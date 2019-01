Om redenen die ik niet helemaal begrijp, lijkt de wereld verzot te zijn geworden op biometrie - niet alleen gebruikers van dure smartphones en laptops, maar zelfs beveiligingsprofessionals die verantwoordelijk zijn voor de authenticatie-oplossingen van de toekomst. Onlangs was ik op een bijeenkomst van een consortium dat zich bezighoudt met internationale beveiligingsstandaarden en de toekomst van authenticatie en ik was verbaasd te merken dat veel bezoekers meenden dat biometrie het pad naar beveiligde authenticatie is, terwijl dat écht niet zo is.

Ik ben nooit zo'n groot fan geweest van biometrie, maar ik ben inmiddels omgeslagen en nu háát ik het. Waarom? Omdat dit niet geschikt is om gebruikers te autenticeren. Er is welgeteld één use-case te bedenken waar biometrie wél geschikt voor is, waar ik zo op terugkom, maar over het algemeen is het verschrikkelijk. Ik zal uitleggen wat ik bedoel.

1. Biometrie is ontzettend onnauwkeurig

De meeste mensen verkeren in de veronderstelling dat biometrie heel nauwkeurig is, omdat het zo in de markt wordt gezet. "Niemand heeft jouw vingerafdruk, netvlies, handpalmafdruk of wat dan ook, vertellen leveranciers. Dat is ook zo, maar de weergave van hoe die biometrische eigenschap wordt opgeslagen is lang zo gedetailleerd en uniek niet als de daadwerkelijke biometrische factor die wordt gemeten.

Hoewel je vingerafdruk (vrijwel) uniek is, geldt dat niet voor het vingerafdrukpatroon dat wordt opgeslagen en gemeten bij authenticatie. Je vingeafdruk (of iris, of gezicht, of welke factor dan ook) wordt niet opgeslagen en vergeleken als een gedetailleerde afbeelding. Wat wordt opgeslagen en geëvalueerd bij authenticatie, is een weergave van enkele eigenschappen (of punten) van die biometrische identiteit.

Neem je vingerafdruk. Die wordt opgeslagen in een serie punten van banen van het boogpatroon, luspatroon en draaiingpatroon. Deze afwijkende plekken van het vingerreliëf worden opgeslagen in een serie punten die meer lijkt op een sterrenkaart dan een daadwerkelijk vingerafdruk.

Het apparaat en de software die de biometrische eigenschap uitmeten, kunnen slechts een beperkte hoeveelheid details vastleggen. De lezer kan de fijne details niet herkennen en als die dat wel kan, ziet het meer dan nuttig zou zijn voor de functionaliteit. Iedere vingerafdruk heeft microwijzigingen, die soms permanent deel gaan uitmaken van de vingerafdruk maar vaak zijn het tijdelijke slijtageplekjes, snijwondjes, en andere beschadigingen.

Als een vingerafdruklezer alle fijne details zou opmerken, is de kans zeer groot dat je vandaag opgeslagen vingerafdruk morgen niet meer werkt. Dat geldt voor details van irisherkenning, gezichtsherkenning, netvliesherkenning of welke andere biometrische eigenschap dan ook. In plaats daarvan gebruiken scanners een methode om die details juist te negeren. Ze zijn dan minder nauwkeurig, maar wel bruikbaar. Deze grofafstelling is zorgt ervoor dat het unieke van de biometrische factor verloren gaat en het opgeslagen resultaat veel vaker overeenkomt met andere opgeslagen patronen.

In mijn bedrijf lopen slechts een stuk of 700 werknemers rond. We hebben nu al verschillende 'matches' die vereisen dat sommige werknemers andere vingers gebruiken zodat het een unieke afdruk is.

Als vingerafdruklezers zo zouden worden afgesteld dat ze echte minutiae opmerkten, zou dat veel te veel false-negatives opleveren. Er zijn al te veel foutieve verwerpingen door de systemen die al bewust grover zijn afgesteld. Heb je ooit achter een persoon in de rij gestaan die door een irisscanner of langs een vingeradruklezer moest om een beveiligde deur te openen? Die moet vaak meerdere pogingen doen om ervoor te zorgen dat de biometrische factor wordt geaccepteerd.

De lezer probeert een aangeboden biometrische factor meerdere malen zo snel mogelijk te scannen om te weten of die geaccepteerd of verworpen moet worden. Als mensen zouden weten hoe vaak een biometrische identiteit bij elke aanvraag werd geëvalueerd en verworpen zouden ze wellicht echt begrijpen hoe onnauwkeurig biometrische systemen zijn.

