Betalen we binnenkort allemaal met een 'selfie' als beveiligingsmethode? Een proef is gaande waarin honderden Nederlanders gezichtsherkenning gebruiken voor het doen van mobiele transacties. Gebruiksgemak lijkt hier voorrang te krijgen ten koste van veiligheid.
Mastercard en ABN Amro haalden onlangs het nieuws doordat zij een proef aankondigden met het gebruik van gezichtsherkenning als authenticatiemethode bij mobiele creditcardbetalingen. Maximaal 750 creditcardhouders doen mee aan de proef, die loopt van eind augustus tot eind november. Omwille van de veiligheid van de gebruikers maken gebruikers geen ‘selfie’ door middel van een foto, maar maakt de technologie gebruik van video-opnames.
Dit om het scenario te voorkomen waarin kwaadwillenden een foto voor de cameralens houden om het systeem te misbruiken. De twee bedrijven hebben laten weten dat zij de privacy van de gebruikers beschermen door het beeldmateriaal niet in een centrale database op te slaan, maar lokaal op het toestel zelf.
Lokale opslag is cloudopslag
Maar nu de hamvraag: is de gezichtsherkenning wel zo’n goed idee? Op het moment dat een applicatie lokaal informatie opslaat, is informatie per definitie juist beschikbaar geworden. Op een Android-telefoon wordt bijvoorbeeld alles dat op het toestel gebeurt, eigendom van Google. Dit staat in de voorwaarden, waarmee gebruikers akkoord zijn gegaan om de telefoon te kunnen gebruiken. Het beeldmateriaal staat daardoor ook in de Google-cloud.
Bij een grootschalig lek of hack kan deze informatie in verkeerde handen terechtkomen. Een ander aspect van gezichtsherkenning is heel praktisch: wat als de gebruiker nu eens een blauw oog heeft en niet met zijn ogen kan knipperen? Mensen hebben helaas maar één hoofd en dat maakt deze methode voor biometrische authenticatie lastiger om te gebruiken dan andere methodes, zoals iris- en handpalmscans.
En hoe waterdicht is een methode eigenlijk, waarin het knipperen met je ogen volstaat als identificatiemethode? Kan iemand bijvoorbeeld ook een filmpje afspelen voor de cameralens om dit effect te simuleren? Los daarvan is de veiligheid van de genoemde iris- en handpalmscan vele malen hoger dan gezichtsherkenning, omdat de uniciteit van de lichaamskenmerken die zij meten vele malen hoger is.
Er lopen genoeg mensen rond die een look-a-like hebben, tweelingen bijvoorbeeld. Ook zijn er mensen die gewoon als twee druppels water op elkaar lijken en kunnen mensen zich gaan opmaken of zelfs maskers dragen om zich als een ander voor te doen. Er zijn tal van manieren waarop te frauderen is bij gezichtsherkenning, iets dat bij de andere beveiligingsmethoden vrijwel onmogelijk is.
Weegt gemak op tegen risico?
Het is overigens zeer begrijpelijk dat financiële dienstverleners die biometrische authenticatiemethoden overwegen, voor gezichtsherkenning kiezen. Dit is namelijk het eenvoudigst te realiseren. Er zijn nog maar weinig smartphones met irisscanners op de markt gebracht en telefoons met ‘palm vein’-authenticatie zijn er helemaal nog niet. Het is dan ook logisch dat men kiest voor authenticatie door middel van de camera die in iedere smartphone zit. Maar weegt het gemak voor de gebruiker wel op tegen de risico’s?
Een apparaatje dat variabele tijdscodes genereert – zoals de E.dentifier van ABN-Amro of de Rabo Scanner – is nu niet nodig en dat kan handig zijn voor de gebruiker die onderweg is. Maar de klant zelf zou hier de afweging moeten maken wat voor hem of haar veilig genoeg is. Bedrijven die gezichtsherkenning gaan aanbieden als beveiligingsmethode zullen daar zeer transparant in moeten zijn en het publiek op een laagdrempelige manier zelf kunnen laten kiezen wat voor hen veilig genoeg is.
Een belangrijk verschil tussen gezichtsherkenning en andere biometrische authenticatie als iris- en handpalmscans is dat de laatste alleen metadata opslaan. Unieke lichaamskenmerken als het aderpatroon in je handpalm worden gematcht met deze metadata, maar tegelijkertijd heeft een hacker aan de metadata alleen helemaal niets.
Het is als het scheiden van het sleutel en het slot. Ook gezichtsherkenning maakt gebruik van metadata, maar voegt deze metadata toe aan het oorspronkelijke materiaal dat lokaal (en dus waarschijnlijk ook in de cloud) is opgeslagen. Een systeem dat te vergelijken is met de gezichtsherkenningstechnologie die Google in de fotodienst Picasa gebruikt om personen in foto’s te taggen.
Toekomst is voor biometrisch
Biometrische beveiliging heeft absoluut de toekomst, daar bestaat geen misverstand over. Microsoft geeft gebruikers sinds Windows 8.1 de optie om in te loggen door middel van gezichtsherkenning, naast opties als pin, vingerafdruk of swipe-gebaar (voor touch-devices). Een wachtwoord is ouderwets, vindt Microsoft. En dat is met name omdat mensen geneigd zijn te zwakke wachtwoorden te gebruiken of overal dezelfde wachtwoorden kiezen. Toch is het goed om een gezonde discussie te voeren over biometrische beveiliging.
De irisscan heeft interessante mogelijkheden voor mobiele toepassingen, door de kleine afmetingen van de sensor en de hoge veiligheid. Palm vein-technologie is met name geschikt voor betaalterminals of toepassingen in winkels of zorginstellingen. De minimale afmetingen van 10x10x4 mm maken de sensoren (nu nog) te groot voor gebruik in smartphones. Een nadeel van het gebruik van nieuwe sensoren is echter dat toestellen er duurder van worden.
Het gebruikmaken van een standaardcapaciteit (de camera) is een manier om nu al grootschalig mobiele biometrische authenticatie voor een groot publiek te gebruiken. Maar nogmaals, er worden daarbij wel concessies gedaan op het gebied van veiligheid.
Het lokaal opslaan van beeldmateriaal op een smartphone maakt privacygevoelige informatie breder beschikbaar. Dit is iets waar gebruikers zich bewust van moeten zijn. Wanneer iemand een selfie maakt en deze op Facebook zet, dan moet hij of zij dat helemaal zelf weten. Maar in dit geval maak je een selfie voor een transactie en daarmee krijgt de selfie een heel andere waarde. Hierdoor kleven er grote beperkingen aan een brede adoptie van biometrische beveiliging door het gebruik van smartphonecamera’s.
In scenario’s waarin je een online aankoop wil doen en alleen je telefoon bij je hebt, is het natuurlijk een interessante ‘user case’. In feite verlaagt het de drempel voor het doen van impulsaankopen. Bij overboekingen die horen bij creditcardbetalingen gaat het echter doorgaans niet om kleinere bedragen, zoals bijvoorbeeld bij contactloos betalen wel het geval is. Dan is het eigenlijk de vraag of deze wijze van authenticatie en bijkomende mate van veiligheid daar wel bij past.
Arie Kraan, it architect consultant bij Fujitsu Nederland
Security vs usability, wat weegt meer?
Gezichtsherkenning, Waarom geen extra authenticati erbij zoals een PIN of SMS-authenticatie?
Het gebruik van n-factor authenticatie is veiliger dan alleen maar 1-factor authenticatie.
Gemak is 1 ding, maar een hack op je bankrekening is geen gemak meer.
Sorry, maar vind het artikel nogal wat mis-informatie geven tussen de wel af en toe zinnige opmerkingen.
“Het lokaal opslaan van beeldmateriaal op een smartphone maakt privacygevoelige informatie breder beschikbaar.”
