Biometrische gegevens zijn in opkomst als een geavanceerde laag voor veel persoonlijke en zakelijke beveiligingssystemen. Met de unieke kenmerken van jouw biologie en gedrag kan dit onfeilbaar lijken. Als alleenstaande manier van identificatie moet echter voorzichtig worden omgegaan met biometrische identiteit.
Moderne cyberbeveiliging probeert de risico's van deze krachtige beveiligingsoplossing te beperken: traditionele wachtwoorden zijn lange tijd een zwak punt geweest voor beveiligingssystemen. Met biometrische gegevens wordt een oplossing geboden voor dit probleem door identiteitsbewijzen te koppelen aan ons lichaam en gedragspatronen.
In dit artikel onderzoeken we de basisprincipes van hoe cyberbeveiliging biometrische gegevens gebruikt. Om je te helpen dit te verduidelijken, beantwoorden we enkele veelgestelde vragen over biometrische gegevens:
- Wat is de betekenis van biometrisch?
- Wat zijn biometrische gegevens?
- Wat is een biometrische scanner?
- Wat zijn de risico's van biometrische beveiliging?
- Hoe kunnen we biometrische beveiliging veiliger maken?
Laten we beginnen met de basis.
Wat zijn biometrische gegevens?
Voor een snelle definitie: biometrische gegevens zijn biologische metingen, of lichamelijke kenmerken, die gebruikt kunnen worden om individuele personen te identificeren. Bijvoorbeeld het lezen van vingerafdrukken, gezichtsherkenning en retinascans zijn allemaal vormen van biometrische technologie. En dit zijn slechts de bekendste mogelijkheden.
Onderzoekers beweren dat de vorm van een oor, de manier waarop iemand zit en loopt, lichaamsgeur, de aderen in iemands hand en zelfs gezichtsuitdrukkingen allemaal unieke identificatiemiddelen zijn. Deze eigenschappen definiëren biometrische gegevens verder.
Drie soorten biometrische beveiliging
Hoewel ze andere toepassingen kunnen hebben, worden biometrische gegevens vaak gebruikt in beveiliging, en je kunt ze meestal in drie groepen indelen:
- Biologische gegevens
- Morfologische gegevens
- Gedragsgegevens
Biologische gegevens gebruiken genetische en moleculaire kenmerken. Dit kunnen kenmerken zijn zoals DNA of je bloed, wat kan worden beoordeeld door middel van een monster van je lichaamsvloeistoffen.
Morfologische gegevens hebben betrekking op de structuur van je lichaam. Meer fysieke kenmerken zoals je oog, vingerafdruk of de vorm van je gezicht kunnen in kaart worden gebracht voor gebruik met beveiligingsscanners.
Gedragsgegevens zijn gebaseerd op patronen die uniek zijn voor elke persoon. Hoe je loopt, spreekt of zelfs typt op een toetsenbord kan een indicatie zijn van je identiteit als deze patronen worden gevolgd.
Biometrische beveiliging werkt
Biometrische identificatie speelt een steeds grotere rol in onze dagelijkse veiligheid. Fysieke kenmerken zijn relatief vast en individueel, zelfs in het geval van tweelingen. De unieke biometrische identiteit van elke persoon kan worden gebruikt om wachtwoordsystemen voor computers, telefoons en kamers en gebouwen met beperkte toegang te vervangen of op zijn minst uit te breiden.
Zodra biometrische gegevens zijn verkregen en in kaart zijn gebracht, worden ze opgeslagen om te worden gekoppeld aan toekomstige pogingen tot toegang. Meestal worden deze gegevens versleuteld en opgeslagen op het apparaat of op een externe server.
Biometrische scanners zijn apparaten die gebruikt worden om de biometrische gegevens vast te leggen voor identiteitsverificatie. Deze scans worden vergeleken met de opgeslagen database om toegang tot het systeem goed te keuren of te weigeren.
Biometrische beveiliging betekent met andere woorden dat je lichaam de "sleutel" wordt om je toegang te geven.
Biometrie wordt vooral gebruikt omdat ze twee grote voordelen bieden:
- Gebruiksgemak: Je hebt je biometrische gegevens altijd bij je en je kunt ze niet verliezen of vergeten.
