30 juni 2008
Ahold is op dit moment samen met Equens bezig een proef aan het nemen met het betalen via slechts een vingerafdruk. Op 26 juni is bewezen dat deze manier van betalen per definitie onveilig is. Reinier van der Drift, CEO van BioXS International is dan ook niet verbaasd dat security consultant Ton van der Putte er als ethische hacker zo snel in slaagde z’n boodschappen te betalen met een geleende vingerafdruk. De RTL journalisten Koen de Regt en Roland Strijker lieten zien dat het kinderlijk eenvoudig is om met een nagemaakte vingerafdruk bij AH te betalen.
“Het bewijst mijn stelling dat betalen met alleen een biometrisch kenmerk per definitie onveilig is, “ legt Van der Drift uit in reactie op het persbericht van . “Geen enkele losse techniek is onkraakbaar en ook het scannen van een vingerafdruk is dat niet. Alleen door meerdere authenticatievormen naast elkaar te gebruiken, kan het risico worden verminderd.” Van der Drift levert met BioXS zelf verschillende vingerafdrukscanners om toegang tot pc’s, netwerken en ruimtes te krijgen en staat bekend als één van de specialisten in Nederland op het gebied van biometrie. Hij weet dus als geen ander waar de risico’s liggen. “Albert Heijn heeft in de afgelopen weken geprobeerd de mensen gerust te stellen door te zeggen dat er voldoende controlemechanismes zijn om misbruik te voorkomen. Het meisje achter de kassa zou het namelijk direct zien als er werd gefraudeerd met een gekopieerde vingerafdruk. Ton heeft aangetoond dat de praktijk weerbarstig is. Gelukkig wilde hij als security consultant dit misverstand alleen maar aan de kaak stellen en had hij geen kwade bedoelingen.”
Per definitie onveilig
Van der Drift legt uit dat banken tot nu toe altijd met twee authenticatiefactoren hebben gewerkt. “Je hebt iets wat je bezit. Dat is de bankpas. Daarnaast heb je de pincode en dat is iets wat je weet en wat de gebruiker geheim houdt. Door nu terug te gaan naar enkelvoudige authenticatie, lopen banken, maar ook de consument, een enorm risico. Hopelijk is nu bewezen dat een enkelvoudige authenticatie per definitie onveilig is en realiseert Equens zich dat ze dit niet verder moeten uitrollen.”
Volgens Van der Drift zijn er veiligere manieren om het betalingsverkeer aan de kassa sneller te laten verlopen. “Men brengt dit naar de consument als gemak maar het gaat Ahold en Equens natuurlijk om snellere doorlooptijden aan de band. Daar is niet mis mee maar dat zou op een andere manier aangepakt kunnen worden. Ik kan me voorstellen dat je een klant al in het begin van de winkel rustig de tijd geeft om zich te authenticeren met pas en pincode. Bij de kassa worden alle producten bij elkaar opgeteld en worden de boodschappen met een simpele ja/nee-knop bevestigd. Desnoods gebruiken ze voor de bevestiging die vingerafdruk. Dan heeft het skimmen van pinpassen, zoals afgelopen dagen bij de pompstations van Shell gebeurde, ook geen zin meer. Er is dan namelijk een derde authenticatielaag toegevoegd zonder dat dit de doorlooptijden aan de kassa benadeelt.”
Reinier van der Drift is voor een mondelinge reactie op bovenstaande bereikbaar op 06 451 628 43.
Download Van der Drift.jpgEr zijn eventueel nog andere personen binnen BioXS International beschikbaar voor commentaar.
Over BioXS International BV
BioXS International is één van de weinige distributeurs in de Benelux die zich heeft gespecialiseerd in producten rond identificatie, authenticatie en autorisatie voor fysieke en logische toegang. Daarvoor is men onder andere exclusief distributeur voor de biometrische producten van Zvetco, UPEK en Secugen. Daarnaast levert BioXS biometrisch beveiligd geheugen van MXI Security, harddisk-encryptie van WinMagic en ontwikkelde het een eigen lijn biometrische tijdregistratieapparatuur.
BioXS International BV www.bioxs.nl info@bioxs.nl
Asterweg 19D12
1031 HL Amsterdam
+31 (0)26 372 4276
Contact voor de pers Mark Nieuwenhuizen
Marketing & public relations
mnieuwenhuizen@bioxs.nl +31 (0)6 513 62 670