Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Vingerafdruk i.p.v. password,veiliger of niet?
13-05-2013, 16:21 door Anoniem, 1 reacties
Vandaag las ik op de Telegraaf-website dat binnen niet al te lange tijd passwords worden vervangen door de vingerafdruk. Vinden jullie dit veilig(er) of juist niet? Wordt de pc er echt veiliger van? Wordt internetten er echt veiliger van? Wat denken jullie ervan?
Reacties (1)
Kort antwoord: Nee. Het is geen goed idee voor de eindgebruiker. Het is een verkooppraatje, kijk maar wie er achter zit.
Lang antwoord: Vergelijk het eens met je huissleutels. Zou je die willen vervangen door een vingerafdruklezer aan de deur?
Het probleem met eigenlijk alle biometrie is dat namaken altijd makkelijker is dan vervangen. Zegge het equivalent van het slot in je deur niet kunnen vervangen en dus geen alternatief hebben als er iets misgaat. Wat als je je eens in je vingers snijdt? Of je oud wordt en de lezerts je vingers niet meer herkennen? Je hebt maar tien vingers, dus je komt uiteindelijk uit bij meerdere keren hetzelfde wachtwoord voor verschillende diensten.
En in het geval vingerafdruk laat je ze overal achter dus moet je nu alleen nog maar met handschoenen van huis. Anders laat je de toegang tot je huis op elk oppervlak dat je aanraakt achter. Bijvoorbeeld het glas dat je heft in de kroeg.
Daarbij zijn er nog de problemen die je er extra mee creert.
Zoals een centrale partij die nu al jouw toegang "managed" en als die gecompromiteerd is, tsja. Een soort digitaal sleutelkastje waar je niet zonder kan en waarvan je niet weet wie er nog meer toegang toe heeft -- de ernstigkijkend vingers-op-het-hart gegeven "garanties" van de partijen zijn gewoon niet genoeg voor zoiets.
Maar oh, wat is het een leuke positie voor een bedrijf om precies daar te zitten. Daarom die verkooppraatjes.
Ook het roepen "het is een aftreksel, niet de vingerafdruk die we opslaan" helpt niet: Kwestie van tijd voordat iemand een patroongenerator verzint die een acceptabele vingerafdruk genereert die bij zo'n aftreksel past. Rekenkracht genoeg tegenwoordig.
Of het probleem dat die centrale partij precies jouw reilen en zeilen kan nagaan, zoals je GSM of je ovfaalkaart of je pinpas (als je die voor alle of gewoon veel aankopen, klein en groot, gebruikt) dat kan maar nu nog beter en je kan echt niet meer zonder, waar je ook gaat op het internet.
Dit zijn allemaal dingen die je zelf kan bedenken als je een klein beetje doordenkt. Merk op dat bijvoorbeeld het rijk dat niet gedaan heeft toen ze vingerafdrukken in paspoorten verplicht stelden. Ze hebben zelfs niet eens gekeken hoe dat nou gaat in de praktijk, dat deed een burgemeester op eigen houtje later. Wat bleek?
Een kwart van de vingerafdrukken kon een week later (tussen aanvraag en afgifte) al niet meer terugherkend worden.
En dat voor je paspoort, waar je er vanuit moet kunnen gaan dat het zorgvuldig inelkaar gezet wordt. Wat garandeert ons dat het voor dagelijks huis-tuin-en-keuken gebruik zorgvuldiger gaat gebeuren? Ik denk dat we er alleen maar last van gaan hebben.
Het is dus eigenlijk blindelings als "goed idee" worden ingevoerd zonder zelfs maar serieus te kijken naar de gevolgen, en omdat we later ook niet zijn gaan kijken zijn we er officieel nog niet achter wat een ellende we in petto hebben. Zelfs in de 100+ jaar dat we vingerafdrukken gebruiken om verdachten aan plaatsen delict de koppelen is er iets van één keer een onderzoekje onder 30000 vingerafdrukken geweest. Hoe verandert het plaatje als je honderdzeventig miljoen, of zelfs zeventig miljard vingerafdrukken in een systeem hebt zitten? Weten we niet.
Je hoeft maar een klein beetje rond te zoeken om horrorverhalen over biometrie te vinden. Braziliaanse artsen die hele goede latexafgietsels gebruikten om de prikklok te foppen. Australische kinderen die het vervingerafdrukte anti-spijbelsysteem omzeilen met gummibeertjes (die snoepjes, jawel). Vrouw krijgt geen paspoort omdat ze geen vingerafdrukken kan afgeven (ze is geboren zonder armen). Het hele kastje-muur circus waarin de overheid de vingerafdruk-in-idkaart protestaantekenaars gevangen hield. En zo zijn er nog wel meer.
Alles kan stuk, maar biometrie kan bijzonder makkelijk stuk, en blijft dan ook stuk. Je slachtoffert er je eindgebruiker mee, doordat'ie zijn gecompromitterde biometrie niet vervangen kan, en omdat we tussen neus en lippen door aannemen dat dit vreselijk "noisy" (want biometrisch) systeem "perfect" geacht wordt te zijn (want "biometrisch").
