Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 90 reacties

MasterCard en betalingsprovider ICS gaan biometrisch betalen via een vingerafdruk of gezichtsherkenning invoeren voor onlinebetalingen. MasterCard en ICS deden in de afgelopen zes maanden een proef onder 750 ABN Amro-creditcardhouders.

mastercard selfiepayHet onderzoek wees uit dat negen van de tien deelnemers aangaven definitief hun wachtwoorden aan de wilgen te willen hangen ten gunste van biometrische authenticatie. Uit de enquête kwam ook naar voren dat bijna driekwart van de gebruikers ervan overtuigd is dat biometrisch betalen tot vermindering van het aantal fraudegevallen leidt. Het gros van de gebruikers is ambivalent als het gaat om welk type biometrische authenticatie gebruikt wordt. 93 procent denkt vingerafdrukidentificatie te blijven gebruiken. 77 procent geeft aan gezichtsherkenning prettig te vinden.

De proef in Nederland was de eerste proef wereldwijd en werd aangekondigd onder Selfiepay. Het systeem werkt met een vorm van gezichtsherkenning, waarbij een video van de gebruiker gemaakt wordt. Het gaat dus niet om een foto. Om fraude te voorkomen moeten de gebruikers met de ogen knipperen. Het beeldmateriaal wordt vervolgens lokaal opgeslagen op de smartphone zelf.

MasterCard denkt vervalsingen via gifjes of video's te ontmaskeren door te zoeken naar reflecties van beeldschermen in het gezicht. Volgens het bedrijf is er bij het tonen van een video vanaf een scherm altijd een reflectie zichtbaar van het display van de telefoon.

Moderatie-faq Wijzig weergave

Reacties (90)

Uit de enquête kwam ook naar voren dat bijna driekwart van de gebruikers ervan overtuigd is dat biometrisch betalen voor vermindering van het aantal fraudegevallen zorgt.
Fijn dat er zoveel mensen van overtuigd zijn. Hierdoor zal het ook daadwerkelijk voor minder fraudegevallen zorgen.
Mastercard denkt vervalsingen via gifjes of video's te ontmaskeren door te zoeken naar reflecties van beeldschermen in het gezicht.
Fijn dat ze dat denken, ben blij dat er slimme mensen werken daar.

/sarcasm

Even serieus, dat mensen zich overtuigd voelen van veiligheid is toch totaal onbelangrijk voor het feit of iets ook daadwerkelijk veilig is? Ok het is fijn wanneer mensen zich 'prettig voelen' bij iets, maar dat moet niet de drijfveer zijn voor het implementeren van een veiligheidsvoorziening. En dat Mastercard denkt dat ze fraude zo kunnen voorkomen.. Man, daar ga je toch eerst fatsoenlijk onderzoek naar doen?

ABN Amro staat nou ook niet bekend als een bank die veiligheid hoog in het vaandel heeft staan. Om maar even gebruik te maken van eerdere vermeldingen, nem ik de bronnen van Thasaidon even over:

ABN AMRO verzwijgt lek in e.dentifier2

Mobiel bankieren app ABN Amro lekte pincode

ABN AMRO krijgt rode kaart wegens Omniture spyware

Ik weet niet of T.net dit nu zo vrij overgenomen heeft of dat het daadwerkelijk zo verwoord is (helaas geen bronvermelding), maar indien dat wel zo is kan ik dit moeilijk serieus nemen. De naam die ze hiervoor hebben gekozen helpt daar overigens ook niet echt aan mee.

[Reactie gewijzigd door LankHoar op 19 februari 2016 12:49]

Was ook mijn eerste gedachte, zowel gezichtsherkenning als vingerafdrukken zijn erg gemakkelijk te omzeilen.

Kijken naar reflectie van een beeldscherm? Mat scherm gebruiken.
Kijken naar knipperen van de ogen? Waarom maken we geen filmpje. Of nog beter, waarom mappen we geen foto op een 3D model van een gezicht? Kun je bijna alles doen.

Slecht systeem, en nog slechter dat het er door geduwd word. Bijna het zelfde als onze overheid die maar gewoon lekke systemen in zet.
Uit de enquête kwam ook naar voren dat bijna driekwart van de gebruikers ervan overtuigd is dat biometrisch betalen tot vermindering van het aantal fraudegevallen leidt.
Na het lezen van het bericht vind ik bovenstaand citaat toch wel noemenswaardig. Niet de uitkomst an sich (ik geloof wel dat de onderzoekspersonen deze mening hebben) maar vooral het feit dat dit als significante informatie wordt gezien. Een populaire gebruikersmening (per definitie suggestief) kan lijnrecht tegenover feitelijke security-argumenten staan.

Een van de grootste nadelen die ik zie bij het gebruik van biometrie, blijft het gebrek van de mogelijkheid om het authenticatiemiddel te wijzigen nadat het gecompromitteerd is. Een wachtwoord en pin-code zijn te wijzigen, een token of smart card zijn te vervangen. Een vingerafdruk of irispatroon zijn dat echter niet.

Nog los van het feit dat er reeds technische middelen zijn om irispatroon en vingerafdruk te kunnen vervalsen (dan wel te kopiëren, soms technischer wat uitdagender soms eenvoudiger http://www.slashgear.com/hackers-able-to-steal-fingerprints-from-galaxy-s5-other-android-phones-25380757/), wordt dit een aanvalsvlak steeds interessanter om te verkennen wanneer biometrische authenticatie op grote schaal wordt toegepast.

Dit is immers ook niet te "patchen": de methode van verkrijgen en/of aanbieden van de vervalsing kan steeds worden aangepast, verbeterd, verder afgeschermd. Echter de bron van de vervalsing (de biometrische gegevens) nooit meer. Dat is een belangrijk onderscheid!
Volgens het bedrijf is er bij het tonen van een video vanaf een scherm altijd een reflectie zichtbaar van het display van de telefoon.
Dit is typisch een voorbeeld waarbij principes en praktijkvoorbeelden in elkaar overlopen. Op dit moment stelt het bedrijf dat het technisch altijd mogelijk is een beeldschermweergave te herkennen. Maar.. dat is de situatie op dit moment.. Het is een kwestie van tijd tot dit te omzeilen is. De genoemde beveiliging is volledig afhankelijk van de huidige stand van zaken van de techniek. Dat wil niet zeggen dat de herkeningstechniek niet kan worden verbeterd maar de biometrische data is in dezen al misbruikt. Wanneer een aanvaller over mijn gegevens beschikt kan ik niets anders dan het gehele systeem uitschakelen.

Zelf zie ik de huidige implementaties van biometrie vooral als verkennend en zie ik het uiteindelijk gaan naar een gelaagde implementatie. De biometrie vervangt wellicht de username maar niet het password. Authenticatie ≠ autorisatie.

[Reactie gewijzigd door Eagle Creek op 19 februari 2016 13:53]

Beetje nu.nl of telegraaf reactie (door de overheid erbij te halen).. Wie zegt dat het er door geduwd wordt? Men gaat er mee verder, maar het wordt vooralsnog aan helemaal niemand verplicht.. Waarom altijd de angst voor nieuwe dingen. Ja er zijn manieren te bedenken om het te omzeilen, maar dat betekend dat er ook manieren zijn om het af te vangen. Geef nieuwe ontwikkelingen een kans.

Men is op zoek naar manieren om online betalen (nog) veiliger te maken, geef nieuwe initiatieven een kans.
Ooit was het beveiligen met je pincode genoeg zodat niemand bij je geld bij komt. Nu moeten we iets nieuws de kans geven. Wat is er nou mis met traditioneel pincode te gebruiken als je gaat pinnen? T'is maar een heel klein gemak om vier cijfers geheim te houden hoor.
Het gaat om online betalen, niet om in de winkel betalen. Je hebt en zal nooit betalen met je PIN online. Daarvoor is men op zoek naar alternatieven en uiteraard meer veiligheid.

Voorheen ging het met alleen info op de Card. Vervolgens kwamen er speciale software pakketten (die nooit een succes zijn geworden) en daarna kwam 3d secure (met een wachtwoord). Nieuw is met een eenmalige code via de bankieren app en dus biometrische gegevens.

<edit> typo

[Reactie gewijzigd door ElConejito op 19 februari 2016 13:40]

Het gaat om online betalen, niet om in de winkel betalen. Je hebt en zal nooit betalen met je PIN online.
Dat is dus al pertinent niet waar wat je zegt. Als ik online betaal met iDeal of met mijn credit card moet ik dat met mijn random reader doen waar ik dus mijn pas in moet steken en mijn pincode moet invullen.

Het grote probleem is dat je straks maar vrijweinig van een persoon hoeft te weten om dit te misbruiken. Zijn Facebook profiel kan al voldoende zijn.

En waarom angst voor nieuwe dingen en slechte overheidsprojecten? Ik moet dagelijks mijn OV chipkaart gebruiken om op mijn werk te komen. Dat zie ik weer gebeuren met ons nieuwe identificatie project. Iedereen waarschuwt ervoor en zegt dat het een slecht idee is vol problemen, en vervolgens word het ons toch de keel door gedrukt.
Wow.. pertinent zelfs.. :)

Dat is natuurlijk niet hetzelfde als online betalen met je PIN aangezien je de PIN offline gebruikt (in de reader) en niet op de website. Een reader implementatie voor creditcard is prima mogelijk, maar zal hem niet worden.

