Hoe veilig is betalen met je vingerafdruk?

Hoe veilig is betalen met je vingerafdruk?

Vorig artikel Volgend artikel

Betalen met je mobiele telefoon en je vingerafdruk, het is bij PayPal met een Galaxy S5 al ruim een jaar in een beperkt aantal winkels mogelijk. En als we de verhalen in de media mogen geloven, en er is geen reden om dat niet te doen, zal het binnen een aantal jaren vrij normaal zijn en hebben we geen pinpas of pincode meer nodig. Uit een onderzoek van telecomwinkel Typhone eind vorig jaar deed blijkt dat de gemiddelde Nederlander dat wel ziet zitten, maar is betalen met een vingerafdruk eigenlijk wel veilig?

Namaken hoeft niet moeilijk te zijn

De vingerafdruk als beveiliging lijkt op het eerste gezicht geen gek idee. We hebben onze vingers altijd bij ons en kunnen de vingerafdruk dus niet vergeten. De vingerafdruk is bovendien uniek en het lijkt dus erg veilig. Als je je smartphone kwijtraakt kan iemand die jouw telefoon vindt immers geen betalingen doen zonder jouw unieke vingerafdruk.

Althans, dat is wat je zou verwachten. In de praktijk blijkt het echter wel mogelijk om een vingerafdruk na te maken. Dat is in het verleden al meermaals aangetoond en de Duitse hackersclub CCC deed dat ongeveer anderhalf jaar geleden nog eens dunnetjes over toen de iPhone 5S werd uitgebracht. Ze wisten de vingerafdrukscanner eenvoudig voor de gek te houden door een foto te maken van een vingerafdruk en deze op speciale manier uit te printen. Volgens de hackersgroep is de vingerafdruk dan ook absoluut niet geschikt als beveiliging. Er is meermaals aangetoond dat het namaken van een vingerafdruk mogelijk is en het feit dat een vingerafdruk uniek is en niet kan worden veranderd is daardoor juist een zwak kwetsbaarheid.

Beveiligingslekken in besturingssystemen

In de software die gebruikt wordt op smartphones schuilt een ander potentieel gevaar. Het is namelijk ook belangrijk dat de vingerafdruk die wordt ingelezen en opgeslagen op de telefoon niet door iedereen kan worden uitgelezen. Zoals zo vaak klinkt dit echter eenvoudiger dan het is in de praktijk. Slimme computerdeskundigen weten regelmatig beveiligingslekken te vinden in besturingssystemen en software en kan er natuurlijk ook toe leiden dat een vingerafdruk relatief eenvoudig kan worden verkregen.

Zo kwam vorige week aan het licht dat onderzoekers een hack hebben gemaakt waarmee de invoer van de vingerafdrukscanner van een aantal Android-telefoons, waaronder de Galaxy S5, kan worden uitgelezen. Wanneer de gebruiker zijn vinger op de vingerafdrukscanner legt kan er een kopie worden opgeslagen en vervolgens kan daarmee eenvoudig een vingerafdruk worden nagemaakt. Een update naar Android 5.0 is voldoende om het probleem te verhelpen en gebruikers met nieuwere telefoons van met Android lopen dan ook geen gevaar. Het geeft echter eens temeer dat software vrijwel altijd een kwetsbaarheid blijft en dat hackers in veel gevallen wel een gaatje weten te vinden.

Veilig genoeg voor nu?

Op basis van het bovenstaande kunnen we dus eigenlijk wel concluderen dat mobiel betalen en het gebruik van de vingerafdruk nog niet zo veilig is. Toch is veiligheid eigenlijk ook maar een relatief begrip en een methode die 100 procent veilig is zal waarschijnlijk nooit worden gevonden. Kijken we naar de pincode, die we al jaren als vrij goede beveiliging beschouwen, dan is dat ook niet de meest ideale beveiliging. Niet alleen zijn er slechts een beperkt aantal mogelijkheden, het is nou niet bepaald rocket science om mee te kijken als iemand een pincode intoetst of het intoetsen op te nemen met een (verborgen) camera.

Hoewel we in het dagelijks leven overal vingerafdrukken achterlaten, is het namaken van zo’n vingerafdruk waarschijnlijk nog altijd lastiger dan het achterhalen van iemands pincode. Het is dan ook niet gek dat PayPal en andere banken deze nieuwe manier van betalen binnenkort waarschijnlijk allemaal zullen ondersteunen. En dat er op kleine schaal misbruik van zal worden gemaakt zal waarschijnlijk weinig verschil maken. Het is, ondanks de eerder genoemde problemen, een relatief veilige methode die het betalen zal versnellen en niet minder veilig is dan de huidige pincode.

Jeroen de Hooge

Jeroen is werkzaam als Managing Director bij The Blog Idea Factory BV, uitgever van ondermeer Dutchcowboys, Travelvalley & Carrepublic. Behalve liefhebber...

Reageren is uitgeschakeld omdat er geen cookies opgeslagen worden.

Cookies toestaan Meer informatie over cookies