Wat leuk is voor criminele opsporing werkt gewoon niet voor dagelijks gebruik. Of zijn we soms bij voorbaat allemaal al crimineel te achten?
Lang antwoord: Vergelijk het eens met je huissleutels. Zou je die willen vervangen door een vingerafdruklezer aan de deur?
Het probleem met eigenlijk alle biometrie is dat namaken altijd makkelijker is dan vervangen. Zegge het equivalent van het slot in je deur niet kunnen vervangen en dus geen alternatief hebben als er iets misgaat. Wat als je je eens in je vingers snijdt? Of je oud wordt en de lezerts je vingers niet meer herkennen? Je hebt maar tien vingers, dus je komt uiteindelijk uit bij meerdere keren hetzelfde wachtwoord voor verschillende diensten.
En in het geval vingerafdruk laat je ze overal achter dus moet je nu alleen nog maar met handschoenen van huis. Anders laat je de toegang tot je huis op elk oppervlak dat je aanraakt achter. Bijvoorbeeld het glas dat je heft in de kroeg.
Daarbij zijn er nog de problemen die je er extra mee creert.
Zoals een centrale partij die nu al jouw toegang "managed" en als die gecompromiteerd is, tsja. Een soort digitaal sleutelkastje waar je niet zonder kan en waarvan je niet weet wie er nog meer toegang toe heeft -- de ernstigkijkend vingers-op-het-hart gegeven "garanties" van de partijen zijn gewoon niet genoeg voor zoiets.
Maar oh, wat is het een leuke positie voor een bedrijf om precies daar te zitten. Daarom die verkooppraatjes.
Ook het roepen "het is een aftreksel, niet de vingerafdruk die we opslaan" helpt niet: Kwestie van tijd voordat iemand een patroongenerator verzint die een acceptabele vingerafdruk genereert die bij zo'n aftreksel past. Rekenkracht genoeg tegenwoordig.
Of het probleem dat die centrale partij precies jouw reilen en zeilen kan nagaan, zoals je GSM of je ovfaalkaart of je pinpas (als je die voor alle of gewoon veel aankopen, klein en groot, gebruikt) dat kan maar nu nog beter en je kan echt niet meer zonder, waar je ook gaat op het internet.
Dit zijn allemaal dingen die je zelf kan bedenken als je een klein beetje doordenkt. Merk op dat bijvoorbeeld het rijk dat niet gedaan heeft toen ze vingerafdrukken in paspoorten verplicht stelden. Ze hebben zelfs niet eens gekeken hoe dat nou gaat in de praktijk, dat deed een burgemeester op eigen houtje later. Wat bleek?
Een kwart van de vingerafdrukken kon een week later (tussen aanvraag en afgifte) al niet meer terugherkend worden.
En dat voor je paspoort, waar je er vanuit moet kunnen gaan dat het zorgvuldig inelkaar gezet wordt. Wat garandeert ons dat het voor dagelijks huis-tuin-en-keuken gebruik zorgvuldiger gaat gebeuren? Ik denk dat we er alleen maar last van gaan hebben.
Het is dus eigenlijk blindelings als "goed idee" worden ingevoerd zonder zelfs maar serieus te kijken naar de gevolgen, en omdat we later ook niet zijn gaan kijken zijn we er officieel nog niet achter wat een ellende we in petto hebben. Zelfs in de 100+ jaar dat we vingerafdrukken gebruiken om verdachten aan plaatsen delict de koppelen is er iets van één keer een onderzoekje onder 30000 vingerafdrukken geweest. Hoe verandert het plaatje als je honderdzeventig miljoen, of zelfs zeventig miljard vingerafdrukken in een systeem hebt zitten? Weten we niet.
Je hoeft maar een klein beetje rond te zoeken om horrorverhalen over biometrie te vinden. Braziliaanse artsen die hele goede latexafgietsels gebruikten om de prikklok te foppen. Australische kinderen die het vervingerafdrukte anti-spijbelsysteem omzeilen met gummibeertjes (die snoepjes, jawel). Vrouw krijgt geen paspoort omdat ze geen vingerafdrukken kan afgeven (ze is geboren zonder armen). Het hele kastje-muur circus waarin de overheid de vingerafdruk-in-idkaart protestaantekenaars gevangen hield. En zo zijn er nog wel meer.
Alles kan stuk, maar biometrie kan bijzonder makkelijk stuk, en blijft dan ook stuk. Je slachtoffert er je eindgebruiker mee, doordat'ie zijn gecompromitterde biometrie niet vervangen kan, en omdat we tussen neus en lippen door aannemen dat dit vreselijk "noisy" (want biometrisch) systeem "perfect" geacht wordt te zijn (want "biometrisch").
Wat leuk is voor criminele opsporing werkt gewoon niet voor dagelijks gebruik. Of zijn we soms bij voorbaat allemaal al crimineel te achten?
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.