Biometrie betekent het einde van wachtwoorden
De afgelopen dagen zijn er verschillende artikelen over biometrische oplossingen verschenen. Vandaag doet Steve Barnett van ISL biometrics een duit in het zakje. Zoals je van iemand die voorzitter van een biometrie bedrijf is mag verwachten ziet hij een rooskleurige toekomst voor biometrie tegemoet. Gebruikers geven namelijk hun wachtwoorden makkelijk weg, hoewel de meeste gebruikers maar een paar wachtwoorden kunnen onthouden. Tevens is het vrij simpel om de identiteit en wachtwoorden van iemand te achterhalen, waardoor er jaarlijks miljoenen slachtoffers van identiteitsdiefstal zijn. Daar komt bij dat vergeetachtige gebruikers bedrijven miljoenen per jaar kosten vanwege het resetten van de wachtwoorden. Barnett denkt in dit artikel dan ook dat biometrie gebruikers van al die lastige wachtwoorden zal verlossen.
hebt last van false negatives en false positives. (dus
mensen die als jou worden herkend, of momenten dat jij niet
als jezelf wordt herkend). Daarom is biometrie naar mijn
idee voor unsupervised beveiliging (dus bijvoorbeeld voor
computersystemen) redelijk onbruikbaar.
Dit is wat anders voor toegangspoorten van gebouwen waar er
altijd wel een bewakingsdienst aanwezig is om het hek te
openen en in geval van twijfel om een ID te vragen.
Wachtwoorden alleen zijn ook een achterhaalde techniek. De
traditionele "something you own combined with something you
know" werkt naar mijn idee nog het best.
ze wel een dure helpdesk.
Het probleem van biometrie is dat het niet waterdicht is. Je
hebt last van false negatives en false positives. (dus
mensen die als jou worden herkend, of momenten dat jij niet
als jezelf wordt herkend). Daarom is biometrie naar mijn
idee voor unsupervised beveiliging (dus bijvoorbeeld voor
computersystemen) redelijk onbruikbaar.
Wat getallen uit de praktijk (bron: Precise Biometrics) waaruit blijkt dat de
kans op een False Acceptance niet zo heel groot is:
FAR < 1 in 100,000 (False Acceptance Rate < 0.00001)
FRR < 1 in 100 (False Rejection Rate < 0.01)
Wachtwoorden alleen zijn ook een achterhaalde techniek. De
traditionele "something you own combined with something you
know" werkt naar mijn idee nog het best.
Een nog betere techniek is naar mijn mening een combinatie van een
smartcard en een vingerafdruklezer, de template staat op de smartcard en
wordt gechecked op de kaart. Om een dergelijk systeem te kraken heb je
dus de kaart en de vingerafdruk van een persoon nodig...best lastig en
omslachtig. Om een systeem te kraken zoek je dan al snel naar
alternatieve methoden.
ƒ{Het feit dat het theoretisch mogelijk is een vingerafdruk te vervalsen,
maakt het gevaarlijk deze methode toe te passen voor het beveiligen van
zeer vertrouwelijke transacties, documenten of systemen. Er zal nooit
volledige zekerheid bestaan over de integriteit van deze data of systemen.
Voor deze situaties wordt geadviseerd een extra combinatie met
wachtwoord of vier ogen principe toe te passen.
PS de communicatie tussen de lezer en PC is een stuk kwetsbaarder en
vaak doeltreffender aan te vallen dan het namaken van een vinger!
I rest my case,
R.
geschikt zijn, maar wie wil er nu z'n vingerafdrukken
afstaan aan allerlei vage webmail server e.d
Tja voor een beperkt aantal toepassingen zal biometrie wel
geschikt zijn, maar wie wil er nu z'n vingerafdrukken
afstaan aan allerlei vage webmail server e.d
Als je een smartcard gebruikt wordt je vingerafdruk op de chip opgeslagen.
je bewaart dus je eigen vingerafdruk en deze wordt nooit afgestaan aan
iets of iemand.
Tja voor een beperkt aantal toepassingen zal biometrie wel
geschikt zijn, maar wie wil er nu z'n vingerafdrukken
afstaan aan allerlei vage webmail server e.d
Als je een smartcard gebruikt wordt je vingerafdruk op de chip opgeslagen.
je bewaart dus je eigen vingerafdruk en deze wordt nooit afgestaan aan
iets of iemand.
Ennehhhhhh...wat zou dan het verschil zijn (in veiligheid) tussen
jou "vingerafdruk"kaart en mijn RSA cryptoKaart ??
Levensduur kan het niet zijn beide kaarten zullen 3-5 jaar levensduur
hebben (aannemende dat de RSA sleutels van afdoende lengte zijn)
En ik heb zeker ook weer een PINcode nodig om mijn vingerafdruk kaart te
laten functioneren?
Tja voor een beperkt aantal toepassingen zal biometrie wel
geschikt zijn, maar wie wil er nu z'n vingerafdrukken
afstaan aan allerlei vage webmail server e.d
Als je een smartcard gebruikt wordt je vingerafdruk op de chip opgeslagen.
je bewaart dus je eigen vingerafdruk en deze wordt nooit afgestaan aan
iets of iemand.
Ennehhhhhh...wat zou dan het verschil zijn (in veiligheid) tussen
jou "vingerafdruk"kaart en mijn RSA cryptoKaart ??
Levensduur kan het niet zijn beide kaarten zullen 3-5 jaar levensduur
hebben (aannemende dat de RSA sleutels van afdoende lengte zijn)
En ik heb zeker ook weer een PINcode nodig om mijn vingerafdruk kaart te
laten functioneren?
Er is geen verschil in veiligheid of de crypto, het enige verschil is dat de
vingerafdruk de PIN vervangt. De 'biometrische' smartcard maakt ook
gebruik van RSA om digitale handtekeningen te plaatsen, net als jouw
smartcard. Met zo'n systeem wordt het lastiger je smartcard even aan de
buurman te lenen of je PIN aan je collega te geven...
ontworpen??
Het is een card met 3-d vingerafdruk herkenning. Er is dan geen
pin code o.i.d. nodig.
Frans
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Information Security Officer
Grijp deze unieke kans voor carrière-ontwikkeling in informatiebeveiliging! Bij Esri bouw je vertrouwensrelaties op en help je zowel ons als onze klanten veiligere technologie te gebruiken. Ben jij de ervaren Security Officer die energie krijgt van werken in 'twee werelden'? Solliciteer dan nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!