Het beroerde aan een vingerafdruk is dat ik die overal achter laat en niet kan wijzigen. Een passphrase laat ik vrijwel nergens achter en kan ik wel wijzigen.

Want 1 onveranderbaar wachtwoord voor je hele leven, dat (naar alle waarschijnlijkheid in toenemende mate) verplicht opgenomen staat in menige database, en steelbaar is met een foto, glas, of geweld, is precies waar we op zaten te wachten.

Het is helemaal geen positieve ontwikkeling. Een vingerafdruk is en blijft ongeschikt voor authenticatie. Een vingerafdruk is namelijk als een niet-te-wijzigen wachtwoord dat je voor alle systemen gebruiken. Hoe veilig is dat? En het probleem van een vingerafdruk is dat je deze overal achterlaat. Op deuren, op ramen, op glazen, werkelijk alles wat je aanraakt. Bij een vingerafdruk weet je dus nooit of iemand em van je heeft afgepakt. Als je een token of smartcard verliest, dan weet je dat je iets moet doen. Als achteraf blijkt dat je je wachtwoord op een phishing website hebt ingetikt, dan weet je dat je iets moet gaan doen. Bij een vingerafdruk kom je daar nooit achter.

En toch blijf ik vinden dat een vingerafdruk hooguit ter identificatie gebruikt mag worden en niet ter authenticatie. Wat de so-called specialisten hier ook over zeggen.

Het zou een extra laag kunnen zijn. Hoewel ik me in het geval van menig telefoon afvraag of een 4 cijferige pincode veiliger is dan een vingerafdruk. Voor de normale consument die vooral snel wil kunnen werken en geen last wil hebben van ontgrendelingsprocedures is de vingerafdruk ideaal.

Voor het meer (gezond) paranoïde publiek denk ik dat er eerder gekeken moet worden hoe dat de vingerafdruk de authenticatielaag kan verstevigen. Als je überhaupt gebruik wilt maken van een smartphone o.i.d.

Overigens is zijn hele argument een drogreden.
"lastig en tijdsintensief".
Dat is alle begin van iedere ontwikkeling.

Maar ook nu al zijn het slechts een paar simpele stappen, die sneller uitgevoerd kunnen worden dan een bruteforce op 8 tekens. Er is slechts 1 iemand voor nodig die hier een scriptje omheen schrijft en de verschillende stappen laagdrempelig en duidelijk presenteert en uitvoert, en dan is het opeens voor niemand meer lastig, maarja, dan zitten we al met de gebakken peren.

De grootste beperking die ik in de fotomethode zie, is dat jpg te weinig detail lijkt te hebben om zelfs ook maar de optimaalste fotos van het internet te kunnen gebruiken. Zoals deze:
http://www.deondernemer.nl/UserFiles/image/2013/201301/20130128/paterswolde.jpg
Als je daar de volgende handeling op los laat wordt het hem nog steeds net niet:
http://www.shutterevolve.com/enhance-details-photoshop-local-contrast-tutorial/

Een bruikbare foto moet dus zelf zijn gemaakt, en dat is hoogdrempelig.

Maar een toenemend gebruik van vingerafdruk als wachtwoord resulteert in een toenemende vraag naar vingerafdrukken.
- hoe goed is op dit moment de vingerafdrukken database bij de politie beveiligd (allemaal wachtwoorden)
en waar eindigt de techniek, gebruiken we straks allemaal een vingerafdruk ipv een bankpasje?

en een foto mag dan nog wel lastig zijn (tot we over 10 jaar allemaal met 100MP fotograferen en het ongecomprimeerd op internet plaatsen), een vingerafdruk van een bierglas is kinderspel.
Dus als je wat bij wilt verdienen, dan neem je een baantje in een drukke bar en verkoopt op maandelijkse basis je vingerafdrukkendatabase aan je foute vrienden.

Een zeer slechte en onverstandige ontwikkeling, maar als belanghebbende zou ik ook hebben gezegd dat het wel snor zit :P

"Nee nee nee mense! Vingerafdrukken zijn precies wat we willen! Stop nou met negatieve dingun zeggun!"

Beetje jammer alleen dat'ie zijn huiswerk niet gedaan heeft. Namelijk: Dat eerste is gewoon niet waar. Australische kindertjes hadden aan niet meer dan gummibeertjes genoeg. Letterlijk, een kind kan het. Daarmee is zijn "argument" wel heel makkelijk onderuit te halen.

