31/08/17

© Thinkstock.

Tweakers.net Vingerafdrukscanners zitten vandaag al op de goedkoopste smartphones, en er worden meer en meer andere authenticatietechnieken via biometrische gegevens ingebouwd in hedendaagse elektronica. Tijd dus om eens een kijkje te nemen bij de verschillende toepassingen, en daarbij aandacht te besteden aan de beveiliging en opslag van biometrische gegevens, maar ook aan de gevolgen voor onze privacy.

Authenticatiemogelijkheden via biometrie heffen een belangrijk nadeel van het klassieke wachtwoord op, dat we moeten onthouden. Maar aan de andere kant is een vingerafdruk, de meest voorkomende vorm, niet te veranderen, wat betekent dat als deze eenmaal in handen van kwaadwillenden is gevallen, er weinig ondernomen kan worden. En biometrische gegevens bevatten vaak veel meer informatie over een persoon, bijvoorbeeld over geslacht of ethnische achtergrond, die dus ook goed moeten worden beveiligd.

Authenticatietechnieken Bij een vingerafdrukscan wordt gekeken naar patronen in iemands afdruk, bijvoorbeeld naar boog- of luspatronen. Maar er zijn nog andere methoden. Zoals gezichtsherkenning, die we inmiddels ook van verschillende smartphonefabrikanten hebben gezien. "Deze techniek is stokoud, maar wordt steeds verfijnder", zegt Max Snijder van de European Biometrics Group. In dit verband wijst Snijder ook naar de ogenschijnlijke plannen van Apple om een 3d-camera te gebruiken in plaats van een vingerafdrukscanner. "Dit is heel spectaculair." Deze nieuwere techniek kijkt naar de vorm van een gezicht om onderscheidende eigenschappen vast te stellen, wat de precisie zeer ten goede moet komen. Traditionele systemen kijken bijvoorbeeld naar de verhouding tussen ogen, neus en mond.





Een techniek die zich op een klein deel van het gezicht richt, is de irisscan. Irisscanners maken gebruik van het feit dat elke iris uniek is en gedurende het leven niet verandert. Daardoor zijn verschillende herkenningspunten vast te leggen waaraan een individu herkend kan worden. Een irisscan moet niet worden verward met een retinascan, waarbij wordt gekeken naar het patroon van de bloedvaten in de retina, oftewel het netvlies. Die techniek wordt eigenlijk niet meer gebruikt.



Rudolph Bos van Fujitsu gaf uitleg over een techniek die inmiddels al ongeveer tien jaar bestaat en toepassing vindt in verschillende sectoren. Deze staat bekend onder de naam PalmSecure en analyseert het aderpatroon in de hand van een gebruiker met behulp van infraroodlicht. Ook wordt gekeken naar het stromen van het bloed om te verifiëren dat het om een levende hand gaat. Bos legt uit: "De techniek werkt bijvoorbeeld ook als mensen een rubberen handschoen aan hebben of een wond op hun hand hebben." Er zijn natuurlijk nog veel meer technieken, waaronder identificatie op basis van dna, de eigenschappen van een oor, hand of vinger, lichaamsgeur of stemgeluid. © reuters.

Niet absoluut veilig Net zoals wachtwoorden te kraken, raden of stelen zijn, is ook biometrie niet honderd procent veilig. Het recentste voorbeeld is de irisscanner van de Samsung Galaxy S8, die met een foto en een contactlens voor de gek te houden was.



Het omzeilen of voor de gek houden van biometrische authenticatiesystemen is het onderwerp van veel onderzoek. Aan de andere kant werken er ook mensen aan het voorkomen van dit soort acties. In het kader van deze 'wapenwedloop' steunde de Europese Unie in het verleden het zogenaamde Tabula Rasa-project, dat zich richtte op de verdediging tegen zogenaamde 'spoofing attacks' op biometrie. Daarin kwamen bekende en minder bekende varianten van dat soort aanvallen terug. Bijvoorbeeld de van latex, gelatine of zelfs lijm nagemaakte vinger. Daarbij is het mogelijk om een vingerafdruk van een bepaald persoon via een aangeraakt oppervlak te verkrijgen en vervolgens na te maken. Een goede manier om een dergelijke aanval tegen te gaan is via liveness detection, het vaststellen of je te maken hebt met een menselijke vinger. Daarvoor zijn verschillende manieren bedacht, bijvoorbeeld door middel van zweet of de flexibiliteit van de huid, maar ook temperatuur en hartslag kunnen uitsluitsel geven.



Een andere bekende is het gebruik van een foto om iris- en gezichtsscanners voor de gek te houden. Hoe basaal het ook klinkt, doordat foto's eenvoudig met hoge kwaliteit genomen kunnen worden, zijn deze aanvallen nog steeds mogelijk. Geavanceerdere systemen, zoals een 3d-scanner, zijn op hun beurt te misleiden met een driedimensionaal masker. Ook hierbij geldt dat het detecteren van 'liveness' belangrijk is. © afp.

Privacy Max Snijder legt uit dat biometrische authenticatie in twee categorieën uiteenvalt: verificatie en identificatie. "Bij verificatie wordt gekeken of een bepaald persoon daadwerkelijk is wie hij claimt te zijn. Dit kan bijvoorbeeld aan de hand van lokale opslag. Als een vingerafdruk toegang geeft tot een telefoon, dan moet het om de juiste persoon gaan." Bij identificatie gaat het erom een onbekend persoon te identificeren. Dat kan bijvoorbeeld in een database gebeuren, waarbij een bepaalde vingerafdruk een match oplevert met informatie in de database. Op die manier kan de identiteit van een persoon vastgesteld worden.



Snijder stelt dat er sprake is van een spanningsveld op dit vlak als je kijkt naar de gevolgen voor de privacy van gebruikers. "Je kunt verificatie ook uitvoeren met gegevens die centraal zijn opgeslagen, maar dan krijg je privacyproblemen. Als je kijkt naar mobiele apparaten, zie je hier twee kampen. De voorstanders van lokale opslag zijn degenen die de privacy van gebruikers willen waarborgen, waarbij opsporingsdiensten meer gebaat zijn bij centrale opslag."