Naar de content

Waarom hebben paspoorten geen pincode?

Een land is soms slechter beveiligd dan een pinautomaat

Een groep mensen staat in de wachtruimte van een luchthaven bij de tassencontrole.
Een groep mensen staat in de wachtruimte van een luchthaven bij de tassencontrole.
Politikaner, via CC BY-ND 3.0

De meivakantie komt eraan. Hoelang heb je al niet naar je paspoort omgekeken? Weet je waar het ligt, en of het nog geldig is? Ieder jaar maken miljoenen EU-burgers hun paspoort zoek, waarvan er veel in het criminele circuit terechtkomen. Dat roept de vraag op waarom paspoorten niet al lang beveiligd zijn met een pincode, net als een bankpasje. In principe kan het, maar de praktijk is weerbarstig. Experts zien meer in biometrische beveiliging.

21 april 2017

Dit redactioneel weerspiegelt de mening of visie van de redacteur. Hoewel wetenschappelijk onderbouwd en beargumenteerd, is het een persoonlijke mening en geen wetenschappelijk feit. Ben je het (niet) eens met de auteur? Geef dan vooral ook een reactie hieronder.

Is het niet vreemd dat je op een vliegtuig kunt stappen of een land binnenkomen, op vertoon van iets wat in wezen niet meer is dan een velletje papier? Zeker wanneer je terugkeert van een zonvakantie, is de kans groot dat de marechaussee op Schiphol nauwelijks in je paspoort kijkt en je zomaar door mag lopen. Dus heeft ook een terrorist met een illegaal verkregen EU-paspoort een mooie kans om gewoon naar binnen te lopen. Qua beveiliging is dat net zoiets als met een fotokopie van een paspoort geld uit een pinautomaat halen. Stel je voor; geen rekeninghouder zou nog rustig slapen.

Vergeten, verloren, verkocht

Ondertussen raken paspoorten ook nog steeds vaker zoek. In 2015 waren het er alleen al in de EU 34 miljoen. Niemand weet hoeveel daarvan echt zijn kwijt geraakt, en hoeveel zijn verkocht aan vluchtelingen, criminelen of terroristen. Een EU-paspoort schijnt op de zwarte markt duizenden euro’s op te brengen.

Een groep mensen staat in de wachtruimte van een luchthaven bij de tassencontrole.

Controle van bagage op een vliegveld. Maar of je de rechtmatige houder bent van het paspoort dat je laat zien, wordt vaak niet grondig gecontroleerd.

Politikaner, via CC BY-ND 3.0

In een paspoort zitten, net als in een bankbiljet, allerlei trucs zitten om namaak of vervalsing te voorkomen. Toch helpt dat niet als iemand met een illegaal verkregen paspoort een grens over wil. Zodra de terrorist ook maar een beetje lijkt op het piepkleine pasfotootje, gaat er geen alarmbel af en kan hij gewoon doorlopen. Of hij knutselt de eigen pasfoto over die van de rechtmatige houder heen. Douanebeambten kijken vaak nauwelijks naar zo’n pasfoto, mogelijk ook omdat het in de praktijk maar een zwak identificatiemiddel is.

Pincode en hashcode

Vergelijk dat eens met het al decennia geleden bedachte pincodesysteem. Alleen de rechtmatige houder van een bankpasje kent de bijbehorende pincode. Ook de bank weet die niet, zodat er geen gevaar bestaat dat een corrupte bankmedewerker de pincodes van klanten steelt. De pinautomaat controleert slechts of de pincode in combinatie met het pasnummer de juiste hashcode oplevert, die ook op de pas staat. Een pinautomaat hoeft dus niet eens verbinding te leggen met de bank om veilig geld uit te betalen.

Het bijzondere van een hashcode is, dat je die zonder kennis van het wachtwoord niet kunt reconstrueren. Als iemand een pincode opgeeft die niet precies klopt, levert de berekening van de hashcode iets totaal anders op. Juist omdat het pincodesysteem gebruikmaakt van gegevens die op de bankpas zelf staan, kun je dit systeem ook op een papieren paspoort (zonder chip of biometrische gegevens, zoals een vingerafdruk) toepassen.

Sterk wachtwoord

Dat gaat zo: bij het aanvragen van het paspoort bij de gemeente, kiest de rechtmatige houder een sterk wachtwoord (dit is de ‘pincode’ van het paspoort). Aan de balie hebben ze een gewone computer die een nieuw paspoortnummer creëert, en dan met algemeen beschikbare software de hashcode berekent van de combinatie wachtwoord-paspoortnummer. Het wachtwoord wordt nergens opgeslagen, slechts de hashcode komt ook in het paspoort te staan. Het meest gebruikte type hashcode is 256 bits lang, ofwel 64 toetsenbordtekens, maar het is in de praktijk al voldoende om alleen de laatste 15 tekens in het paspoort te zetten.

Het berekenen van een hashcode is onomkeerbaar: uit de hashcode kan je niets afleiden over de inhoud van het wachtwoord. Met het reproduceren van de juiste hashcode bewijst de houder dat dit echt zijn paspoort is, zonder dat hij zijn wachtwoord prijs hoeft te geven.

Er is niets geheims aan de software die de hashcode uitrekent; er zijn websites waar je gratis een willekeurig bestand kunt hashen. Iedereen kan dus controleren of de houder van een paspoort de rechtmatige bezitter is.
Foto: fictief voorbeeld van een paspoort dat is voorzien van de laatste 15 tekens van de unieke hashcode op basis van wachtwoord KENNISLINK en het paspoortnummer.

Arnout Jaspers

Op deze manier kun je gestolen paspoorten waardeloos maken. Al zou het lukken om een andere foto in het paspoort te zetten, dan nog loopt de bedrieger tegen de lamp als hij het wachtwoord moet intypen. Maar wat als iemand zijn paspoort verkoopt aan een ander? De koper zal uiteraard eisen dat hij ook het wachtwoord verklapt. Maar dan kan de verkoper achteraf nooit beweren dat zijn paspoort is gestolen of kwijtgeraakt. Want hoe kwam die zelfmoordterrorist dan aan het wachtwoord?

Praktische bezwaren

Dit type beveiliging voor paspoorten had al decennia geleden ingevoerd kunnen worden, analoog aan de pincodes voor bankpasjes. Waarom is dat nooit gebeurd? Christian Schaffner, cryptograaf bij QuSoft en het Amsterdamse Institute for Logic, Language and Computation vindt het een verrassend idee, maar ziet veel praktische bezwaren: “Alle houders moeten een sterk wachtwoord onthouden, van minstens een stuk of twaalf random tekens, terwijl ze op reis zijn. Mensen zijn daar notoir slecht in; de meeste mensen zullen het ergens opschrijven, waarschijnlijk zelfs in hun paspoort.”

Harry Buhrman, directeur van QuSoft, verwacht eveneens dat veel te veel mensen hun wachtwoord zullen vergeten. “Ik zie meer in two factor authentication, zoals je nu al hebt met inloggen op sommige websites. Dus je laat je paspoort zien, er gaat een bericht naar je mobiele telefoon, en dat moet je bevestigen.”

Gepasseerd station

Eigenlijk vinden Schaffner en Buhrman beveiliging met een wachtwoord al bijna een gepasseerd station voor paspoorten, maar ook voor computers en andere apparaten. Buhrman ontgrendelt zijn iPhone al met zijn vingerafdruk. En ook Schaffner verwacht dat identificatie steeds meer de kant van biometrische kenmerken op zal gaan.

Conclusie: als paspoorten met ‘pincode’ twintig jaar geleden waren ingevoerd, hadden ze een groot gat in de beveiliging opgevuld. Maar dit gat is deels al gedicht, en zal snel verder gedicht worden met biometrische beveiliging.

ReactiesReageer