- Moeilijk te stelen of na te bootsen: biometrische gegevens kunnen niet worden gestolen zoals een wachtwoord of sleutel.
Hoewel deze systemen niet perfect zijn, bieden ze veel beloftes voor de toekomst van cyberbeveiliging.
Voorbeelden van biometrische beveiliging
Hier zijn enkele veelvoorkomende voorbeelden van biometrische beveiliging:
- Stemherkenning
- Vingerafdrukken
- Gezichtsherkenning
- Irisherkenning
- Hartslagsensoren
In de praktijk wordt biometrische beveiliging al doeltreffend gebruikt in veel sectoren.
Geavanceerde biometrische gegevens worden gebruikt om gevoelige documenten en waardevolle voorwerpen te beveiligen. Citibank gebruikt al stemherkenning en de Britse bank Halifax doet een test met apparaten die de hartslag van klanten controleert om hun identiteit te verifiëren. Ford overweegt zelfs om biometrische sensoren in auto’s te plaatsen.
Overal ter wereld zijn biometrische gegevens geïntegreerd in elektronische paspoorten. In de Verenigde Staten hebben elektronische paspoorten een chip met daarop niet alleen de digitale foto van iemands gezicht en een vingerafdruk of iris, maar ook de technologie die verhindert dat ongeautoriseerde datalezers de chip uitlezen en de gegevens bemachtigen.
Terwijl deze beveiligingssystemen worden uitgerold, zien we de voor- en nadelen in realtime.
Zijn biometrische scanners veilig? - Verbeteringen en aandachtspunten
Scanners van biometrische gegevens worden steeds geavanceerder. Je kunt biometrische gegevens zelfs terugvinden op telefoonbeveiligingssystemen. De gezichtsherkenningstechnologie op de iPhone X van Apple, bijvoorbeeld, projecteert 30.000 infrarode stipjes op iemands gezicht om via patroonherkenning de wettige gebruiker te identificeren. Volgens Apple is de kans op persoonsverwisseling via biometrische gegevens op de iPhone X één op de miljoen.
De nieuwe smartphone LG V30 combineert gezichts- en stemherkenning met een vingerafdrukscanner en bewaart deze gegevens op de telefoon om de veiligheid te vergroten. CrucialTec, een sensorfabrikant, koppelt een hartslagsensor aan vingerafdrukscanners voor verificatie in twee stappen. Hierdoor kunnen geen gekloonde vingerafdrukken worden gebruikt om toegang tot de systemen te krijgen.
De uitdaging hierin is dat biometrische scanners, waaronder gezichtsherkenningssystemen, kunnen worden misleid. Onderzoekers aan de University of North Carolina at Chapel Hill downloadden foto’s van twintig vrijwilligers van sociale media en gebruikten deze om 3D-modellen van hun gezichten te construeren. Hiermee kraakten de onderzoekers vier van de vijf geteste veiligheidssystemen.
Voorbeelden van gekloonde vingerafdrukken vinden we overal. Tijdens een Black Hat-congres rond cyberbeveiliging werd gedemonstreerd dat een betrouwbare kloon van een vingerafdruk kan worden geproduceerd in ongeveer 40 minuten met minder dan € 10 aan materiaal, eenvoudig door een vingerafdruk in kneedbaar plastic of kaarsenwas te zetten.
De Duitse Chaos Computer Club misleidde TouchID, de vingerafdrukscanner van iPhone, binnen twee dagen na z’n verschijning. De groep maakte simpelweg een foto van een vingerafdruk op een glazen oppervlak en gebruikte die om de iPhone 5s te ontgrendelen.
Biometrie - Identiteits- en privacyproblemen
Biometrische verificatie is praktisch, maar voorvechters van privacywetten vrezen dat biometrische beveiliging de persoonlijke privacy aantast. Ze zijn bang dat persoonlijke gegevens zomaar en zonder toestemming vergaard kunnen worden.
In Chinese steden maakt gezichtsherkenning deel uit van het dagelijkse leven. Het wordt zelfs gebruikt voor dagelijkse aankopen, en Londen staat erom bekend dat het bezaaid is met cctv-camera’s. In New York, Chicago en Moskou worden de cctv-camera's in de stad gekoppeld aan gezichtsherkenningsdatabases om de lokale politie te helpen criminaliteit te bestrijden. De Carnegie Mellon University stuwt de technologie voort door een camera te ontwikkelen die irissen kan scannen van mensen die zich op 10 meter afstand in een menigte bevinden.