OV chipkaart discussie ga ik mij niet in mengen aangezien dat met mijn mening een ontspoorde off topic discussie gaat worden :)
ontspoord.. Get it? :+
pun intentended zullen we maar zeggen :P
Een reader implementatie voor een creditcard is niet alleen mogelijk maar bestaat ook al geruime tijd. Gebruik het al vrij regelmatig bij de Rabobank dus geen idee waarom dat het niet gaat worden volgens jou.
Dat een bank (vooruit sommige banken) het doen betekend nog niet dat het algemeen goed gaat worden. Als creditcard uitgevers er van overtuigd waren dat dit de oplossing was dan waren de readers al veel groter uitgerold.
Ik ben er niet angstig voor, maar vind het eerder dom, er worden nu ineens zoveel verschillende betaalopties geintroduceerd (apple pay, android pay, en nog vele anderen). Wat gaat het bedrijfsleven deze flauwekul allemaal kosten? En wat lossen we er mee op? Gezichtsherkenning is niet nieuw en is ook zeker niet waterdicht, en ik snap dat bedrijven allemaal massaal op zoek zijn om een betaalstandaard te creëren, maar we zien dalijk door de bomen het bos niet meer. Het begint namelijk een rommel te worden op de betaalmarkt en door al die middelen wordt het dalijk ook eenvoudiger om die gegevens te stelen van iemand, want men kan dan verschillende manieren proberen om het toestel te kraken. Eerst een code, dan een vingerafdruk, dan een iris scan of een ’selfie’. Hoe meer mogelijkheden iemand heeft om toegang te krijgen tot zijn/haar toestel, hoe meer mogelijkheden er ook zijn om dat te kraken, tenzij ze het allemaal moeten doen (dus code, vingerafdruk en irisscan etc) om hun toestel te ontgrendelen (of om bij bankgegevens te kunnen). Dit zal alleen nooit gebeuren, omdat niemand zit te wachten op 3 a 4 handelingen om hun toestel te unlocken.
Als ik mijn pas of pincode verlies dan vraag ik een nieuwe aan. Ergste dat er kan gebeuren is dat ik wat tijd en geld kwijt ben. Het is niet mogelijk om even een nieuw hoofd of vingers te halen als het mis gaat met de biometrische beveiliging.

Dus nee ik dit nieuwe initiatief ga ik geen kans geven.
Dat is ook mijn idee, of je moet steeds één vinger gebruiken en als die uitlekt kun je bijv je pink laten blacklisten en verder gaan met je ringvinger :P

Ik vind dit sowieso te ver gaan allemaal, misschien iets te aluhoedje maar dit is wat mij betreft slechts een tussenstap om ons voor te bereiden op een chipimplantaat.
Dat hoeft toch niet met een tussenstap. Geef gewoon 5 tot 10% korting op een paar producten en der zijn al genoeg mensen die zon chip laten implanteren.
Ha ha, het is triest, maar waar. Kijk maar hoeveel idioten gratis reclame maken op facebook voor een waarschijnlijk niet bestaande winkans op een of ander stom product.
Net als met honden geef je ze een snoepje, en dan doen ze alles voor je.
Gezichtsherkenning ben ik met je eens, daar zijn de camera's volgens mij ook nog helemaal niet klaar voor. Maar je komt niet met voorbeelden waarom vingerafdruk makkelijk te omzeilen is. Voor zover ik weet, is de vingerafdrukscanner in de iPhone 5s+ één van de betere en veiligste consumenten-scanners.
Ik neem aan dat je de 6S bedoelt, alles daar voor was met wat simpele allerdaagse dingen te omzijlen.

Dat is ook mijn hele punt, er is nu net een toestel wat nog niet makkelijk voor de gek bleek te houden.

Afhankelijk van de scanner kan het zijn dat een foto genoeg was (wat dus ook gebruikt was die (Duitse?) politicus(?) zijn identiteit te stelen). Voor een beter exemplaar moet je daadwerkelijk een afdruk liften en clonen.
De 5s en 6 zijn anders nog steeds net zo veilig als de 6S.
Dat klopt niet. De 6S is hier voor zo ver niet vatbaar voor, tenzij Apple dit met een software fix heeft kunnen oplossen.
uit je gelinkte artikel:
Another sign that the sensor may have improved is the fact that slightly “dodgy” fake fingerprints that fooled the iPhone 5S did not fool the iPhone 6. To fool the iPhone 6 you need to make sure your fingerprint clone is clear, correctly proportioned, correctly positioned, and thick enough to prevent your real fingerprint coming through to confuse it. None of these are challenging details for a researcher in the lab, but are likely to make it a little bit harder for a criminal to just “lift your fingerprint” from the phone’s glossy surface and unlock the device.

Read more: Why I hacked TouchID (again) and still think it’s awesome (https://blog.lookout.com/...23/iphone-6-touchid-hack/)
Ja technisch gezien kan het, maar in de praktijk is het donders lastig om dit perfect te kunnen repliceren. Mijn toestel heeft af en toe al last om mijn fingerprint te lezen dus laat staan dat een crimineel met een halve afdruk mijn toestel kan unlocken.
Kijk maar 's naar wat de CCC in Hamburg al 2x bewezen heeft. Die iphone vingerafdruk-scanner is al gebypassed. Google it!
Ja en hoe. Man man wat een werk voor een paar tientjes. Hij is overigens niet gebypassed, maar ge"fooled". En daarvoor heb je een hele goede afdruk nodig die je niet zomaar ergens vandaan kan plukken.
Mee eens. De systemen die men nu heeft zijn al niet veilig genoeg. En dan wil men weer nieuwe systemen bedenken. En dat is alleen maar omdat vooral jongerewn graag mee willen in de 'vaart der volken' en denken dat als iets nieuws is het best ver cool is, of wat men ook tegenwoordig tegen mekaar zegt.

Dit is allemaal marketing en het zet privacy op het spel. Bedrijven kunnen helaas niet worden aangeklaagd voor de ondermijning van westerse waarden en normen en het helpen te ontmantelen van mensenrechten.
Ik las die uitspraak over wat 3/4 van de gebruikers ervan vonden en ik dacht exact hetzelfde, bovendien zal de enquete (zo neem ik aan) door de belanghebbenden van het resultaat zijn uitgevoerd, waren de gebruikers sceptisch geweest dan hadden we dit nooit gehoord. Het is mijns inziens dan ook niets anders dan een mooi verkoop praatje.

Waarom heb ik steeds het gevoel bij dit soort dingen dat ze het uitgeven van geld vooral makkelijker willen maken ipv veiliger? Met gemak komt vaak, niet altijd, veiligheid in het geding. Ik kan me iets herinneren over dat de pincode uit slechts 4 cijfers bestaat omdat de vrouw van de ontwikkelaar het te lastig vond om meer cijfers te moeten onthouden. Alle andere waardevolle zaken schermen we tegenwoordig af met 2 layer auth, waarom moet er een uitzondering gemaakt worden op geld en moet dat alleen maar simpeler?
Contactloos betalen wordt me door de strot geduwd, ik moet zelf, actief een opt-out doen wil ik geen slachtoffer worden van contactloos zakkenrollen. Ok ik gebruik het, maar ik ben sceptisch, waarom ben ik niet gevraagd voor de enquete? ;)
Dat heb ik laatst iemand op Business News Radio horen uitleggen: omdat een pin-betaling wel 10 seconden duurt en een app-betaling maar 5, zou je op een dag met 3 betalingen wel 15 seconden kunnen winnen, wat op jaarbasis zou oplopen tot 1.5 uur.
Dat als het 1x in de 5 jaar fout gaat je langer met de bank aan het bellen bent werd in de berekening even vergeten mee te nemen.
MasterCard en ICS hebben de test gedaan, niet ABN AMRO. Het is slechts gedaan onder ABN AMRO klanten. Dus je ABN AMRO bash is niet helemaal op zijn plaats.

"Man, daar ga je toch eerst fatsoenlijk onderzoek naar doen?"
Hoe zie jij voor je dan dat dit onderzocht wordt zonder het in de praktijk te brengen. Je begint met een idee, die werk je uit. Je praat met specialisten en vervolgens kom je tot een 'product'. Of het daadwerkelijk doet wat je verwacht zul je het toch in de praktijk moeten gaan testen. Dat is wat ze hier gedaan hebben. Het resultaat is dat de gebruikers tevreden zijn. Hoewel je op basis van 750 actieve gebruikers niet heel veel kan zeggen over de impact op fraude valt er wel degelijk wat over te zeggen en als het een zooitje was zouden ze niet zeggen dat ze het verder willen uitrollen. Men is tevreden en wil het verder uitrollen. Dat is de enige manier om de impact op fraude serieus te onderzoeken.

just my 2 cents :)
Hoe zie jij voor je dan dat dit onderzocht wordt zonder het in de praktijk te brengen.
White hat hacking/security expert testing?
Ik kan me niet voorstellen dat hierop geen security/pentests uitgevoerd worden. Zo niet dan zou ik de ABN adviseren het hele project in de vuilnisbak te gooien. Of in ieder geval zeer goeie disclaimers te maken waardoor ze zelf niet voor de financiële schade hoeven op te draaien.(/s)

Ikzelf ga het alvast niet gebruiken, mijn telefoon unlocken met mijn vingerafdruk is tot daar aan toe maar ik kan geen goed beeld krijgen van de volwassenheid van deze technologie en de verschillende implementaties ervan. Aangezien ik een techneut ben betekent dat dat ik het niet vertrouw ;)
99,999% van alle gebruikers zijn tevreden als het makkelijker en simpeler te gebruiken is dan een ander systeem. Hun tevredenheid zegt echter niets over de daadwerkelijke veiligheid.

750 gebruikers in een relatief korte periode zegt ook niet over de impact op fraude. Als dat op zo een klein percentage van creditcard gebruikers als te meten is, dan nog zijn er teveel onbekende variabelen om daar even een fatsoenlijk onderbouwde uitspraak over te doen.

Het zou al anders zijn als ze 750 security experts als proefpersonen hebben gebruikt. (Dan had het al afgeschoten geweest). Biometrie is een slechte keuze voor beveiliging omdat de techniek steeds beter wordt maar de beveiliging nooit verbeterd kan worden. De kans op een hack wordt dus groter en eenmaal gehackt kan je het nooit meer oplossen (Ik heb maar een hoofd, die niet te vervangen is).
Uiteindelijk betaalt de bank of de service provider alle fraude, dus daarom geloof ik ze wel als ze zeggen dat iets beter tegen fraude is dan de huidige situatie. Het is immers sterk in hun eigen belang om dat goed te regelen. Het is ook niet zo belangrijk of iets technisch gezien fraudegevoelig is, maar of het daadwerkelijk praktisch is en ook wordt gebruikt voor fraude.
Nou, daar zou ik niet zo zeker van zijn.
Als fraude komt doordat jijzelf onzorgvuldig bent geweest heb jij een probleem. Lees de voorwaarden maar. Zo zijn bijvoorbeeld alle betalingen met een juiste TAN-code geen fraude.
Nou ja, uiteindelijk worden die kosten ook weer verrekend met de klanten, in de rekeningtarieven en rentepercentages enzo. Niemand die ook maar enig benul heeft hoe die geldstromen lopen - want cijfers erover maken de banken nadrukkelijk niet bekend.
Een vingerafdruk of gelaatscan gebruiken voor authenticatie is als het hebben van één en hetzelfde wachtwoord voor alle systemen dat niet te wijzigen is. Vanuit beveiligingsoogpunt geen goed idee.

Een vingerafdruk of gelaatscan kan dus beter gezien worden als een gebruikersnaam, niet als een wachtwoord.
Sterker nog, het is inderdaad je gebruikersnaam, omdat je hem overal in het openbaar achterlaat. Waarom mensen denken dat het handig is om dat als autorisatie te gebruiken zal ik niet snappen.
Selfie pay lol ik dacht dat het bewijzen was via samsung S4 dat je telefoon niet kon beveiligen via een selfie of headshot omdat je er een foto of afbeelding ervoor kan houden :)
De enquête zegt niets, zolang wij niet weten hoe de mensen geselecteerd zijn.
Kan hier in het bedrijf ook mensen selecteren, als ik er 3 niet bij betrek, zal 100% te vrede zijn.

Bron was volgens BNR hun papiere versie het FD, maar kan het zelf niet terug vinden.

/ontopic
Willen wij nu echt dat o.a. banken biometrische gegevens gaan verzamelen, zodat nu nog online , maar geheid in de toekomst ook in onze "echte" wereld te gebruiken.

Het is wel handig bij die OV poortjes, gezicht herkening en door lopen.

Maar zoals jij het gelukkig ook al geeft, zijn het zeer slimmen mensen die dit bedacht hebben.
Netzo als de NFC, welke nooit gerolt zou kunnen worden.

#lesstech

[Reactie gewijzigd door wica op 19 februari 2016 13:10]

De enquete is gehouden onder de mensen die mee hebben gedaan aan de test, het is immers een artikel over de resultaten van de test en het vervolg.

Niemand die heeft gezegd dat je nooit gerold zou kunnen worden met NFC. Men heeft de risico's daarvan onderkend en een oplossing gegeven (het wordt vergoed).
Het gaat dus niet om een foto. Om fraude te voorkomen moeten de gebruikers met de ogen knipperen..

ehm.. laatst nog op Discovery/NatGeo dat dit niet zo moeilijk te omzeilen is. een 3D masker van je slachtoffer op je eigen gezicht met ooggaten erin. Het systeem trapt er zo in.

en met het opkomend 3Dprinten is dit volgens mij niet het beste manier om je wachtwoord te vervangen.

ik behoud m'n wachtwoord nog wel even voor geldzaken.

[Reactie gewijzigd door BikerOfAmsterda op 19 februari 2016 12:37]

Tenzij ze een iris scanner er van maken, dan is het vrij moeilijk met een masker en de ogen van een 'dader'.
Hoe wil je met een gewone smartphone camera een irisscan gaan maken?
Op de zelfde manier waarop we nu een camera in een klein 'doosje' zetten. vooruitgang. Wie weet wat de techniek de aankomende jaren gaat brengen!
Ik weet het wel, door naar het verleden te kijken kun je zien aankomen wat er gaat gebeuren.
Het patroon is vrijwel altijd hetzelfde. Men bedenkt iets, duwt het de markt op met veel hype zodat jongeren als eerste de boel accepteren. De nadelen worden verzwegen of goed gepraat.
Dan blijkt dat de boel onveilig is of schadelijk. En velen kijken weg en willen het niet horen want het werkt gewoon zo makkelijk.

Ik vind een camera in een klein doosje geen vooruitgang maar een achteruitgang. Miniaturisatie zorgt er voor dat we heel kleine camera's kunnen produceren en we proppen overal een camera in. Kinderspeelgoed, tablets, gadgets zoals telefoons. En soms niet een camera maar twee!

Nu wil men hier biometrie als veiligheidssysteem invoeren terwijl 95% van de burger constant een camera op zak heeft, en waarschijnlijk meerdere. Iedereen kan elkaar snapshotten. En dat is wat het is, zoals je met een vuurwapen een 'snapshot' kan nemen, gaan mensen dat ook doen met camera's. En het effect is net zo gevaarlijk.

Er zijn te veel camera's in de handen van burgers maar ook overheden en winkels, al dan niet met richtmicrofoon in binnensteden. Dit is zeer ongewenst als je van mensenrechten houdt.
Op mijn Lumia 950 zit een irisscanner ;)
Een 3d masker is nog niet eenvoudig gemaakt van iemand. Wel een animatie waar iemand met de ogen knnippert, Die kun je dan voor de camera houden
het zal je verbazen hoe makelijk het is eigenlijk voor consumenten om een 3d scan te maken van een object.

http://www.123dapp.com/catch

je zal je slachttoffer wel even moeten stalken voor voldoende foto's, maar het principe is dat het wel daadwerkelijk wel makelijk kan zijn
Het concept is dan ook helemaal fout naar mijn smaak. Biometrische gegevens zijn uitstekend bruikbaar als identifciatie (gebruikersnaam) maar niet als authentciatie (wachtwoord). Je kunt het immers niet wijzigen.

Nu kun je beargumenteren dat het voor login ivm het moeilijk vervalsen ook bruikbaar is als wachtwoord, maar dan alleen met restricties. Denk aan in deze kleine bedragen, en om de X tijd her-authenticeren met een wachtwoord.
Ik kan me ook nog een mythbusters aflevering herinneren waar een simpele geprinte afdruk van een vingeradruk al goed genoeg was om in te breken op een standaard vingerafdrukscanner. W.b.t. die reflectie waar ze het over hebben bij gezichtsherkenning, dikke stoffen doek of iets dergelijks over het scherm van de telefoon heen en die is ook weg, het zal vast met een filmpje of gif kunnen.

Vind het allemaal leuk en aardig om gewoon op m'n telefoon of bijv. laptop in te loggen, ben erg blij met de vingerafdrukscanner die op mijn Thinkpad zit, maar doe mij maar een good old wachtwoord voor echt belangrijke dingen. Het is allemaal veel te makkelijk te kraken.

[Reactie gewijzigd door ThomasXIV op 21 februari 2016 12:00]

Hmm... dit vind ik zorgelijk:
"Uit de enquête kwam ook naar voren dat bijna driekwart van de gebruikers ervan overtuigd is dat biometrisch betalen voor vermindering van het aantal fraudegevallen zorgt."
Biometrisch betalen wekt volgens mij de schijn van veiligheid. Ik wil niet niet zeggen dat het zinloos is, maar volgens mij wordt die term gebruikt zodat bedrijven weer eens in de spotlight komen bij leken en dat kan weer geld opleveren.

Volgens de theorie van de Multi Factor Authentication (bron) zijn er minimaal 3 factoren te onderscheiden waarmee mensen zich kunnen identificeren:
  • Factor 1: iets watje weet (bijvoorbeeld pincode, wachtwoord)
  • Factor 2: iets watje hebt (bijvoorbeeld paspoort, pinpas)
  • Factor 3: iets watje bent, wat onderdeel is van jou (bijvoorbeeld vingerafdruk, gezichtskenmerken)
Fraude voor bovengenoemde factoren kan gepleegd worden als volgt:
  • Factor 1: afluisteren
  • Factor 2: diefstal
  • Factor 3: lastig... combinatie van factor 1 en 2?
Dus iemand die jouw pincode heeft afgeluisterd (factor 1), moet eerst een 2e factor (pinpas) zien te bemachtigen dmv diefstal voordat hij geld van jou kan afpakken. Dat is het basisidee van 2-factor authenticatie.

Nou lijkt het idee van biometrische gegevens ideaal, want een selfie is niet iets watje kunt weten en een gezicht kun je ook niet stelen. Naar mijn mening zal een dief steeds proberen om factor 3 "om te zetten" naar iets watje kunt weten of iets watje kunt stelen. In het geval van een selfie kun je dat omzetten naar factor 1 en 2 door het gezicht van iemand te digitaliseren (mbv gestolen foto van Facebook, video etc) en de digitale informatie aan de telefoon te voeren.

Kortom, factor 3 lijkt mij juist het moeilijkste om goed te beveiligen omdat het op 2 manieren kan worden misbruikt. Er zijn meer variabelen waarmee een beveiliger rekening moet houden.

Misschien is het allemaal onzin wat ik hier uitkraam, dus ik sta open voor constructieve feedback.

edit:
Quote in BB-code

edit:
Toev: Er zijn meer variabelen waarmee een beveiliger rekening moet houden.

[Reactie gewijzigd door Jael_Jablabla op 19 februari 2016 13:38]

Ik heb samen met anderen ook onderzoek gedaan naar een aantal alternatieve authenticatie methodes voor online bankieren. Onze resultaten.
Hier kwam ook naar voren dat de perceptie van veiligheid bij gezichtsherkenning vrij hoog is. Al kregen we vaak ook vragen zoals 'Wat als ik een tweelingzus had', 'Kan iemand mijn Facebook foto gebruiken?' , 'Kan iemand stiekem een foto van me nemen en deze gebruiken?', etc.

