26 februari 2018 3 min Auteur: Erik Remmelzwaal

Biometrie: veiliger dan wachtwoorden?

Boarden met behulp van gezichtsherkenning? Of betalen met een lach? Identificatie op basis van persoonlijke kenmerken wordt steeds gebruikelijker. Daarmee komen ook de tekortkomingen van biometrie aan het licht. Waar zitten de zwakke plekken?

Biometrische identificatie wordt inmiddels overal ingezet: voor de toegang tot computersystemen, om verdachten te identificeren, bij paspoortcontroles en zelfs in winkels en restaurants. Zo kunnen gebruikers van Alibaba's Alipay bij een vestiging van KFC in het Chinese Huangzhou betalen door te glimlachen. De Chinese e-commercereus zette hiervoor een ‘smile to pay’-pilot op. Uw boodschappen betalen door even naar de camera te lachen, kan zomaar realiteit worden.

Volgens Mastercard zijn deze ontwikkelingen goed nieuws voor retailers. Klanten zijn sneller geneigd om een aankoop af te ronden als ze gebruik kunnen maken van biometrische identificatie. 93 procent zou de voorkeur geven aan biometrie boven het gebruik van een wachtwoord. Het betalingsbedrijf biedt klanten dan ook vanaf april 2019 de mogelijkheid om betalingen te bevestigen met behulp van een vingerafdruklezer, irisscan of gezichts- en stemherkenning.

Eenvoudig te foppen

Biometrische beveiliging is niet alleen gebruiksvriendelijker dan inloggen met gebruikersnaam en wachtwoord, maar ook veiliger, zo is de gedachte. Bijvoorbeeld vingerafdrukken zijn uniek lastiger te stelen dan wachtwoorden en pincodes. Toch?

De praktijk wijst helaas uit dat ook biometrie niet waterdicht is. Onder andere deze vormen van biometrische beveiliging zijn al eens ‘gekraakt’:

1. Vingerafdruklezers

Vingerafdruklezers worden al jaren misleid. Ruim vijftien jaar geleden slaagde beveiligingsonderzoeker Tsutomu Matsumoto erin om van gummiberen vingers te maken die door scanners werden geaccepteerd. Ook is het voor cybercriminelen een koud kunstje om grote aantallen scans van vingerafdrukken te onderscheppen. Zo waarschuwde Synaptics, maker van biometrische sensoren en touchpads, dat sommige computerfabrikanten de informatie over een vingerafdruk zonder versleuteling opslaan.

2. Gezichtsherkenning

Het was bij de aankondiging in september 2017 de grote troef van de iPhone X: FaceID. Het toestel herkent de rechtmatige gebruiker aan zijn of haar gezicht. Hiervoor is de smartphone voorzien van een sensor (TrueDepth) die het gezicht van de gebruiker met duizenden infraroodstralen in kaart brengt. Zo ontstaat een digitaal 3D-model van het gezicht dat zeer betrouwbare authenticatie mogelijk maakt. De gezichtsherkenning zou niet te foppen zijn met foto’s of maskers.

Die claim hield helaas niet lang stand. Onder andere een beveiligingsbedrijf uit Vietnam beweerde al vrij snel dat de iPhone X is te ontgrendelen met een masker uit de 3D-printer. Van Android-toestellen is al jaren bekend dat de gezichtsherkenning is te misleiden met een doodgewone foto.

3. Irisscans

Het scannen van de iris wordt gezien als een betrouwbare manier om iemands identiteit vast te stellen. Toch is ook deze methode niet feilloos. In 2012 lieten onderzoekers zien dat het mogelijk is om irisscanners te omzeilen met behulp van replica’s van irissen. Die kopieën maakten ze op basis van irisdata uit een biometrische database.

4. Stemherkenning

Stemherkenningssystemen zijn al vaker in de luren gelegd. Zo misleidde een BBC-journalist het spraakgebaseerde identificatiesysteem van de Britse HSBC-bank. Dan Simmons opende een account, activeerde stemherkenning en liet zijn tweelingbroer Joe bellen. Die kreeg probleemloos toegang tot het account van broer Dan. Begin dit jaar demonstreerde een student van de University of California in Berkeley dat het mogelijk is om met ‘verborgen spraakcommando’s’ spraakherkenningssystemen voor de gek te houden.

Blijf alert

Deze hacks maken biometrie absoluut niet onbruikbaar als identificatiemiddel. Biometrische identificatie biedt meer zekerheid over de identiteit van een gebruik dan alleen het gebruik van een gebruikersnaam en wachtwoorden. Wachtwoorden zijn nog altijd eenvoudiger te achterhalen dan een vingerafdruk.

Bovendien wordt biometrische beveiliging steeds betrouwbaarder. De makers leren van hun fouten. Zo kunnen de nieuwste scanners beter vaststellen of de gebruiker een levende vinger of iris presenteert. Ook technieken als 256-bits versleuteling van biometrische gegevens en het aangescherpte encryptieprotocol TLS 1.2 zien we steeds vaker terug in dergelijke systemen.

Meer weten

Risico’s zullen altijd blijven bestaan. Ook in het biometrische tijdperk blijft het nodig om de veiligheid en continuïteit tegen het licht te houden. Voor de beveiliging van gevoelige data en systemen blind vertrouwen op biometrie is zeker geen goed idee.


Erik Remmelzwaal

Erik is Managing Director Security Services bij KPN. Hij is zijn carrière in 2001 begonnen bij DearBytes, waar hij ervaring heeft opgedaan als developer, securityconsultant en incident responder. In 2011 klom hij op tot CEO van DearBytes. In deze positie heeft hij DearBytes laten groeien tot een van de grootste Managed Security Service Providers van Nederland. In 2017 werd DearBytes overgenomen door KPN en werd Remmelzwaal als Director Products aangesteld. Sinds begin 2018 geeft hij ook leiding in de rol van Managing Director van Security Services.

- Auteur: Erik Remmelzwaal

Gerelateerde artikelen