Door Kili Manjaro: Je vingerafdruk staat lokaal opgeslagen, er wordt een hash gebruikt.
Er kan aantoonbaar geen
veilige hash worden gebruikt, want veilige (lees cryptografische) hashes leveren per definitie een totaal andere waarde op bij een minimale wijziging van de input (en die krijg je zomaar bij het iets anders plaatsen van jouw vinger op de scanner, bij kleine beschadigingen aan de vinger en als gevolg van vuil, vet en zouten).
Er wordt een set parameters opgeslagen, eventueel lastig omkeerbare afgeleiden daarvan (maar die onomkeerbaarheid is nooit zo sterk als van een cryptografische hash), die karakteristiek zijn voor een vingerafdruk, waar binnen bepaalde grenzen een "ja" of een "nee" uit volgt.
Die "ja" of "nee" zou je natuurlijk een hashresultaat kunnen noemen (met een lenge van 1 bit) zodat je vol kunt houden dat er een hashfunctie gebruikt wordt, maar misschien kun je dan beter koelkasten op de noordpool gaan verkopen (gratis tip van mij voor het geval global warming doorzet ;-)
Neemt niet weg dat er parameters worden opgeslagen die karakteristiek zijn voor jouw vingerafdruk. Je kunt nooit uitsluiten (wellicht ligt het zelfs voor de hand) dat als een kwaadwillende die parameters in handen krijgt, hij een apparaat kan maken dat een vingerafdrukscanner van hetzelfde merk en type, met dezelfde software erachter, kan laten besluiten dat het jouw vinger moet zijn die op die scanner ligt.
Door Kili Manjaro: Niemand krijgt jouw echte vingerafdruk.
Niet wat we, in de volksmond, een vingerafdruk noemen. Maar wel, en dat geldt zelfs als het om "een hash" zou gaan, gegevens met een beperkte entropie die representatief zijn voor een vingerafdruk. En waarmee, daar twijfel ik nauwelijks aan, onder specifieke omstandigheden identiteitsfraude kan worden gepleegd. Daar is m.i. nog veel te weinig onderzoek naar gedaan (lees: bekend bij mij). Het aantal kwetsbaarheden in fundamentele principes neemt nooit af, maar meestal wel toe in de loop van de tijd.
Dat ik zelf mijn pinkafdruk gebruik om mijn smartphones te unlocken, is op basis van een eenvoudige risicoanalyse (gebaseerd op zoveel mogelijk feiten en geen onuitroeibare mythes), waarbij ik denk dat de voordelen opwegen tegen de nadelen.