In 2013 was het Apple die via de iPhone 5s Touch ID introduceerde. Amper vier jaar later kwam Face ID, waarmee Apple definitief de weg vrijmaakte voor biometrische ontgrendeling als standaard. Android-fabrikanten volgden snel, met gezichtsherkenning op basis van camera's of infrarood. Inmiddels worden deze vormen van authenticatie ook buiten smartphones toegepast. Laptops, smart locks en zelfs auto's zijn steeds gebruiksvriendelijker te ontgrendelen. En omdat iedereen bijvoorbeeld een andere vingerafdruk heeft, kan het bijna niet misgaan, toch? Bij deze moderne implementaties worden de biometrische kenmerken overigens nooit als ruwe afbeeldingen opgeslagen, maar als een wiskundige representatie binnen een hardwarematig geïsoleerde Secure Enclave of Trusted Execution Environment (TEE).
Biometrische ontgrendeling is handig, maar niet waterdicht
Hoewel biometrische ontgrendeling veiliger lijkt dan een wachtwoord, zijn ook deze methodes niet onfeilbaar. Vingerafdrukscanners kunnen gefopt worden met siliconenafdrukken. Moderne ultrasone vingerafdrukscanners onder het scherm tackelen dit risico in het high-end segment overigens grotendeels door de driedimensionale microtextuur van de huid inclusief bloeddoorstroming te meten, waardoor statische 2D-spoofing onmogelijk wordt. Gezichtsherkenning werkt soms ook bij tweelingen of via foto's. Dat laatste valt nog te omzeilen wanneer het systeem diepte meet (zoals met infrarood of LIDAR), maar dat is lang niet bij elk gezichtsherkenningsslot het geval.
Een bijkomend risico: je biometrische gegevens zijn onveranderlijk. Wordt je gezicht of vingerafdruk gelekt? Dan kun je die niet 'resetten' zoals bij een wachtwoord. Daarom is opslag en versleuteling van deze data cruciaal. Hoe dat gedaan wordt verschilt sterk per fabrikant en systeem.
De nieuwste speler: handpalmherkenning
Een opvallende nieuwkomer is handpalmherkenning. Hierbij wordt niet je huidoppervlak gescand, maar het unieke patroon van bloedvaten onder je handpalm. Deze techniek maakt gebruik van nabij-infraroodlicht om het unieke deoxymaglobinepatroon in de aderen vast te leggen, wat een fysiologische 'liveness-check' garandeert. Het meet dus een fysiologisch kenmerk dat van buitenaf onzichtbaar is, en daardoor fundamenteel moeilijker te vervalsen valt. Amazon One gebruikt het al in kassaloze winkels, en ook Fujitsu past het toe in toegangscontrolesystemen.
Voordelen? Contactloos, hygiënisch en minder gevoelig voor spoofing. De techniek kan bovendien gekoppeld worden aan andere factoren, zoals locatie of gebruikspatroon, voor nog hogere zekerheid.
Wat is er nog meer mogelijk?
Naast handpalmherkenning verschijnen steeds meer alternatieve of experimentele methodes:
Gedragsbiometrie
Bij gedragsbiometrie herkent een apparaat je aan je typsnelheid, swipe-ritme of loopstijl. Het let dus op de kleine trekjes, maar de vraag is of dat genoeg is om conclusies te trekken. Mensen kunnen immers af en toe iets op een andere manier doen.
Stemherkenning
Deze ken je misschien al uit films - op basis van een stem weet een apparaat dat jij het bent. Deze techniek wordt al toegepast bij klantenservices, maar is momenteel nog kwetsbaar voor deepfakes. Met de opkomst van AI is de toekomst dus onzeker.
Hartslagprofielen (ECG)
Hierbij wordt je unieke hartactiviteit gemeten via wearables als een smartwatch.
Hersengolven (EEG)
Hier zit niet je hart, maar je hersens onder de loep. Unieke hersenpatronen zouden gebruikt kunnen worden als identificatiemethode, maar dit idee ligt nu vooral nog in laboratoria.
Contextuele authenticatie
Plof jij na een lange werkdag ook altijd om dezelfde tijd met je telefoon op de bank om even te doomscrollen? Via locatie-, tijdstip- en gebruiksgedragsmetingen bepalen apparaten of je automatisch toegang krijgt. In enterprise-omgevingen vertaalt dit zich naar 'Zero Trust Continuous Authentication', waarbij een dynamische risk-score op de achtergrond bepaalt of er geruisloos een 'step-up' authenticatie (zoals een extra pincode of hardware token) vereist is bij afwijkende parameters.
Deze methodes kunnen afzonderlijk gebruikt worden, of gecombineerd in zogeheten multifactor- of passieve authenticatiesystemen. Stel dat je een keer uit eten bent en wat anders loopt vanwege een lekker wijntje, of je hebt net hardgelopen - dan moet er natuurlijk een bypassoptie zijn. Cruciaal hierin is dat al deze biometrische cloud- en hardware-interfaces in toenemende mate worden gestandaardiseerd onder de vlag van de FIDO2- en WebAuthn-protocollen. De lokale biometrische verificatie fungeert hierbij puur als de fysiologische 'sleutel' die de private key op het apparaat vrijgeeft, waarmee de industrie met de adoptie van Passkeys de definitieve nekslag toebrengt aan traditionele, phishing-gevoelige inloggegevens.
Wat betekent dit voor de toekomst?
De trend is duidelijk: van actieve input (wachtwoord typen) naar passieve herkenning (je gedrag of fysiologie). Dat verhoogt gebruiksgemak, maar stelt ook hoge eisen aan data-opslag, privacywetgeving en ethische grenzen. Want als je altijd en overal automatisch herkend wordt, waar eindigt gemak en begint controle? Binnen enterprise-omgevingen zal de discussie daardoor verschuiven van de pure effectiviteit van de biometrische scan naar het waterdicht auditen van de onderliggende cryptografische keten en de soevereiniteit van gebruikersdata.
Toch ligt de toekomst open. Biometrische ontgrendeling zal steeds minder zichtbaar worden, maar steeds dieper verweven raken met onze apparaten, onze infrastructuur en zelfs ons lichaam.
