Als je enigszins cybersecurity bewust bent, dan gebruik je voor elke online dienst een uniek wachtwoord. Dit heeft als nadeel dat je ze wel allemaaal afzonderlijk moet gaan onthouden en dat is best lastig. Daarnaast moeten de wachtwoorden ook nog complex zijn waardoor het nog moeilijker wordt om ze te onthouden.

Een mogelijke oplossing hiervoor is het gebruik van wachtwoordmanagers, zoals bijvoorbeeld Dashlane of Lastpass. Maar vertrouw je een externe partij al jouw wachtwoorden toe? Immers er wordt veel veiligheid beloofd, maar dat moet in de praktijk nog blijken.

Een ander alternatief is het gebruik van biometrische 'wachtwoorden', zoals de vingerafdruk waarmee een aantal smartphones ontgrendelen kunnen worden. Of betaaldiensten die een vingerafdruk gebruiken om een betaalopdracht goed te keuren.

In die zin lijkt er met het gebruik van biometrische gegevens om toegang tot diensten dan wel functies te krijgen niets mis te zijn. Het gebruik van biometrische gegevens heeft een aantal voordelen. Je kunt het niet vergeten te onthouden en je draagt het onder normale omstandigheden altijd bij je. Het eerste voordeel heeft ook als nadeel, namelijk dat je het niet gemakkelijk kunt veranderen. Stel een kopie van jouw vingerafdruk komt in de verkeerde handen, hoe zorg je ervoor dat jij de enige blijft die toegang tot al jouw online diensten houdt? Het grote nadeel van vingerafdrukken is dat je die overal achterlaat. Toegeven dat het bemachtigen van een vingerafdruk wel moeilijker is dan het raden van een wachtwoord.

Dan maar overal met handschoenen aan naartoe gaan? In ieder geval zorgt deze maatregel voor bescherming van twee kopieermogelijkheden. De eerste is het net besproken geval, namelijk het kopiëren van vingerafdrukken van bijvoorbeeld een drinkglas. De andere kopieermogelijkheid is die van een hele scherpe foto. Jan Kissler en Tobias Fiebig (Nu.nl, 2014) hebben laten zien, dat foto’s waarop de vingers van het doelwit goed te zien zijn, gebruikt kunnen worden om de vingerafdrukken met een 3d printer na te maken.

Er moet toegegeven worden dat Kissler en Fiebig wel wat moeite hebben moeten doen om een vingerafdruk na te maken. Iets wat niet iedereen zou kunnen. Daarom hebben criminelen voor een hele andere aanpak gekozen. Maak een Fitness App (O'Flaherty, 2018) die vingerafdrukken zogenaamd gebruikt om bijvoorbeeld jouw fitheid te bepalen. In dit voorbeeld werd de opgeslagen vingerafdruk bij een online betaaldienst misbruikt om een bedrag van $119,99 naar de crimineel over te maken.

Het gebruik van andere biometrische gegevens zoals, gezichtsherkenning, irisscanners, hartritme of stemherkenning, het kan allemaal nagemaakt worden. Misschien nu nog niet, maar vroeg of laat zeker. En omdat het nu nog allemaal nieuw is, denken we er niet goed over na. Het wordt gezien als vooruitgang en vooral handig. Pas later wordt er nagedacht over de mogelijke consequenties. Ooit in de begin jaren van het  internet op een onbeveiligde site jouw wachtwoord ingevoerd? En datzelfde wachtwoord nog voor tientallen andere online diensten gebruikt? Nu weten we dat dit niet slim was, maar ondertussen doen we nu het precies hetzelfde met biometrische inlogmethoden. Kortom de methode is veranderd, maar de werkwijze is hetzelfde gebleven.

Het is dan ook verstandig om biometrische gegevens niet te gebruiken voor standaard handelingen, al zit hier natuurlijk wel de winst voor de gebruiker. Die ervaart minder gedoe en zal het daarom willen gaan gebruiken. Onthoud dat dit gemak ook voor kwaadwillenden geldt.

