De gedachte achter biometrische beveiliging is al tientallen jaren bekend uit science fiction-boeken en James Bond-films. Sinds het einde van de vorige eeuw zijn biometrische beveiligingsproducten al op grote schaal commercieel inzetbaar. Maar het implementatiepercentage was tot kortgeleden heel erg beperkt. Dit is behoorlijk veranderd door het massale gebruik van vingerafdruk-scanners en gezichtsherkenning op smartphones en ook laptops.
Doordat dit soort technologieën bij veel smartphones zijn ingebouwd, is niet alleen de beschikbaarheid groot maar is vooral de acceptatie door gebruikers enorm toegenomen. Zakelijke beveiligingsoplossingen kunnen hiervan profiteren en we zouden kunnen spreken van een ‘consumerisatie’ van beveiliging.
Makkelijk veilig
Biometrische beveiliging biedt kansen voor organisaties en gebruikers. Niet alleen is de techniek an sich veel sterker dan de complexiteit van wachtwoorden, het is bovendien veel gebruiksvriendelijker. Bovenal is biometrie een goede keuze als onderdeel van een multi-factor-authenticatie: een combinatie van iets wat je moet weten met iets wat je moet hebben. Omdat mensen hun biometrische gegevens altijd ter beschikking hebben, zullen werknemers altijd kunnen inloggen op hun computer en ook na de zomervakantie bijvoorbeeld geen problemen hebben, omdat zij hun wachtwoord of hun token vergeten of kwijt zijn.
Ook voor enkelvoudige authenticatie is biometrische beveiliging niet zelden een betere oplossing dan een wachtwoord. Dit omdat helaas teveel gebruikers (administrators niet uitgezonderd!) nog steeds te vaak voor te zwakke wachtwoorden kiezen. Ook noteert niemand zijn biometrische data op bijvoorbeeld een post-it, deelt ze met andere gebruikers of kijkt af over een schouder. Hierdoor zal een biometrische beveiliging vaak beter zijn dan enkelvoudige authenticatie met een wachtwoord.
Let wel op
Zoals met alle security-technologieën is ook voor biometrische beveiliging een goede implementatie van cruciaal belang. Bij de marktleidende smartphones is dit bijvoorbeeld al goed geregeld voor de vingerafdrukscanners: de data verlaten de telefoon niet. Er wordt een abstracte weergave van de afdruk berekent. Deze wordt versleuteld en op een speciaal beveiligde locatie opgeslagen. Sterk punt hiervan is dat deze data niet gedeeld of geüpload worden naar andere locaties waar cybercriminelen ze zouden kunnen vinden. Ook is de originele afdruk niet te herleiden. Als iemand dus zijn smartphone verliest, zullen de biometrische data extreem moeilijk te ontsleutelen zijn. Voor de meeste cybercriminelen is deze drempel te hoog en loont het de inspanning niet. Alleen voor zeer gerichte aanvallen ligt dat een beetje anders.
Biometrische beveiliging heeft echter ook een eigenschap die de bescherming van deze data nog belangrijker maakt dan bij andere gevoelige gegevens. Gevallen als in het verfilmde boek “Minority Report” even buiten beschouwing gelaten, waar iemand twee nieuwe ogen laat implementeren om een nieuwe identiteit te claimen, zijn biometrische gegevens uniek en veranderen ze nauwelijks. Terwijl een gestolen wachtwoord of pin in een mum van tijd kan worden vervangen is dit bij gestolen biometrische data niet mogelijk. Iemand wiens vingerafdruk-data gestolen zijn, zal dus zijn vingerafdruk niet meer als eenduidige authenticatie kunnen gebruiken. Om die reden moeten moderne authenticatiemiddelen gebruikmaken van meervoudige authenticatie (bijvoorbeeld vingerafdruk + pin), waarbij een goede implementatie niet alleen de data veilig opslaat, maar dit op een duurzame en gebruiksvriendelijke manier doet.
Sommige biometrische methodes zijn overigens gevoeliger voor misbruik dan andere. Zo zijn vingerafdrukken redelijk eenvoudig te vinden en te kopiëren. Behalve dat het sporenonderzoek van de recherche hier dankbaar gebruik van maakt, wordt dit ook bij diverse films aangetoond. Met een stukje plakband en het glas dat het slachtoffer heeft gebruikt, kom je al vrij snel een heel eind. In vergelijking met vingerafdrukken zijn irisscans veel minder gevoelig voor dit soort misbruik omdat je als persoon niet zo snel ergens een kopie van je iris laat slingeren. Echter is bewezen dat deze techniek met een goede foto omzeilt kan worden.
Veel kansen
Biometrische authenticatiemethoden bieden veel kansen voor ontwikkelaars en het verkoopkanaal. Het gebruiksgemak van biometrische bescherming biedt ontwikkelaars de mogelijkheid een gebruiksvriendelijke en efficiënte beschermingslaag toe te voegen aan gevoelige data of applicaties. De goede balans tussen veiligheid en gebruikersgemak kan gevonden worden in een risico-gebaseerde aanpak. Met andere woorden: hoe hoger het vereiste veiligheidsniveau, des te sterker de benodigde authenticatie. Denk bijvoorbeeld aan een bankieren-app waarop men zonder een wachtwoord of pin het saldo op de rekening kan zien (de telefoon is de eerste authenticatie). Na biometrische authenticatie kan men vervolgens ook de rekeningdetails zien en voor het goedkeuren van transacties is nog een aanvullende pin, wachtwoord of tan nodig. Het gebruiksgemak van biometrie is belangrijk voor de adoptie van sterkere beveiliging. Organisaties kunnen een beschermingslaag toevoegen die niet door de eindgebruikers verzwakt wordt, door bijvoorbeeld voor hun geboortedatum als wachtwoord te kiezen.
Resellers en var’s kunnen zich op het vlak van biometrische bescherming goed profileren door hun klanten te helpen de juiste producten te kiezen en deze op de goede manier te implementeren. Door expertise op te bouwen, kunnen ze die biometrische oplossingen eruit pikken die de bovengenoemde aspecten zoals de encryptie van gegevens en opslag op een veilige locatie goed geregeld hebben en waarde toevoegen op producten die configuratie vereisen voor een verbeterde risico-gebaseerde beveiliging. Ook al zijn biometrische methodes al lang geen science fiction meer, de meeste organisaties hebben advies nodig om deze extra laag van beveiliging effectief te kunnen implementeren.
Niet in de laatste plaats hebben organisaties ook advies nodig op het gebied van wet- en regelgeving. Zo bevat de Algemene Verordening Gegevensbescherming (AVG/GDPR), die 25 mei van kracht wordt, ook definities en regels over het gebruik, de beveiliging en verwijdering van biometrische gegevens. Met deze regels moet elke organisatie rekening houden. Omdat vele organisaties hier echter nog ontoereikend op voorbereid zijn, biedt ook het aspect van wet- en regelgeving in verband met biometrische technologie goede kansen voor het verkoopkanaal om als adviseur extra omzet te halen.
