Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door

Nieuwsredacteur

Biometrie: vloek of zegen?

Populaire technieken en privacygevolgen

Inleiding

Het idee om personen te identificeren aan de hand van hun lichamelijke kenmerken is bepaald niet nieuw. Neem een populair identificatiemiddel: de vingerafdruk. Volgens historici gebruikten Babylonische koningen deze, samen met handafdrukken, al meer dan 1700 jaar voor Christus om hun identiteit te bewijzen. Zij moesten de afdruk aanbrengen op kleitabletten om deze een officiële status te geven. Cryptograaf Bruce Schneier noemde het niet voor niets 'de oudste vorm van identificatie'. Wat volgens hem is veranderd, is dat computers nu de herkenning van personen regelen.

Enkele duizenden jaar later kijken we niet meer op van vingerafdrukscanners in smartphones. Die verschenen rond 2007 in de eerste toestellen, maar zijn tegenwoordig zelfs te vinden in budgettelefoons. Daarnaast komen er steeds meer authenticatietechnieken op basis van biometrische gegevens beschikbaar voor consumenten en worden ze in toenemende mate ingezet in allerlei elektronica. Tijd dus om eens een kijkje te nemen bij de verschillende toepassingen en daarbij aandacht te besteden aan de beveiliging en opslag van biometrische gegevens, maar ook aan de gevolgen voor privacy.

Jakub, hand, CC BY-SA 2.0

Om duidelijk voor ogen te hebben waar het om gaat, is het handig om van tevoren een definitie van biometrie op te stellen. Onder biometrie verstaan we het gebruik van onderscheidende karakteristieken van het menselijk lichaam voor authenticatiedoeleinden. Daarbij kan het om fysieke eigenschappen gaan, bijvoorbeeld de vorm van een gezicht of een vingerafdruk. Aan de andere kant is ook te denken aan het gedrag van een persoon, zoals de manier van lopen.

Er zijn ook andere manieren om iemand te authenticeren, anders dan via een lichamelijke eigenschap. Dat kan op basis van wat iemand weet, bijvoorbeeld een wachtwoord, of op basis van iets wat iemand heeft, bijvoorbeeld een sleutel of token. Alle manieren hebben voor- en nadelen. Kijken we naar wachtwoorden, dan moeten we deze onthouden of op een veilige plek bewaren. Het vergeten van een vingerafdruk is lastig, dus op dit gebied is biometrie weer gebruiksvriendelijker.

Aan de andere kant is een vingerafdruk niet te veranderen, wat betekent dat als deze eenmaal in handen van kwaadwillenden is gevallen, er weinig ondernomen kan worden. Een wachtwoord is daarentegen eenvoudig opnieuw in te stellen. Daarnaast hebben mensen enige controle over de inhoud van een wachtwoord. Bij biometrische gegevens is dat niet zo. Sterker nog, deze bevatten vaak veel meer informatie over een persoon, bijvoorbeeld over geslacht of ethnische achtergrond. Daarom is het zaak de gegevens goed te beveiligen. Schneier wees er nog op dat biometrische gegevens niet zomaar na te maken zijn, maar vrij eenvoudig zijn te stelen.

Authenticatietechnieken

Sommige technieken om iemand aan de hand van biometrische gegevens te identificeren verschijnen in consumentenelektronica, zoals smartphones. De methode die velen van ons dagelijks gebruiken, is de vingerafdruk, bijvoorbeeld om onze telefoon in te komen zonder een pincode in te hoeven voeren. Maar ook op andere plekken wordt deze techniek toegepast, bijvoorbeeld in sportscholen. Bij een scan wordt gekeken naar de patronen van een vingerafdruk, bijvoorbeeld naar boog- of luspatronen. Er kan ook naar de zogenaamde minutiae gekeken worden, dat zijn kenmerken van een baan of groef in een vingerafdruk. Een baan kan zich bijvoorbeeld splitsen of op een gegeven moment stoppen.

Metingen kunnen op verschillende manieren plaatsvinden. Zo zijn er onder meer optische scanners, naast ultrasone en capacitieve methodes. Deze werken allemaal door een representatie van de vingerafdruk vast te leggen en te vergelijken om uiteindelijk tot een match te komen.

Tweakers sprak met Max Snijder van de European Biometrics Group over verschillende biometrische authenticatiemethodes. Over de vingerafdrukscanner zegt Snijder: “De verschillen tussen de bestaande technieken zitten in de manier van afnemen. Fabrikanten kijken naar manieren om vingerafdrukscanners in schermen te verwerken, omdat blijkt dat een scanner onder een scherm toch minder goed werkt.” Qualcomm bijvoorbeeld kondigde echter onlangs nog een scanner aan die onder een scherm terecht moet komen. Over de komende iPhone gaan juist geruchten dat die een scanner in het scherm krijgt.

Vingerafdrukscanner op de OnePlus 5

Een andere methode is gezichtsherkenning, die we inmiddels ook van verschillende smartphonefabrikanten hebben gezien. Snijder: “Deze techniek is stokoud, maar wordt steeds verfijnder. Er zijn inmiddels allerlei trucjes om te voorkomen dat een dergelijk systeem met een foto voor de gek wordt gehouden, bijvoorbeeld met een kleurcode of door de gebruiker zijn hoofd te laten draaien, met zijn ogen te laten knipperen of te laten lachen, waardoor de tanden zichtbaar worden.” In dit verband wijst Snijder ook naar de ogenschijnlijke plannen van Apple om een 3d-camera te gebruiken in plaats van een vingerafdrukscanner. “Dit is heel spectaculair.” Deze nieuwere techniek kijkt naar de vorm van een gezicht om onderscheidende eigenschappen vast te stellen, wat de precisie zeer ten goede moet komen. Traditionele systemen kijken bijvoorbeeld naar de verhouding tussen ogen, neus en mond. De toepassing van gezichtsherkenning breidt zich ook in Nederland uit, bijvoorbeeld met de inzet bij opsporing en het gebruik op Schiphol.

Een techniek die zich op een klein deel van het gezicht richt, is de irisscan. Daarover zegt Snijder: "Deze techniek op zich zeer accuraat, maar heeft in de praktijk wat problemen. De techniek werkt het beste in het infrarood, omdat dan alle kleuren (blauw, bruin, groen, grijs) in grijstinten veranderen. Met daglicht gebeurt dit niet en kunnen bijvoorbeeld bruine ogen problemen opleveren. Er moet dus eigenlijk met nabij-infrarood licht en extra belichting gewerkt worden om dit op te vangen. Ook al heb je een goede camera in je smartphone, dan nog blijkt het vrij tricky.” Irisscanners maken gebruik van het feit dat elke iris uniek is en gedurende het leven niet verandert. Daardoor zijn verschillende herkenningspunten vast te leggen waaraan een individu herkend kan worden. Een irisscan moet niet worden verward met een retinascan, waarbij wordt gekeken naar het patroon van de bloedvaten in de retina, oftewel het netvlies. Die techniek wordt eigenlijk niet meer gebruikt.

Lumia met irisscanner

Rudolph Bos van Fujitsu gaf uitleg over een techniek die inmiddels al ongeveer tien jaar bestaat en toepassing vindt in verschillende sectoren. Deze staat bekend onder de naam PalmSecure en analyseert het aderpatroon in de hand van een gebruiker met behulp van infraroodlicht. Ook wordt gekeken naar het stromen van het bloed om te verifiëren dat het om een levende hand gaat. Bos legt uit: "De techniek werkt bijvoorbeeld ook als mensen een rubberen handschoen aan hebben of een wond op hun hand hebben. Daarbij is het niet nodig om iets aan te raken, omdat de methode contactloos werkt." Daarbij identificeert het systeem een patroon met vijf miljoen referentiepunten. De methode wordt nog steeds verder ontwikkeld, bijvoorbeeld door sensoren kleiner en sneller te maken, zodat ze in een ultrabook passen. In Nederland worden de handpalmscanners bijvoorbeeld in ziekenhuizen gebruikt.

Er zijn natuurlijk nog veel meer technieken, waaronder identificatie op basis van dna, de eigenschappen van een oor, hand of vinger, lichaamsgeur of stemgeluid. Dat laatste is dan weer een voorbeeld van een vaak onderbelichte categorie: ‘behavioural biometrics’. Daarvan bestaan ook commerciële toepassingen, die bijvoorbeeld worden gebruikt door banken en webshops. Bij deze vorm wordt naar het gedrag van een individu gekeken. Te denken valt ook aan de manier waarop iemand typt en wat een persoon precies typt. Een andere mogelijkheid is dat het browsegedrag van een individu in kaart wordt gebracht, ook wel 'browser fingerprinting'. Snijder zegt daarover: “Dit is een heel sterke vorm van biometrie, die ook nog eens onzichtbaar is voor de gebruiker.“

Betrouwbaarheid en spoofing

Net zoals wachtwoorden te kraken, raden of stelen zijn, is ook biometrie niet honderd procent veilig. Het recentste voorbeeld is de irisscanner van de Samsung Galaxy S8, die met een foto en een contactlens voor de gek te houden was. Dat werd gedaan door de Chaos Computer Club, die een aantal jaar daarvoor ook Apples Touch ID wist te foppen met een foto. Daarbij ging het om de eerste variant van de techniek, die aanwezig was op de in 2013 uitgekomen iPhone 5s. Of het hierbij om uitschieters gaat of dat de indruk klopt dat de betrouwbaarheid van biometrie te wensen overlaat, vroeg Tweakers aan Raymond Veldhuis, hoogleraar biometrische patroonherkenning aan de Universiteit Twente.