2. Biometrie werkt niet voor iedereen

Als je ooit hebt gewerkt met biometrische systemen op schaal - denk aan tien- tot honderdduizenden gebruikers - dan weet je dat sommige mensen om uiteenlopende redenen geen gebruik kunnen maken van een biometrische factor voor authenticatie. Ik heb het dan niet over mensen met glazen ogen of die ledematen missen, maar sommige gebruikers krijgen maar geen uniforme acceptatie van het systeem als ze hun factor aanbieden.

Het is niet altijd duidelijk waarom. Er is iets unieks aan hun lichaam waardoor de eigenschap veranderlijk is. Op de een of andere manier worden deze gebruikers nadat ze zorgvuldig gescand zijn enkele dagen later of soms al een paar uur later niet meer herkend door het systeem. De oplossing daarvoor is dat ze als uitzondering worden ingebouwd en op een andere manier authenticeren.

3. Biometrie is niet geheim

Biometrische identitifactiefactoren is niet geheim, zoals een private encryptiesleutel of een wachtwoord. Je biometrische gegevens bevinden zich overal (denk aan je gezicht en je vingerafdruk) en kunnen door iedereen worden gekopieerd die daar de moeite voor neemt. Er is geen ander authenticatietype dat zo zichtbaar en breed toegankelijk is. Dit is het basisissue dat tot de hieronder genoemde issues leidt:

4. Biometrische gegevens zijn eenvoudig te kopiëren

Het grootste probleem van een openbare authenticatiefactor is dat deze makkelijk te kopiëren is voor malafide gebruik. Je laat je vingerafdruk overal achter en je gezicht wordt op elke straathoek opgenomen. Als ze eenmaal zijn bemachtigd hoe kun je dan nog vertrouwen op systemen die deze gebruiken om je identiteit te bewijzen?

En dit is niet theoretisch: in 2015 bemachtigden Chinese hackers de vingerafdrukken van de Amerikaanse overheidsdienst OPM. Iedereen die ooit aan een veiligheidsonderzoek in de VS is onderworpen - militairen, overheidsfunctionarissen, inlichtingendeskundigen, consultants en meer - is slachtoffer. Ik ben er een van. Mijn vrouw, die in 1984 een aanvraag had ingediend om op een scheepswerf te werken zat er ook bij. Iedereen die werkt bij de FBI, NSA en CIA is beroofd van zijn of haar vingerafdruk.

Daar was destijds een hoop ophef over en zelfs president Obama van de VS werd erbij betrokken. na enkele onderhandelingen arresteerde de Chinese overheid enkele hackers en zou de vingerafdrukdatabase zijn teruggegeven aan de Amerikanen. En natúúrlijk hebben ze geen kopie daarvan in handen.

Ik heb mijn vingerafdrukken al zo vaak aan verschillende entiteiten overhandigd, onder meer aan de overheid, de lokale politie voor mijn wapenvergunning en mijn werkgever toen ik een overheidsklus wilde doen. Daar heb ik steeds een document voor getekend waarin ik toestemming gaf dat de vingerafdrukken met andere diensten werden gedeeld. Hoewel ik nooit een misdaad heb gepleegd, ben ik er zeker van dat mijn vingerafdruk in de Amerikaanse database IAFIS zit die geraadpleegd kan worden door honderdduizenden organisaties en diensten. Als een daarvan slachtoffer wordt van datadiefstal (en ik ben er vrij zeker van dat meerdere dat zijn geweest) kunnen mijn vingerafdrukken worden gestolen.

Een afbeelding van mijn gezicht kan sowieso overal worden gemaakt, maar ook ontvreemd worden uit een van de vele gezichtsherkenningsdatabases die wereldwijd worden gecreëerd. Mijn iris en netvliesafbeeldingen worden gedurende mijn leven op diverse plekken opgeslagen en kunnen worden gestolen van elk apparaat dat biometrie gebruikt om te ontgrendelen. Het is zelfs erger. Verschillende groepen maken overkoepelende biometrische databases die alle mogelijke biometrische gegevens bevatten. Het idee daarvan is om een identiteit te maken die wordt geaccepteerd door welk biometrische systeem dan ook.

