De grootste bekende biometrische datalek tot nu toe werd onlangs gemeld toen onderzoekers toegang kregen tot een database van 23 gigabyte met meer dan 27,8 miljoen records, waaronder vingerafdruk- en gezichtsherkenningsgegevens.

De onderzoekers, werken met cyberbeveiligingsbedrijf VPNMentor, zei dat ze toegang hadden gekregen tot het Biostar 2-biometrische slotsysteem dat de toegang tot beveiligde faciliteiten zoals magazijnen of kantoorgebouwen beheert. Dit controlemechanisme, gerund door de firma Suprema, maakt naar verluidt deel uit van een systeem dat wordt gebruikt door 5, 700 organisaties in 83 landen, inclusief regeringen, banken en de Britse Metropolitan Police.

Deze inbreuk wijst op een groot probleem met biometrische beveiligingssystemen die de biologische metingen van mensen effectief als wachtwoorden gebruiken. In tegenstelling tot gebruikersnamen en wachtwoorden, biometrische gegevens kunnen niet worden gewijzigd als ze worden gestolen.

Aangezien datalekken een onvermijdelijk onderdeel zijn geworden van onze steeds digitaler wordende wereld, betekent dit dat biometrische beveiliging geen toekomst op lange termijn heeft, omdat het waarschijnlijk is dat op een dag bijna alle gegevens in cyberspace zullen rondzweven? Misschien in zijn huidige vorm, maar er zijn ook manieren waarop we biometrie kunnen redden en veiliger kunnen maken.

Traditionele wachtwoorden zijn iets dat u kent. Biometrische kenmerken zijn iets wat je bent. vingerafdrukken, irisscans, stem patronen, gezichts- en oorfoto's en gezichtsherkenningsgegevens kunnen allemaal worden gebruikt als een manier om te controleren of iemand is wie hij zegt dat hij is en dat deze moeilijk te vervalsen is.

Authenticatiesystemen slaan veilig een kopie van de ruwe biometrische gegevens op en wanneer een gebruiker wil inloggen op het systeem, hun kenmerken worden vergeleken met de opgeslagen gegevens. Eens slechts een kenmerk van sciencefiction, biometrische systemen worden nu veel gebruikt in real-life beveiligde faciliteiten, paspoorten en zelfs de vingerafdrukverificatie in uw smartphone.

Maar het unieke karakter van biometrie is ook de tekortkoming. Biometrische gegevens kunnen een manier zijn om mensen met een hoge mate van nauwkeurigheid te identificeren, maar als ze eenmaal zijn gestolen, kunt u niets meer doen om ze weer veilig te maken. Natuurlijk, als je vingerafdruk wordt gestolen, kun je altijd een andere vinger gebruiken, maar je kon dit maar 10 keer doen.

Zodra iemand uw vingerafdrukgegevens heeft, het is mogelijk om een ​​replica te printen met geleidende inkt die biometrische scanners voor de gek kan houden. Er zijn ook voorbeelden van onderzoekers die stemscanners voor de gek houden met tools voor geluidsvervorming, irisscanners met replicabeelden en gezichtsscanners met foto's en zelfs 3D-geprinte koppen.

Dit betekent dat het erg belangrijk is om uw onbewerkte biometrische gegevens te beschermen tegen lekken naar ongewenste partijen. Maar dit zal een steeds moeilijkere taak worden naarmate we onze biometrische gegevens aan steeds meer dienstverleners bekendmaken.

Er gaat amper een week voorbij zonder nieuws dat een ander bedrijf de gegevens van zijn klanten heeft gestolen. Hierdoor heeft u waarschijnlijk minstens één keer uw eigen wachtwoorden moeten wijzigen. Als genoeg mensen hun biometrische gegevens openbaar maken, uiteindelijk kunnen sommige systemen onbruikbaar worden omdat zoveel gebruikers er niet veilig op kunnen inloggen.

Bij het recente biometrische datalek, meer dan 1 miljoen mensen hadden hun vingerafdrukken, gezichtsherkenningsgegevens, gezicht foto's, gebruikersnamen en wachtwoorden onthuld. Ook werd ontdekt dat buitenstaanders biometrische gegevens in de database konden vervangen door hun eigen gegevens, een andere manier blootleggen om de veiligheidscontroles te doorbreken.

Verbetering van de beveiliging

Dus wat kan er worden gedaan om de beveiliging van biometrische gegevens sterker te maken? Een eenvoudige manier is wachtwoorden. Het is gebruikelijk om wachtwoorden op te slaan door ze eerst te versleutelen of te "hashen". Dit is in wezen een eenrichtingsversie van codering die de wachtwoorden omzet in een reeks tekens die bekend staat als een berichtsamenvatting en die bijna onmogelijk te decoderen is.

Dit betekent dat zelfs als de versleutelde wachtwoorden worden gelekt, hackers kunnen de wachtwoorden niet verkrijgen. Moderne systemen zouden wachtwoorden nooit in hun oorspronkelijke platte tekstformaat opslaan.

Deze methode kan ook worden toegepast op biometrische gegevens, zodat alleen versleutelde versies of berichtoverzichtsversies van de biometrische kenmerken worden opgeslagen. Bij de recente inbreuk op de biometrische database, alle gegevens werden in onbewerkte indeling opgeslagen zonder codering. Dit betekent dat hackers rechtstreeks toegang kunnen krijgen tot de onbewerkte biometrische kenmerken van de gebruikers en deze kunnen repliceren om toegang te krijgen tot kritieke services.

Een andere manier om biometrische systemen veiliger te maken, is het gebruik van blockchain, het systeem achter cryptocurrencies zoals Bitcoin. Met blockchaintechnologie, u kunt klantgegevens opslaan in een gedistribueerd grootboek dat wordt beschermd door cryptografie op meerdere computers over de hele wereld. Dit betekent dat alleen geautoriseerde partijen toegang hebben tot de gegevens (of datablokken), en elke poging om de gegevens te wijzigen, wordt gedetecteerd door elke andere gebruiker die is geabonneerd op de blockchain. Het is ook mogelijk om privé gedistribueerde grootboeken te maken waartoe alleen bepaalde mensen toegang hebben.

Zelfs dit is misschien niet genoeg om biometrische systemen voor altijd veilig te houden. Onderzoekers hebben onlangs aangetoond dat het mogelijk is om vingerafdrukscanners voor de gek te houden met behulp van kunstmatige intelligentie om replica-afdrukken te maken die het systeem kunnen verslaan. Dus op een dag, geavanceerde computers kunnen mogelijk alle functies opnieuw creëren om het biometrische beveiligingssysteem voor de gek te houden en een bedrieger door te laten. Maar voor nu, als aanbieders van biometrische diensten enkele eenvoudige stappen zouden nemen om hun gegevens veiliger te maken, we zouden inbreuken kunnen vermijden die deze systemen uiteindelijk overbodig zullen maken.

Dit artikel is opnieuw gepubliceerd vanuit The Conversation onder een Creative Commons-licentie. Lees het originele artikel.