Wat zijn biometrische gegevens?

Biometrische gegevens zijn biologische metingen – of lichamelijke kenmerken – die kunnen worden gebruikt om individuele personen te identificeren. Het lezen van vingerafdrukken, gezichtsherkenning en retinascans zijn allemaal vormen van biometrische technologie. En dit zijn slechts de bekendste mogelijkheden.

Onderzoekers beweren dat de vorm van een oor, de manier waarop iemand zit en loopt, lichaamsgeur, de aderen in iemands hand en zelfs gezichtsuitdrukkingen allemaal unieke identificatiemiddelen zijn.

Fysieke kenmerken zijn betrekkelijk stabiel en uniek – zelfs bij tweelingen. Daarom worden ze gebruikt ter vervanging of ter versterking van wachtwoordsystemen voor computers, telefoons en beperkt toegankelijke ruimten en gebouwen.

Geavanceerde biometrische gegevens worden ook gebruikt om gevoelige documenten te beveiligen. Citibank gebruikt al stemherkenning en de Britse bank Halifax doet een test met apparaten die de hartslag van klanten controleert om hun identiteit te verifiëren. Ford overweegt zelfs om biometrische sensors in auto’s te plaatsen.

Overal ter wereld zijn biometrische gegevens geïntegreerd in e-paspoorten. In de Verenigde Staten hebben e-paspoorten een chip met daarop niet alleen de digitale foto van iemands gezicht en een vingerafdruk of iris, maar ook de technologie die verhindert dat ongeautoriseerde datalezers de chip uitlezen en de gegevens bemachtigen.

Biometrische verbeteringen

Scanners van biometrische gegevens worden steeds geavanceerder. De gezichtsherkenningstechnologie op de iPhone X van Apple, bijvoorbeeld, projecteert 30.000 infrarode stipjes op iemands gezicht om via patroonherkenning de wettige gebruiker te identificeren. Volgens Apple is de kans op persoonsverwisseling één op de miljoen.

De nieuwe smartphone LG V30 combineert gezichts- en stemherkenning met een vingerafdrukscanner en bewaart deze gegevens op de telefoon om de veiligheid te vergroten. CrucialTec, een sensorfabrikant, koppelt een hartslagsensor aan vingerafdrukscanners voor verificatie in twee stappen. Hierdoor kunnen geen gekloonde vingerafdrukken worden gebruikt om toegang tot de systemen te krijgen.

De uitdaging ligt hierin dat biometrische scanners, waaronder gezichtsherkenningssystemen, kunnen worden misleid. Onderzoekers aan de University of North Carolina at Chapel Hill downloadden foto’s van twintig vrijwilligers van sociale media en gebruikten deze om 3D-modellen van hun gezichten te construeren. Hiermee kraakten de onderzoekers vier van de vijf geteste veiligheidssystemen.

Voorbeelden van gekloonde vingerafdrukken vinden we overal. Tijdens een Black-Hatcongres rond cybersecurity werd gedemonstreerd dat een betrouwbare kloon van een vingerafdruk kan worden geproduceerd in ongeveer 40 minuten met minder dan € 10 aan materiaal, eenvoudig door een vingerafdruk in kneedbaar plastic of kaarsenwas te zetten.

De Duitse Chaos Computer Club misleidde TouchID, de vingerafdrukscanner van iPhone, binnen twee dagen na z’n verschijning. De groep maakte simpelweg een foto van een vingerafdruk op een glazen oppervlak en gebruikte die om de iPhone 5s te ontgrendelen.

Biometrische identiteit beschermen

Ongeautoriseerde toegang wordt moeilijker wanneer systemen meerdere verificaties vereisen, bijvoorbeeld de opsporing van tekenen van leven (zoals knipperen) en de koppeling van gecodeerde samples aan gebruikers binnen versleutelde domeinen. Sommige veiligheidssystemen voegen aan biometrische gegevens ook extra kenmerken toe om hackers dwars te zitten, zoals leeftijd, geslacht en lengte.