Op die vraag antwoordt Veldhuis: “Het is een indruk. In werkelijkheid moet je veel moeite doen om bij een dergelijk systeem binnen te komen.” Hij wijst erop dat er altijd sprake is van een trade-off. “In feite heb je twee soorten fouten, namelijk of een onbevoegde erin komt of dat ik er zelf niet in kom. Dat heeft dan weer invloed op het gebruiksgemak. Die fouten moet je tegen elkaar afwegen.” Als een vingerafdrukscanner bijvoorbeeld te gevoelig is afgesteld, kan een gebruiker er vaker mee te maken krijgen dat hij zijn smartphone niet kan ontgrendelen. Daarbij is de veiligheid ook weer afhankelijk van hoe het systeem is ingericht. Als het inloggen met een vingerafdruk niet lukt, zou het bijvoorbeeld kunnen dat je alsnog een pincode kunt invoeren, wat de veiligheid van de implementatie ondermijnt.

In werkelijkheid moet je veel moeite doen om bij een dergelijk systeem binnen te komen

“In feite is het een net zo veilig alternatief voor iets wat minder gebruiksvriendelijk is”, vervolgt Veldhuis. Daarbij zou geen enkele methode honderd procent veilig zijn en moet er altijd gekeken worden naar wat de toegevoegde waarde is. “Bij de high-end apparaten begint biometrie aan te slaan en gaan er producten omheen gebouwd worden. Kijk bijvoorbeeld naar internetbankieren, waarbij het gebruik van een vingerafdruk handig is.” Vergeleken met andere manieren van authenticatie is het volgens Veldhuis een toegevoegde waarde, maar geen ultieme oplossing. In zijn visie zal biometrie wachtwoorden nooit volledig verdringen.

Spoofing en antispoofing

Het omzeilen of voor de gek houden van biometrische authenticatiesystemen is het onderwerp van veel onderzoek. Aan de andere kant werken er ook mensen aan het voorkomen van dit soort acties. In het kader van deze 'wapenwedloop' steunde de Europese Unie in het verleden het zogenaamde Tabula Rasa-project, dat zich richtte op de verdediging tegen zogenaamde spoofing attacks oftewel presentation attacks op biometrie.

Daarin kwamen bekende en minder bekende varianten van dat soort aanvallen terug. Bijvoorbeeld de van latex, gelatine of zelfs lijm nagemaakte vinger. Daarbij is het mogelijk om een vingerafdruk van een bepaald persoon via een aangeraakt oppervlak te verkrijgen en vervolgens na te maken. Een goede manier om een dergelijke aanval tegen te gaan is via liveness detection, oftewel het vaststellen of je te maken hebt met een menselijke vinger. Daarvoor zijn verschillende manieren bedacht, bijvoorbeeld door middel van zweet of de flexibiliteit van de huid, maar ook temperatuur en hartslag kunnen uitsluitsel geven.

Een andere bekende is het gebruik van een foto om iris- en gezichtsscanners voor de gek te houden. Hoe basaal het ook klinkt, doordat foto's eenvoudig met hoge kwaliteit genomen kunnen worden, zijn deze aanvallen nog steeds mogelijk, zoals de CCC bevestigde. Geavanceerdere systemen, zoals een 3d-scanner, zijn op hun beurt te misleiden met een driedimensionaal masker. Ook hierbij geldt dat het detecteren van liveness belangrijk is, bijvoorbeeld op de manieren die eerder zijn genoemd. In dezelfde categorie vallen het opnieuw afspelen van opgenomen geluid bij spraakherkenning en het nabootsen van een stem. In recent onderzoek werd voorgesteld om een persoon aan verschillende, willekeurige tests te onderwerpen om minder voorspelbaar te maken hoe een authenticatiesysteem een aanvaller detecteert.

Andere manieren om een presentation attack te detecteren zijn bijvoorbeeld het gebruik van algoritmes en machinelearning, waarbij een systeem wordt getraind om onderscheid te maken tussen een echt persoon en een aanvaller.

Hashing en encryptie

Omdat biometrische gegevens niet te wijzigen zijn en gevoelige informatie bevatten, is het belangrijk om er op een veilige manier mee om te gaan. Tweakers sprak met Tom Kevenaar van het Nederlandse biometriebedrijf GenKey over de verschillende mogelijkheden.

Volgens Kevenaar is er een aantal manieren om biometrische gegevens op te slaan voor authenticatiedoeleinden. Zo is het mogelijk om een biometrische template, oftewel een representatie van een bepaalde lichamelijke eigenschap, op te slaan op bijvoorbeeld een smartcard. Verificatie gebeurt in dat geval door een livemeting uit te voeren en die te vergelijken met de template op de kaart. Mastercard heeft bijvoorbeeld samen met het Noorse IDEX een wereldwijd programma hiervoor opgezet.

Daarnaast kan een template traditioneel versleuteld worden. In dat geval gebeurt verificatie aan de hand van software met een ingebakken decryptiesleutel. Dat brengt het probleem met zich mee dat de sleutel beschermd moet zijn, want als deze eenmaal uitlekt, zijn alle templates in gevaar en ontstaat een zogenaamd lawine-effect.

Als een ingebakken decryptiesleutel eenmaal uitlekt, zijn alle templates in gevaar

Een techniek die al ongeveer tien jaar bestaat, maar nog in de kinderschoenen staat, is homomorfe encryptie. Daarbij is informatie te allen tijde versleuteld, bijvoorbeeld op een server. Deze server heeft dan ook zelf geen toegang tot de onversleutelde gegevens en is dus ‘blind’. Het voordeel hiervan is dat er geen decryptie van de informatie hoeft plaats te vinden en dat input en output altijd zijn versleuteld. Decryptie van het resultaat vindt uiteindelijk pas door de client plaats, legt Kevenaar uit. Hij voorziet dat homomorfe encryptie in de toekomst een grotere rol gaat spelen.

Een vierde methode is het hashen van biometrische data, waarin GenKey is gespecialiseerd. Kevenaar legt uit: “Het hashen van biometrische informatie volgt eenzelfde soort pad als wachtwoorden en zet gegevens om met een hash. Als je bijvoorbeeld een volledig boek zou hashen en vervolgens een enkele letter verandert, komt er een volledig andere hash uit. Dit werkt dus niet zomaar met biometrische gegevens.” Hij vertelt dat het hashen werkt door eerst een heleboel signal processing uit te voeren om variatie uit de gescande gegevens te halen, bijvoorbeeld een afbeelding van een duim. Daaruit komt vervolgens een representatie met minder variatie voort.

Naast de hash wordt ruisinformatie opgeslagen, waarbij ruis hetgene is dat varieert bij herhaaldelijke metingen. Kevenaar vergelijkt het met een kommagetal. “Stel je hebt 13,56, dan gaat alles voor de komma de hashfunctie in. Dat is de stabiele, essentiële informatie. Alles achter de komma kan veranderen en is ruis, waarbij de verhouding tussen de twee ongeveer 50:50 is.” De ruisinformatie kan vervolgens gebruikt worden om de hash van een salt te voorzien om een aanvullende laag beveiliging toe te voegen. Deze methode maakt deel uit van een iso-standaard en volgens Kevenaar zit het verschil tussen de implementaties van de techniek in de manier van signal processing.

Schematische weergave van hashing. Bron

Smartphones

Android en iOS gaan elk op een eigen manier om met vingerafdrukken. Voor zijn Pixel- en Nexus-toestellen vereist Google dat het vastleggen en herkennen van een vingerafdruk in een beveiligd deel van de processor gebeurt, een trusted execution environment. Op die manier zijn vingerafdrukscans niet toegankelijk. Ze mogen bovendien alleen versleuteld opgeslagen worden met een eigen sleutel en ook de templates moeten met een apparaatafhankelijke sleutel ondertekend zijn. Dat moet voorkomen dat ze van het ene toestel naar een ander verplaatst kunnen worden. De versleutelde data verlaat het toestel niet en wordt ook niet toegankelijk als een telefoon wordt geroot.

iPhones met een A7-chip of een latere variant hebben een 'secure enclave' aan boord, waarvan de functie vergelijkbaar is met die van de trusted execution environment. Als een vinger de Touch ID-sensor raakt, wordt deze gescand en komt die scan in de secure enclave terecht. Daar wordt de scan in versleuteld geheugen opgeslagen, geanalyseerd en daarna weggegooid. De overblijvende analysedata wordt versleuteld en verlaat het apparaat niet.

Privacy

Max Snijder legt uit dat biometrische authenticatie in twee categorieën uiteenvalt: verificatie en identificatie. “Bij verificatie wordt gekeken of een bepaald persoon daadwerkelijk is wie hij claimt te zijn. Dit kan bijvoorbeeld aan de hand van lokale opslag. Als een vingerafdruk toegang geeft tot een telefoon, dan moet het om de juiste persoon gaan.” Bij identificatie gaat het erom een onbekend persoon te identificeren. Dat kan bijvoorbeeld in een database gebeuren, waarbij een bepaalde vingerafdruk een match oplevert met informatie in de database. Op die manier kan de identiteit van een persoon vastgesteld worden.

Afbeelding via Eyeverify

Snijder stelt dat er sprake is van een spanningsveld op dit vlak als je kijkt naar de gevolgen voor de privacy van gebruikers. “Je kunt verificatie ook uitvoeren met gegevens die centraal zijn opgeslagen, maar dan krijg je privacyproblemen. Als je kijkt naar mobiele apparaten, zie je hier twee kampen. De voorstanders van lokale opslag zijn degenen die de privacy van gebruikers willen waarborgen, waarbij opsporingsdiensten meer gebaat zijn bij centrale opslag.” Hij vervolgt dat de ontwikkeling op dit vlak niet transparant verloopt.

Met een verwijzing naar een rechtszaak die momenteel in de Amerikaanse staat Illinois plaatsvindt, wijst Snijder op de privacygevolgen van het aanleggen van databases met biometrische informatie. De rechtszaak speelt tussen een groep burgers en Facebook, dat ervan wordt beschuldigd biometrische informatie van gebruikers te verzamelen zonder hun toestemming. In Europa past Facebook geen automatische gezichtsherkenning toe. Maar het mag duidelijk zijn dat mensen niet hun foto op Facebook zetten met als bedoeling dat die door opsporingsdiensten gebruikt gaan worden voor allerlei vormen van criminaliteitsonderzoeken. Hier is dus hoogstwaarschijnlijk sprake van illegaal gebruik, zeker vanuit de meeste recente Europese wetgeving bezien, aldus Snijder.

We moeten wel vooruitkijken en ons afvragen wat we precies weggeven

Hij vervolgt: “Biometrie kan burgers ontdoen van rechten en anonimiteit, eigenlijk het laatste stukje wat de burger nog onder zijn controle had. Iedereen kan bijvoorbeeld een foto van je maken. Biometrie is uniek doordat alle gegevens aan een individu te koppelen zijn, waardoor uiteindelijk het net wordt dichtgetrokken. Ik ben niet tegen vooruitgang; voor toepassingen als internetbankieren is biometrie een gouden greep. Maar we moeten wel vooruitkijken en ons afvragen wat we precies weggeven. Mensen denken daar steeds minder bij na.”

Wetgeving

De bezwaren van Snijder komen terug in de zienswijze van de Artikel 29-werkgroep, waarin alle privacywaakhonden van de EU zijn verenigd. Het orgaan schrijft bijvoorbeeld in zijn opiniedocument: "De centrale opslag van gegevens, vooral in grote databases, brengt risico's met zich mee op het gebied van beveiliging, het koppelen aan personen en function creep. Dit kan er bij de afwezigheid van waarborgen voor zorgen dat vingerafdrukken voor een ander doel worden gebruikt dan waarvoor ze in eerste instantie zijn verwerkt." Centrale opslag moet volgens de werkgroep dan ook vermeden worden, tenzij het nodig is voor specifieke doeleinden. In Nederland speelde deze discussie rond de opslag van vingerafdrukken door de overheid, waarbij het Gerechtshof Den Haag in 2014 oordeelde dat centrale opslag niet was toegestaan, omdat dit niet betrouwbaar genoeg is. De Raad van State sprak zich later ook tegen centrale opslag uit.

In mei 2018 wordt de nieuwe Europese privacyverordening van kracht. Daarin is in artikel 9 vastgelegd dat biometrische gegevens gezien moeten worden als een bijzonder persoonsgegeven, waarop speciale regels van toepassing zijn. Zo is de verwerking daarvan in beginsel verboden, tenzij er een uitzonderingsgrond van toepassing is. Dat betekent dat verwerking alleen is toegestaan als er uitdrukkelijk toestemming voor is gegeven of als het nodig is voor de behartiging van de vitale belangen van een persoon en de 'eigenaar' van de data niet in staat is om zijn toestemming te geven. Een andere mogelijkheid is onder meer dat het nodig is vanuit een publiek belang.

©ANP / Robert Vos

In Nederland worden de regels uit de verordening uitgevoerd door middel van een uitvoeringswet, waarvan in januari de consultatietermijn eindigde. In artikel 26 van die wet staat: "Het verbod om biometrische gegevens te verwerken met het oog op de unieke identificatie van een persoon is niet van toepassing indien de verwerking geschiedt met het oog op de identificatie van de betrokkene en slechts voor zover dit voor dit doel noodzakelijk en proportioneel is voor behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde." Dat betekent dat de gegevens verwerkt mogen worden voor identificatie, maar dat dit alleen kan als dit daadwerkelijk noodzakelijk is en er geen minder ingrijpende middelen zijn. In een advies schreef de Autoriteit Persoonsgegevens dat de formulering scherper kan en dat biometrie alleen ingezet kan worden bij authenticatie en beveiligingsdoeleinden.

Tot slot

Het gebruik van biometrie als identificatiemiddel is dus niet nieuw, maar er komen langzamerhand wel steeds meer toepassingen voor consumenten. Een goed voorbeeld is de smartphone, die doorgaans over de nodige sensoren beschikt. Hoewel de betrouwbaarheid vrij hoog is, is geen enkel systeem volledig veilig. Zo worden steeds nieuwe manieren bedacht om systemen te omzeilen, maar ook om dit soort aanvallen weer onmogelijk te maken. Omdat biometrische gegevens niet door de eigenaar te wijzigen of in te trekken zijn, is het belangrijk dat ze op een veilige manier worden opgeslagen.

Het gebruik kan veel voordelen hebben, omdat je bijvoorbeeld een vingerafdruk altijd bij je draagt en niet kunt vergeten, zoals een wachtwoord. Dat verhoogt het gebruiksgemak enorm, wat we bijvoorbeeld zien bij de toepassing voor internetbankieren op smartphones. In tegenstelling tot een wachtwoord zijn veel biometrische eigenschappen echter niet geheim. Zo is er eenvoudig een foto te maken van een gezicht en laten we onze vingerafdrukken overal achter.

In tegenstelling tot een wachtwoord zijn veel biometrische eigenschappen niet geheim

Door het gebruiksgemak lijkt biometrie al snel het antwoord te zijn op alle slechte wachtwoorden en uitgelekte databases. Bij het gebruik voor lokale verificatie zou dit weleens kunnen kloppen, zolang de implementatie goed is uitgevoerd. Op die manier zijn biometrische gegevens van degelijke beveiliging voorzien en worden ze niet buiten het apparaat opgeslagen. Dit kan wel weer andere vragen oproepen, zoals wat er moet gebeuren als er onbevoegde toegang heeft plaatsgevonden. Biometrie als middel voor identificatie brengt privacybezwaren met zich mee, omdat gegevens dan doorgaans in een centrale database zijn opgeslagen. Een dergelijke database is niet altijd van een overheid, maar kan ook aan bedrijven toebehoren. Omdat biometrische gegevens als gevoelig moeten worden gezien, is het van belang deze databases goed te beveiligen en alleen in te zetten als er geen andere mogelijkheid is.

Reacties (102)

Wijzig sortering
Een interessant verhaal van Malavika Jayaram op SHA2017 over mogelijke problemen die men in India is tegengekomen waar men een "Biometric ID card" als proef is gaan invoeren. Hierop staan afdrukken van alle 10 vingers + Irisscan. Mensen met zwaar werk hebben soms geen leesbare vingerrafdruk meer. Op dit moment kunnen die geen biometric ID krijgen. Nou zou je zeggen, laat dan maar, alleen het is al zeer ver doorgevoerd. Zonder een Biometric ID kun je geen werk krijgen, en kun je zelfs niet als overleden worden aangemeld.
Het is officieel een project waar je vrijwillig aan mee kunt doen, alleen nu al komen de eerste meningen "als je niet meedoet, heb je vast iets te verbergen. Doe je soms iets crimineels?" De sociale druk om mee te doen is groot.

Het is een uur durend verhaal, zonder technische info, maar het geeft toch een interessant perpectief vanuit een land waar men 'hands-on' ervaring heeft.

https://media.ccc.de/v/SH...c_id_cards_by_the_billion

edit:
2017.08.14 youtube link verwijderd (video is verplaatst; zoek in youtube naar sha2017 biometric en je vind nog meer video's over de invoering in india

[Reactie gewijzigd door kzin op 14 augustus 2017 09:54]

Het kan zelfs al voorkomen bij relatief licht werk. Als je bijvoorbeeld op een lab werkt en vaak in contact komt met loog of gewoon zeep (ook een loog) verdwijnt je vingerafdruk ook.

