Veel van de beveiligingsproblemen die nu het nieuws halen, hebben een gezamenlijk kenmerk: de authenticatie is te simpel om te omzeilen. Meerdere lagen van beveiliging zijn nodig.

Deze week werd bekend dat het kinderlijk eenvoudig is het betaalsysteem bij de Albert Hein te foppen met een vingerafdruk van een andere persoon. Ook rond de OV-chipkaart rommelt het al langer. Toch zijn de problemen niet beperkt tot betalingssystemen alleen, want bedrijven verlenen nog te vaak toegang aan medewerkers en bekenden via een enkele vorm van authenticatie.

Volgens het gerenommeerde beveiligingsbedrijf Fox-IT is dat niet meer van deze tijd. "Juist bij de vingerafdruk zou je de verwachting hebben dat een betaling nog met een pincode beveiligd zou zijn", verzucht Ronald Prins, directeur van Fox IT. "Een vingerafdruk is nu eenmaal eenvoudig na te maken. Het verbaasde me dan ook dat het nog zo lang heeft geduurd voordat dit probleem bij Albert Hein werd blootgelegd."

Dat Prins verbaasd is over de periode van twee weken dat het duurde voor het nieuws in de wereld kwam, is eenvoudig te verklaren. Al in 1990 verscheen er een paper over het falen van de vingerafdruk, terwijl in 2004 de Duitse Chaos Computer Club een demonstratie voor toegang tot de

computer gaf. Die laatste proef werd in November 2007 herhaald voor het betalen in een Duitse supermarkt. Dat biometrie voor authenticatie zo populair is, komt volgens hem omdat

het modern lijkt. Hij vreest dan ook dat het vooral gebruikt wordt om aandacht te krijgen. "Je ziet ook dat als wij bezig zijn een goed beveiligd systeem te bouwen dat we wel hele goede redenen moeten hebben om voor biometrie te kiezen."

Een factorauthenticatie bijna nooit goed. Vanuit beveiligingsoogpunt is het probleem dat voor het authenticeren van mensen er drie mogelijkheden zijn. Zo is er iets wat iemand moet weten als een gebruikersnaam en wachtwoord of een pincode ('iets wat je weet'). Ook kan het zijn dat iemand iets heeft als bijvoorbeeld een toegangspas ('iets wat je hebt'). Tot slot merkt de industrie ook 'iets wat je bent', waarbij biometrie om de hoek komt kijken. Dat laatste is natuurlijk ook een bezit, omdat een vingerafdruk nu eenmaal ook iets is wat iedereen heeft.

Reageer