Als ik hieraan denk, zie ik een James Bond-achtig type die bij een inlogprompt een klein apparaat presenteert met biometrische data en dan inlogt als de gewenste gebruiker. Een iPod van biometrische eigenschappen - één apparaat om wie dan ook te imiteren

5. Biometrie is eenvoudig om de tuin te leiden

Ik word er zo moe van dat mensen blijven beweren dat biometrische systemen zo lastig te foppen zijn. De leveranciers reppen graag over 'onmogelijk te hacken systemen', die 3D- of temperatuursensoren vereisen waardoor het niet mogelijk zou zijn dat een ander persoon deze biometrische eigenschap kan inzetten.

Onvermijdelijk zie je 24 uur later een tiener op YouTube demonstreren hoe zo'n product om de tuin wordt geleid, vaak met goedkope middelen. Ik ben zelf betrokken geweest bij een paar hackprojecten met biometrische apparatuur en geen enkel product dat ik ooit heb geëvalueerd was zo goed als werd gesteld. Zelfs klassieke 'aanvallen' met kartonnen afbeeldingen of kneedklei werken vaak. Ik heb zelfs ooit een vingerafdrukscanner kunnen foppen met de föhn-truc: door hete lucht over het plaatje te blazen worden de vetten van de vingerafdrukolie van de laatste gebruiker geactiveerd en kun je succesvol inloggen.

Volgens fabrikanten zijn speciale robuuste scanners slecht te misleiden, maar deze zijn vaak lastig te gebruiken, zelfs voor legitieme gebruikers. Ze zijn langzamer en leveren veel meer false-negatives op dan acceptabelere producten van andere producenten. De nauwkeurigheid van biometrische producten is kwakzalverij die wordt losgelaten op nietsvermoedende systeembeheerders die niet helemaal begrijpen hoe de technologie werkt. Of ze begrijpen het wel, maar accepteren dat ze helemaal niet zo accuraat zijn.

6. Biometrie voor inloggen op afstand is een slecht idee

Laten we er even vanuit gaan dat je kunt leven met onnauwkeurige biometrische identiteiten. In de wereld van nu lijken ze te werken: tientallen miljoenen gebruikers loggen dagelijks in met biometrische data, maar alleen omdat ze oké werken in twee scenario's:

De eerste is op apparaten zoals je smartphone, waar je niet de beste beveiliging nodig hebt. Ja, je wilt informatie die op het toestel is opgeslagen afschermen, maar het is niet alsof de kostbaarste data van je organisatie op dat apparaat staan. Mocht iemand een smartphone in handen krijgen, is de kans veel groter dat hij of zij het apparaat wil wissen om door te verkopen, in plaats van de opgeslagen informatie te bemachtigen.

Het tweede scenario heb je bij de fysieke beveiliging van het gebouw waar je werkt. Dat werkt omdat het minder waarschijnlijk is dat een aanvaller opdaagt en zich als jou voordoet om zichzelf zo binnen te smokkelen. Daadwerkelijk verschijnen en je proberen te authenticeren betekent een risico om in de kraag gevat worden. Om die reden heeft biometrische authenticatie in dat geval een goede balans qua beveiliging versus bruikbaarheid.

Maar als biometrie mainstream zou zijn, kun je verwachten dat malafide hackers overal zulke gegevens stelen, opslaan en biometrische identiteiten gaan verkopen. Veel authenticatie die we nu doen is voor inloggen op afstand. Wie verschijnt nu nog fysiek bij elke server die ze benaderen? Als ik mag inloggen met enkel biometrie, kun je er de donder op zeggen dat aanvallers hier moeite in gaan steken en dat ze het op dezelfde manier gaan aanpakken als nu de handel in wachtwoorddatabases van de vele gehackte websites.

Als ze eenmaal je biometrische identiteit hebben, kunnen ze hem voor altijd gebruiken. Je kunt je wachtwoord veranderen. Je kunt een nieuw token voor multifactor-authenticatie krijgen. Maar wat doe je als je vingerafdrukken worden gestolen? Niets, je kunt alleen maar leren leven met het feit dat dit middel voor de rest van je leven misbruikt kan worden en systemen die deze gegevens gebruiken waarschuwen dat de jouwe zinloos zijn.

Ten slotte: één scenario dat ik wel accepteer

Ik zou me beter voelen over biometrische methodes als ze gebruikt werden in combinatie met een geheime authenticatiefactor - iets wat geen biometrische eigenschap is. Denk dan bijvoorbeeld aan een vingerafdruklezer die tevens een smartcard of pincode vereist. Biometrie kan ik accepteren als een identifier, vergelijkbaar met een inlognaam of e-mailadres, en gehanteerd voor gebruiksgemak, maar niet als authenticatie-secret om te bewijzen dat jij ook echt de persoon bent die inlogt.