En ook mensen die behandeld worden met chemokuren hebben er last van.

Vraag me eigenlijk af wat er gebeurt als je een paspoort aanvraagt en je hebt geen leesbare vingerafdruk.
Daar zijn regels voor:
Vingerafdrukken bij tijdelijke of permanente beperking
In sommige gevallen is het opnemen van vingerafdrukken moeilijk of onmogelijk door een medische beperking. Het kan gaan om een permanente of een tijdelijke beperking. Van een permanente beperking is sprake, als vaststaat dat de beperking tijdens de normale geldigheidsduur van het paspoort blijft bestaan.

Met een tijdelijke beperking komt u in aanmerking voor een paspoort zonder vingerafdrukken dat 1 jaar geldig is.

Met een permanente beperking kunt u een paspoort zonder vingerafdrukken krijgen met een geldigheid van 5 of 10 jaar. De geldigheidsduur is afhankelijk van uw leeftijd. De ambtenaar die de aanvraag van uw paspoort behandelt, kan bij twijfel een medische verklaring aan u vragen.
Eigenlijk wel jammer aangezien je, indien je dus tijdelijk geen vingerafdruk hebt, opeens 67 euro (of wat kost een paspoort tegenwoordig?) mag aftikken per jaar dat je er last van hebt.

Ik ben overigens een forse tegenstander van het opslaan van vingerafdrukken door de overheid. Ze hebben meermaals laten zien er een potje van te maken van de beveiliging, straks ligt je vingerafdruk op straat wat vanzelf de key tot gestolen telefoons gaat worden waar tegenwoordig authenticatie van de bank en andere betaalapps via de vingerafdrukscanner gaat.

En wij als burger hebben geen inzage in de beveiliging, source code of wat dan ook dus moeten maar hopen dat het goed komt.
De zorg is begrijpelijk, echter, als een hacker de hele database met vingerafdrukken krijgt, achterhaalt waar iedereen woont, en dan ook de login data van mijn bank weet en zelf zijn telefoon gaat koppelen aan mijn gegevens, dus hij moet weten hoe het werkt bij bv de Rabo, dan moet die persoon in kwestie al over dusdanig veel middelen beschikken en dan vraag ik me af, of wij daar überhaupt iets van mee krijgen, want iemand die op grote schaal, zo'n fraude wilt plegen, zal snel genoeg opgepakt worden. En dan zal de gewone burger niet het doelwit zijn maar de mensen waar wel veel geld te halen is.

Als je alle vingerafdrukken gaat koppelen en account gaat overnemen en zonder TAN-codes of randomreaders er tussen kunt gaan zitten, dan hebben zowel de banken als de overheid een probleem.

Verwacht je dat er op dit moment bendes zijn die die middelen hebben om er ook nog mee weg te komen?
Het is niet alleen dat, als men mijn vingerafdruk heeft hebben ze hoogstwaarschijnlijk mijn BSN, adres, een foto en what not. Nu is dat er niet, maar wie zegt dat er over 10-20 jaar niet zoiets is? Want zolang zouden mijn vingerafdrukken nog best wel eens kunnen blijven gearchiveerd. Banken en diverse andere partijen hebben nu eenmaal kenbaar gemaakt dat een vingerafdrukscanner 'veilig' is. Als straks er een techniek is om snel een vingerafdruk te printen en een gestolen telefoon kan in een uurtje ontgrendeld worden ben je er al.

Maar ook voor gerichte criminaliteit is dit niet geschikt, als vingerafdrukken eenmaal op straat zijn beland of worden verhandeld kan je dus heel gericht fraude plegen. Stel dat je van een ceo met een vingerafdrukscanner tot zijn kantoor toegang kan krijgen door zijn vingerafdruk te kopen voor 1000 euro? We zien de problemen nú niet, maar die zijn er over een aantal jaar misschien wel. En dan kan je niet even een nieuwe vingerafdruk nemen, dus die voorbereiding moet nu al goed zijn.
Dat ben ik zeker met je eens. Iemand die kwaadwillig toegang wil krijgen, kan zo inderdaad eea kapot maken. Uiteindelijk is het een extra maatregel die je kunt treffen. Mooie van onze gedachten/fantasie is dat we menig scenario kunnen bedenken waarin het mis kan gaan, om zo de beveiliging nog beter te maken.

Ik ben alleen niet meer bang dat IK uitgekozen wordt om te hacken of iets dergelijks. Wellicht dat ze straks op DNA niveau verder gaan als die scans niet meer werken. En tegen die tijd zijn we toch allemaal op bitcoins overgestapt :Y) (niet echt)
Als je over 3 jaar opeens CEO bent of op een of andere manier een miljardair bent wordt dat opeens heel interessant.
Van het gevolg er na is het wel bekend, mensen die naar US reisden voor chemo die na behandeling werden opgepakt ondanks doktersverklaring...
Of, iets heel geks, een ongelukje met vuurwerk en je bent een vinger kwijt. Of een gestoorde crimineel die je maar de kans op een baan afneemt. Hand op een gloeiende plaat? Oeps.

Elk nadeel heb zn voordeel: Je bent wel (wettelijk) onsterfelijk.
Het klopt dat door ouderdom, chemische spullen en werk je vingerafdruk beïnvloedt. Als het goed is zou een 2de laag scan dat moeten voorkomen. Tijdens de laatste conferentie hebben ze een demo laten zien hoe een dergelijke scan uit zou moeten zien alleen nog niet snel en betrouwbaar genoeg. As 18-22 sept 2017 is er weer een biometics week in darmstadt waar men alle nieuwe ontwikkelingen bespreken en waar o.a. Veldhuis ook aanwezig zal zijn.

Tijdens de vorige conferentie waren ze bezig (EU) met een test waarbij men op afstand biometrische gegevens in een corridor van een luchthaven wil lezen van bezoekers. Een passagier moet dan foor een corridor lopen en dan wordt op afstand je biometrische gegevens gescand. Daar wil de EU naar toe.

Men zou dat moeten combineren met het op afstand lezen van gemoedstoestanden deze is voor 95% betrouwbaar en heb dat ook aangedragen aan de onderzoekers.
Het YouTube filmpje is verwijderd.... :(
Bedankt, ik heb de link verwijderd.
Elke authenticatievorm waarbij de hoeveelheid (vervangende) sleutels beperkt is zou nooit gebruikt moeten worden voor (volledige) authenticatie. Bovendien zijn bij biometrie de sleutels niet geheim.

Helaas is het te handig. Je had twintig jaar geleden voor moeten stellen dat de vingerafdruk gebruikt wordt om je te identificeren. Mensen zouden je maar wat raar aankijken. Tegenwoordig stopt Nederland er zelfs twee in elk paspoort, zonder dat daar een use case voor is.

"Your scientists were so preoccupied with whether or not they could, they didn't stop to think if they should."

[Reactie gewijzigd door The Zep Man op 12 augustus 2017 08:35]

EU schrijft ook voor dat men een template moet gebruiken ipv afdruk zelf opslaan zoals in het artikel staat aangegeven. Het grootste probleem vind ik persoonlijk dat je niet weet wat / hoe de producenten het implementeren. voorbeeld mijn vriendin moet op haar werk via haar vingerafdruk de deuren openen, deze bleek op te zijn geslagen op een laptop bij de beveiliger.

De nieuwste techniek gepresenteerd tijdens biometrics week te Frauenhof ps nog in beginfase is het scannen van 2de huidlaag, daar zijn nu mee bezig alleen is het nog niet snel en goed genoeg. Zolang dat nog niet is is het een afweging tussen gemak en veiligheid, waarbij voor de normale consument gemak voorop staat.
In feite heb je 10 wachtwoorden, voor iedere vinger een. Gebruik ze per toepassing en indien je er meer dan 10 nodig hebt, categoriseer ze dan. Doe onbelangrijke en non-financial toepassingen op een vinger bijvoorbeeld. Op die manier spreid je het risico dat zodra een vingerafdruk lekt, deze niet toegang geeft tot andere toepassingen. Mijn telefoon heeft bijvoorbeeld alleen nog maar mijn duim. Deze gaat dus ook niet ergens anders voor worden gebruikt.
Wanneer je twintig jaar geleden had gezegd dat iedereen met een mobieltje zou lopen, met schermen van hoge resoluties, met meer rekenkracht dan hun sterkste pc's, met meer RAM en opslaggeheugen dan ze hadden. Ik denk dat ze je allemaal voor gek verklaard hadden.

Ik denk dat de ontwikkelingen op mobiel gebied zo ontzettend snel gaan dat er inderdaad niet meer (diep en vooral ethisch) wordt nagedacht over de consequenties. Iemand (willekeurkig techbedrijf) introduceert een werkende techniek en die wordt regelmatig klakkeloos overgenomen zonder diep en doordacht na te denken over de implementatie ervan. Vandaar ook goed dat er in het artikel eens bij stil wordt gestaan.

Alles draait tegenwoordig om gebruikersgemak, terwijl beveiliging het ondergeschoven kindje is. Ik denk ook dat de focus op gebruikersgemak eventuele scientists de mond snoert of negeert om maar met de trend mee te gaan. Er zijn genoeg onderzoeken te vinden die biometrische wachtwoorden in elektronica afkeuren op veiligheidsgebied, al wordt er weinig mee gedaan. Dat heet selectie bias die vooral bij (tech) bedrijven speelt. Daarnaast speelt er een vorm van groepsdruk mee: iedereen volgt en let op elkaar dus als de een iets doet volgt vaak de rest of probeert eroverheen te gaan met als gevolg dat men steeds verder afdwaalt (in dit geval van technieken waarbij je de terechte vraag mag stellen: is dit wat je wilt?). Ongeacht het antwoord erop ben ik bang dat de trend naar nog meer gebruikersgemak nog lang niet ten einde is.
Maar terugkomend op mijn eerste punt: veel van wat nu is - zeker in een telefoon - konden ze vroeger niet eens dromen, laat staan bedenken. Nu echter, in deze tijd ligt die realiteit anders en zouden scientists en techbedrijven daar meer mee bezig moeten zijn.

[Reactie gewijzigd door South_Styler op 12 augustus 2017 11:03]

Ik haal die Jurassic Park quote ook vaak aan. Maar developers zijn gewoon te nieuwsgierig.
developers zijn gewoon te nieuwsgierig.
Het probleem met kinderziektes bij techniek ligt eerder bij management en aandeelhouders, wat te snel allerlei zaken de markt op wil duwen om er maar zo snel mogeljik geld uit te knijpen en hun gedane investering terug te verdienen. En bij sales, wat maar al te graag hun targets wil halen en bereid is om over van alles en nog wat te liegen om iemand binnen te halen.

[Reactie gewijzigd door R4gnax op 13 augustus 2017 10:02]

Je begrijpt duidelijk niet wat ik zeg. Het gaat niet om kinderziektes, het gaat om sommige dingen gewoon überhaupt niet doen omdat dat niet ten goede komt van de mensheid.
Je begrijpt duidelijk niet wat ik zeg. Het gaat niet om kinderziektes, het gaat om sommige dingen gewoon überhaupt niet doen omdat dat niet ten goede komt van de mensheid.
Ja, als je het over zaken als kernwapens hebt; dan wel ja.

Maar biometrie is op zich als concept niets mis mee. Je moet het alleen niet te pas en te onpas gebruiken en vooral; het moet nog een stuk meer volwassen en betrouwbaar worden. Het is gewoon veel te vroeg de markt opgegooid door mensen die ineens allerlei concepten zagen waar ze een knaak aan konden verdienen, zonder dat ze stil hebben gestaan bij de grotere gevolgen.

[Reactie gewijzigd door R4gnax op 13 augustus 2017 19:11]

Mee eens, ik denk ook dat snellere regulering van nieuwe technieken niet verkeerd zou zijn
Inderdaad. Het feit dat wetgeving altijd hopeloos achter techniek aanhobbelt helpt niet echt.
Biometrie als identificatie is altijd een vloek want de gegevens zijn niet te wijzigen en draag je altijd bij je, waardoor je ook nooit in staat zult zijn -al is het onder dwang- geen toegang te verlenen tot de gegevens die onder de biometrische beveiliging zijn opgeslagen. Daarbij is het een nóg grotere vloek als biometrische gegevens in een centrale database worden opgeslagen omdat de veiligheid van die database nooit te garanderen is en de omstandigheden waaronder ze geraadpleegd kunnen worden, zomaar kunnen veranderen.
Het komt regelmatig voor dat ik met pek en veren wordt besmeurd op het forum of in de reacties, als ik wijs op nadelen of keihard beweer dat zaken niet gratis zijn, zeker niet als ze van Google, Facebook of grote (telefoon) producenten komen. Je betaalt altijd met gegevens, waaraan de grote jongens geld kunnen verdienen. De gegevens die je verstrekt, lijken op het eerste moment onschuldig, maar doordat ze uitstekend gecombineerd worden met andere gegevens die al over jou bekend zijn, vormen ze een regelrecht gevaar voor jouw privacy. Mens worden steeds nonchalanter met het verstrekken van gegevens en als FB (of welke andere social media boer dan ook) het straks mogelijk maakt om in te loggen met je vingerafdruk vanaf alle apparaten, zal het gros van de mensen geen moment twijfelen en die vinger op de sensor leggen "want dat is makkelijker".
Biometrie als identificatie is altijd een vloek want de gegevens zijn niet te wijzigen en draag je altijd bij je
Dat maakt het toch juist NIET een vloek voor identificatiedoeleinden? Het is uniek voor jou. Niemand anders op de wereld heeft dezelfde gegevens als jij. Ze zijn niet te veranderen en niet te verwijderen (althans, niet zonder lugubere taferelen).
Het vervalsen/kopiëren van die gegevens is inderdaad potentieel een probleem, maar dat geldt voor alle vormen van identificatie, ook al zijn de meeste andere vormen wel weer aan te passen waardoor je als het ware een nieuwe start kan maken.
Daarentegen, zijn er zat technologische zaken te bedenken waardoor het vervalsen van die gegevens niet zinvol is om op grote schaal toe te passen is. (denk aan vingerafdrukscanners die controleren of er een hartslag is, irisscanners die het verschil zien tussen een gekleurde lens of een 'echte iris' enzovoorts.)

Je moet er in principe vanuit gaan dat als jij echt 'het doelwit' bent van identiteitsfraude dat je eigenlijk geen mogelijkheid hebt om dit tegen te gaan. (In geval van dwang: Een mes aan je keel of dat van je geliefde is erg overtuigend. In het geval van een niet 'fysieke dwang' zal je meestal zien dat men de tijd heeft. En tijd is vaak alles wat je nodig hebt.)

Waar 'jij en ik' qua biometrie het meest slachtoffer van zullen worden, zal in de praktijk gebruikt worden om geld te verdienen door louche derden (in de vorm van spamming/phishing) en die mensen zullen dus op grote schaal moeten werken om dat zinvol te maken. En dan voldoet een gehashte data van mijn biometrische gegevens prima.
Je argumentatie leunt erg op het in extreme doortrekken van situaties. Want ja, als iemand je echt wil hacken dat doen ze dat. Maar dat maakt deze vormen van beveiliging niet 'even slecht'.

"Het vervalsen/kopiëren van die gegevens is inderdaad potentieel een probleem, maar dat geldt voor alle vormen van identificatie"

Ja, maar het verschil in gemak is dus significant!
- Je paswoord zit in jouw hoofd, en moet ik ontfutselen.
- Je biometrische gegevens laat je duizenden keren per dag slingeren.

Het artikel noemt dit gek genoeg niet, maar dit onderscheid wordt ook juridisch gemaakt. Zo mag je bij de douane in de VS wel gedwongen worden om je vinger op je smartphone te drukken. Maar je mag niet gedwongen worden om je paswoord te vertellen.

"Daarentegen, zijn er zat technologische zaken te bedenken waardoor het vervalsen van die gegevens niet zinvol is om op grote schaal toe te passen is."

In de toekomst misschien (misschien!), maar op dit moment zijn de biometrische systemen die te hacken of faken zijn in de meerderheid. Dit is het kern argument van alle hackers eigenlijk: het kost altijd meer moeite om iets te beveiligen dan om iets te hacken. Want daar heb je creativiteit voor nodig, en die creativiteit weet zich online goed op te laten schalen. De uitgaven aan beveiliging worden tegelijkertijd altijd geminimaliseerd. Dit is de entropie van security, zou je kunnen zeggen. Daarom ben ik er niet zo zeker van dat biometische systemen in de toekomst beter zouden werken. Daar bovenop komt nog dat de opslag van die biometrische gegevens dus altijd een probleem zal blijven, want omdat deze niet te veranderen zijn, heeft een hacker die een database vol vingerafdrukken te pakken krijgt de komende 80 jaar lol, in plaats van tot de systeem admin een password reset forceert.

"Je moet er in principe vanuit gaan dat als jij echt 'het doelwit' bent van identiteitsfraude dat je eigenlijk geen mogelijkheid hebt om dit tegen te gaan."

Precies. Maar je maakt het daarmee weer heel erg binair. In de realiteit zijn er dus gradaties, en zijn biometrische systemen over het algemeen genomen een minder goed idee dan bijvoorbeeld paswoorden en two-factor authentification. Biometrie staat wat mij betreft op de ranglijst net iets boven 'security through obscurity'. Maar niet veel..

Zelf gebruik ik heel bewust nooit biometrie. Het gebruiksgemak nu weegt gewoon niet op tegen de risico's van een datalek van die gegevens.

[Reactie gewijzigd door unfold op 12 augustus 2017 20:14]

Ik denk dat je te weinig onderscheid maakt tussen identificatie/verificatie en authenticatie.

