Hoe veilig is gezichtsherkenning als beveiliging? /reageer

Hoe veilig is gezichtsherkenning als beveiliging?
  • door: Redactie Sync
    over: internet, mobiel, software, computer
    op: 15 oktober 2015
  • De 'selfie' als beveiliging maakt mobiele betalingen eenvoudiger, maar is het ook veilig?

  • ABN Amro en Mastercard voeren een proef uit met gezichtsherkenning als authenticatiemethode bij creditcardbetalingen

Biometrische authenticatie is in opkomst. Het belangrijkste argument om gezichtsherkenning, vingerafdrukken, iris- en handpalmscans te gebruiken om in te loggen op applicaties en in gebruikersomgevingen, is de kwetsbaarheid van wachtwoorden. Een goedgekozen wachtwoord, dat niet te raden is en 2zowel uit letters, cijfers en speciale leestekens bestaat, is lastig te kraken. Het probleem ligt dan ook bij de wachtwoorden die mensen kiezen. Uit verschillende onderzoeken blijkt dat wachtwoorden als ‘12345′, ‘qwerty’ of simpelweg ‘wachtwoord’ tot de meest gekozen wachtwoorden behoren. Ook het hergebruik van wachtwoorden is een probleem. Biometrische kenmerken bevatten meer variabelen en zijn uniek. Toch moeten organisaties met zorg overwegen hoe zij biometrische beveiliging toepassen.

Bewegend beeld en lokale opslag

In een opiniestuk op Computable zet Arie Kraan, IT Architecture Consultant bij Fujitsu Nederland, vraagtekens bij een proef van financiële dienstverleners ABN Amro en Mastercard. Enkele honderden Nederlanders kunnen dit najaar gebruik maken van gezichtsherkenning in hun betaalomgeving voor creditcardbetalingen. De gekozen technologie maakt gebruik van de ingebouwde camerafunctie op geselecteerde smartphones. Om te voorkomen dat iemand simpelweg een foto voor de lens houdt om toegang te krijgen, is gekozen voor bewegend beeld. Klanten moeten met hun ogen knipperen om in te kunnen loggen. Een ander opvallend detail uit de proef: om de privacy van deelnemende klanten te beschermen, worden hun gegevens niet opgeslagen in een centrale database, maar lokaal (op het toestel zelf).

Bij de gemaakte keuzes zijn vraagtekens te zetten. Sommige zijn zeer praktisch van aard. “Wat als de gebruiker nu eens een blauw oog heeft en niet met zijn ogen kan knipperen?”, vraagt Kraan zich af. Andere geven meer aanleiding tot zorgen. Er zijn immers genoeg mensen die look-a-likes hebben, tweelingen bijvoorbeeld. Ook zou iemand een masker op kunnen zetten. Los daarvan is de veiligheid van iris- en handpalmscans vele malen hoger, omdat de uniciteit van de gemeten lichaamskenmerken daarvan hoger is. De keuze voor bewegend beeld maakt de beveiligingstechnologie ook niet per definitie waterdicht. Het is bijvoorbeeld niet bekend of het systeem het herkent als er een filmpje wordt afgespeeld om het bewegende beeld te simuleren waarmee een gebruiker inlogt.

Metadata

De vraag is of de lokale opslag van informatie de authenticatiemethode veiliger maakt. “Op het moment dat een applicatie lokaal informatie opslaat, is informatie per definitie juist beschikbaar geworden”, zegt Kraan, die verwijst naar de populaire Android-telefoons. Alles wat op deze toestellen gebeurt, is eigendom van Google. Gebruikers zijn hiermee akkoord gegaan in de voorwaarden om de telefoon te kunnen gebruiken. Het gevaar is dat beeldmateriaal dat in de Google-cloud staat, bij een grootschalige hack of lek in de verkeerde handen terechtkomt. Andere biometrische beveiligingsmethoden, zoals de genoemde iris- en handpalmscans, zijn veiliger doordat zij alleen de metadata opslaan en deze matchen met de unieke lichaamskenmerken van de gebruikers.

Met gezichtsherkenning als authenticatiemethode voor creditcardbetalingen is een keuze gemaakt waarbij gebruiksgemak zwaarder weegt dan veiligheid. Snelle mobiele betalingen worden immers eenvoudiger, doordat er geen apparaatjes nodig zijn die variabele tijdscodes genereren, zoals de Rabo Scanner en de E.dentifier van ABN Amro. Kraan zegt te begrijpen dat er niet voor andere biometrische authenticatiemethoden gekozen is. “Er zijn nog maar weinig smartphones met irisscanners op de markt gebracht en telefoons met ‘palm vein’-authenticatie zijn er nog helemaal niet. Dit is het eenvoudigst te realiseren.” Toch moet de keuze voor de gebruikte beveiligingsmethode uiteindelijk bij de consument zelf liggen. “De klant zelf moet een afweging maken wat voor hem of haar veilig genoeg is. Bedrijven die gezichtsherkenning gaan aanbieden als beveiligingsmethode zullen daar zeer transparant in moeten zijn en het publiek op een laagdrempelige manier zelf kunnen laten kiezen wat voor hen veilig genoeg is.”

Reageren via Facebook

Reacties

Over Redactie Sync

Sync.nl publiceert artikelen en nieuwsberichten over de toenemende invloed van wetenschap en technologie op de business. Ideeën voor artikelen? Meeschrijven? Laat het ons weten via redactie@sync.nl.