Dat tweede deel zegt dat'ie verder ook de gevolgen niet kent (niet heel raar gezien die flater in het eerste deel) maar dat'ie denkt dat het allemaal wel mee zal vallen. Zo kennen we de opsteltiaanse schijnbeveiliger weer. Het is zeker geen sterk pluspunt van deze "betere" wachtwoordvervanging: "Het is vast niet perfect, maar laten we vooral niet teveel zout op deze zogenaamd verbeterde wachtwoordvervangende slak leggen want het zal vast wel loslopen." En zo werkt echt beveiligen natuurlijk niet. In de praktijk helaas veel te vaak wel wat er gebeurt. Waarmee deze meneer van AVM onderdeel is van het probleem, niet van de oplossing.

Alweer: Vingerafdrukken zijn hooguit geschikt als (onhandige, ruisvolle) gebruikersnamen. Als wachtwoordvervanging? Toch net even niet.

Tenminste, als je vanuit de eindgebruiker kijkt. Als je kijkt als grootbedrijf dat z'n gebruikers als product ziet*, dan, ja dan zijn vingerafdrukken helemaal geen slecht idee. Maar niet omdat je product, herstel, je gebruikers er wijzer van worden. Omdat het jou gedonder met vergeten wachtwoorden scheelt, en je makkelijk je schouders kan ophalen als iemand onverhoopt zijn vingerafdrukken beschadigd. "Dan is u niet wie u zegt meneer, jammer dan. Nou dag hoor."

Biometrie, zeg gewoon nee.

* Het geval als je geautomatiseerde massadiensten of goedkoop te dupliceren product, zoals software, gratis weggeeft in de hoop met "upselling" en/of datadoorverkopen alsnog wat geld binnen te harken.

Volgens mij is op een apparaat dat je de hele tijd met je meezeult een vingerafdruksensor relatief kwetsbaarder dan het oude systeem met pincode, met evenzoveel risico dat opeens je telefoon onbruikbaar wordt omdat de sensor beschadigd is.

Daarom lijkt het mij handig dat je behalve met de vingerafdruk als alternatief ook altijd met een veelcijferige pincode kunt
inloggen. En dat je bovendien naar eigen smaak kunt instellen of je met alleen een vingerafdruk wilt inloggen,
of liever alleen met een (bijv. 4 cijferige) ouderwetse pincode, of (voor de paranoïden en VIPs onder ons) met allebei.

Stel dat jij en je vrouw gebruik maken van een apparaat.
Beide hebben dan hun vinger staan voor toegang.

Voor een eerste check (is het een bekende gebruiker van dit apparaat) is het dan prima.
Maar als een app zeker wil weten dat het persoon X is heb je er dus niets aan....

Vingerafdruk gebruik is onveilig en een heel slecht idee.
Dat een commerciële partij die hierdoor een winstgevend plannetje in duigen ziet vallen iets anders roeptoetert maakt hen ongeloofwaardig want ze weten beter. AVG zal bij iedere expert in achting dalen door dit soort berichten.

Vingerafdrukken laat je overal achter (zelfs op een vingerafdruk lezer) en kunnen bijzonder makkelijk nagemaakt worden. Zelfs via en foto kan je een vingerafdruk namaken. In een elektronisch apparaat wordt de vingerafdruk vergeleken met een digitaal stukje informatie. Dat digitale stukje digitale informatie kan je ook stelen als de software niet goed geprogrammeerd is. Als je via die achterdeur op afstand elektronisch iemands vingerafdruk bemachtigt kan je bewijs van een misdrijf ergens neerplanten of overal inloggen, in ons rechtssysteem is het dan onmogelijk om aan te tonen dat jij niet zelf de pisang bent.

Een vingerafdruk kan je niet met simpele middelen van een foto van je vinger, deurkruk, koffiekopje of je autodeurgreep afhalen. Met een wachtwoord kan dat niet. Een wachtwoord kan je wijzigen, een vingerafdruk niet. Een vingerafdruk kan men met dwang tegen je wil afnemen, een wacht woord moet je zelf actief afgeven.

In Nederland zitten veel mensen in een vingerafdruk database, bijvoorbeeld door een paspoort aanvraag. Zowel de overheid als uitzendkrachten wiens achtergrond niet gecontroleerd is kunnen daar massaal bij. IT'ers zetten (grote delen van) die databases op hun laptop om software problemen te verhelpen en waar belanden die laptops en bestanden allemaal....

Een weldenkend mens beveiligt niets met een vingerafdruk wat beveiliging nodig heeft. En als iets geen beveiliging nodig heeft is een veilig uitgevoerde vingerafdruk lezer te duur of overbodig.