Als je het ziet voor identificatie, dan kun je het vergelijken met een gebruikersnaam. Het is geen grote ramp als een aanvaller die te weten komt, al heb je het liever niet.

Verificatie wordt al iets trickier, vergelijk dat met het inloggen op je telefoon met een vingerafdruk. Bij het opstarten van mijn telefoon wordt om de passphrase gevraagd, waarmee ik mezelf dus authenticeer. (Single-user device, dus identificatie is niet benodigd.) Daarna volstaat een vingerafdruk voor verificatie om het toestel te unlocken. Daarmee toon ik aan dat ik het nog steeds ben die met het toestel probeer te werken. Mijn toestel vraagt overigens om de zoveel keer inloggen - of op basis van een andere metriek - voor de zekerheid om mezelf opnieuw te authenticeren door mijn wachtwoord op te geven.

Authenticatie met alleen biometrie is iets wat je idealiter niet wilt, om alles wat je terecht schrijft. Maar dus alleen in het scenario van authenticatie met een enkel biometrisch gegeven. Een combinatie van vingerafdruk, gezichtsherkenning en wellicht een derde factor kan al leiden tot een hele kleine foutmarge van beide foutcategorieën. Een combinatie van een biometrisch gegeven met iets wat je hebt - smardcard bijvoorbeeld - en/of wat je weet - de pincode van je smartcard bijvoorbeeld - maakt het nagenoeg onbreekbaar zonder heel erg veel moeite te doen of geweld te gebruiken.
Het is uniek voor jou. Niemand anders op de wereld heeft dezelfde gegevens als jij.
En dat is in zekere zin ook een gevaar. Stel je bijvoorbeeld voor in getuigenbescherming te zitten tegen de Neus. Dan kan je nooit onherleidbaar zijn.
niet te verwijderen (althans, niet zonder lugubere taferelen).
Luguber, maar niet vreemd. Stel je naast de link ook voor dat je bijvoorbeeld in een fiets / scooter / auto ongeluk komt. Of door een ziekte iets kwijt raakt.

Zeker het 2de punt baart me zorgen, omdat je echt wel een kans hebt dat je toch een biometrisch gegeven kwijt raakt.
Mijn voornaamste bezwaar jegens biometrie is niet de techniek maar waar het wordt gebruikt. Biometrie is persoonsgebonden en dus herleidbaar. Als ik op mijn werk moet inchecken met mijn vingerafdruk dan ben ik daar als persoon ook echt geweest. Ik ga er dan vanuit dat die biometriegegevens goed worden opgeslagen.

Anders wordt het wanneer ik het zou gebruiken online. Ik weet niet wat er met die data gebeurd. Verloren wachtwoorden kun je wijzigen en accounts blokkeren maar vingerafdrukken niet. Het heeft veel weg van een uitgelekt BSN (+ wachtwoord). Instanties die 'blind' vertrouwen hebben in vingerafdrukken kunnen hiermee om de tuin geleid worden. Nu kan dit ook met gelekte wachtwoorden maar nogmaals - die zijn te blokkeren.

Misschien moet de maatschappij m.b.t. privacy eerst wat volwassener worden, wanneer overheden privacy echt serieus nemen bijvoorbeeld.
Jouw keytag heeft ook een nummer dus is ook herleidbaar. En zo is er zoveel... alleen je 18+bandje op een festival is nog anoniem.
Er wordt omschreven hoe pixel en nexus telefoons met de beveiliging van de vingerafdruk omgaan. Hoe zit dit met andere Android-telefoons? Bijv. de oneplus 3T in mijn geval.
Sinds android 6.0 zijn er regels waaraan fabrikanten zich moeten houden. Deze zijn volgens mij gelijk aan wat in dit artikel wordt beschreven voor nexus en pixel (bron: http://www.androidpolice....t-sensors-in-android-6-0/). Daarvoor was het aan de fabrikant hoe ze het toevoegden. Zo was er een telefoon die de scans opsloeg als foto's, weet alleen niet welke telefoon dit was.

Telefoons die niet aan de regels voldeden mochten ook niet geüpdate worden naar 6.0

[Reactie gewijzigd door pietprecies01 op 12 augustus 2017 10:27]

Maar we moeten wel vooruitkijken en ons afvragen wat we precies weggeven. Mensen denken daar steeds minder bij na.
Dat is nou de probleem, steeds meer mensen weten niet wat ze allemaal weg geven, zelfde met social media, alles maar dan ook alles op internet gooien, en dan zeggen "Maar ik heb toch niks te verbergen"
En de redenen waarom mensen allerlei informatie willen delen lijken me al helemaal idioot. Je privacy weggeven voor betere reclames ik snap dat echt niet. Reclame is altijd irritant en enkel bedoeld om je zakken leeg te maken. Waarom zou je voor reclame ook maar iets willen prijsgeven van jezelf.
Als je reclame voorgeschoteld krijgt dat precies op jouw wensen is afgestemd, is het dan nog steeds vervelend?

Stel je voor dat je op zoek bent naar een nieuwe auto en aan het kijken bent naar verschillende MPV's van 3 verschillende fabrikanten. Als je vervolgens in het reclameblok op TV 3 reclames ziet van deze MPV's zul je dit denk ik alleen kunnen waarderen. Hetzelfde als je reclame zou zien van een nieuwe variatie van een product dat je reeds hebt en met grote regelmaat aanschaft.

In het beginsel is reclame inderdaad bedoeld om je te attenderen op een bepaald product in de hoop dat je dit vervolgens koopt. Hetzelfde dat een winkel gevuld is met een boel artikelen, waarbij het grootste deel nooit door je gekocht wordt. Vindt je dit dan ook enkel bedoeld om je zakken leeg te maken? Zou jij liever een supermarkt willen gevuld met enkel de goederen die jij het afgelopen jaar gekocht hebt? Oh nee, dit kan niet... Dit zou namelijk betekenen dat je bepaalde informatie over jezelf gedeeld zou hebben...
Ik gebruik vaak het voorbeeld van het koffiezetapparaat dat ik een tijdje geleden kocht.

Eerst even wat geGoogled wat ik nu precies wilde hebben. Vervolgens reviews gelezen en besloten welke het moest worden. Deze online besteld en is geleverd en ik ben er tevreden mee.

Tot 3 maanden later kreeg ik nog steeds op allerlei websites mn Google resultaten te zien van dat specifieke apparaat. Dan denk ik: wat een tijd- en bandbreedteverspilling... koppel mijn aankoopdata nou maar gewoon en adverteer maar met lekkere koffie, mokken (liefst van Thinkgeek waar ik ook regelmatig surf!), zoetjes en laat me zien waar de koffiemelk in mijn omgeving in de aanbieding is. Dát is pas nuttig. De kans dat ik 3 dezelfde koffiemachines ga kopen is nihil namelijk.
Ik zou nooit Google gebruiken om een product te zoeken omdat ik de zoekresultaten niet betrouw. En mijn aankoopdata zou ik al zeker niet delen met een advertentiebedrijf. Een adblocker zorgt er voor dat ik niet 3 maanden gespamd wordt met reclame voor producten die je opzocht.
Natuurlijk is dat irritant en nee ik zou het niet waarderen dat ik 3 reclames voorgeschoteld zou krijgen omdat ik op zoek naar ben een MPV. Zo'n reclames zijn gewoon roadblocks op je zoektocht. Je krijgt toch steeds reclames voor spul dat inferieur is aan wat je zoekt maar men leukt het wat op zodat het toch wel interessant lijkt.

En ik snap de vergelijking met een winkel al helemaal niet. Het is net handig dat ze zoveel hebben staan omdat je zelf kan kiezen wat je wil en dat er niet uit elk rek iemand komt gesprongen en roept "nee je wil dit" omdat je naar een ander product stond te kijken.

Je moet al echt volledig gebrainwasht zijn door advertentiebedrijven om te stellen dat advertenties je beter zouden doen beslissen over een aankoop. Het is bij advertenties net de bedoeling dat je irrationele beslissingen zou nemen op basis van de dame of heer die het zo mooi kan uitleggen of het verhaaltje dat er wordt opgehangen over hoe je leven zal verbeteren als je product X ipv product Y gebruikt.
Men moet leren niet naar reclame te luisteren en in plaats daarvan voor aankopen (vooral duurdere) zelf op zoek te gaan naar objectieve vergelijkingen en reviews uit verschillende bronnen. Op die manier worden bedrijven wat meer gefocust op kwaliteit ipv op zoveel mogelijk geld in marketing pompen. Kijk voor de grap eens naar bijvoorbeeld de audio markt. Koptelefoons bijvoorbeeld. De populairste zijn helaas die waar het grootste marketingbudget achter zit (beats) echter ga je op zoek naar prijs kwaliteit kom je bij merken uit die zo goed als geen marketing budget hebben (audiotechnika).
Door zelf enig onderzoek te doen bespaar je jezelf keer op keer bakken met geld en krijg je er een beter product voor terug. Het is misschien makkelijk en leuk (voor de mensen die voelen wat te moeten bewijzen of die graag binnen een hokje passen) om te kiezen voor het product waar het meest over op tv, radio, YouTube, billboards, magazines gepraat wordt en waar de meeste mensen en celebs al mee rondlopen, maar met het internet kun je binnen een half uur een vele betere keuze maken en je geld besparen.
Als je reclame voorgeschoteld krijgt dat precies op jouw wensen is afgestemd, is het dan nog steeds vervelend?
Jazeker.
Ik werd vorig jaar getroffen door een ernstige ziekte. Natuurlijk zoek je daar af en toe wat over op via internet. Gevolg? Zonder verder in details te treden: ik en mijn vriendin werden constant geconfronteerd met reclames die ons herinnerden aan de situatie waarin we ons bevonden. Denk je een grappig filmpje op youtube te gaan kijken, moet je eerst nog even met de neus op de feiten worden gedrukt. Dit was het moment waarop we definitief besloten reclame door Google niet meer af te laten stemmen op onze wensen.
Idem als je zoekt op internet naar meer informatie over een miskraam die je hebt gehad en dan vervolgens een week reclame krijgt over zwangerschapsartikelen en babyspulletjes.

