Biometrie betekent het einde van wachtwoorden
De afgelopen dagen zijn er verschillende artikelen over biometrische oplossingen verschenen. Vandaag doet Steve Barnett van ISL biometrics een duit in het zakje. Zoals je van iemand die voorzitter van een biometrie bedrijf is mag verwachten ziet hij een rooskleurige toekomst voor biometrie tegemoet. Gebruikers geven namelijk hun wachtwoorden makkelijk weg, hoewel de meeste gebruikers maar een paar wachtwoorden kunnen onthouden. Tevens is het vrij simpel om de identiteit en wachtwoorden van iemand te achterhalen, waardoor er jaarlijks miljoenen slachtoffers van identiteitsdiefstal zijn. Daar komt bij dat vergeetachtige gebruikers bedrijven miljoenen per jaar kosten vanwege het resetten van de wachtwoorden. Barnett denkt in dit artikel dan ook dat biometrie gebruikers van al die lastige wachtwoorden zal verlossen.
hebt last van false negatives en false positives. (dus
mensen die als jou worden herkend, of momenten dat jij niet
als jezelf wordt herkend). Daarom is biometrie naar mijn
idee voor unsupervised beveiliging (dus bijvoorbeeld voor
computersystemen) redelijk onbruikbaar.
Dit is wat anders voor toegangspoorten van gebouwen waar er
altijd wel een bewakingsdienst aanwezig is om het hek te
openen en in geval van twijfel om een ID te vragen.
Wachtwoorden alleen zijn ook een achterhaalde techniek. De
traditionele "something you own combined with something you
know" werkt naar mijn idee nog het best.
ze wel een dure helpdesk.
Het probleem van biometrie is dat het niet waterdicht is. Je
hebt last van false negatives en false positives. (dus
mensen die als jou worden herkend, of momenten dat jij niet
als jezelf wordt herkend). Daarom is biometrie naar mijn
idee voor unsupervised beveiliging (dus bijvoorbeeld voor
computersystemen) redelijk onbruikbaar.
Wat getallen uit de praktijk (bron: Precise Biometrics) waaruit blijkt dat de
kans op een False Acceptance niet zo heel groot is:
FAR < 1 in 100,000 (False Acceptance Rate < 0.00001)
FRR < 1 in 100 (False Rejection Rate < 0.01)
Wachtwoorden alleen zijn ook een achterhaalde techniek. De
traditionele "something you own combined with something you
know" werkt naar mijn idee nog het best.
Een nog betere techniek is naar mijn mening een combinatie van een
smartcard en een vingerafdruklezer, de template staat op de smartcard en
wordt gechecked op de kaart. Om een dergelijk systeem te kraken heb je
dus de kaart en de vingerafdruk van een persoon nodig...best lastig en
omslachtig. Om een systeem te kraken zoek je dan al snel naar
alternatieve methoden.
ƒ{Het feit dat het theoretisch mogelijk is een vingerafdruk te vervalsen,
maakt het gevaarlijk deze methode toe te passen voor het beveiligen van
zeer vertrouwelijke transacties, documenten of systemen. Er zal nooit
volledige zekerheid bestaan over de integriteit van deze data of systemen.
Voor deze situaties wordt geadviseerd een extra combinatie met
wachtwoord of vier ogen principe toe te passen.
PS de communicatie tussen de lezer en PC is een stuk kwetsbaarder en
vaak doeltreffender aan te vallen dan het namaken van een vinger!
I rest my case,
R.
geschikt zijn, maar wie wil er nu z'n vingerafdrukken
afstaan aan allerlei vage webmail server e.d
Tja voor een beperkt aantal toepassingen zal biometrie wel
geschikt zijn, maar wie wil er nu z'n vingerafdrukken
afstaan aan allerlei vage webmail server e.d
Als je een smartcard gebruikt wordt je vingerafdruk op de chip opgeslagen.
je bewaart dus je eigen vingerafdruk en deze wordt nooit afgestaan aan
iets of iemand.
Tja voor een beperkt aantal toepassingen zal biometrie wel
geschikt zijn, maar wie wil er nu z'n vingerafdrukken
afstaan aan allerlei vage webmail server e.d
Als je een smartcard gebruikt wordt je vingerafdruk op de chip opgeslagen.
je bewaart dus je eigen vingerafdruk en deze wordt nooit afgestaan aan
iets of iemand.
Ennehhhhhh...wat zou dan het verschil zijn (in veiligheid) tussen
jou "vingerafdruk"kaart en mijn RSA cryptoKaart ??
Levensduur kan het niet zijn beide kaarten zullen 3-5 jaar levensduur
hebben (aannemende dat de RSA sleutels van afdoende lengte zijn)
En ik heb zeker ook weer een PINcode nodig om mijn vingerafdruk kaart te
laten functioneren?
Tja voor een beperkt aantal toepassingen zal biometrie wel
geschikt zijn, maar wie wil er nu z'n vingerafdrukken
afstaan aan allerlei vage webmail server e.d
Als je een smartcard gebruikt wordt je vingerafdruk op de chip opgeslagen.
je bewaart dus je eigen vingerafdruk en deze wordt nooit afgestaan aan
iets of iemand.
Ennehhhhhh...wat zou dan het verschil zijn (in veiligheid) tussen
jou "vingerafdruk"kaart en mijn RSA cryptoKaart ??
Levensduur kan het niet zijn beide kaarten zullen 3-5 jaar levensduur
hebben (aannemende dat de RSA sleutels van afdoende lengte zijn)
En ik heb zeker ook weer een PINcode nodig om mijn vingerafdruk kaart te
laten functioneren?
Er is geen verschil in veiligheid of de crypto, het enige verschil is dat de
vingerafdruk de PIN vervangt. De 'biometrische' smartcard maakt ook
gebruik van RSA om digitale handtekeningen te plaatsen, net als jouw
smartcard. Met zo'n systeem wordt het lastiger je smartcard even aan de
buurman te lenen of je PIN aan je collega te geven...
ontworpen??
Het is een card met 3-d vingerafdruk herkenning. Er is dan geen
pin code o.i.d. nodig.
Frans
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.