Wellicht zijn de biometrische gegevens nu nog niet te gebruiken, al kan dat in de toekomst wel zo zijn. Cybercriminelen zijn geduldig en data opslag kost bijna niets, dus alles wat nu al verzameld kan worden, kan vroeg of laat misbruikt worden. Denk aan bijvoorbeeld aan de LinkedIn hack van 2012. De gegevens die toen buitgemaakt zijn, werden in 2018 voor verschillende afpersing e-mailcampagnes (AvroTros, 2018) gebruikt. In de afpers e-mail laat een onbekende weten dat de computer van de geadresseerde gehackt is. En omdat aan te tonen wordt het buitgemaakte wachtwoord gegeven om zo aan te tonen dat de afperser daadwerkelijk in de computer van het slachtoffer zit. Dit is bluf, maar wat blijkt is dat veel mensen slechts één wachtwoord gebruiken die zij voor alle diensten gebruiken. Veel slachtoffers dachten dan ook dat wat in de e-mail stond ook daadwerkelijk aan de hand was.

Het probleem is niet zozeer de vorm van het wachtwoord, het is het gebruik ervan. In mijn optiek wegen de voordelen van biometrische wachtwoorden niet op, tegen het potentiële misbruik ervan. Maak gebruik van (lange) wachtzinnen in combinatie van een beperkt aantal keren foutief in kunnen inloggen. Of nog beter een tweede manier (factor) van inloggen gebruiken bijvoorbeeld een SMS-code of een code die met een calculator of App wordt gegenererd.

De codes zijn tijdelijk en het tijdelijke karakter zorgt ervoor dat de mogelijkheid tot misbruik minimaal wordt, maar 100% veilig bestaat ook hiermee niet. Het zorgt er wel voor dat je hiermee wel minder gemakkelijk een slachtoffer wordt.

Het opslaan van biometrische gegevens op identiteitskaarten en paspoorten is vanuit de veiligheid van de betrokkene een heel slecht idee. Eens dat het namaken van een identiteitsbewijs een stuk moeilijker wordt. Het controleren van de identiteit van een de houder is ook gemakkelijker. Alleen is het voordeel vele malen kleiner dan het nadeel. Het grote nadeel is dat niet alleen de Nederlandse overheid jouw biometrische gegevens in handen heeft, mogelijk ook andere staten waar jij naartoe gaat of waarmee Nederland nauwe contacten mee onderhoudt.

In de verschillende uitgaven van het Cybersecuritybeeld Nederland van het NCTV en NCSC wordt de dreiging van 'statelijke actoren' steeds groter geacht en daarom zou het gebruik van biometrische gegevens op identiteitskaarten en paspoorten juist niet gebruikt moeten worden. Immers als je naar een land gaat is de kans vrij groot dat je een paspoort of ID-kaart moet tonen. Even onder de scanner en er is een digitaal kopie gemaakt. Bedankt voor uw biometrische gegevens en een fijne dag verder.

In het kort

• Wees terughoudend met het gebruik van biometrische gegevens.
• Maak gebruik van unieke en lange wachtwoorden.
• Maak gebruik van passwordmanagers.
• Waar het kan, maak gebruik van de tweestapsverificatiefunctionaliteit (ook wel MFA of 2FA genoemd) zoals een SMS/App/Calculator-code waarbij een App of calculator de voorkeur heeft.
• Maak geen gebruik van biometrische gegevens die op paspoorten en ID-kaarten staan.

Bibliografie

AvroTros. (2018, 3 maart). laat-je-niet-misleiden-door-online-afpersing-via-e-mail. Opgehaald van opgelicht.avrotros.nl: https://opgelicht.avrotros.nl/alerts/item/laat-je-niet-misleiden-door-online-afpersing-via-e-mail/

Nu.nl. (2014, 29 december). hacker-kopieert-vingerafdruk-duitse-minister-fotos.html. Opgehaald van www.nu.nl: https://www.nu.nl/internet/3963102/hacker-kopieert-vingerafdruk-duitse-minister-fotos.html

O'Flaherty, K. (2018, 3 december). scam-apple-apps-use-the-fingerprint-scanner-to-steal-cash. Opgehaald van www.forbes.com: https://www.forbes.com/sites/kateoflahertyuk/2018/12/03/scam-apple-apps-use-the-fingerprint-scanner-to-steal-cash/#e3d1a8e11abe