Op het vliegveld van Dubai werd in 2018 een systeem ingevoerd voor gezichtsherkenning, waarbij reizigers door 80 camera’s worden gefotografeerd, terwijl ze door een tunnel in een virtueel aquarium lopen.
Gezichtsherkenningscamera’s functioneren ook al op andere vliegvelden, waaronder die in Helsinki, Amsterdam, Minneapolis-St. Paul en Tampa. Al die data moeten ergens worden opgeslagen, wat de zorg om constante bewaking en de angst voor misbruik aanwakkert.
Zorgen over de beveiliging van biometrische gegevens
Een meer urgent probleem is dat databases met persoonlijke gegevens het doelwit van hackers zijn. Toen bijvoorbeeld het Amerikaanse Office of Personnel Management in 2015 gehackt werd, gingen cybercriminelen ervandoor met de vingerafdrukken van 5,6 miljoen overheidsfunctionarissen, die daardoor kwetsbaar voor identiteitsdiefstal werden.
Men gaat ervan uit dat het veiliger is om biometrische gegevens op te slaan in een apparaat – bijvoorbeeld de iPhone TouchID of FaceID – dan bij een serviceprovider, zelfs wanneer de gegevens zijn versleuteld.
Het risico is gelijk aan dat van een wachtwoordendatabase, waarin hackers kunnen inbreken om de slecht beveiligde gegevens te stelen. Maar de gevolgen zijn nog veel groter. Als een wachtwoord wordt gekraakt, kan het worden gewijzigd. Biometrische gegevens blijven echter altijd gelijk.
Manieren om biometrische identiteit te beschermen
Met de risico's voor privacy en veiligheid moeten aanvullende beveiligingen worden gebruikt in biometrische systemen.
Ongeautoriseerde toegang wordt moeilijker wanneer systemen meerdere verificaties vereisen, bijvoorbeeld de opsporing van tekenen van leven (zoals knipperen met de ogen) en de koppeling van gecodeerde samples aan gebruikers binnen versleutelde domeinen.
Sommige veiligheidssystemen voegen aan biometrische gegevens ook extra kenmerken toe om hackers te dwarsbomen, zoals leeftijd, geslacht en lengte.
Een goed voorbeeld is het Indiase programma Unique ID Authority of India Aadhaar. Dit programma werd in 2009 in gebruik genomen en verricht de verificatie in meerdere stappen en omvat irisscans, vingerafdrukken van alle 10 vingers en gezichtsherkenning.
Deze informatie is gekoppeld aan een unieke identiteitskaart, die is uitgereikt aan alle 1,2 miljard inwoners van India. Deze kaart is binnenkort verplicht voor iedereen die gebruikmaakt van de sociale voorzieningen in India.
Biometrische gegevens vormen een goede vervanging voor gebruikersnamen als onderdeel van een tweefactorauthenticatie. Dit omvat:
- Iets dat je bent (biometrisch)
- Iets dat je hebt (zoals een hardwaretoken) of iets dat je weet (zoals een wachtwoord)
Tweefactorauthenticatie vormt een krachtige combinatie, vooral nu IoT-apparaten zich verspreiden. Door de bescherming in lagen te verdelen, worden beveiligde internetapparaten minder kwetsbaar voor datalekken.
Bovendien kan het gebruik van een wachtwoordmanager om traditionele wachtwoorden op te slaan je een extra beveiliging bieden.
Dingen om te onthouden over biometrische gegevens
Samengevat blijven biometrische gegevens een groeiende manier om de identiteit van cyberbeveiligingssystemen te verifiëren.
De gecombineerde bescherming van je fysieke kenmerken of gedragshandtekeningen met andere authenticaties biedt enkele van de sterkste bekende beveiligingen. Op dit moment is het op zijn minst beter dan het gebruik van een op tekens gebaseerd wachtwoord als alleenstaande verificatie.
Biometrische technologie biedt zeer overtuigende oplossingen voor beveiliging. Ondanks de risico's zijn de systemen handig en moeilijk na te maken. Bovendien zullen deze systemen zich in de toekomst nog heel lang blijven ontwikkelen.
Gerelateerde artikelen: