Biometrie: je lijf als wachtwoord
Het idee om wachtwoorden af te schaffen klinkt wel erg goed. In een aantal situaties zijn wachtwoorden ondertussen minder belangrijk dankzij biometrische authenticatiemethodes en worden ze nog zelden gevraagd. Vrijwel elke middenklasse smartphone is tegenwoordig voorzien van een vingerafdrukscanner. Binnen een fractie van een seconde is je toestel daarmee ontgrendeld. High-end smartphones, zoals de iPhone X met Face ID, maken een 3D-scan van je gezicht om degene die naar het scherm kijkt te identificeren als de daadwerkelijke eigenaar van de telefoon. De iPhone projecteert een infrarood raster met 30.000 meetpunten op je gezicht en leest dit uit met een IR-camera. Hiermee kan de smartphone een 3D-model berekenen. Ook al hebben onderzoekers laten zien dat het te kraken valt, het is toch veiliger dan de authenticatie via een vingerafdrukscanner.
De onderzoekers hadden bij Face ID een dure truc nodig met een 3D-masker van een hoofd, maar vingerafdrukscanners zijn te omzeilen met een simpele kopie van een vingerafdruk. Vingerafdrukken laat je immers op veel plekken achter. De irisscanner van de Samsung S8 kon voor het lapje gehouden worden met een geprinte foto waarop contactlenzen waren gelegd. Wat alle methodes gemeen hebben, is dat ze veiliger zijn dan een smartphone beveiligen met slechts een viercijferige pincode of helemaal niets. Een pincode kan makkelijk worden meegelezen door derden. Om een biometrische authenticatie te omzeilen, moet je tijd investeren in de voorbereiding en fysiek toegang hebben tot het apparaat.
Windows Hello maakt biometrische authenticatie zonder een wachtwoord mogelijk op pc's, notebooks en tablets. Inmiddels is dat al redelijk ingeburgerd. Een aantal notebooks en tablets, zoals die uit Microsofts Surface-serie, zijn uitgerust met Hello-compatibele camera's die gezichten betrouwbaar kunnen herkennen. Nadat de authenticatie is gelukt, ontgrendelt Windows zichzelf automatisch. Ook notebooks met ondersteunde vingerafdrukscanners zijn inmiddels verkrijgbaar. Voor 30 euro voeg je een vingerafdrukscanner voor Windows Hello toe aan je pc, voor circa 70 euro heb je een usb-webcam met infraroodcamera. Op een pc met meerdere gebruikers kiest Hello automatisch het bijbehorende profiel.
Beter dan dat wordt het voorlopig niet. Ontwikkelaars kunnen de Windows Hello-API wel binnen hun programma's gebruiken, maar het aantal beschikbare apps is nog klein. Bij wachtwoordmanagers als Enpass en PassKeep hoef je dankzij Hello geen masterwachtwoord meer in te geven. Bij de Dropboxapp is Hello een extra bescherming tegen aanvallers. Technisch gezien kan Hello ook authenticatie voor websites bieden, in plaats van een wachtwoord of als extraatje bij 2FA (zie pagina 84). De Edge-browser ondersteunt de nog niet definitieve Web Authentication API, waarmee websites Windows Hello kunnen benutten.
Behalve de site van Microsoft zelf konden we geen diensten vinden die deze API al gebruiken. Naast Microsoft werken ook Google, Mozilla en PayPal eraan mee. Dit biedt de hoop dat de toekomstige standaard ooit door veel browsers en apparaten wordt ondersteund. Het zou fijn zijn als je ook met de vingerafdrukscanner van je smartphone op een website kunt inloggen of jezelf aanmelden, of bijvoorbeeld met Face ID van de iPhone X. Voor het geval je je zorgen maakt over je biometrische gegevens: dat is niet nodig. De API seint geen vingerafdrukken of gezichtsscans door. Hij wisselt alleen cryptografische gegevens uit waarmee de aanbieder zonder twijfel kan vaststellen dat jij degene bent waaraan het account toebehoort. De biometrische vergelijking wordt lokaal uitgevoerd.