Eindgebruikers zijn enthousiast over biometrische authenticatie voor toegang tot hun eigen mobiele apparatuur. Ze hopen dat die vingerafdrukscanners en gezichtsherkenning in de toekomst ook wachtwoorden en pincodes kunnen vervangen voor toegang tot diensten en apparaten van derden. Bovendien blijkt het vertrouwen in organisaties die gebruikmaken van biometrische authenticatie en hoe ze die data opslaan, zoals banken, groot.
Dat komt naar voren uit het Biometrics Study 2017-onderzoek van Unisys. Dat onderzoek is uitgevoerd onder 3500 respondenten in het Verenigd Koninkrijk, Duitsland, Nederland, België, Spanje, Zwitserland en Italië. 57 procent van de Nederlandse respondenten vindt biometrie veiliger dan traditionele pincodes en wachtwoorden. 54 procent ziet vingerafdrukscanners als de meest veilige vorm van authenticatie. De ondervraagden zien de mogelijkheid om wachtwoorden te vervangen door biometrie als een aantrekkelijke optie.
‘Het gebruik van mobiele apparaten heeft biometrie mainstream gemaakt’, stelt Henk van der Heijden die binnen Unisys verantwoordelijk is voor verkoop en business development van security-diensten in de EMEA-regio. ‘We zien een behoefte ontstaan aan meer dan alleen het traditionele wachtwoord en pincode als authenticatiemethode. Steeds meer mensen ontgrendelen hun telefoon met een vingerafdrukscanner. Gezichtsherkenning wordt vermoedelijk net zo gewoon.’
In het rapport worden ook pan-Europese cijfers genoemd: 41 procent denkt met biometrie het onthouden van wachtwoorden te kunnen voorkomen en 11 procent vindt het gebruik van biometrie ‘leuker’ dan andere authenticatiemethoden. Van der Heijden: ‘Het is goed om te zien dat het Europese publiek vertrouwen heeft in deze technologie. Vandaag de dag is het voor organisaties logisch om meerdere beveiligingslagen in te bouwen. Enerzijds om te voldoen aan nieuwe wetgeving als de General Data Protection Regulations (GDPR), anderzijds om het publiek gerust te stellen en het vertrouwen tussen klanten en dienstenaanbieders te vergroten.’
Wantrouwen social media
Volgens het onderzoek denkt 51 procent van de Europese respondenten dat hun biometrische data bij overheden in veilige handen is. 48 procent van de Nederlandse respondenten verwacht hetzelfde van banken. Maar, er is ook wantrouwen. Slechts 11 procent van de respondenten vertrouwt sociale media.
Na de privacykwesties rondom netwerken als Facebook en LinkedIn delen ze met die partijen minder graag hun persoonlijke biometrische data voor snellere toegang tot online diensten.
De vraag of eindgebruikers hun biometrische data afstaan in ruil voor veilige en laagdrempelige authenticatie, staat of valt dus bij de reputatie van de partij waaraan ze die data toevertrouwen.
Wanneer er word gestrooid met statistiekjes, dan word ik altijd weer een beetje achterdochtig. Je zou dan graag eens inzoomen op twee eenvoudige aspecten van die survey. Welke vraagstelling werd er gehanteerd en wie zijn de respondenten. Uit welke branche komen zij? Zijn het klanten van, bijvoorbeeld, Unysis?
Realiteit gebied te concluderen dat het gebruik van biometrie op laptops, tablets en mobieltjes verre van ideaal werken. Uiteraard zit er een stijgende lijn in maar naar tevredenheid functioneren doet het voor alsnog nog steeds niet. Dat zou dus betekenen dat we een product van Unysis af moeten nemen, een fingerpath of dergelijke?
Is biometrie een goed alternatief voor het tot nog toe gehateerd wachtwoord? Als ik om mij heen kijk zie in het gros gewoon en nog steeds wachtwoorden gebruiken. Ik heb een beetje moeite met deze voorstelling van zaken.
NEE dat willen we helemaal niet.
Deze eindgebruiker is niets gevraagd maar hij wil gewoon zijn wachtwoorden blijven gebruiken om in te loggen. Dat doet hij al vele jaren en het is nog nooit mis gegaan. Het idee dat er straks iemand aan de deur staat die mijn vinger wil afhakken om zich toegang tot mijn bestanden te verschaffen staat mij helemaal niet aan. Niet eens vanwege die bestanden maar meer vanwege die vinger!
@Jan Geluk: het wordt pas echt vervelend als ze je oog uitsteken ivm iris-identificatie …..
Het is goed om te lezen dat biometrie omarmd wordt door consumenten, het is immers een stap voorwaarts op het gebied van gebruiksvriendelijkheid. Maar de scepsis is terecht, omdat de onvervangbare biometrische factoren die ze gebruiken, zoals vingerafdrukken, stempatronen en irisscans, een potentieel doelwit vormen voor hackers.
Aanvallers zijn er al in geslaagd om een bestaande biometrische opties te omzeilen en de strijd tegen hackers is voorlopig nog niet klaar. Biometrie kan een waardevolle rol spelen bij gebruikersverificatie, maar voor de écht veilige, sterke gebruikersauthenticatie is het verstandig om meer dan één authenticatiefactor te gebruiken.