Onzin. Denk je dat Android / Google dit leesbaar op een telefoon plaatst? Wellicht wordt het zelfs client side versleuteld en *kan* Google er niet eens bij. Dus lokale opslag is helemaal geen goed argument in deze en zo juist als pro-security moeten gelden.
“Op een Android-telefoon wordt bijvoorbeeld alles dat op het toestel gebeurt, eigendom van Google.”
Onzin. En definieer “gebeurt” en “alles”. Al je content die je maakt is gewoon jouw eigendom. Punt. Bij voorwaarden bijv. in Facebook staat wel dat Facebook een licentie heeft op alles wat je met Facebook doet. Dat doen ze niet omdat ze jouw data verkopen (Hint: Dat doen ze niet), maar omdat het juridisch anders onmogelijk wordt de dienst aan te kunnen bieden zonder direct aanklaagbaar te zijn.
Dan maak je een case dat gezichtsherkenning niet veilig genoeg zijn voor financiële transacties. Meldt daarbij wel dat *banken* over het algemeen het risico van misbruik op zich nemen, dus de enige die benadeeld wordt is de bank, niet de gebruiker.
Overigens hoop ik dat gezichtsherkenning alleen gebruikt wordt voor kleine transacties of transacties naar personen waar je al eerder transacties mee gehad hebt. Dit is namelijk de manier om overvallers geen reden of kans te geven.
Als je dingen als “wassen neus” gaat bestempelen moet je wel goed beslagen ten ijs komen.
@Henri
Ik ben het met je eens dat dit artikel niet uitblinkt in grondigheid en er uitspraken gedaan worden die eerder als halve waarheden te betitelen zijn.
Toch zou je Facebook moeten wantrouwen als je de achtergronden leest, zoals sterke samenwerking met de usa-overheid en handel met jouw data.
Wie dat gebruikt is zich meestal niet bewust dat zijn/haar profiel leidt tot een glazen mens, net als bij Google.
Gevoelige data opslaan op je smartphone is geen goed idee, versleuteld of niet. Op Android heeft Google te veel grip en op IOS Apple en beide willen alles kontroleren wat gebruikers doen en profielen aanvullen om jou tot glazen mens te maken.
Dat banken nu proberen met gezichtsherkenning te authentificeren zie ik eerder als een bewijs van onmacht, er is in al die jaren nog geen goede en eenvoudige authenticatie-methode ontwikkeld. Bij de gigantische winsten kon men toch een paar mio investeren in RnD voor zoiets.
Overigens is het ook nog eens zo dat heel veel voorwaarden die bedrijven aan consumenten opleggen in ieder geval binnen de EU helemaal niet rechtsgeldig zijn. Veel burgers denken werkelijk dat bedrijven de wet dicteren, in de EU zeker niet. Wat de VS moeten ze zelf weten, die leven in een “juridische proces” cultuur. De volgorde is dat bedrijven en consumenten zich eerst aan de wet houden en daarna volgt pas wat ze onderling afspraken. Als dat wat ze onderling afspreken tegen de wet is, geldt die afspraak dus niet. Natuurlijk moet je dat helaas vaak voorleggen aan de rechter. Daar zit dan ook de rechtsongelijkheid naar burgers, maar daar zou de EU of een consumenten autoriteit een proces tegen de Facebooks, Google’s en dergelijke kunnen aanspannen.
@Henri,
Hoewel het artikel mij niet zo aanspreekt deel ik wel met je dat het opslaan van beeldherkeningsdata niet als een jpg bestandje zal worden opgeslagen.
Dit simpelweg omdat een foto niet erg bruikbaar is voor gezichtsherkenning.
Wat je daarvoor nodig hebt zijn enkele parameters zoals afmetingen en positie van oren, ogen, neus ect. Daarmee kun je vervolgens middels digitale signaalverwerking heel snel in een bestand een gelijkenis (dus niet noodzakelijk een match, want met die bril op zie je er toch echt anders uit) vinden.
Ik zie vooral een gevaar dat mensen die daar niet om gevraagd hebben weer worden gedwongen zich te conformeren aan allerlij modegrillen van politieke beslissers.
