Gezichtsherkenning als wachtwoord is wassen neus
Het lokaal opslaan van beeldmateriaal op een smartphone maakt privacygevoelige informatie breder beschikbaar. Dit maakt gezichtsherkenning als beveiligingsmethode een wassen neus. Gebruiksgemak lijkt voorrang te krijgen ten koste van veiligheid waar het gaat om mobiele applicaties die gezichtsherkenning gebruiken als authenticatiemethode. Biometrische authenticatiemethoden, zoals gezichtsherkenning, maar ook iris- en handpalmscans, hebben de toekomst. Toch moeten bedrijven zich de vraag stellen of hun gekozen beveiligingsmethode wel past bij het beoogde doel. Een voorbeeld is een proef met gezichtsherkenning als authenticatiemethode voor creditcardbetalingen, die momenteel in Nederland draait.
Privacymaatregel
Momenteel draaien MasterCard en ABN Amro een proef met 750 creditcardhouders, die gezichtsherkenning gebruiken als authenticatiemethode voor het doen van mobiele betalingen. De technologie maakt gebruik van video-opnametechnologie, waarbij de gebruiker met zijn ogen moet knipperen. Dit om te voorkomen dat een crimineel simpelweg een foto voor de lens zou kunnen houden om toegang te krijgen tot de betaal-app. Een interessant aspect is tevens dat de twee financiële dienstverleners hebben laten weten dat zij de privacy van de gebruiker beschermen door het beeldmateriaal niet in een centrale database op te slaan, maar lokaal op het toestel zelf.
Aan de veiligheid van video-opnamen bij gezichtsherkenning kan al getwijfeld worden. Sommige mensen lijken nu eenmaal sterk op elkaar, tweelingen bijvoorbeeld. En kan iemand bijvoorbeeld toegang krijgen door het afspelen van een filmpje voor de lens? Of een ander probleem: wat als de gebruiker een blauw oog heeft en niet kan knipperen? Zorgwekkend is echter vooral dat de applicatie lokaal informatie opslaat. Met de standaardinstellingen staat het dan vaak niet alleen lokaal, maar ook in de cloud, bijvoorbeeld bij gebruik van een Android-telefoon. Bij een grootschalige hack komt deze informatie in de verkeerde handen terecht.
Klant moet keuze hebben
Als iemand een selfie maakt en deze op Facebook plaatst, moet hij of zij dat natuurlijk zelf weten. Maar in dit geval maak je een selfie voor een transactie en daarmee krijgt de selfie een heel andere waarde. Hierdoor kleven er grote beperkingen aan een brede adoptie van biometrische beveiliging door het gebruik van smartphonecamera's. Weegt het gemak voor de gebruiker wel op tegen de risico's? De consument zou deze keuze zelf moeten maken. Bedrijven moeten transparant zijn over de gelopen risico's en hun klanten op een laagdrempelige manier laten kiezen over wat zij veilig genoeg vinden.
Apparaatjes die variabele tijdscodes genereren, die nu veel gebruikt worden bij online bankieren, zijn vele malen veiliger dan gezichtsherkenning. Ook andere biometrische authenticatiemethoden, zoals iris- en handpalmscans zijn veiliger. De uniciteit van de lichaamskenmerken die zij meten is vele malen groter en ook slaan deze methoden alleen de metadata op; informatie waar een hacker helemaal niets aan heeft. Dit is als het ware als het scheiden van de sleutel en het slot. Gezichtsherkenning maakt ook gebruik van metadata, maar voegt deze toe aan het oorspronkelijke materiaal dat lokaal (en dus ook in de cloud) is opgeslagen.
User case voor impulsaankoop
De genoemde alternatieve biometrische authenticatiemethoden zijn veiliger, maar vragen ook aanpassingen aan hardware en software. Dit staat een brede introductie bij consumenten op dit moment in de weg. Het gebruikmaken van bestaande cameratechnologie in smartphones is een manier om nu al grootschalig mobiele biometrische authenticatie voor een groot publiek te gebruiken. In scenario's waarin consumenten snel onderweg een online aankoop willen doen, is gezichtsherkenning een interessante 'user case'. Maar bij overboekingen die horen bij creditcardbetalingen gaat het doorgaans niet om kleinere bedragen, zoals bijvoorbeeld bij contactloos betalen. Dan is het de vraag of deze wijze van authenticatie en de bijkomende mate van veiligheid wel past bij het doel.
Door: Arie Kraan, IT Architect Consultant Fujitsu Nederland