Als iemand je KO slaat kunnen ze met een vingerafdruk nog steeds "inloggen". Met een wachtwoord gaat dat moeilijer dan. Niet zo'n goede ontwikkeling imho. Wel prima 2e authenticatie.

Vergeet niet dat een vingerafdruk iets is wat je *hebt*, niet iets wat je *weet*.
Daarmee zijn verschillende opsporingsdiensten gerechtigd om je apparaat te ontgrendelen. Iets wat met een pincode of wachtzin nog enigszins tegen te gaan is.

Opzich wel goed nieuws voor smartphonedieven.
Het wachtwoord staat immers nog op het display geswiped :P

Een vingerafdruk is meer een username dan een password.
In het geval van telefoon inderdaad positief; totdat je erachter komt dat apps ernaar vissen.

Of een authenticatiemethode geschikt is, hangt van twee zaken af:

1) Of een aanvaller, die de authenticatiemethode kraakt en/of omzeilt, verwacht erop vooruit te gaan, en hoeveel;
2) Hoe groot de kans is dat een aanvaller zo'n aanval kan en zal uitvoeren.

M.b.t. 1, in het geval van een smartphone: dat hangt ervan af of de aanvaller verwacht dat de som van de verkoopwaarde van de hardware en/of de waarde van "informatie" (inclusief identiteitsdiefstal, bankieren etc), zijn kosten (inclusief tijd en eventuele investeringen) overstijgt (denk ook aan afpersing; ransomware blijkt ook lucratief te zijn). Daarnaast, aangezien smartphones steeds meer op volwaardige computers gaan lijken en mensen ze volstampen met allerlei "handige" functionaliteit, neemt de gemiddelde waarde van informatie op portable devices alleen maar toe.

M.b.t. 2: zolang de meeste mensen hun smartphone op geen enkele wijze beveiligen, is de kans dat gelegenheidsdieven een wel beveiligde smartphone zullen proberen te "hacken" relatief klein. Deze kansberekening is een stuk lastiger voor gerichte aanvallers, omdat deze van veel factoren afhangt (weet de aanvaller welke informatie op jouw smartphone staat en/of via jouw smartphone toegankelijk is, hoe "slordig" spring je om met je smartphone, zijn er bekenden/familie/(ex-) relaties die aanvaller kunnen zijn etc).

Als je wat te "verbergen" hebt (contactgegevens, e-mail, wachtwoorden, foto's etc.): alleen al gegeven het feit dat smartphones en tables vaak vol staan met vingerafdrukken, lijkt mij een vingerafdruk als authenticatiemethode ongeschikt.

En, hoe vaker vingerafdrukken als authenticatiemethode worden gebruikt, hoe interessanter het is (zowel voor goed- als kwaadwillenden) om zowel afgeleiden van vingerafdrukken (karakteristieke kenmerken) als complete "plaatjes" (3D) te verzamelen.

Daar komt bij dat, net zoals er maar een beperkt aantal fabrikanten van USB device controllers bestaat, er maar een beperkt aantal fabrikanten van (goedkope) vingerafdrukscanners zijn. Dat betekent dat als je van persoon X de karakteristieke vingerafdrukgegevens hebt die een bepaald merk en type vingerafdrukscanner afgeeft, je als aanvaller je als persoon X kunt voordoen door die scanner te bypassen en daarachter dezelfde gegevens aan te bieden als de scanner zou doen voor persoon X (het is dus niet alleen zo dat je als aanvaller daadwerkelijk de 3D vingerafdruk van persoon X in je bezit moet hebben).

Zodra zo'n vingerafdrukscanner op een smartphone, tablet of notebook door een App kan worden uitgelezen (ik heb het niet uitgezocht maar vermoed dat dit kan), zullen afgeleide gegevens naar servers worden geüpload en in databases worden opgeslagen. En we weten allemaal wat er met dat soort databases gebeurt, en dat het uploadproces zelf ook niet altijd veilig is. Zodra vingerafdrukinformatie op sites als pastebin (maar ook criminele sites) verschijnt, nemen de kosten genoemd bij punt 1 hierboven snel af. En, zodra het voldoende oplevert, zullen er apparaatjes verschijnen die het aanvallers eenvoudig maakt om vingerafsrukscanners te bypassen.

Ik sluit ook niet uit dat er "vertaalservices" zullen verschijnen (voor zover ze nog niet bestaan) waarmee de afgeleide kakarakteristieken van een vingerafrduk, gegenereerd door een specifieke vingerafdrukscanner, worden vertaald naar "passende" karakteristieken voor andere merken en typen vingerafrdukscanners.

Ten slotte, zoals anderen in bijdragen hierboven al aangaven: een wachtwoord kun je wijzigen, een vingerafdruk niet. Eens gestolen, nooit meer bruikbaar.

Ieder apparaat levert de vingerafdruk die nodig is voor toegang er gratis bij. Tenzij de eigenaar telkens handschoentjes aantrekt voor hij (m/v) het aanraakt.

Gelukkig hebben we tien vingers.
Dat zijn dan tien wachtwoorden.

Maar je hebt maar 1 gezicht!
(door vele partijen allang gescand)

;)

Voorstellingsvermogen

Gebrek aan voorstellingsvermogen is een elementair gebrek bij het voorspellen en voorstellen van mogelijke toekomstige scenario's.
Als je er van uitgaat dat dat vingerinloggen op analoge wijze plaatsvindt en er geen grote collecties van vingerdata opslag gaat plaatsvinden.

Totdat iemand een keer ontdekt (en dat stilhoudt) dat het mogelijk is de digitale vingerafdruk invoer buiten de (een) analoge scanner om uit te voeren is en misschien ook nog wel remote!
Dan zijn de vingerafdruk data anderssoortige digitale (remote) acces genoeg en hoef je geen rubber vingertjes meer te knutselen en op glaasjes te drukken (zooo 2015).

In een dergelijk 0 day scenario heeft dat direct weer grote voordelen voor 'terug'hackteams die dan binnen de kaders van inmiddels sterk verder verruimde wetten ongebreideld kunnen putten uit allerlei vingerafdruk databases.

In zero day wordt gehandeld, zero days worden gekocht door iedereen die daar belang bij denkt te hebben.

"Het proces om iemands vingerafdruk op deze manier na te maken is lastig en tijdsintensief, en het is daarom onwaarschijnlijk dat dit voor de grote massa een probleem zal zijn"

Klopt, maar de vingerafdruk zit ook op de muis, op het toetsenbord en ga zo maar door. Wat dat betreft is de vingerafdruk van de gebruiker erg gemakkelijk te achterhalen. Vingerafdruk scanners in consumentenapparatuur zullen verder niet kijken naar vragen of het gaat om een levende vinger, of dat soort zaken. Zijn toch goedkopere versies van dit soort technologie.

"Ieder apparaat levert de vingerafdruk die nodig is voor toegang er gratis bij. Tenzij de eigenaar telkens handschoentjes aantrekt voor hij (m/v) het aanraakt."

100% mee eens.

"Ik denk dat we juist moeten vieren dat authenticatiemechanismen die eerst alleen door bedrijven en overheden werden gebruikt nu een plek in ons dagelijks leven hebben gevonden."

Tja, en deze onderzoeker gaat ervan uit dat de bedrijven die deze technologie gaan bieden geen databases van vingerafdrukken van hun gebruikers gaan doorverkopen aan de hoogste bieder ?

Deze onderzoeker komt op mij aardig naief over.

Volgens mij lezen alle reageerders over het volgende stukje heen:


De goede zaak is niet dat deze beveiliging zo goed is, maar meer dat er nu meer mensen een beveiliging instellen.

Op het Ziggo forum heb ik het afgelopen half jaar diverse reacties voorbij zie komen van mensen die een certificaat geïnstalleerd hebben voor de WifiSpot toegang. Die klaagden allen dat ze er niet uit kwamen hoe ze dat certificaat weer weg konden krijgen, omdat Android eist dat je een toegangs-beveiliging voor de telefoon instelt als je inlog-certificaten hebt geïnstalleerd.

Dus allemaal mensen die het elke keer intoetsen van een pincode veel te lastig vinden. Voor deze groep is een vingerafdruk beter dan helemaal niets.

Vinger afdruk is veelal goed te vervalsen. Als je nagaat dat nu bijna alles via touchscreen gaat is een afdruk zo na gemaakt. Wat beter is is een oog laser scanner die de binnenkant van je oog afleest als beveiliging. Deze is veel moeilijker na te maken.

Je haalt twee dingen doorelkaar

- comfort
- beveiliging

Het ligt niet aan de techniek en het snappen ervan, een pincode intoetsen kan iedereen.
Dat er gerbuikers zijn die er e lui voor zijn is wat anders.

Op de oplossing voor die luiheid liften anderen graag mee in de support van deze biomnetrische oplossing. Niet uitgesloten daarbij is een andere agenda van een aantal partijen die bepaald niet primair over security of privacy gaat.

Het aanbieden van dit comfort en het promoten ervan gaat dus juist over grote gevaren op termijn op het gebied van security die mensen hier voorzien.

Om dat te zien dien je je niet blind te staren op details maar zul je soms (zeg maar vaker) verder moeten kijken dan je neus lang is.

Deze reageerder heeft helemaal niet over dat stukje heen gelezen. Deze reageerder heeft geschreven dat de mate van beveiliging proportioneel moet zijn aan de te beveiligen informatie, en deze reageerder word moe van "specialisten" die aan gewone gebruikers vertellen dat halve beveiliging goed genoeg is. Want dat is m.i. precies de reden waarom cybercrime welig tiert.

"... het is daarom ONWAARSCHIJNLIJK dat dit ..."

Oei, oei, een 'security evangelist' die dat verkondigt; waarschijnlijk door onwaarschijnlijkheid...... Dat doet me ergens aan denken...

Toch blijft het mij verbazen dat mensen zoals Tony er een dergelijke redenatie op na houden. Hoe zou dat toch komen? Krijgen ze er geld voor?

Inderdaad de mate van beveiliging moet proportioneel zijn aan de waarde van de te beveiligen informatie.
Dus als een iPhone gebruiker een vingerafdruk gebruikt voor zijn telefoon dan is dat prima voor de gemiddelde gebruiker.
Is de telefoon echter ook een verlengstuk voor het werk (bv. BYOD) dan is het dringende advies dat alleen de vingerafdruk niet voldoende is.
Als de telefoon binnenkort door jan en alleman voor het betalen wordt gebruikt (en dat gaat gewoon gebeuren) dan is alleen een vingerafdruk natuurlijk ook niet voldoende. Tenzij de gebruiker daarvan voor zichzelf de afweging kan maken dat hij het risico wel wil lopen om van het gemak gebruik te maken.

Ik gebruik bijv. gewoon een contactloze pinpas omdat ik (voorlopig) voldoende vertrouwen heb dat daarmee niet mijn rekening geplunderd kan worden. Als dat risico gaat toenemen dan zal ik dat weer in overweging nemen (los van het feit dat je het nu geloof ik niet kunt 'uitzetten'). Dat is op dit moment mijn 'risk-appetite', daar mag iedereen iets van vinden.

Bottom line: de beveiliging moet passen bij de waarde van de informatie. En die afweging kunnen wij niet maken, dat moet iedereen voor zichzelf doen. Daar kunnen beveiligingsexperts echter wel in adviseren.

Als je naar de US reist kan je WEL gedwongen worden je device te ontgrendelen m.b.v. vingerafdrukken (vergt geen mentale "bewerking" om uit te voeren), terwijl een password WEL een mentale exercitie is. Kan dus niet afgedwongen worden. (Compelled Production vs Fifth Amendment Protection)

"de mate van beveiliging moet proportioneel zijn aan de waarde van de te beveiligen informatie."
Wat een vreemde stelling.
Beveiliging moet gewoon beveiligen, ongeacht het om waardevolle, of (wellicht als onjuist veronderstelde) waardeloze informatie gaat.

en een vingerafdruk als verificatie icm een onder de vingerafdrukken zittende smartphone, komt niet eens in de buurt van beveiliging. Zoals Cornelius zegt, het is hooguit 'geschikt' als username, of om het venstertje voor het invoeren van het wachtwoord te unlocken oid.

Persoonlijk vind ik het nooit geschikt. Ik denk dat vingerafdrukken straks massaal door malware worden binnengeharkt. En niet alleen malware, ik zie ook google en apple enzo er wel voor aan om die gegevens 'veilig in hun cloud' te bewaren (met alle doorverkoop- en patroitact- en overige risicos daaraan gekoppeld.)

Dus kosten en/of gebruikersgemak doen niet ter zake? En ja, als je onjuist veronderstelt ben je uiteraard de klos. Als iemand zegt dat je in hartje Amsterdam je fiets niet op slot hoeft te zetten....

Natuurlijk moet beveiliging gewoon beveiligingen, maar wel gebaseerd op een juist ingeschat risico (Amsterdam/fiets/veilig?) Blijf je gewoon alles maar dichttimmeren, dan lopen ze uiteindelijk gewoon om je heen.
99,98 % van de mensen zijn geen beveiligingsexpert, dat is zo en dat zal altijd zo blijven.