De drie authenticatie factoren die je noemt hebben wij ook gebruikt in ons onderzoek. We hebben daarom biometrics (iets wat je bent) en een token (iets wat je hebt) gecombineerd. De pasfoto wordt uit je paspoort, rijbewijs of id-kaart gelezen met nfc. Vervolgens moet je een foto maken en wordt er gezichtsherkenning toegepast. Je hebt in feite dus 2-factor authentication. (artikel)

Alleen bij onze eigen evaluatie kwamen we op hele andere resultaten uit dan MasterCard. In het artikel:
Het onderzoek wees uit dat negen van de tien deelnemers aangaven definitief hun wachtwoorden aan de wilgen te willen hangen ten gunste van biometrische authenticatie.
Gaat dit dan op biometrische authenticatie, of ook om gezichtsherkenning?
Onze resultaten: Prototype evaluatie
Dus 3 op de 15 vindt het veilig, de andere 12 leek het niet een veilige methode. En dat terwijl we zelfs nog een extra stap hebben door de pasfoto met nfc uit te lezen. Alleen hadden we gezichtsherkenning op basis van een foto, en niet op basis van een video.

[Reactie gewijzigd door JJ93 op 19 februari 2016 14:46]

Ik heb samen met anderen ook onderzoek gedaan naar een aantal alternatieve authenticatie methodes voor online bankieren.
Echt gaaf!
Hier kwam ook naar voren dat de perceptie van veiligheid bij gezichtsherkenning vrij hoog is.
Jah, ik hoor uit mijn omgeving vaak zoiets van "vingerafdrukken zijn uniek DUS ze zijn een veilige identificatiemethode". Maar uniek maakt het nog niet veilig. Het gaat er ook om: hoe makkelijk kun je die kopieren? Is het diefstalbestendig? Dat soort issues zijn mede bepalend voor de veiligheid.
Je hebt in feite dus 2-factor authentication.
Dan ben ik dus niet de enige die dit ziet. Het lijkt mij dat bedrijven (en overheid) op deze manier mensen een schijngevoel van veiligheid geven. De massa van de niet-techneuten is totaal niet kritisch en neemt dit aan voor zoete koek.
Ter addendum: Voorbeeldje van 'biometrische data' stelen: Duitse minister
Waarom niet gezichtsherkenning op basis van een irisscan zoals Microsoft dat doet met de Lumia 950 en 950 XL? Veel minder fraudegevoelig omdat het simpelweg niet werkt met een video of foto. Ook tweelingen zouden elkaars toestel niet kunnen unlocken. En het werkt prima, zelfs als het compleet donker is.

Overigens vind ik de naam 'Selfiepay' echt niks. Puur omdat het niet echt met selfies te maken heeft.

[Reactie gewijzigd door SomerenV op 19 februari 2016 12:39]

Tenzij de camera direct aan de secure element gekoppeld is, blijft het makkelijk om een 'filmpje' in te voeren als data. De meeste cameras zijn vrij makkelijk toegankelijk (behalve bij Samsung, want dan ligt alles vrij op straat), maar ik ken helaas de implementatie van de Lumia niet.

Daarnaas is biometrische data (zoals ook in de FiPo aagegeven word) te makkelijk te gebruiken is voor een replay attack (wat een foto voor de camera hangen ook is). Bovendien is het onvervangbaar bij diefstal/misbruik, wat het grootste probleem is bij authorisatie. 'gebruiker herkenning' kan wel, maar werkelijke goedkeuring is een dubieus idee. Zoals de FiPo ook al aangeeft is het meer een gevoel dan werkelijke veiligheid (net zoals de vingerafdruksensor).

SelfiePay klinkt toch gewoon leuk >:)

[Reactie gewijzigd door Sloerie op 19 februari 2016 13:09]

SelfiePay klinkt toch gewoon leuk >:)
Nee, het klinkt kinderachtig. En onveilig.
Daarnaast ben ik niet zo blij dat je ineens afhankelijk wordt van een telefoon die leeg kan zijn, kapot of wat dan ook.
Ik houd het bij sterk wachtwoord en niets meer.
Ik houd het bij sterk wachtwoord en niets meer.
Met een sterk wachtwoord bedoel je 4 cijfers intypen op een numeriek toetsenbord?
Men heeft het hier over aankopen op internet dus wel iets meer dan 4 karakters. Meestal 33 bij mij. (Eentje meer dan men verwacht, dus nog lastiger te kraken.)
Die 4 cijfers kan je overigens ook uitbreiden, je kunt in veel gevallen een 6 of 8 cijferige pin hebben. Maar niet altijd, dus zoek dat eerst uit. Ik heb veel Amerikaanse mensen moeten waarschuwen hun pin code terug te zetten naar 4 cijfers voordat ze met vakantie gaan....
De Lumia gebruikt een échte infrarode irisscanner dus die ga je met een filmpje niet om de tuin leiden ;)
Die data kan je ook kopieren en replayen (niet via externe bronnen, maar wel via de software). Het maakt het wel weer moeilijker, niet onmogelijk.

