo'n device misschien ook gebruikt kan worden in een beveiligingsketen dan moet ik stiekem denken aan de wet van Murphy. Biometrie blijft desondanks interessant maar het lijkt me dan wel handig als er niet te lichtzinnig mee om gegaan wordt. Niet veel anders dan wachtwoorden/pincode natuurlijk maar als je zelf al aangeeft dat het niet veilig is maar goed genoeg voor dagelijks gebruik dan moet je me even vertellen hoe ik mijn vingerafdrukken kan wijzigen als deze 'gelekt' zijn?

@Maarten

Ik heb hier en daar nog wat 'vingerafdrukken' achtergelaten en ben de tel kwijt geraakt.

@Ewout,

ik zal even inloggen op Prism straks en dan stuur ik je alibi's wel op via de TNT-post :-)

Om het cru te zeggen, en misschien dat het punt dan overkomt, onze mening doet er niet toe!

Of het veilig is of niet, of het spielerei is of niet. Als het bij de grote groep gebruikers aansluit wordt het gewoon mainstream en is de kans groot dat het niet alleen ook op je volgende telefoon zit, maar dat je het ook nog gaat gebruiken. Ik weet nu zeker dat je aan mij gaat denken als je de feature aan zet, haha.

Snel, goedkoop en cloud hebben de toekomst, Larry (Ellison) heeft het gezegd, dan moet het waar zijn ;-) Nu is de iPhone niet goedkoop, maar de rest zal volgen en is wellicht wel goedkoop. Punt is dat er niet per se het beste gekocht wordt (Spotify / iTunes hadden en hebben niet de beste kwaliteit), maar hebben de wind in de zeilen.

Over een jaar kunnen we zien of mijn voorspelling uit komt.

En Ewout, ja dat over intelligent enzo gaat over jou :-0

@ Henri
in een punt heb je gelijk, over 1 tot 3 jaar weten we wat er met al die vingerafdrukken is gebeurd . . .

Biometrie in deze context lijkt eerder op symptoombestrijding.

@Henri
Sorry maar dat klinkt nogal dom, gevaarlijk zelfs als daardoor dingen onomkeerbaar worden. Want hoe veilig is dan straks betalen met je vingerafdruk of andere dingen die op basis van two/multi-factor authenticatie gebruik maken van deze biometrie?

@Maarten
Ik maak me niet druk om vingerafdrukken bij de NSA, die hebben ze waarschijnlijk toch al omdat je deze met nog wat andere biometrische kenmerken moet geven als je de US binnen wilt en anders hebben ze deze misschien wel gekregen van NL overheid toen ik een nieuw paspoort aanvroeg.

http://www.bprbzk.nl/Reisdocumenten/Nieuws/Plenaire_behandeling_wijziging_Paspoortwet

Nog even en ook het BSN wordt niet alleen meer gebruikt door de overheid omdat het zo makkelijk is. Oh wacht, het zit al in EPD en vele andere administraties omdat we overal kopie paspoort moesten geven en toen pas advies kregen om bepaalde informatie onleesbaar te maken in verband met identiteitsdiefstal.

Te laat, te laat riep Winnetou het zaad is reeds naar binnen toe!

@Ewout, het dringt nog steeds niet tot je door. Of ik domme dingen zeg, of dat jij allemaal nare scenario's voor je ziet doet er toch helemaal niet toe? Als iets aanslaat, dan slaat het aan, en ik voorspel je dat het aanslaat omdat men nu eenmaal gemak verruild voor veiligheid en/of privacy. Daarnaast is de mens een kudde dier. Als iedereen het doet is het de norm, dus doe ik het ook maar. Dus wellicht als lemmings lopen wij ons ondergang tegemoet, maar een succes wordt het, let maar op!

@Ewout,

Natuurlijk hebben ze dat al, vandaar even inloggen op Prism!, maar weer een dimensie erbij maakt het weer makkelijker. Nu wordt het elektronisch aangeleverd, daarvoor had je er alleen nog maar vieze vingers van, nu ook nog een vieze smaak.

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×