Een goed voorbeeld is het Indiase programma Unique ID Authority of India Aadhaar. Dit programma, dat in 2009 in gebruik werd genomen, verricht de verificatie in meerdere stappen en omvat irisscans, vingerafdrukken van alle 10 vingers en gezichtsherkenning. Deze informatie is gekoppeld aan een unieke identiteitskaart, die is uitgereikt aan alle 1,2 miljard inwoners van India. Deze kaart is binnenkort verplicht voor iedereen die gebruikmaakt van de sociale voorzieningen in India.

De voor- en nadelen

Biometrische verificatie is praktisch, maar privacyvoorvechters vrezen dat biometrische beveiliging de persoonlijke privacy aantast. Ze zijn bang dat persoonlijke gegevens zomaar en zonder toestemming vergaard kunnen worden.

In Chinese steden maakt gezichtsherkenning deel uit van het dagelijkse leven. Het wordt zelfs gebruikt voor de dagelijkse boodschappen. Londen staat erom bekend dat het bezaaid is met cctv-camera’s. In New York, Chicago en Moskou worden de cctv-camera's in de stad gekoppeld aan gezichtsherkenningsdatabases om de lokale politie te helpen criminaliteit te bestrijden. De Carnegie Mellon University stuwt de technologie voort door een camera te ontwikkelen die irissen kan scannen van mensen die zich op 10 meter afstand in een menigte bevinden.

Op het vliegveld van Dubai is voor 2018 de invoering van een systeem voor gezichtsherkenning gepland, waarbij reizigers door 80 camera’s worden gefotografeerd, terwijl ze door een tunnel in een virtueel aquarium lopen.

Gezichtsherkenningscamera’s functioneren al op andere vliegvelden, waaronder die in Helsinki, Amsterdam, Minneapolis-St. Paul en Tampa. Al die data moeten ergens worden opgeslagen, wat de zorg om constante bewaking en de angst voor misbruik aanwakkert.

Een urgenter probleem is dat databases met persoonlijke gegevens het doelwit van hackers zijn. Toen bijvoorbeeld in 2015 het Amerikaanse Office of Personnel Management werd gehackt, gingen cybercriminelen ervandoor met de vingerafdrukken van 5,6 miljoen overheidsfunctionarissen, die daardoor kwetsbaar voor identiteitsdiefstal werden.

Men gaat ervan uit dat het veiliger is om biometrische gegevens op te slaan in een apparaat – bijvoorbeeld de iPhone TouchID of FaceID – dan bij een serviceprovider, zelfs wanneer de gegevens zijn versleuteld.

Het risico is gelijk aan dat van een wachtwoordendatabase, waarin hackers kunnen inbreken om de slecht beveiligde gegevens te stelen. Maar de consequenties zijn veel groter. Als een wachtwoord wordt gekraakt, kan het worden gewijzigd. Daarentegen blijven biometrische gegevens altijd gelijk.

Het zijn reële risico’s, maar toch biedt biometrische technologie aantrekkelijke veiligheidsoplossingen, want de systemen zijn praktisch en moeilijk na te bootsen. Het is een goede vervanging voor gebruikersnamen in dubbele verificatie, waarbij een fysiek kenmerk (biometrie) wordt gekoppeld aan iets wat je hebt (een hardwaretoken, bijvoorbeeld) of weet (zoals een wachtwoord). Dat is een krachtige combinatie, vooral nu het aantal IoT-apparaten zo sterk groeit.

Gerelateerde producten:

Wat zijn biometrische gegevens?

Kaspersky

Biometrische gegevens zijn biologische metingen of lichamelijke kenmerken die kunnen worden gebruikt om individuele personen te identificeren. Ontdek de veiligheidsrisico’s en de voor- en nadelen van biometrische gegevens ten behoeve van identiteitsbeveiliging.