De gevaren van standaardwachtwoorden op biometrische apparaten
Je koopt een gloednieuwe vingerafdrukscanner voor je voordeur. Of misschien wel een gezichtsherkenningssysteem voor je kantoor.
Je voelt je meteen veiliger. Toch zit er een stil gevaar in die apparaten: de standaardwachtwoorden.
Het klinkt saai, maar het is het zwakste schakel in je beveiliging. Veel gebruikers veranderen ze nooit. Dat is precies wat hackers willen zien.
Stel je voor: een inbreker probeert je slimme deurslot niet te forceren. Hij typt ‘admin’ in bij het inlogscherm. Of ‘123456’. Binnen een seconde is hij binnen. De biometrische scanner faalt niet, maar de fabrieksinstellingen doen het wel. Dat is de paradox van moderne beveiliging: de technologie is sterk, maar de menselijke fout maakt het breekbaar.
Wat zijn standaardwachtwoorden bij biometrische apparaten?
Standaardwachtwoorden zijn voorgeprogrammeerde codes die fabrikanten meeleveren. Ze staan in de handleiding en soms op een sticker op het apparaat.
Denk aan ‘admin’, ‘0000’ of ‘password’. Bij biometrische apparaten, zoals vingerafdruklezers of gezichtsherkenningssystemen, dienen ze om de eerste configuratie te doen. Maar veel gebruikers laten ze staan. Waarom is dat riskant?
Omdat deze wachtwoorden openbaar zijn. Iedereen met internettoegang kan de handleiding van een populaire scanner downloaden.
Een hacker scant het net op standaardinloggegevens van merken als ZKTeco of Hikvision.
Vervolgens probeert hij die op jouw apparaat. Als jij niet hebt gewijzigd, heb je geen schijn van kans.
Waarom is dit zo belangrijk voor je privacy?
Biometrische data is extreem persoonlijk. Je vingerafdruk of gezichtsscan kun je niet veranderen als een wachtwoord.
Als die data lekt, is de schade blijvend. Standaardwachtwoorden geven toegang tot de configuratie van het apparaat. Daar kun je de biometrische database uitlezen of aanpassen. Een hacker kan jouw vingerafdrukken kopiëren naar een nepscanner.
Denk aan een bedrijfssysteem met gezichtsherkenning voor toegang tot de serverruimte. Als de admin-wachtwoord ‘1234’ is, kan iedereen binnenlopen.
Je privacy is dan niet alleen geschonden, maar ook je fysieke veiligheid.
In Nederland zijn er al gevallen bekend van inbraken via niet-geüpdatete slimme sloten. Gelukkig kun je inbrekers detecteren voordat ze bij de deur zijn. De politie waarschuwt er in ieder geval voor.
Hoe werkt het in de praktijk: de kern van het probleem
Veel biometrische apparaten draaien op een embedded systeem, zoals Android of een aangepaste Linux-variant. De fabrikant zet een webinterface of app klaar voor beheer.
Standaardwachtwoorden zijn daar de sleutel tot die interface. Zonder wijziging blijft die deur openstaan. Een hacker scant je netwerk met tools als Shodan en vindt je apparaat via het IP-adres.
Neem een typische vingerafdrukscanner, zoals de ZKTeco ZK2000, prijs rond €150. Hij heeft een webportal op poort 80.
De standaardlogin is admin/admin. Als je dat niet wijzigt, kan iedereen op je netwerk de logs bekijken of nieuwe gebruikers toevoegen. Bij gezichtsherkenningssystemen, zoals de Hikvision DS-K1T673M (€400-€500), is hetzelfde van toepassing.
De fabrikant levert een app mee; de eerste inlog is vaak ‘123456’. Een specifiek gevaar is de integratie met andere systemen.
Veel scanners koppelen aan een NAS of cloud-dienst. Met het standaardwachtwoord kan een aanvaller die koppeling misbruiken.
Je biometrische data belandt dan op een server in het buitenland, zonder dat je het weet. Dat schendt niet alleen privacy, maar ook de AVG-wetgeving.
Prijzen en varianten: wat je moet weten
Biometrische apparaten variëren in prijs en functie. Voor thuisgebruik kies je een eenvoudige vingerafdrukdeurslot, zoals de Ultraloq U-Bolt Pro (€200-€250).
Deze heeft standaardwachtwoorden voor de app, vaak ‘admin’ of een cijfercode. Voor kleine kantoren is een gezichtsherkenningssysteem zoals de ZKTeco FaceDepot 5B (€300-€400) populair.
De fabrieksinstellingen zijn hier ‘1234’ of ‘admin’. Professionele systemen, zoals de Hikvision iDS-2CD7A46G0/P-IZHS (€600-€800), bieden geavanceerde functies maar hebben nog steeds standaardlogins. De handleiding staat online, en hackers weten die te vinden.
Budgetmodellen onder de €100, zoals goedkope Chinese scanners, zijn nog risicovoller. Ze hebben zelden updates en de wachtwoorden zijn makkelijk te raden. Let op: prijzen zijn indicatief en kunnen per retailer verschillen. Een duurder model betekent niet automatisch meer veiligheid. Controleer altijd of het apparaat ondersteuning biedt voor het wijzigen van wachtwoorden en regelmatige firmware-updates.
Praktische tips om je te beschermen
Verander direct na installatie het standaardwachtwoord. Kies iets unieks, minimaal 12 tekens, met cijfers, letters en symbolen. Gebruik een wachtwoordmanager zoals Bitwarden om het op te slaan.
- Update de firmware regelmatig. Fabrikanten als Hikvision brengen patches uit voor bekende lekken. Check de app of website elke drie maanden.
- Schakel onnodige functies uit, zoals remote toegang, als je die niet gebruikt. Dit verkleint de aanvalsoppervlakte.
- Gebruik twee-factor-authenticatie (2FA) waar mogelijk. Sommige systemen ondersteunen dit via een app of sms.
- Monitor je netwerk met een simpele tool als Fing (gratis app). Zo spot je onbekende apparaten snel.
- Test je setup: vraag een vriend om het standaardwachtwoord te proberen. Als het lukt, weet je dat je moet handelen.
Bij de ZKTeco ZK2000 typ je in de webportal: Beheer > Wachtwoord wijzigen.
Duurt twee minuten, maar bespaart je hoofdpijn. Denk ook aan je privacy-instellingen.
Bij gezichtsherkenning, zoals op de Hikvision DS-K1T673M, kun je de data-encryptie inschakelen. Zorg dat de biometrische database lokaal blijft en niet naar de cloud gaat, tenzij nodig. Houd ook rekening met de veiligheid van biometrische herkenning bij verschillende lichtinval. Lees de privacyverklaring van de fabrikant; sommige delen data met derden zonder dat je het doorhebt.
Als je een heel systeem installeert, overweeg dan een netwerksegment voor biometrische apparaten.
Gebruik een aparte VLAN op je router, zodat ze niet direct toegang hebben tot je hoofdnetwerk. Dit voorkomt dat een hack zich verspreidt. Voor thuissystemen volstaat een simpele router met gastnetwerk-functie, zoals de TP-Link Archer C6 (€50). Sluit af met een check: na een maand controleer je nogmaals of het wachtwoord is gewijzigd en of er updates zijn.
Biometrie is krachtig, maar alleen als de basis op orde is. Je vingerafdruk is uniek, maar waarom biometrie veiliger is dan een wachtwoord dat je kunt vergeten, is de echte winst. Zo blijft je huis of kantoor echt veilig.