De redding moest komen van vingerafdruksloten (Touch ID voor iPhone-gebruikers). Ze zijn eenvoudig te gebruiken en maken gebruik van onze unieke kenmerken. Bovendien hebben we onze vingers altijd bij de hand, zodat ze niet gestolen of vergeten kunnen worden. Door hun complexiteit zouden onze vingerafdrukken bovendien bijna onmogelijk te kraken zijn.
De realiteit ziet er echter heel anders uit. Van alle redenen om geen vingerafdruksloten te gebruiken, springen er voor mij drie uit.
Nr. 1: Uw vingerafdrukken (en scanners) kunnen worden gehackt
We laten onze vingerafdrukken overal achter: op deurknoppen, leuningen, bekers en glazen, toetsenborden, schermen, foto's en ga zo maar door. Er zijn dus veel plekken waar hackers dit zogenaamd onkraakbare wachtwoord kunnen vinden.
De Chaos Computer Club toonde dit al in 2008 aan. Uit protest tegen het voorstel van een Duitse politicus om biometrische gegevens te implementeren, gebruikte het collectief een foto om zijn vingerafdruk na te maken. In 2013 maakte het collectief een nepvinger van latex om een slot te openen. Dit trucje werd onlangs herhaald met speelklei en knutsellijm om aan te tonen hoe eenvoudig het is om fysieke vingerafdrukken na te maken.
Erger nog: vingerafdrukken kunnen ook virtueel worden gehackt. Tijdens de Black Hat-conventie in 2015 in Las Vegas demonstreerden enkele beveiligingsexperts hoe vingerafdruksloten kunnen worden gekraakt. De experts hadden een app gemaakt die het vergrendelingsscherm van een telefoon nabootst. Met dit scherm kon het slachtoffer een financiële transactie goedkeuren. Ze hadden vooraf toegangsvingerafdrukken op de telefoon geladen. Het bleek betrekkelijk eenvoudig om een vingerafdruk na te maken op basis van het bestand waarin deze is opgeslagen. En ze hadden de scanner gehackt, waardoor ze afbeeldingen van vingerafdrukken konden stelen wanneer deze werd gebruikt.
Nr. 2: U kunt uw wachtwoord veranderen, uw vingerafdrukken niet
Dit is een waarheid als een koe en wordt daarom vaak over het hoofd gezien. Enkele jaren geleden was mijn e-mailaccount gehackt. Ik veranderde mijn wachtwoord en daarmee was het probleem verholpen. Maar wie mijn vingerafdruk hackt, heeft die voor altijd tot zijn beschikking.
Dat is nog al wat. Vingerafdrukken zijn altijd hetzelfde. Zodra ze in verkeerde handen vallen, kunnen ze steeds opnieuw worden gebruikt of worden doorverkocht. Dit is bijzonder verontrustend, omdat veel overheidsinstellingen vingerafdrukken verzamelen en steeds meer particuliere bedrijven ze voor verificatiedoeleinden gebruiken.
Vingerafdrukken zijn altijd hetzelfde. Zodra ze in verkeerde handen vallen, kunnen ze steeds opnieuw worden gebruikt of worden doorverkocht.
Nr. 3: De politie heeft uw toestemming niet nodig om een telefoon met biometrische gegevens te ontgrendelen
U mag ook niet vergeten dat we niet altijd de controle hebben over onze handen. Zo hoeft iemand alleen maar uw vinger tegen het scherm te drukken om uw telefoon te ontgrendelen.
Dit is al toegestaan in de VS, waar een rechter een huiszoekingsbevel afgaf aan politieagenten in Glendale in Californië. Volgens de rechter is een vingerafdruk "fysiek bewijs", en daarmee net zoiets als een fysieke sleutel. Hij kan dus als bewijs worden verzameld of met een gerechtelijk bevel worden opgevraagd. Daarnaast zijn vingerafdrukken in ruime mate beschikbaar, omdat ze routinematig worden verzameld tijdens juridische en politieprocedures. En omdat vingerafdrukken iets fysieks zijn en dus niet als "getuigenverklaring" worden beschouwd, worden ze niet beschermd door de clausule in het vijfde amendement van de Amerikaanse grondwet, die inhoudt dat verdachten niet tegen zichzelf hoeven te getuigen.
Dat geldt overigens niet voor wachtwoorden en pincodes. Wat iemand weet of denkt, valt onder de getuigenverklaring. Het is dan ook niet toegestaan om mensen hiertoe te dwingen. Grote technologiebedrijven (waaronder AVG) voeren een vergelijkbaar argument aan ten aanzien van bedrijfsinformatie. Apple is verwikkeld in een zaak tegen de FBI (die nu grotendeels in het slop zit), over het al dan niet verschaffen van toegang tot de telefoon die door de San Bernardino-terrorist werd gebruikt. Daarbij voerde het bedrijf het juridische argument aan dat de FBI heeft geprobeerd Apple tot praten te dwingen. Dat druist in tegen het eigen belang en dat is niet toegestaan. De FBI trok de zaak in nadat ze een andere partij bereid had gevonden de telefoon tegen betaling te hacken. Hoewel het inhuren van een hacker effectief was, was het ook nogal prijzig. Bij de meeste zaken is een dergelijke investering ondenkbaar.
Toch is het niet ondenkbaar dat wetshandhavingsinstanties fabrikanten straks kunnen dwingen of verplichten om achterdeurtjes in te bouwen in apparaten, zodat afdrukken via vingerafdruksloten kunnen worden verzameld.
Een laatste opmerking over vingerafdrukken en beveiliging
Natuurlijk verwacht ik niet dat mensen het gebruik van vingerafdruksloten afzweren. Ze zijn gewoon heel handig. Terecht of niet, de bevoegdheid van overheden om informatie over onze digitale evenknie te verzamelen, neemt sterk toe. Het Integrated Automated Fingerprint Identification System van de FBI bevat tientallen miljoenen vingerafdrukken die geen verband houden met criminele activiteiten. Deze zijn afkomstig van militair personeel, overheidswerknemers en andere onschuldige mensen. En overheidsbestanden zijn in het algemeen niet altijd goed beveiligd. Bij de cyberinbraak in 2015 bij het Amerikaanse Office of Personnel Management werden 5,6 miljoen vingerafdrukken buitgemaakt. Dat wijst erop dat nu ook vingerafdrukken kunnen worden gehackt en misbruikt om onze privacy te schenden. En in dit geval voor een hele lange tijd.