Gebruik al een jaar of 5 DuckDuckGo en cookie- en adblockers, daag Google en advertenties....(vanwege privacy in het algemeen trouwens, niet alleen het bovenstaande voorbeeld)
Ja dat is zeker irritant, omdat reclame verdraaiingen kent om de concurrent minder te doen lijken.
Helemaal irritant wanneer alle partijen even actief in de commercie verbloeming zitten, daarmee concrete informatie ter vergelijking of wat dan ook dan ver te zoeken omdat het ingekapseld is of buiten vergelijking wordt geformuleerd.
Reclame is dus schijt irritant en kan soms klauwen met tijd kosten om goed door heen te prikken(na vergelijkingen de toegepaste truc komt boven drijven) dan wel miskopen in de hand werken.
Wat me dus ook op valt is dat bijvoorbeeld met gebruik van Google de eerste pagina met resultaten het overgrote deel clickbait troep is wanneer ik op zoek ben naar een type product wat mij een oplossing kan bieden. Tijdverdrijf met stront resultaten dus, top die reclame!
Het is hier tegenwoordig ook DuckDuckGo

[Reactie gewijzigd door Canule op 12 augustus 2017 12:41]

Reclame is gewoon kut. Geen argument die daar iets aan kan veranderen.
Neem het niet te persoonlijk maar bij mensen als jij heb ik altijd het gevoel dat ze baat hebben bij het bestaan van reclame.
En die vergelijking met een goed gevulde winkel is zo krom dat een banaan nog recht lijkt.
Een winkel kies jezelf voor om naar binnen lopen. De reclame daarintegen "loopt" zonder dat jij daarom hebt gevraagd jouw leven binnen. Weet niet hoe lang het nog gaat duren voordat men door heeft dat dit niet de manier is om je producten te pushen. Zaken die goed zijn of een gat in de markt hebben gevonden verkopen zichzelf goed zonder reclame. Ooit een reclame voor de Dasty ontvetter bij de Wibra gezien? En toch wordt dat product met pallets per dag verkocht.
Mensen denken vaak dat de verzamelde data vooral gebruikt wordt voor 'betere advertenties'. Maar de meerderheid van het geld wordt verdiend door het te gebruiken voor risico management. Dus de vraag of je en lening waard bent bijvoorbeeld.
Het 'ik heb niks te verbergen'-argument is ook zo'n ontzettende akelige redenatie. Zelf heb je namelijk geen enkele stem om te bepalen of je iets hebt om voor te vrezen. Wat de ene dag legaal is, kan morgen illegaal zijn; dit is iets wat de politiek toch bepaalt. En ondertussen zijn je gegevens wel voor langere tijd opgeslagen, en kunnen daar verkeerde conclusies over worden getrokken (aangenomen dat er over de juiste data wordt beschikt - iets wat in het verleden niet altijd het geval bleek).

En tot slot gaat het uit van het beginsel dat alleen criminelen behoefte aan privacy hebben, terwijl privacy simpelweg een menselijke behoefte is. Daarom doe je ook de wc op slot. Er gebeurt niks geheimzinnigs, maar toch houd je het voor jezelf.
Precies, maar heel veel mensen begrijpen dat niet of willen het niet begrijpen, een goede vriend van me is jammer genoeg het zelfde.
Ik vind het niet erg dat veel mensen alles over zichzelf weggeven.

Scheid je het kaf van het koren.

Wat een groter gevaar is dat je mensen die geen publiekelijk profiel hebben gaat controleren.

Wat gaat er in nabije toekomst gebeuren als je op een vliegveld van in b.v. Amerika aan komt en je geen facebook/insta/whatever hebt? (Zoals ik zelf)...
Wat gaat er in nabije toekomst gebeuren als je op een vliegveld van in b.v. Amerika aan komt en je geen facebook/insta/whatever hebt? (Zoals ik zelf)...
Ja vraag ik me ook af aangezien ik ook niet een Facebook en Instagram en Twitter en WhatsApp heb.

[Reactie gewijzigd door AmigaWolf op 12 augustus 2017 06:51]

“Black Mirror” season 3, episode one.

Goed voorbeeld wat social media met mensen doet.
Heb season 1 gezien en vond het niet veel aan, maar misschien is een keer season 2 kijken een keer, hopen dat het beter is geworden, of alleen season 3, episode one.

[Reactie gewijzigd door AmigaWolf op 12 augustus 2017 07:04]

Elke aflevering is op zichzelf staand en ja er zijn een aantal die "langdradig" zijn, sommige waarin je clue meteen ziet en in een enkel geval dat het wel verrassend was.

Maar ik vind vooral de manier waarop ze hedendaagse dingen verpakken zodat iedereen begrijpt dat iets probleem/verslaving is... goed gedaan.
Als je seizoen 1 al niet goed vindt zal je de andere seizoenen ook wel niet goed vinden. Alle afleveringen hebben hetzelfde thema: de gevaren van technologie uitvergroten. Ik vind het persoonlijk één van de beste series sinds jaren. Elke aflevering is anders maar de sfeer is in elke aflevering toch wel dezelfde. Scifi van de bovenste plank!
Ok, ach ik kijk wel.
Ik heb een stuk of 10 afleveringen gezien, extreem deprimerend. M'n broertje is net als jij, die smulde er van.
extreem deprimerend
Mooi, dan heeft het effect gehad en gewerkt.
Je kunt in de ogen van de huidige machthebbers tot het koren behoren en over 10 jaar ben je het kaf, in de ogen van de machthebbers... ;)
Moet ik toch maar machthebber worden :)

Zonder armen geen rijken....

Zonder domme mensen geen intelligente...

Zonde facebook geen leven 8)7
Jouw reactie ("wat mankeert je...") geeft haarscherp aan hoe snel de publieke opinie gedragingen als afwijkend gaat beschouwen.
Met ruim een miljard FB gebruikers alleen al (laat staan alle Aziaten die vaak hun eigen apps hebben) is dat niet zo vreemd.

Overigens bedoel ik "wat mankeer je" natuurlijk niet letterlijk; moet je zelf weten of je je wil afzonderen van 'de buitenwereld' 😉 maar je kunt niet ontkennen dat je veel mist als je FB en whatsapp actief vermijdt.

Appgroepen tussen collega's, vrienden, buurtgenoten, sportclubs, scholen (bijv van je kinderen )... het is allemaal geen noodzaak maar vaak mis je wel context als je daar willens en wetens uit de buurt blijft.
Ik gebruik wel whatsapp, maar zou het liefst zonder doen. Via mail heb ik veel diepgaander contact maar met sommige mensen lukt dat niet. Ik zit echter ook in aardig wat appgroepen, voor werk en privé, en heb nou niet het idee dat ik veel mis als ik die een week op zn beloop laat of überhaupt niet open.
Ik snap je wel, maar ik bedoel juist dat het hebben van Whatsapp nu al als de norm wordt gezien, en het niet hebben van Whatsapp als vreemd. Vervang in bovenstaande zin nu "hebben van Whatsapp" door "afgeven van vingerafdrukken" en "vreemd" door "verdacht".

Het kan heel snel omslaan allemaal...
dat je veel mist als je FB en whatsapp actief vermijdt.
haha, no way. Dat denk je alleen maar. Het is allemaal onzin en oppervlakkig. Geen diepgang, oppervlakkige onzin. Liever met 1 of 2 goede vrienden in een cafe aan goede koffie of een biertje, dan met 10.000 neppe vrienden online, die er geen klap om geven zou jij morgen dood neervallen. Zij hebben namelijk ook nog 9999 andere vriendjes om mee te spelen. Geen wonder dat alle bekende mensen personeel aannemen om dit 'werk' te doen (narc'je spelen) omdat het de tijd niet waard is.

Ik garandeer je dat als je alle accounts weg zou doen binnen een paar weken bent afgekicked en andere vele malen belangrijkere zaken met meer diepgang de plaats gaan innemen.
Dus het gaat je om de verpákking? ("In een kroeg met een biertje") in plaats van de inhoud? Wauw... en dan noem je mij oppervlakkig...

