Vanaf vandaag kunnen gedurende zes maanden klanten in een Albert Heijn winkel in Breukelen hun boodschappen afrekenen met slechts een scan van de vingertop. De proef moet uitwijzen of dit technisch naar behoren gaat en of klanten er op zitten te wachten. De technologie en betalingsafhandeling wordt geleverd door Equens, het voormalige Interpay.

Na het tonen van een identificatiebewijs en bank- of creditcard wordt een scan gemaakt van hun vingertop en worden naam- en adresgegevens, bankrekeningnummer en indien gewenst het klantenkaartnummer geregistreerd. Bij de registratie is rekening gehouden met de Nederlandse privacywetgeving, zo meldt Albert Heijn en Equens.

Daarna is voor de klant een snelle vingerscan afdoende om de dagelijkse boodschappen af te rekenen. Er komt geen code meer aan te pas.

Per definitie onveilig

En juist dat is de security-achilleshiel van het systeem. Volgens beveiligingsbedrijf BioXS is de door Albert Heijn gekozen methode dan ook 'per definitie' onveilig. Sterker nog, het is een stap terug in vergelijking met de PIN-pas, omdat die tweefactor authenticatie biedt en de vingerscan niet.

"Ik vind dit een hele riskante ontwikkeling, die haaks staat op waar we tegenwoordig mee bezig zijn. Steeds meer organisaties kiezen er juist voor om ten minste twee factoren te gebruiken voor authenticatie", aldus BioXS ceo Reinier van der Drift tegen Infosecurity.

Vingerafdruktechnologie ligt al jaren onder vuur omdat vingerafdrukken relatief eenvoudig te kopiëren zijn door wat gepruts met lijm, zo toonde het Duitse hackerscollectief CCC in 2004 al aan.