Er zijn drie mogelijke factoren die een gebruiker kunnen identificeren: kennis (iets wat de gebruiker weet), bezit (iets wat de gebruiker heeft), en inherentie (iets wat de gebruiker is).
Het is voor optimale veiligheid altijd van belang om in ieder geval twee van de drie authenticatiefactoren te hanteren en dus niet op alleen biometrie te vertrouwen. Dat is ook wat de wetgever voorschrijft voor Strong Customer Authentication (in het kader van PSD2).
Claudius van der Meulen
SVP bij Entersekt Europe
Ik heb toch wel wat bedenkingen bij het toepassen van biometische gegevens.
Natuurlijk moet je en beetje rekening houden met de eerder genoemde verminkingen die bij voldoende waarde. Biometrische gegevens kunnen echter redelijk eenvoudig ongemerkt gestolen worden. Mijn vingerafdrukken laat ik op allerlei plaatsen achter. Mijn ogen staan ook op veel foto’s. Het kan nooit ver weg zijn dat deze zaken dmv optische en 3d technieken gereproduceerd kunnen worden.
Een wachtwoord heeft dan nog een belangrijk voordeel… Ik geef het pas af in die gevallen dat ik dat zelf wil.
Ik heb toch wel wat bedenkingen bij het toepassen van biometische gegevens.
Natuurlijk moet je en beetje rekening houden met de eerder genoemde verminkingen die bij voldoende waarde. Biometrische gegevens kunnen echter redelijk eenvoudig ongemerkt gestolen worden. Mijn vingerafdrukken laat ik op allerlei plaatsen achter. Mijn ogen staan ook op veel foto’s. Het kan nooit ver weg zijn dat deze zaken dmv optische en 3d technieken gereproduceerd kunnen worden.
Een wachtwoord heeft dan nog een belangrijk voordeel… Ik geef het pas af in die gevallen dat ik dat zelf wil.
@Claudius van der Meulen: Die biometrische factoren vormen niet alleen een potentieel doelwit voor hackers maar dus ook voor hakkers (van vingerkootjes e.d.) …
Banken zeggen dat ze af willen van TAN codes of andere tools om te verifieren dat ik het ben die een transactie wil uitvoeren. Maar om dan maar op biometrie over te gaan? Van stemherkenning over vingerafdruk naar irisscan. Maar al jaren geleden werd op security cursussen aangegeven dat het slagingspercentage van dergelijke technieken nooit de 100% zal halen (oftewel ben ik die ik zeg te zijn). Daarnaast wordt van veel gebruikers gevraagd om nogal wat te investeren in nieuwe tablets of telefoons. Die ondersteunen deze technieken namelijk niet. En updates naar de versies van het OS die het wel ondersteunen kun je voor veel apparatuur vergeten (zal maar geen namen noemen van bedrijven die het presteren om nieuwe telefoons in de winkel te leggen die nog werken met een door Android niet meer ondersteunde versie). Is de tweestaps verificatie van bijvoorbeeld Google en One Drive (wachtwoord en daarna SMS op telefoon) ook al niet goed genoeg meer? Heeft wel enkele voordelen (de “meeste” telefoons ondersteunen deze methode, je hebt geen smartphone nodig). Of lijkt dat ouderwets?
Ik geef toe dat ik het heerlijk vind om geen wachtwoorden te hoeven typen, mijn laptop en telefoon heb ik beide geselecteerd op deze feature. Vaak kan ik ook bankzaken via de app doen met slechts een vingerscan. Heerlijk! Ook nu de bankpas via rfid betalingen doet tot 25 euro vind ik top. Het intypen van je pincode bij de benzinepomp bijvoorbeeld zie ik echt als een risico, er hangen camera’s er staan klanten in de rij. Afschermen met de hand is vaak lastig en voelt ongemakkelijk. Afschermen laat zien aan anderen dat ze niet te vertrouwen zijn en dat jij blijkbaar nog meer geld op je rekening hebt staan.
Een vingerafdruk is echter geen goede keuze daar moet minimaal een slag overheen. Er is al aangetoond dat je met een foto van internet dit kan vervalsen: https://nos.nl/op3/artikel/2011053-wij-kunnen-je-vingerafdruk-kopieren-van-een-foto.html Echter als je dit koppelt aan een extra eis dat de vingerscan alleen via mijn telefoon en mijn laptop kan worden gebruikt dan kan een boef niets met mijn vingerafdruk voordat hij ook mijn telefoon heeft gepikt. Dat komt neer op hetzelfde gevaar als diefstal van de creditcard. Dat valt te blokkeren. Dus een vinger- of iris-scanner rechtstreeks op een kassa of deur daar moeten we zeker niet naartoe. Dan gaan er misschien eerder vingers afgehakt worden. Een extra beveiligingslaag zou whitelisten kunnen zijn van de transacties die met je vingerafdruk gedaan kunnen worden. Dus in je rekeningoverzicht zet je een vinkje bij de betalingen (gedaan via pincode) die je in de toekomst via je telefoon met vingerafdrukscan wil kunnen doen aan de kassa. dat voorkomt dat er een nieuwe auto wordt gekocht met jouw gestolen vinger en telefoon.
Toch zou ik liever geen gebruik maken van biometrie, je kunt nu eenmaal geen nieuwe iris kopen als blijkt dat hij is gekopieerd of uitgerukt. Misschien dat een chip implant een optie is, net als bij huisdieren.