Tijdens de beveiligingsconferentie Black Hat die vorige week in Amsterdam plaatsvond, gaf onderzoeker Mikko Kiviharju een presentatie over de tekortschietende beveiliging van de Fingerprint Reader van Microsoft.

Wie de Fingerprint Reader installeert, krijgt van Microsoft al de waarschuwing dat het apparaat niet is bedoeld voor de beveiliging van gevoelige informatie. Consumenten kunnen de Fingerprint Reader gebruiken als middel om in te loggen op websites en dergelijke. Ze hoeven geen wachtwoorden en gebruikersnamen meer in te typen, maar alleen hun vinger op het apparaat te leggen.

Uit het onderzoek van Kiviharju blijkt dat deze vingerafdruk niet met encryptie is beveiligd. Met een sniffer is het daardoor theoretisch mogelijk om de vingerafdruk te onderscheppen. Overigens is het vervolgens niet eenvoudig om met de buitgemaakte vingerafdruk in te loggen als de oorspronkelijke gebruiker.

Opvallend is dat Microsoft met een kleine wijziging in de firmware de beveiliging aanmerkelijk zou kunnen verbeteren. Encryptie zou volgens Kiviharju zonder al te veel problemen aan de firmware kunnen worden toegevoegd.