Wachtwoorden sterven uit. Volgens Gartner maakt in 2022 het overgrote deel van de authenticatiesystemen gebruik van een combinatie van machine learning, biometrie en gedragsanalyses. Met name biometrische identificatie rukt op. Daarmee komen ook de tekortkomingen steeds nadrukkelijker aan het licht. Met welke risico’s moeten we rekening houden?
Biometrie is de oudste vorm van identificatie. Al sinds het ontstaan van de mensheid herkennen mensen elkaar aan de stem, het gezicht of zelfs de reuk. Moorden worden al decennia opgelost aan de hand van de vingerafdrukken die op de plaats delict worden aangetroffen. Later kwam daar dna bij als middel om daders op te sporen.
Ook het idee dat computersystemen een identiteit kunnen vaststellen door bijvoorbeeld iemands vingerafdruk of iris te scannen, is niet nieuw. Deze vorm van biometrische identificatie is de afgelopen jaren echter wel steeds gangbaarder geworden. Het is inmiddels heel normaal om je smartphone of tablet te ontgrendelen met een vingerafdruk. Ook kijken we niet meer op van boarden met je gezicht of betalen met een glimlach.
Biometrie verdringt wachtwoord
De ontwikkelingen op het gebied van biometrische identificatie gaan momenteel snel. Zo demonstreerde Nissan een conceptauto waarvan de digitale assistent met een vingerafdruk tot leven is te wekken. Facebook kondigde begin dit jaar de overname aan van Confirm.io. Het gaat de biometrische technologie van deze start-up toepassen om gebruikers die hun inloggegevens kwijt zijn weer toegang te geven tot het sociale netwerk.
Bijna tegelijkertijd maakte Mastercard bekend dat klanten vanaf april 2019 online betalingen kunnen bevestigen door middel van een vingerafdruk, irisscan of gezichts- en stemherkenning. Volgens Mastercard is dit goed nieuws voor retailers, want klanten zijn sneller geneigd om een aankoop af te ronden als ze gebruik kunnen maken van biometrische identificatie. 93 procent zou de voorkeur geven aan biometrie boven het gebruik van een wachtwoord.
Is biometrie veiliger?
Deze ontwikkelingen bieden channelpartners legio kansen, onder andere als het gaat om het ontwerpen en implementeren van identitymanagementsystemen die gebruikmaken van biometrie. Maar ook als het gaat om het fraudebestendig maken van biometrische authenticatie, zijn er genoeg stappen te zetten. Denk aan het inzetten van geavanceerdere scanners en sensoren die niet zo eenvoudig in de maling zijn te nemen.
Biometrie wordt vaak gezien als een veilig alternatief voor het inloggen met gebruikersnaam en wachtwoord. In de ‘oude wereld’ is de verleiding groot om wachtwoorden te gebruiken die eenvoudig zijn te onthouden en daardoor ook eenvoudig zijn te raden. Maar ook complexere wachtwoorden kunnen via bruteforce- en man-in-the-middle-aanvallen in verkeerde handen vallen. Tweefactorauthenticatie, waarbij de gebruiker naast gebruikersnaam en wachtwoord bijvoorbeeld nog een sms-code moet invullen, is eveneens niet waterdicht. Ook sms-codes zijn te onderscheppen.
Deze problemen zouden allemaal niet spelen bij biometrie, zo is vaak de gedachte. Want hoe onderscheppen hackers een gelaatsuitdrukking of een vingerafdruk? Dat is echter minder moeilijk dan je denkt. Waar mensen in het ideale geval moeite doen om hun wachtwoorden en pincodes geheim te houden, liggen biometrische gegevens vaak open en bloot op straat. Ons gezicht posten we op social media en onze vingerafdrukken laten we overal achter. Het is alsof je je wachtwoord op een wijnglas schrijft en meegeeft aan de ober.
Risico’s biometrie
Ook aan het gebruik van biometrie kleven risico’s, alleen worden die op een andere manier uitgebuit. Onder andere deze vormen van biometrische beveiliging zijn al eens ‘gekraakt’:
1. Vingerafdruklezers. Een scan van de vingerafdruk is de meest voorkomende vorm van biometrische authenticatie. Zelfs goedkopere smartphones beschikken tegenwoordig over een vingerafdruklezer. Hiervan is echter bekend dat ze voor de gek zijn te houden met een van latex, gelatine of zelfs lijm nagemaakte vinger. De vingerafdruk is dan bijvoorbeeld verkregen van een aangeraakt oppervlak zoals een deurklink.
Maar het kan ook misgaan bij de opslag en verwerking van een vingerafdrukscan. Zo waarschuwde Synaptics, maker van biometrische sensoren en touchpads, dat sommige computerfabrikanten de informatie over een vingerafdruk onversleuteld opslaan en versturen naar de cpu. Voor aanvallers is het dan een koud kunstje om grote aantallen scans van vingerafdrukken te onderscheppen.
