Wachtwoorden en de biometrische handicap
Wachtwoorden gestolen, maak nieuwe. Zo eenvoudig is het. En wanneer je verschillende wachtwoorden gebruikt per dienst is de kans klein dat je ze allemaal moet wijzigen. Maar je biometrische gegevens, vingerafdruk, irisscan of zoiets, zijn onvervangbaar. Dus zou je dat niet moeten willen als toegangsbeveiliging, hoe handig het ook lijkt. Wachtwoorden zijn prima.
Persoonlijke gegevens
Ik schreef al eerder dat ik niet begrijp dat overheden en bedrijven kiezen voor biometrisch. Om bovenstaande reden. Maar ook omdat ze gegevens slecht beveiligen.
De discussie rondom beschikbaar stellen van persoonlijke gegevens vind ik nauwelijks interessant. Ik wens Google, Apple, Facebook en anderen veel plezier daarmee. Maar ze moeten mijn gegevens wel goed beveiligen. En daar gaat het veel vaker mis dan we denken.
Wachtwoorden e.d. beveiligen
Onlangs vonden de Iraëlische hackers Noam Rorem en Ran Loka weer een lek. De mannen, die overigens voor een beveiligingsbedrijf werken, ontdekte die lek op 5 augustus bij Biostar2, een systeem van het Zuid-Koreaanse bedrijf Suprema. Dat bedrijf handelt in toegangscontrolesystemen.
Met Biostar2 kunnen bedrijven vingerafdrukken en andere biometrische gegevens gebruiken als sleutel. Dan kun je dus bijvoorbeeld een toegangsdeur openen door je vinger op een sensor te leggen. Het is geen waterdicht systeem, want slimmeriken weten het altijd weer te omzeilen op individueel niveau.
Miljoenen vingerafdrukken
Bij deze lek ging het om bijna 28 miljoen datasets die vrij toegankelijk bleken te zijn via een website. Cybercriminelen, die vanzelfsprekend ook op zoek zijn naar dit soort lekken, hadden direct hun slag kunnen slaan. En heb je de vingerafdrukken eenmaal, dan is er voor de gebruiker geen mogelijkheid meer daar iets aan te doen. Terwijl, ik het herhaal het maar even, dat bij wachtwoorden wel kan.
Direct vraag ik me af wat er met mijn vingerafdruk is gebeurd. Die moest ik afgeven bij het verlengen van mijn paspoort. Ik heb er helaas weinig vertrouwen in dat die goed beveiligd is opgeslagen. Ook vraag ik me af hoeveel keer die al is gekopieerd. Bijvoorbeeld van mijn gemeente naar het GBA, dat sinds 2014 BRP (Basisregistratie Personen) heet.
Complete set gegevens
De door de Israliërs gevonden bestanden waren volledig. Ze bestonden uit vingerafdruk, NAW-gegevens, bedrijf waar de sleutel toe behoort en meer. Bovendien konden de gegevens eenvoudig worden aangepast. Dus naam veranderen en toegang krijgen.
Het beveiligingsbedrijf, vpnMentor, vertelt dat het inderdaad reuze vervelend is: “want vingerafdrukken zijn, in tegenstelling tot wachtwoorden, niet te veranderen nadat ze gestolen zijn”.
Overheden en oplossingen
Van overheden en de bedrijven die zij inhuren voor hun ICT verwacht ik weinig. Overheden zijn sowieso niet in staat problemen efficiënt op te lossen. Het kan daar alleen duur, ondeskundig en voor de handliggend. En zo brieven ze hun ICT-bedrijven ook.
Dus, als zo’n bedrijf al in staat is een probleem doordacht op te lossen, gaan ze eerst enkele maanden betaald naar het plafond staren. En daarna komen ze met de eerste oplossing of een voor hen makkelijk uitvoerbare, maar vaak ingewikkelde, oplossing. Want die is goed genoeg. Cynisch? Nee, praktijkervaring.
Waarschijnlijk schreef ik het al eens, en anders staat het in mijn aantekeningen: de beste oplossingen zijn eenvoudig. Die oplossingen vereisen echter wel denkwerk.
Gemakzucht
Het is van het bovengenoemde bedrijf Suprema natuurlijk enorm dom om alle gegevens bij elkaar te bewaren. Zo maak je het cybercriminelen, nog afgezien van de lek, wel heel makkelijk.
Denk nu niet dat alleen Suprema zo dom is. Het gebeurt nog vrijwel overal. Ik zag het in ziekenhuizen bij medische en NAW-gegevens. Wat niet mag volgens mij, maar wel gebeurt, dat een telefoniste/receptioniste ook medische gegevens kan zien. Natuurlijk kan een systeembeheerder de rechten per gebruiker aanpassen, maar dat gebeurt niet (altijd).
Meerdere gegevenseenheden
Maar bovendien staan al die gegevens, zoals bij Suprema, in één gegevenseenheid. Door er twee of meer gescheiden eenheden van te maken met één unieke code, voorkom je dat gegevens te verenigen zijn. Die moet je dan vanzelfsprekend wel gescheiden opslaan, dus niet op dezelfde server. En je krijgt als medewerker toegang via rechten én wachtwoorden.
Een cybercrimineel kan een eenheid hacken of stelen, maar dan heeft hij/zij of alleen NAW-gegevens, alleen medische gegevens of andere gegevens die zonder het geheel niet interessant zijn.
Vingerafdrukken
Ok, ik dwaal af…
Ik moet nog ergens een boekje hebben, uit halverwege de 19e eeuw, over het gebruiken van vingerafdrukken voor opsporing en identificatie. De vingerafdruk is in die tijd ontdekt ter identificatie. Het gebruik van vingerafdrukken om documenten en voorwerpen te authenticeren is al zo oud als de weg naar Babylon, waarschijnlijk ouder.
Vorige en volgende berichten
« Ouder: Toeristen, Nederland voert oorlogNieuwer: Ontdekt door Apple, het overkwam John »Een willekeurig bericht
Ik schrijf op deze site over allerlei onderwerpen. Soms is het heel persoonlijk, soms vooral informatief of beschouwend. Hieronder een willekeurig bericht uit ruim 2000 berichten.