×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Sander van Voorst

Nieuwsredacteur

Biometrie: vloek of zegen?

Populaire technieken en privacygevolgen

Door , 102 reacties

Betrouwbaarheid en spoofing

Net zoals wachtwoorden te kraken, raden of stelen zijn, is ook biometrie niet honderd procent veilig. Het recentste voorbeeld is de irisscanner van de Samsung Galaxy S8, die met een foto en een contactlens voor de gek te houden was. Dat werd gedaan door de Chaos Computer Club, die een aantal jaar daarvoor ook Apples Touch ID wist te foppen met een foto. Daarbij ging het om de eerste variant van de techniek, die aanwezig was op de in 2013 uitgekomen iPhone 5s. Of het hierbij om uitschieters gaat of dat de indruk klopt dat de betrouwbaarheid van biometrie te wensen overlaat, vroeg Tweakers aan Raymond Veldhuis, hoogleraar biometrische patroonherkenning aan de Universiteit Twente.

Op die vraag antwoordt Veldhuis: “Het is een indruk. In werkelijkheid moet je veel moeite doen om bij een dergelijk systeem binnen te komen.” Hij wijst erop dat er altijd sprake is van een trade-off. “In feite heb je twee soorten fouten, namelijk of een onbevoegde erin komt of dat ik er zelf niet in kom. Dat heeft dan weer invloed op het gebruiksgemak. Die fouten moet je tegen elkaar afwegen.” Als een vingerafdrukscanner bijvoorbeeld te gevoelig is afgesteld, kan een gebruiker er vaker mee te maken krijgen dat hij zijn smartphone niet kan ontgrendelen. Daarbij is de veiligheid ook weer afhankelijk van hoe het systeem is ingericht. Als het inloggen met een vingerafdruk niet lukt, zou het bijvoorbeeld kunnen dat je alsnog een pincode kunt invoeren, wat de veiligheid van de implementatie ondermijnt.

In werkelijkheid moet je veel moeite doen om bij een dergelijk systeem binnen te komen

“In feite is het een net zo veilig alternatief voor iets wat minder gebruiksvriendelijk is”, vervolgt Veldhuis. Daarbij zou geen enkele methode honderd procent veilig zijn en moet er altijd gekeken worden naar wat de toegevoegde waarde is. “Bij de high-end apparaten begint biometrie aan te slaan en gaan er producten omheen gebouwd worden. Kijk bijvoorbeeld naar internetbankieren, waarbij het gebruik van een vingerafdruk handig is.” Vergeleken met andere manieren van authenticatie is het volgens Veldhuis een toegevoegde waarde, maar geen ultieme oplossing. In zijn visie zal biometrie wachtwoorden nooit volledig verdringen.

Spoofing en antispoofing

Het omzeilen of voor de gek houden van biometrische authenticatiesystemen is het onderwerp van veel onderzoek. Aan de andere kant werken er ook mensen aan het voorkomen van dit soort acties. In het kader van deze 'wapenwedloop' steunde de Europese Unie in het verleden het zogenaamde Tabula Rasa-project, dat zich richtte op de verdediging tegen zogenaamde spoofing attacks oftewel presentation attacks op biometrie.

Daarin kwamen bekende en minder bekende varianten van dat soort aanvallen terug. Bijvoorbeeld de van latex, gelatine of zelfs lijm nagemaakte vinger. Daarbij is het mogelijk om een vingerafdruk van een bepaald persoon via een aangeraakt oppervlak te verkrijgen en vervolgens na te maken. Een goede manier om een dergelijke aanval tegen te gaan is via liveness detection, oftewel het vaststellen of je te maken hebt met een menselijke vinger. Daarvoor zijn verschillende manieren bedacht, bijvoorbeeld door middel van zweet of de flexibiliteit van de huid, maar ook temperatuur en hartslag kunnen uitsluitsel geven.

Een andere bekende is het gebruik van een foto om iris- en gezichtsscanners voor de gek te houden. Hoe basaal het ook klinkt, doordat foto's eenvoudig met hoge kwaliteit genomen kunnen worden, zijn deze aanvallen nog steeds mogelijk, zoals de CCC bevestigde. Geavanceerdere systemen, zoals een 3d-scanner, zijn op hun beurt te misleiden met een driedimensionaal masker. Ook hierbij geldt dat het detecteren van liveness belangrijk is, bijvoorbeeld op de manieren die eerder zijn genoemd. In dezelfde categorie vallen het opnieuw afspelen van opgenomen geluid bij spraakherkenning en het nabootsen van een stem. In recent onderzoek werd voorgesteld om een persoon aan verschillende, willekeurige tests te onderwerpen om minder voorspelbaar te maken hoe een authenticatiesysteem een aanvaller detecteert.

Andere manieren om een presentation attack te detecteren zijn bijvoorbeeld het gebruik van algoritmes en machinelearning, waarbij een systeem wordt getraind om onderscheid te maken tussen een echt persoon en een aanvaller.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*