Of iets diepgang en inhoud heeft is niet aan jou om te bepalen. Ik hoef goddank niet wekelijks in hetzelfde treurige formicahok te zitten met dezelfde sjagerijnige figuren te ouwehoeren over pietluttigheden als het 'leven' (spoiler: aan het eind ga je tóch gewoon in je uppie dood, vrienden of geen vrienden), terwijl ik probeer precies genoeg alcohol naar binnen te krijgen om het geestdodende gezwam te verdoven.

Ik spendeer mn tijd veel beter met mensen die wél iets te vertellen hebben, online, reageren wanneer het hun en mijzelf uitkomt, over zaken die er wél toe doen als games, films, series, werk en leuke hebbedingetjes en uitjes die ik gemaakt heb. Dát interesseert mij nou eenmaal meer dan inhoudsloos geneuzel wat je elke week opnieuw hoort van "vrienden".

Maar goed, ieder zn ding, ik ben iets meer van de inhoud denk ik 😊 De verpakking -face to face, of de setting- is totaal irrelevant.

Ik garandeer je, als ik al mn accounts weg zou doen, dat ik gillend gek zou worden. Maar ik zal wel wat meer affiniteit met (communiceren via) internet hebben denk ik. IRC'en eind jaren '90 hebben me al tripjes naar de USA opgeleverd, da's wel beter dan de plaatselijke "kroeg".

Overigens heb ik ook voorbeelden genoemd ("Appgroepen tussen collega's, vrienden, buurtgenoten, sportclubs, scholen (bijv van je kinderen )") waar je aan voorbij gaat. Soms is oppervlakkig prima, ik hoef echt geen filosofische gesprekken met mn tennisclubje te hebben, als ik maar op tijd weet of de trainingen doorgaan. Of dat er hulp op school nodig is, daar heb ik ook geen diepgaande mening verder over.

[Reactie gewijzigd door DigitalExcorcist op 14 augustus 2017 20:56]

Je stelt de vraag dan welliswaar niet aan mij maar wil wel graag inhaken. :)

Mij mankeert niets en toch gebruik ik het niet. Niet omdat FB van FB is maar omdat ik het nut niet inzie van social media.

En WA gebruik ik ook amper, ik SMS meer. Waarom? Geen idee maar veel mensen die ik ken zijn prima te benaderen via SMS en ik krijg nog altijd antwoord ook. :+

Dus naast FB ook geen Twitter etc. Helemaal niets van dat alles. Toch heb ik het wel een poos gebruikt hoor en FB staat ook oo mijn telefoon. De app leidt echter een zinloos leven aangezien deze nooit geopend wordt. :P

[Reactie gewijzigd door bazs2000 op 12 augustus 2017 10:24]

De meeste mensen gebruiken WhatsApp niet als social medium maar als sms/mms vervanger. Ik sms alleen naar mensen waarvan ik weet dat ze geen smartphone hebben, de rest installeert maar WhatsApp, Telegram, Viber, Skype (of Signal als ze om privacy geven), anders krijgen ze geen antwoord. Dat is me veel te duur. Foto's doorsturen gaat straks anders al helemaal niet meer, mijn provider geeft aan dat ze mms gaan uitfaseren.
Biometrie is net zo veilig als waar je het voor gebruikt.

Vanaf onze geboorte gebruiken we al biometrie om b.v. je ouders te identificeren.
Geur/stem/vorm..

En als iemand die je kent voorbij loopt zie je aan lichaamshouding, beweging en vorm al wie het is.

Zodra er een mogelijkheid is om met een vervalsing (zonder detectie) biometrische oplossing (ongeacht welke) te omzeilen heb je gewoon een ander probleem.
Je hebt dan dus voor bepaalde tijd onbeheerd toegang tot iets deur t/m smartphone.

Als detectie geen probleem is, dan maakt biometrie niets meer uit omdat onder bedreiging je al toegang zult krijgen.

Als je wilt uitsluiten dat men buiten je om toegang kan krijgen dien je altijd te zorgen dat je beveiliging uit 3 componenten bestaat:

1) Iets wat je hebt
2) Iets wat je bent
3) Iets wat je weet

Dus in smarphone geval, heb je iets fysieks in handen.
Met biometrie laat je zien wie jij bent
En met een wachtwoord heb je iets wat alleen jij weet.

Alleen op deze manier kun je uitsluiten dat zonder je medewerking toegang is verkregen. (technische gebreken in software/hardware doe je toch niets aan.)

Maar het eindelijke doel bepaald hoe goed het beveiligd moet worden.

Ik zelf begrijp niet waarom je vinger/gezichtsherkenning op je smartphone nodig hebt.
Peeren met je horloge zodat je niet hoeft te swipen en als hij dan buiten je bereikt is is swipen (patroon herkenning) afdoende en feilloos.
Dat is volgens mij het probleem met biometrie. Het gaat alleen om iets dat je hebt (iris, vingerafdruk). Men zegt dat die samen uniek genoeg zijn, om af te leiden wie je bent. Maar dat is dus eigenlijk het opzoeken van een hash uit een tabel.

Als je je smartphone alleen beveiligd met een fingerprint, kun je gedwongen worden je telefoon te ontgrendelen. Ik hoef alleen je hand stevig vast te houden, en de tefoon er op de juiste plek onder te houden.

Maar net als je al zegt: bij een telefoon gaat het niet om een goede beveiliging, alleen om gemak.
Biometrie is ongeschikt voor authenticatie, want een biometrisch kenmerk heeft meer weg van een gebruikersnaam dan van een wachtwoord. Voor uitleg, zie https://www.ikhebniksteverbergen.nl/beveiliging/biometrie.

[Reactie gewijzigd door Faeron op 12 augustus 2017 10:10]

Precies, een ww zit in je hoofd, biometrische kenmerken zijn publiek.

Private key vs public key.

Een ww is per definitie beter.
Stel dat de overheid je irisscan en je vingerafdruks hebben en jij gebruikt een van die methoden om je apparaat te ontgrendelen. Uiteindelijk doet er een situatie voor dat bijvoorbeeld de politie je telefoon wil doorspitten en je weigert de telefoon te ontgrendelen, dan kloppen ze ff je gegevens in de database maken een kloon en voilà.
Uiteindelijk ligt staat je "wachtwoord" dan al in het systeem.
Mocht de overheid dan gehackt worden, dan zeg je niet even ik verander mijn "wachtwoord" (bv: ogen of vingers). Of je moet voor je apparaten een andere inlogmethode gaan gebruiken.
Vrijwel geen enkel methode voor het gebruiken van irisscan of vingerafdruk gebruikt een gedetailleerde scan als referentie. De scanner leest in je iris of vingerafdruk een bepaald patroon en legt dat doormiddel van een algoritme vast of vergelijkt dat met een eerder vastgelegde waarde. De gegevens van een irisscan of vingerscan zijn niet reconstrueerbaar tot een realistische afbeelding, enkel tot het patroon waar een specifiek type scanner, bij een specifieke organisatie voor een specifieke toepassing naar kijkt (en afhankelijk van het gebruikte algoritme hoeft zelfs dat niet mogelijk te zijn).
De kans dat je met de door de overheid opgeslagen scangegevens van de vingerafdruk voor je paspoort iets kunt doen met een vergrendelde telefoon (of een andere met vingerafdruk beveiligde dienst of apparaat) is nihil.
Ik ben gestopt met lezen toen ik las dat vingerafdrukken niet te veranderen zijn. Als ik twee weken bij mijn vader werk (aannemer) heb ik geen vingerafdruk meer, hij is weggesleten. Zowel met inkt stempelen als een scanner bij de gemeente of je telefoon registreerd dit dan niet meer.

Je kan zeggen dat hij dan tijdelijk veranderd is.

Ander biometrische dingen zijn ook te veranderen, gezichtsstructuur na een ongeluk of plastische chirurgie bijvoorbeeld.

Het is relatief veilig maar als ik een aantal weken nergens kan inloggen of identificeren omdat ik een tijdje met mijn handen gewerkt heb vind il het zelf al een methode die niet gebruikt zou moeten worden.
Is dat permanent dan?
Nee maar wel een paar weken. Mijn vingerafdruk van mijn ID van nu zal niet overeenkomen met die van mijn volgende.
Dus als het wegslijt en weer 'teruggroeit' dan is je vingerafdruk veranderd?
Nee, maar hij is wel tijdelijk veranderd van geen vingerafdruk naar een "uniek" vingerafdruk.

Mijn huidige id heeft als vingerafdruk geen vingerafdruk
De meeste systemen bieden de mogelijkheid om, naast vingerafdruk, ook altijd met een code oid in te loggen.
Inderdaad, maar als je bij de douane straks je vingerafdruk moet scannen en hij komt niet overeen met je id omdat dit toen anders was kom je het land niet in/uit.
Daar zullen ze toch wel over nadenken? Hoop ik? (Overheid en ict...)

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*