Onnodige info op je paspoort, reisgegevens op je treinkaartje, marketing onzin op je wc-rol…. (damm goed idee van mijzelf reclameslogans op wc papier, daar waar ze thuishoren).
Pascal: Gezichtsherkenning lijkt me een feature voor gemak, en dus niet verplicht, en voldoet dus aan je criterium dat mensen niet gedwongen worden.
Jan, ik snap dat je Facebook wantrouwt, toch lijkt me het gebruik van Android / Windows Phone / iPhone redelijk op dezelfde schaal te bevinden. Zij gebruiken jouw toestel o.a. om alle wifi punten in kaart te brengen.
On-topic en ter verduidelijking. Ik gebruik LastPass, deze slaat ook lokaal op het toestel data op en overigens in de cloud. Toch kan zowel het OS op mijn toestel in de basis geen vertrouwelijk info delen met Google / Apple en kan zelfs LastPass die mijn data host mijn data niet inzien. Ik geloof dus best dat gezichtsherkenning best betrouwbaar kan zijn.
Maar om een fundamentalistische discussie te vermijden (alles kan gehackt worden, niets is volledig veilig) wil ik graag deze beredenering delen.
Als ik een elektrische fiets koop a 2000 euro (hypotetisch, ik heb geen elektrische fiets) zet ik deze ook wel eens op slot. Meestal een groter slot dan voor een goedkope fiets. Punt is: Fiets kan altijd gestolen worden en zo is het ook met gezichtsherkenning. Ja, je kunt met maskers werken en andere truuken, maar wat is de maximale schade wat daarmee aangericht kan worden? Aangenomen dat je een maximum hebt op wat je met gezichtsherkenning uit kunt geven.
Maar “get over this”, om te kunnen bankieren zul je dus eerst in moeten loggen op de telefoon! Als iemand dat kan / doet, dan ben je zowieso het haasje, bij veel sites kun je dan “vergeten wachtwoord” doen, je krijgt een email op die telefoon en voila je bent binnen. Verandert het email adres naar je fake adres, et cetera.
Dus gezichtsherkenning is slechts onderdeel van het veiligheidsproces en in feite een indirecte two factor authentication. Dus hoezo wassen neus?
Banken zijn best zuinig op eigen geld en hun geld gaat eraan als de spullen niet deugen. Het is dus wat voorbarig om dingen een wassen neus te noemen.
Misvatting,
“Zij gebruiken jouw toestel o.a. om alle wifi punten in kaart te brengen.”
Voor telefoneren neem ik een €20 toestelletje dat ik in mijn broekzak meeneem, gaat het kapot, pech, zo een nieuwe.
Ga ik met de smartphone op pad dan staan WiFi en GPS uit, GPS staat so wie so uit. Er zit een anonieme sim in die ik na 1 Gb wissel. En internet-bankieren met een smartphone weiger ik. Dat doe ik alleen met Linux en een browser met 8 plugins voor extra veiligheid.
Banken interesseert de beveiliging te weinig omdat in vergelijk met de sommen die in die wereld rondgepompt worden, dat bedrag te klein is.
“Biometrische beveiliging heeft absoluut de toekomst, daar bestaat geen misverstand over.”
Daar bestaat zeker wel een misstand over. Als je biometrische gegevens zijn gestolen kan je die niet veranderen. Nou ja, het gelaat wel maar om daarvoor een bezoekje bij een plastisch chirurg af te moeten leggen gaat toch wel iets ver.
Het punt is overigens dat banken maar wat graag willen dat al het betaalverkeer gedigitaliseerd wordt en dus ook met dit soort onveilige initiatieven op de proppen komt.
Wist u dat in de kleine lettertjes van de overeenkomst met uw bank staat dat het geld dat wat u op de bank zet niet meer van u is maar van de bank in ruil voor een tegoed? En als je alleen nog maar digitaal kan betalen wordt het voor de banken ook veel makkelijker om negatieve rente te rekenen.