Biometrische beveiliging: veelbelovend, maar niet waterdicht

Security
Redactie WINMAG Pro
Onze devices bevatten steeds meer informatie die niet in de verkeerde handen mag vallen. Vaak is beveiliging met een wachtwoord of code niet meer afdoende, want als die worden gestolen door hackers, krijgen zij alsnog toegang tot je belangrijke data. Biometrische beveiligingsmethoden die gebruikmaken van jouw unieke vingerafdruk, irisscan, gezicht, handtekening of stem, waren daarom nog nooit zo relevant als nu. Al zijn ze zeker nog niet perfect.

Vingerafdrukscanners

De vingerafdrukscanner is een vorm van biometrische beveiliging waar de meeste consumenten inmiddels wel kennis mee hebben gemaakt. Steeds meer smartphones, notebooks en andere apparaten worden voorzien van een vingerafdrukscanner. De productieprijzen zijn door de hevige concurrentie al flink gezakt en dit jaar blijven ze dalen, naar verwachting met wel 40 procent. Eind 2016 kost een vingerafdrukscanner waarschijnlijk nog geen drie dollar om te maken, waar de prijs per stuk nu al minder dan vijf dollar is. De aanhoudende prijsdaling heeft als gevolg dat ze niet alleen meer in duurdere modellen als de iPhone 6s (Touch ID) zitten, maar bijvoorbeeld ook in goedkopere toestellen. Met name Chinese fabrikanten van Android-apparaten zullen steeds vaker voor een vingerafdrukscanner kiezen. Zo’n scanner is doorgaans makkelijk en snel te gebruiken en als 2016 inderdaad het jaar wordt waarin consumenten mobiel betalen omarmen, is het prima denkbaar dat er straks nauwelijks nog smartphones zonder deze technologie op de markt zijn. Toch is het niet allemaal hosanna, want de bestaande vingerafdrukscanners blijken nog lang niet feilloos. Zijn je vingers bezweet of heb je een wondje, dan kan het voorkomen dat je afdruk niet wordt herkend. Een ander mogelijk securityprobleem is dat criminelen je vingerafdruk in handen weten te krijgen, door je toestel te hacken en een opgeslagen scan te stelen of door een mal van je vingertop te fabriceren. Dat laatste is trouwens makkelijker dan je zou zeggen. Een hoge resolutie-foto van je vingers kan al genoeg zijn om uiteindelijk in je smartphone te komen. En in tegenstelling tot een wachtwoord kun je je eigen vingerafdruk niet zomaar veranderen, wat de risico’s verder vergroot. Toch is dat geen reden om apparaten met vingerafdrukscanners links te laten liggen. Hoogstwaarschijnlijk zal een deel van deze bezwaren nog worden weggenomen; de technologie is immers volop in ontwikkeling.

Irisscanners

Veel experts zien irisscanners, die een gedetailleerde scan van een oog maken om iemand te identificeren, als de nauwkeurigste biometrische beveiligingsmethode. Ze worden daarom steeds vaker ingezet op vliegvelden, bij grenscontroles en in overheidsgebouwen. Diverse smartphones, waaronder de Lumia 950 van Microsoft, zijn al uitgerust met irisscanners en verwacht wordt dat meerdere grote fabrikanten dit jaar toestellen met zo’n scanner lanceren. Een ander sterk punt van irisscanners is dat er geen fysiek contact met het apparaat vereist is, wat de hygiëne ten goede komt. Er kleven ook nadelen aan irisscanners, want ze zijn relatief duur en het infraroodlicht in de scanner kan schadelijk zijn voor het menselijk oog. Dat kritiekpunt geldt overigens niet voor EyePrint ID van de Amerikaanse startup EyeVerify. Deze technologie maakt namelijk geen gebruik van infraroodlicht en scant niet de iris, maar de patronen van de bloedvaten in het oogwit. Het identificatieproces duurt alleen wel een stuk langer dan bij conventionele scanners. Marktonderzoeksbureau Technavio voorziet een aantal ontwikkelingen op het gebied van irisscanners. Zo zullen ze steeds vaker worden gebruikt in combinatie met een andere biometrische beveiligingsmethode, bijvoorbeeld een vingerafdrukscanner. Deze zogeheten multimodale aanpak, die betrouwbaarder, veiliger en nog nauwkeuriger is, wordt al op grote schaal toegepast in landen als de Verenigde Staten en Japan. Een andere trend is dat financiële instellingen zoals banken irisscanners verwerken in hun pinautomaten, want een irisscan is veel moeilijker te kopiëren of te stelen dan een pincode. De Qatarese bank QNB is daar al aardig ver mee. De technologie breekt mogelijk ook door in de onderwijswereld. Het is niet uitgesloten dat scholieren op termijn hun iris moeten laten scannen om de les in te komen, snoep uit een automaat te halen en een boek van de bibliotheek te lenen.