Addendum: Dan is wellicht de lumia 'veiliger' maar de maker van de software is afhankelijk van de zwakste schakel (of gebrek aan adoptie). Iedereen met een lumia blijk, maar de 99% van de anderen hebben dat dan niet, wat het weer een zwakke oplossing maakt.

[Reactie gewijzigd door Sloerie op 19 februari 2016 13:19]

Windows 10/Phone is zo'n beetje het veiligste systeem dus ook dát zit wel snor. Bronnetje vind je hier.
Biometrisch betalen via een vingerafdruk of gezichtsherkenning voor online betalingen? Erg handig, maar het lijkt mij ook gevaarlijk:

dan komt men ff bij je op bezoek met het "vriendelijke" verzoek een aankoop voor hen te doen, anders vinger er af of mes in je oogbal...

Misschien overdrijf ik, maar zo denkt "angstige" ik dan weer :D ;)
Dit kan nu precies het zelfde, maar dan om je te dwingen je wachtwoord op te geven. Ik denk niet dat dit het opeens veel aantrekkelijker maakt om zulke dingen te doen.
Het maakt het gemakkelijker: want het aantal stappen om je fiat voor een betaling te geven neemt minder tijd/stappen(?) in beslag. Criminaliteit gedijt het beste als de tijd die het als zodanig in beslag neemt, zo kort mogelijk is...

Edit: personen kunnen kennissen simpelweg drogeren en dan de vingerafdruk gebruiken om ff snel een aankoop te doen... Het stelen of onder bedreiging wachtwoorden verkrijgen van, is dan niet meer nodig...

[Reactie gewijzigd door John Stopman op 19 februari 2016 13:27]

Oog uit kop snijden is zo'n Hollywood idee, maar dat is redelijk onmogelijk aangezien een iris-scan met infra-rood zoekt naar de bloedvaten in de iris, en dan heb je toch wel een oog nodig waar bloed doorheenpompt. :+
Bij mij komen eerder denkbeelden uit Pinewood als het om irisscans gaat.
Het onderzoek wees uit dat negen van de tien deelnemers aangaven definitief hun wachtwoorden aan de wilgen te willen hangen ten gunste van biometrische authenticatie.
Waarom houden ze die enquete niet hier op Tweakers? Ik denk dat de resultaten wel anders zouden zijn.
De gemiddelde tweaker moet dan ook helemaal niets van innovatie hebben. Die klaagt liever dat we zo afhankelijk zijn van al die Amerikaanse IT bedrijven.
De gemiddelde tweaker moet dan ook helemaal niets van innovatie hebben. Die klaagt liever dat we zo afhankelijk zijn van al die Amerikaanse IT bedrijven.
Precies! Dus waarom hebben die bedrijven dan een enquete gehouden onder eindgebruikers, die zich toch al niet zo bewust zijn van veiligheid? 8)7
De resultaten van die enquete zijn dus niet betrouwbaar.
lijkt me toch nog iets wat te gevaarlijk ook al word er geclaimed :

Mastercard denkt vervalsingen via gifjes of video's te ontmaskeren door te zoeken naar reflecties van beeldschermen in het gezicht. Volgens het bedrijf is er bij het tonen van een video vanaf een scherm altijd een reflectie zichtbaar van het display van de telefoon.

Denk dat we voor die reflectie ook wel iets vinden..
Denk dat we voor die reflectie ook wel iets vinden.
Een mat scherm :) Of je houd even een papiertje voor je telefoonscherm, de camera zit er toch boven, valt er ook weinig te zien...

Daarnaast wat als jij probeert te betalen en je toevallig voor een raam of iets anders wat licht kan weerkaatsen staat :P Of ik met mijn telefoon achter je ga staan, kan je mooi niet betalen...

Niet echt goed doordacht van Mastercard als dat al hun maatregelen zijn!

[Reactie gewijzigd door watercoolertje op 19 februari 2016 13:32]

Een code kun je veranderen als deze gestolen wordt. Je gezicht 3D scan en je vingerafdrukken niet. Dat lijkt mij een essentiële tekortkoming.
Kijk en hier heeft Wouter in mijn ogen de hele clou van het probleem te pakken..
En nog even over dat spiegelen.. leg een spiegel onder een hoek, en projecteer vervolgens het benodigde video materiaal hierop met een correctie voor die hoek en Voila geen spiegelingen meer.
Wat vind ik dit een slechte ontwikkelingen, en simpelweg een combinatie van de twee authenticatie methode.. dus knipperende ogen selfie/ iris scan + een pin/wachtwoord word ook niet overwogen want dan vinden klanten het niks..
Ik ga iets dat 'Selfiepay' heet niet eens serieus nemen.
Terecht. Volgens mij is het een 1-april grap. Het voordeel van een creditcard is dat je niet meer dan je kaart nodig hebt.
Is dat een enquête onder de testgroep geweest of groter uitgerold? Ik kan mij namelijk niet voorstellen dat 9 uit 10 hier voorkeur voor heeft.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Microsoft Xbox One S FIFA 17 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True