Biometrisch inloggen: hoe werkt het en is het wel veilig?

We zijn in relatief korte tijd vertrouwd geraakt met biometrisch inloggen. De meeste nieuwe smartphones zijn er mee uitgerust. Betekent dat ook dat het veilig is? Een inventarisatie van de voor- en nadelen van de bekendste biometrische inlogmethoden.

Biometrie bestaat uit meer dan alleen het herkennen van vingerafdrukken of gezichten. Het vakgebied omvat een grote variëteit aan technologieën waarmee unieke, persoonlijke kenmerken van mensen worden gebruikt voor identificatie en authenticatie. Naast de twee eerder genoemde methoden omvat het ook:

  • DNA-matching,
  • iris-en retinascans,
  • vorm en structuur van het oor,
  • manier van lopen,
  • geur,
  • aderen,
  • stemherkenning.

Biometrie is dan ook een nog steeds groeiende markt, die op steeds meer plaatsen in de een of andere vorm wordt gebruikt voor identificatie- en authenticatiedoeleinden. Voor het inloggen op smartphones en laptops zijn de vingerafdruk (Touch ID) en gezichtsherkenning (Face ID) evenwel voorlopig nog de meest gebruikte toepassingen.

Vingerafdruk

AdvertorialDe toekomst van het nieuwe werken

Er zijn drie typen van vingerafdrukscanners: optisch, capacitief en ultrasound. Hoe betrouwbaar zijn die scans?

  • Een optische scanner maakt een foto van de vinger, identificeert het patroon en stelt dan een identificatiecode samen.
  • Een capacitieve scanner meet elektrische signalen van de vinger. Het patroon van de vingerlijnen verzendt een elektrische stroom, terwijl in de ruimtes daartussen lucht blijft zitten. Die contactpunten vormen een uniek patroon. Deze methode wordt gebruikt voor smartphones en laptops.
  • Ultrasonische scanners zullen waarschijnlijk in de volgende generatie smartphones zitten. Door middel van ultrageluid wordt een unieke ‘kaart’ samengesteld.

Zowel Apple- als Android-smartphones slaan de capacitieve vingerafdruk op het toestel zelf op en maken er geen kopie van op hun servers. Het idee daarachter is dat het wachtwoord ‘onderweg’ naar en van de servers niet gehackt kan worden.

Zo bestaat de Touch ID van Apple uit een mathematische weergave van je vingerafdruk. De data is bovendien met encryptie beveiligd. Zelfs Apple’s eigen besturingssysteem heeft geen toegang tot die data. Speciale beveiligingssoftware (Secure Enclave) houdt de eigenlijke scan gescheiden van de data.

Android smartphones gebruiken een vergelijkbaar systeem: de data van je vingerafdruk worden opgeslagen in een veilig deel van de hoofdprocessor (Trusted Execution Envrionment, TEE). Voor andere delen van de processor is het onmogelijk daar toegang toe te krijgen, net zo min als voor apps. Ook bij Android-toestellen worden de data met encryptie beveiligd.

Wanneer een gebruiker van een toestel wordt verwijderd, worden ook zijn of haar vingerafdrukken verwijderd.

Gezichtsherkenning met Windows Hello

Microsoft was een van de eerste technologiebedrijven die het gebruik van gezichtsherkenning invoerde. Windows Hello zit standaard op alle apparaten met Windows 10.

Voor Windows Hello wordt gebruikgemaakt van een combinatie van speciale infrarood (IR) camera’s én software. Daarmee kan een gebruiker zich niet alleen aanmelden bij Microsoft, maar eventueel ook bij apps van derden die zijn aangesloten bij FIDO (Fast Identity Online).

Naast de mogelijkheid om met een vingerafdruk of gezichtsscan in te loggen, biedt Windows Hello ook de mogelijkheid om een pincode of fotowachtwoord in te stellen.
Die pincode is handig om als alternatief of back-up te gebruiken.

Let op: er is een verschil tussen Windows Hello voor consumenten en Windows Hello voor Business. In het laatste geval is er sprake van multifactor authenticatie, waarbij een gebruiker een ID en KEY (sleutel) krijgt om in te loggen op een bedrijfsportaal. Vervolgens krijgt hij of zij via zijn of haar mobiel een cijfercode om zich daadwerkelijk aan te melden.

Op consumentenniveau kampen gebruikers van Windows 10-laptops soms nog met onvoorziene foutmeldingen bij het inloggen met gezichtsherkenning door middel van Windows Hello.

Onveilige gezichtsscan

Vooral bij smartphones maakt het nogal verschil uit of er voor gezichtsherkenning 3D-technologie wordt gebruikt òf een 2D-camera zonder infrarood-sensor (IR). In het laatste geval blijkt het vrij makkelijk om met een foto in te loggen (ook wel spoofing genoemd).

Met name de meer goedkopere smartphones nemen het qua beveiliging niet zo nauw. Zo blijkt uit recent onderzoek door de Consumentenbond dat er nog veel smartphones zijn waarbij door middel van een goed gelijkende foto ingelogd kan worden.

Risico’s en nieuwe ontwikkelingen

Elke beveiligingsmethode bevat risico’s. Zeker wanneer je met (bedrijfs)gevoelige informatie werkt, is het aan te raden om in een vreemde omgeving geen vingerafdrukken rond te laten slingeren. Denk bijvoorbeeld aan USB-sleutels die als vingerafdruklezer kunnen worden gebruikt.

Inmiddels werken fabrikanten aan nog geavanceerder manieren om apparaten te beveiligen. Gedragsmatige biometrie zou wel eens de volgende stap kunnen zijn. Op basis van de gyroscopische sensors en versnellingsmeters waarvan veel smartphones al zijn voorzien, kan worden geregistreerd hoe je je smartphone meestal vasthoudt en zelfs hoe je er mee loopt.

Ook kan worden geregistreerd of het apparaat op een zachte of harde ondergrond wordt neergelegd. Samen met informatie over de manier waarop je typt, kan zo een uniek gedragsprofiel worden samengesteld van jou als gebruiker.

Tips voor biometrisch inloggen

  • De meeste mensen gebruiken voor een vingerafdruk hun wijsvinger. Dat hoeft natuurlijk helemaal niet: gebruik een andere vinger.
  • Heb je iets meer geduld voor het inloggen op je smartphone of laptop? Gebruik dan zowel je vingerafdruk als pincode.

Meer weten over de security van je apparaten? Download de gratis whitepaper 8 securitytips voor het nieuwe werken.

Lees ook: