Dichtbij
Menu

Biometrie is betrouwbaar, maar is het risico misschien niet waard

  • Met het nieuwe biometrische afrekenprogramma van Mastercard kunt u betalen door naar een scanner te glimlachen.
  • Biometrische authenticatie is betrouwbaar, maar de risico's zijn groot.
  • Het is mogelijk om beide gemak te hebben en beveiliging.
Twee mensen lachend bij een kaartjeskiosk in een treinstation, een met een smartphone.

LeoPatrizi / Getty Images

Mastercard wil je in winkels laten betalen gewoon door naar een scanner te glimlachen, wat leuk is totdat je je realiseert wat de privacyimplicaties zijn.

Biometrie is een handige manier om onszelf te authenticeren. Afgezien van een beetje pech, heb je altijd je ogen, je gezicht, je vingers - nu je glimlach - bij je en klaar om in te zetten. Betaalbedrijven houden van biometrie omdat biometrie individueel genoeg is om functioneel uniek te zijn en moeilijk te vervalsen. We vinden ze leuk omdat het veel gemakkelijker is om met een vinger te betalen dan met een kaart. Maar biometrie heeft zulke desastreuze nadelen dat we ze helemaal niet op deze manier zouden moeten gebruiken.

"Nog een probleem met biometrie: ze falen niet goed. Wachtwoorden kunnen worden gewijzigd, maar als iemand je duimafdruk kopieert, heb je pech: je kunt je duim niet bijwerken. Van wachtwoorden kan een back-up worden gemaakt, maar als je bij een ongeluk je duimafdruk wijzigt, zit je vast", schrijft

beveiligingslegende Bruce Schneier op zijn persoonlijke blog.

Gemakkelijk te stelen, onmogelijk te vervangen

Mastercards Biometric Checkout Program wordt getest in vijf supermarkten in São Paulo, Brazilië. Gebruikers kunnen hun gezicht registreren met behulp van de Payface-service en vervolgens in winkels betalen door naar het authenticatieapparaat te glimlachen.

Misschien herinner je je ook Amazon's experimentele palmbetalingssysteem. Met Amazon One kun je in winkels betalen door je handpalm te scannen, waarna de betaling wordt geëxtraheerd via je gebruikelijke Amazon-betaalmethode. Tot nu toe kunnen we betalen door te glimlachen of te zwaaien. Het duurt niet lang voordat de vuistslag en de zwakke zakelijke high-five aan die lijst worden toegevoegd.

Biometrische indicatoren zijn moeilijk te vervalsen, en zelfs als je een vingerafdruk of een glimlach kunt kopiëren, kom je waarschijnlijk niet weg door te proberen een rubberen duim te gebruiken bij de kassa van de supermarkt. Maar vingerafdrukken zijn gemakkelijk te stelen, net als foto's van je gezicht, je handen, enzovoort.

En het ergste hiervan is dat als je vingerafdruk eenmaal is aangetast, dat het dan is. Zoals Schneier opmerkt, kunt u uw duim, oog of gezicht niet vervangen.

Het goed doen

Gelukkig is er een manier om biometrische authenticatie te gebruiken zonder uw vingerafdrukken, iris, glimlach, enzovoort te riskeren. In feite doet u het misschien al met Apple Pay of een vergelijkbare betalingsmethode voor smartphones.

Apple Pay en vergelijkbare methoden houden de biometrische verificatie privé. Authenticatie is tussen jou en je telefoon. Je scant je gezicht of vingerafdruk, en als de telefoon aangeeft dat jij het bent, geeft hij het goede nieuws door aan de betaalautomaat.

Bovendien wordt je gezicht of vingerafdruk nooit ergens opgeslagen. Wanneer je je gezicht inschrijft in Gezichts-IDbijvoorbeeld de telefoon gebruikt die scans om te genereren een gecodeerde proxy of hash voor uw gezicht, die vervolgens wordt opgeslagen. Later, wanneer u uw iPhone ontgrendelt, wordt de scan opnieuw "gehasht" en wordt het resultaat vergeleken met de opgeslagen hash om te zien of ze overeenkomen.

Iemand die een biometrische scan van zijn oog heeft,

Merken en mensen / Unsplash

Dus zelfs als de opgeslagen gegevens kunnen worden gestolen, kunnen ze niet worden gebruikt om uw gezicht of vingerafdruk te reverse-engineeren.

"De sleutel tot het beschermen van persoonlijke identiteiten en digitale activa is een minimum van drie factoren van: authenticatie: iets dat je weet, iets dat je bent en iets dat je hebt,” PR en financiële technologie specialist Tiffany Rodriguez vertelde Lifewire via e-mail. “Een enkel wachtwoord of een biometrie is niet de muur van bescherming die nodig is om te overleven. Het inschakelen van multi-factor authenticatie biedt meerdere muren van bescherming en verkleint de kans op hacks. Biometrie moet worden toegevoegd als een extra beveiligingslaag en niet alleen als een proxy voor het doorgeven van een wachtwoord."

De oplossing is om zoiets als Apple Pay te gebruiken als een proxy voor uw biometrische gegevens. Zo hoef je nooit een bedrijf te vertrouwen voor het veilig bewaren van je onvervangbare vingerafdrukken, irisscans of smileygezichten. Het is tenslotte niet zo dat ze daar nu beter voor zorgen dan voor onze wachtwoorden, die regelmatig in de miljoenen lekken.

Het betekent wel dat je jezelf moet authenticeren op je telefoon voordat je kunt betalen, wat duidelijk minder handig is dan glimlachen (tenzij je een bijzonder slechte dag hebt). Maar zelfs dat is gedekt. Apple Watch-gebruikers kunnen met een handomdraai betalen terwijl ze genieten van de biometrische beveiliging van hun iPhone. Het lijkt de perfecte oplossing.