Veiliger dan een wachtwoord, maar niet waterdicht

Dactyloscopie is in opmars, ook in de consumentenelektronica. Maar ook vingerafdrukken zijn te vervalsen. Hoe veilig is het om alle paspoorten met een vingerafdruk uit te rusten?

Een passagier op de New Yorkse luchthaven JKF International Airport laat zijn vingerafdruk lezen op een sensor. Foto Reuters A traveler has his fingerprints scanned at the international travel entry point at JFK International Airport in New York, March 25, 2008. The U.S. Department of Homeland Security announced that it has upgraded from two to 10 fingerprint collection to enhance security and facilitate legitimate travel. REUTERS/Shannon Stapleton (UNITED STATES) REUTERS

In Duitsland kun je met vingerafdruk betalen bij filialen van supermarktketen Edeka. In de kantine van een middelbare school in de Amerikaanse staat Utah registreren leerlingen hun vingerafdruk bij het afrekenen van de lunch, zodat de ouders kunnen zien of ze niet te veel friet en cola bestellen. In Japan wordt het mobieltje gebruikt om betalingen te voldoen. Sinds kort kunnen hoogleraren op Nederlandse universiteiten met behulp van een smartcard en een vingerafdruk toegang krijgen tot de bronbestanden van het Centraal Bureau voor de Statistiek.

De kunst van de dactyloscopie, het aflezen van vingerafdrukken, is niet langer voorbehouden aan misdaadbestrijders. Ook in de consumentenelektronica is de vingerafdruksensor in opkomst. Het vierhoekige vlakje om een afdruk af te lezen is te vinden op veel nieuwe laptops, op duurdere mobieltjes, op sloten van huizen, kluizen of motorfietsen. Steeds meer bedrijven en instellingen experimenteren met vingerafdrukken om het computernetwerk te beveiligen, bijvoorbeeld de Hoge Raad in Den Haag en het Diaconessenhuis in Leiden. Voordeel: je vinger raak je in tegenstelling tot je sleutels niet gauw kwijt. En je kunt hem ook niet vergeten zoals een pincode of een wachtwoord.

„Hoewel ook andere biometrische technieken opkomen, verwachten wij dat de omzet van vingerafdruktoepassingen de komende vier jaar meer dan verdubbelt”, zegt Peter Cheesman van de Amerikaanse International Biometric Group telefonisch. De IBG doet onderzoek naar de markt voor biometrie, het identificeren van mensen aan de hand van hun unieke lichamelijke eigenschappen, zoals het patroon van een iris of een vingerafdruk. Het bedrijf berekende dat in 2007 wereldwijd bijna 2 miljard euro omging in biometrie. De vingerafdruk beslaat meer dan de helft van alle biometrische toepassingen, zegt Cheesman.

Volgens het Amerikaanse bedrijf Authentec, marktleider op het gebied van vingerafdruksensors op pc’s en mobieltjes, zijn er inmiddels ruim 7 miljoen gsm’s met vingerafdrukscanner op de markt. Een peiling van het bedrijf wijst uit dat 68 procent van de Amerikanen de vingerafdruk betrouwbaarder acht dan een traditioneel wachtwoord.

Maar hoe terecht is dat? Peter Cheesman van IBG: „Een scanner die je voor een paar tientjes uit de schappen trekt, is eenvoudig te misleiden. Maar je moet een hoop moeite doen. En wat heb je dan: een paar telefoonnummers die in het geheugen van het mobieltje staan.” Voor privacygevoeligere zaken als grenscontroles, visumaanvragen en het opsporen van criminelen met behulp van vingerafdrukken, wordt volgens hem veel geavanceerdere apparatuur gebruikt die haast niet te misleiden is.

Zo’n gevoelige toepassing is bijvoorbeeld de opslag van de vingerafdruk in het Nederlandse paspoort. Op de chip van de paspoorten die vanaf 28 juni 2009 worden afgegeven, staat een afbeelding van de vingerafdruk. Hiermee kan, conform een Europese richtlijn, worden gecontroleerd of het paspoort daadwerkelijk bij de houder hoort. In een wetsvoorstel dat begin dit jaar is aangeboden en nog behandeld moet worden, staat dat al deze afdrukken moeten worden opgeslagen in een centrale databank die politie en justitie kunnen inzien.

De Europese Unie is bezig met de ontwikkeling van visumdatabank VIS, waarin alle vingerafdrukken komen van mensen die een visum aanvragen voor een van de EU-landen. Asielzoekers moeten nu al hun vingerafdruk afgeven wanneer ze zich in een EU-land melden. De databank die daarbij hoort, Eurodac, wordt gekoppeld aan VIS. Net zoals het vernieuwde Schengen Informatie Systeem (SIS II), waar arrestatiebevelen en gegevens over personen en goederen als gestolen auto’s in staan. SIS II moet de lidstaten helpen om grensoverschrijdende criminaliteit en mensensmokkel aan te pakken. In al die databanken worden vingerafdrukken bijgehouden, waarmee instanties mensen kunnen identificeren en opsporen. Voor wie gezocht wordt, loont het dus om zijn vingerafdruk te vervalsen.

De Chaos Computer Club (CCC), een hackersorganisatie uit Berlijn, plaatste een ‘vervalscursus’ op internet. Het Duitse tv-programma Plusminus slaagde er met behulp van de cursus in een vingerafdruk na te maken en er bij de Duitse supermarktketen Edeka boodschappen mee te betalen. Constanze Kurz van de CCC denkt dan ook heel anders over de vingerafdrukscanners bij de grens dan Peter Cheesman. Volgens haar zijn ze even eenvoudig te misleiden als die op gewone consumentenelektronica. Kurz: „We schaffen veel sensors aan om onze namaakmethode op te testen. Bijna alle sensors die we kopen, kunnen we omzeilen.” Volgens Kurz, tevens promovenda aan de Humboldt Universiteit als computerwetenschapper, is de detectieapparatuur op ambassades en bij de grens niet fundamenteel beter.

Een vingerafdruksysteem krijg je nooit helemaal waterdicht, maar frauderen is wel moeilijker te maken, zegt Asker Bazen, directeur van het Nederlandse bedrijf Uniqkey Biometrics. Bazen ontwikkelt software om vingerafdrukken te herkennen, onder meer voor het visumaanvraagsysteem VIS. „Bij een aanvraag voor een visum om Europa binnen te komen, worden bijvoorbeeld altijd tien vingerafdrukken afgenomen. Het is lastiger om tien malletjes te maken dan één. Bovendien, als er bij de grens of de ambassade een vingerafdruk gecontroleerd wordt, staat altijd iemand te kijken hoe je je vingerafdruk afgeeft. Dat maakt fraude moeilijker.”

De combinatie van vingerafdruk met wachtwoord of andere biometrische methodes als irisscan of gezichtsherkenning maakt de techniek verder fraudebestendig. En steeds meer scanners kunnen detecteren of de vinger een levende vinger is, door bijvoorbeeld bloeddruk, temperatuur, zweetpatronen of huidgeleiding te meten. Bazen: „Het blijft een wapenwedloop tussen hackers en fabrikanten.”