Geavanceerde scanners zijn gelukkig in staat om te constateren of de gebruiker een levende vinger presenteert, bijvoorbeeld door de flexibiliteit of temperatuur van de huid te meten. Ook een mogelijkheid is het scannen van de vasculaire patronen onder het huidoppervlak. Die patronen blijven niet achter op de oppervlakken die we aanraken. Daardoor zijn ze moeilijker te spoofen.
2. Gezichtsherkenning. Met de introductie van de iPhone X zette Apple gezichtsherkenning definitief op de kaart. De smartphone herkent de gebruiker zodra het gezicht in de buurt van de iPhone komt. Om daadwerkelijk te ontgrendelen moet de gebruiker naar het toestel kijken. Bij de introductie beloofde Apple dat de gezichtsherkenning niet is te foppen met foto’s of maskers, omdat de toegepaste Face ID-technologie een 3D-scan van het gezicht maakt.
Die claim hield niet lang stand. Al snel kwamen berichten naar buiten over kinderen die de iPhone X van vader of moeder met kun gezicht kunnen ontgrendelen. Een beveiligingsbedrijf uit Vietnam demonstreerde een week na de introductie van de iPhone X dat het mogelijk is om het toestel te unlocken met een masker uit de 3D-printer.
Een ander probleem is de mogelijke schending van de privacy. Zo mogen appbouwers de Phone X-gebruiker toestemming vragen om zijn ‘gezichtsdata’ te verzamelen. Deze gegevens kunnen ze bijvoorbeeld gebruiken om een karakter in een game zoveel mogelijk op de gamer te laten lijken. Die data zijn echter ook interessant voor adverteerders en marketeers, bijvoorbeeld om te achterhalen hoe gebruikers reageren op advertenties. Als de data eenmaal op de servers van een appbouwer staan, kan Apple weinig doen tegen deze privacyschending.
3. Irisscans. Het scannen van de iris wordt gezien als een betrouwbare manier om iemands identiteit vast te stellen. Elke iris is uniek en verandert gedurende het leven niet.
Toch is ook deze methode niet feilloos. Zo slaagden Duitse hackers van de Chaos Computer Club erin om een Samsung Galaxy S8 te ontgrendelen met een foto van een iris in hoge kwaliteit. Om de misleiding compleet te maken, legden ze een contactlens over de geprinte iris. Extra pijnlijk was dat Samsung de irisscan promootte als een ‘waterdichte beveiliging’.
4. Stemherkenning. Stemherkenning is met name in trek binnen de financiële sector. Zo is het in de ING-app voor mobiel betalen al geruime tijd mogelijk om betalingen te bevestigen met de stem. Ook biedt stemherkenning een manier om fraudeurs op te sporen. De stem van een beller wordt dan vergeleken met de ‘stemafdrukken’ van fraudeurs in een database.
Stemherkenningssystemen zijn al vaker in de luren gelegd. Zo misleidde BBC het spraakgebaseerde identificatiesysteem van de Britse HSBC-bank. Reporter Dan Simmons opende een account, activeerde stemherkenning en liet vervolgens zijn tweelingbroer Joe bellen. Die kreeg zonder problemen toegang tot het account van broer Dan. En begin dit jaar demonstreerde een student van de University of California in Berkeley dat het mogelijk is om spraakherkenning voor de gek te houden met ‘verborgen spraakcommando’s’.
Tegenmaatregelen
Uiteraard doen de leveranciers van biometrische authenticatiesystemen er alles aan om misleiding van de beveiliging moeilijker te maken. Ook de politiek ziet de risico’s. Zo steunde de Europese Unie in het verleden het Tabula Rasa-project, dat zich richtte op de verdediging tegen spoofingaanvallen. Ontwikkelde tegenmaatregelen zijn vervolgens overgedragen aan commerciële marktpartijen.
Ook groeit de interesse in ‘behavioural biometrics’. Hierbij wordt gekeken naar het gedrag van de gebruiker. De manier waarop iemand bijvoorbeeld toetsen aanslaat, op het scherm van zijn smartphone drukt of tussen schermen wisselt, is per persoon uniek. Aan de hand van dit ‘gebruikersprofiel’ is de identiteit met grote zekerheid vast te stellen, zonder dat de gebruiker extra handelingen hoeft te verrichten. Gedragsbiometrie maakt ook minder inbreuk op de privacy van de gebruiker dan bijvoorbeeld gezichtsherkenning.
Uitvoeringswet AVG
Privacy is een punt dat bij biometrische beveiliging nogal eens over het hoofd wordt gezien. Het risico bestaat namelijk dat een scan van een iris of gezicht iets zegt over iemands ras, geloof of gezondheid. Dat zijn bijzondere persoonsgegevens.
Onder de Algemene Verordening Gegevensbescherming mag je die gegevens verwerken voor authenticatie en beveiligingsdoeleinden. De ‘uitvoeringswet AVG’ die nu in behandeling is in de Tweede Kamer bevat daar een specifieke regeling voor. Maar dat neemt niet de verplichting weg om hier uiterst secuur mee om te gaan en goed na te denken over de beveiliging van bijzondere persoonsgegevens.