Gezichtsherkenning

Mensen onthouden we vooral aan de hand van hun gezicht en in dat licht bezien is het ontwikkelen van technologie voor gezichtsherkenning een logische stap. Bij gezichtsherkenning maakt een camera een foto van je gezicht en worden allerlei kenmerken vergeleken met foto’s in een database om je te identificeren. Denk aan de afstand tussen je ogen, je wenkbrauwen en je jukbeenderen. Veel bestaande (beveiligings)camera’s kunnen geschikt worden gemaakt voor een vorm van gezichtsherkenning, waardoor het breed introduceren ervan in de basis vrij makkelijk is. Het vormt zo een krachtig wapen in de strijd tegen terroristen en criminelen, maar er klinkt ook kritiek van privacy-activisten die het maar niks vinden dat al die gezichten worden gescand en opgeslagen. Naast overheidsorganisaties zien ook bedrijven brood in gezichtsherkenning. Zo brengt Microsoft deze en andere biometrische beveiligingsmethoden als de vingerafdrukscanner samen in Windows Hello, een vrij nieuwe manier van inloggen voor Windows 10-apps, -apparaten en – diensten. De facial recognition-markt kan grofweg worden onderverdeeld in drie categorieën: 2D, 3D en gezichtsanalyse. 2D-technologie voor gezichtsherkenning is nu nog het meest gangbaar en ook het goedkoopst, maar bij veranderende lichtomstandigheden, invalshoeken en gezichtsuitdrukkingen schiet 2D in de praktijk toch vaak tekort. Op dat vlak scoort 3D-gezichtsherkenning beter en daar lijkt dan ook meer toekomst in te zitten. Het legt gezichten vast in drie dimensies en maakt daarvoor onder meer gebruik van complexe algoritmes en HD-technologie om zo de eerder genoemde tekortkomingen van 2D te tackelen. Ten slotte zijn er bedrijven die zich uitsluitend bezighouden met het geautomatiseerd lezen en analyseren van gezichtsuitdrukkingen. Hun software wordt onder meer gebruikt voor marketingdoeleinden, om te bepalen hoe oud iemand op een foto is en of het een man of een vrouw is.

Handtekeningherkenning

Iedereen schrijft anders en heeft zijn eigen handtekening. Een handtekening is dan ook een algemeen geaccepteerde manier om jezelf te identificeren. Waar andere biometrische beveiligingsmethoden zich toespitsen op unieke eigenschappen van je lichaam, richt digitale handtekeningherkenning zich op je gedrag, namelijk hoe je je krabbel precies zet. De Biometrics Research Group onderscheidt twee vormen. Allereerst is er statische handtekeningherkenning, waarbij iemands handtekening wordt gedigitaliseerd met een optische scanner of camera. Vervolgens wordt er een algoritme op losgelaten dat de vorm van de tekst analyseert op bijna 40 kenmerken, zoals de krommingen, de randen en het zwaartepunt. Bedrijven als banken gebruiken statische handtekeningherkenning voor het geautomatiseerd goedkeuren van bijvoorbeeld cheques. Wat deze vorm van handtekeningherkenning kan bemoeilijken, is dat je handtekening er niet elke keer precies hetzelfde uitziet, dat het systeem vaak maar over een paar varianten per persoon beschikt en dat er geen informatie voorhanden is over de beweging van de pen. Die beweging staat juist centraal bij dynamische handtekeningherkenning. Daarbij worden zaken als de snelheid en de versnelling van de pen en de uitgeoefende druk geanalyseerd om iemands identiteit te bepalen. Sommige slimme systemen voor dynamische handtekeningherkenning houden zelfs rekening met natuurlijke veranderingen in je handtekening. Een scan van een handtekening kan door handige oplichters met behulp van software worden vervalst, maar goede dynamische handtekeningherkenning is vrijwel onmogelijk om de tuin te leiden. Toch is het ook bij deze vorm een probleem dat we niet altijd op precies dezelfde manier voor iets tekenen. Ondanks dat zit handtekeningherkenning in de lift en er zijn ook al veel devices en -apps die gebruikmaken van de technologie. Zo liet Samsung bezitters van diverse oudere Galaxy-toestellen hun smartphone ontgrendelen door hun krabbel te zetten.

Stemherkenning

Wie tegenwoordig iets belangrijks telefonisch wil regelen, krijgt in het ergste geval te horen dat het uit voorzorg niet mogelijk is. Als het meezit, moeten er in ieder geval meerdere controlevragen worden beantwoord om de identiteit te verifiëren. Met behulp van stemherkenning valt in dit proces veel tijd en daarmee geld te besparen. Bovendien is het verschrikkelijk lastig om iemands stem precies en consequent na te bootsen. Oplichters die op slinkse wijze gegevens van mensen ontfutselen en naar de bank bellen om met die informatie in handen de opdracht te geven tot een grote illegale transactie, lopen tegen de lamp omdat hun stem simpelweg niet matcht met die van het slachtoffer. Bedrijven en organisaties als Barclays en ATO, de Australische fiscus, zetten er zwaar op in. Voor ATO was een succesvolle test met stemherkenning al aanleiding om de technologie te integreren in haar mobiele app. Stemherkenning bleek ertoe te leiden dat telefoongesprekken gemiddeld zo’n 40 seconden minder lang duurden en de reacties van klanten waren zeer positief. Ook grote technologieconcerns investeren in stemherkenning en verzinnen er praktische toepassingen voor. Zo begon Google een klein jaar geleden met het uitrollen van Trusted Voice Smart Lock, dat gebruikers in staat stelt hun smartphone te ontgrendelen door ‘OK, Google’ te zeggen. Het bedrijf benadrukte wel dat Trusted Voice minder veilig is dan een pincode, wachtwoord of unlockpatroon. Als iemand stiekem opneemt hoe jij je smartphone ontgrendelt, kan diegene in theorie ook je toestel unlocken door de geluidsopname af te spelen. Dit mag geen obstakel zijn om Trusted Voice te gebruiken, want de meeste mensen zullen niet gauw het doelwit worden van dergelijke spionagepraktijken. Maar het illustreert wel dat stemherkenning op zich, net als de andere biometrische beveiligingsmethoden die hier voorbijkwamen, ook zo zijn zwakke punten heeft.

Lees meer

Onderzoek Zscaler ThreatLabz: AI-gedreven phishingaanvallen met 60% toegenomen
Onderzoek Zscaler ThreatLabz: AI-gedreven phishingaanvallen met 60% toegenomen
Welk AI-model biedt de beste bescherming tegen moderne cyberaanvallen?
Welk AI-model biedt de beste bescherming tegen moderne cyberaanvallen?
De evolutie van phishing: vishing & quishing
De evolutie van phishing: vishing & quishing
Bedrijfsveiligheid in de breedste zin van het woord
Bedrijfsveiligheid in de breedste zin van het woord
Trend Micro onthult nieuwe mogelijkheden voor cyberrisicobeheer
Trend Micro onthult nieuwe mogelijkheden voor cyberrisicobeheer
Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie