Luister naar

Ons lichaam als wachtwoord én paspoort

Nieuws
Jezelf identificeren met je lichaam wordt normaler. Je iris leidt je door de douane, je vinger geeft je toegang tot je telefoon en je gezicht opent je digitale patiëntendossier. Volgens het bedrijf Microsoft is dit ‘biometrisch authenticeren’ de toekomst. We gaan naar een ‘wachtwoordloze’ samenleving. Je lichaam als wachtwoord en paspoort: is dat een goed idee?
Rimme Mastebroek Rimme Mastebroek
zaterdag 26 mei 2018 om 03:00
KLM en Schiphol experimenteerden vorig jaar met gezichtsherkenning; ‘biometrisch boarden’ zonder je instapkaart en paspoort te laten zien.
KLM en Schiphol experimenteerden vorig jaar met gezichtsherkenning; ‘biometrisch boarden’ zonder je instapkaart en paspoort te laten zien. anp

Een slordige 8 miljard euro: zo veel bespaarde de Indiase overheid met de invoering van een systeem dat irisscans, vingerafdrukken en gezichten van 1,3 miljard Indiërs opslaat. De overheid koppelt deze data aan, bijvoorbeeld, mobiele telefoonnummers en het recht op een uitkering. Smokkelen met uitkeringen wordt moeilijker. De ‘spookuitkeringen’ verdwijnen langzaam maar zeker. Zie daar die gigantische kostenbesparing.

Biometrie heet dit. Unieke lichamelijke eigenschappen van de mens, zoals de iris van een oog, worden gebruikt om iemands identiteit vast te stellen. De technologie ontwikkelt zich volop. In 2009 verplichtten Europese overheden hun burgers om vingerafdrukken af te staan, om deze te koppelen aan hun paspoorten. Maar omdat de vingerafdrukken om politieke redenen nog niet met elkaar uitgewisseld zijn, wordt er nauwelijks wat mee gedaan. Bovendien zijn vingerafdrukken biometrisch gezien alweer bijna passé: irisscans en gezichtsherkenning zijn nauwkeuriger (zie kader). Daarom experimenteerden KLM en Schiphol vorig jaar met gezichtsherkenning; ‘biometrisch boarden’ zonder je instapkaart en paspoort te laten zien.

smartphone

Consumenten zijn vanaf 2013 massaal in aanraking gekomen met biometrische authenticatie. Apple-topman Tim Cook introduceerde toen de iPhone 5. Gebruikers konden deze smartphone probleemloos met hun vingerafdruk ontgrendelen. Hoewel grote rivaal Microsoft eerder experimenteerde met biometrie dan Apple, maakten Cook en co de techniek mainstream. Andere smartphone- en laptopproducenten volgden snel. Ook overheden en banken geloven in de mogelijkheden van biometrie om identiteitsfraude te voorkomen.

‘Aangezien de technologie voortschrijdt, wordt biometrie steeds meer gemeengoed in de Nederlandse samenleving’, weet techexpert Elger van der Wel. ‘Het grote voordeel is dat menselijke eigenschappen uniek zijn en dus lastig te vervalsen. Wanneer je biometrische authenticatie goed uitvoert, is het lastig te hacken. Tegelijk is biometrie een complex fenomeen. Want als jouw unieke lichamelijke kenmerken tóch in verkeerde handen vallen, heb je een probleem. Je wachtwoord opnieuw instellen is geen probleem, een nieuwe iris is een stuk lastiger.’

De vraag naar biometrische oplossingen groeit mee met de digitalisering van de samenleving. Want: als je elkaar fysiek niet meer kunt zien, moet identificatie op een andere manier plaatsvinden. ‘Op internet kun je talloze identiteiten aannemen, maar uiteindelijk heb je er maar één. Burgers moeten beschermd worden tegen identiteitsfraude. Van oudsher doen mensen zaken – wisselen zij diensten en informatie uit – op basis van vertrouwen. Dat vertrouwen is heel belangrijk.’ Aan het woord is Ronald Huijgens, directeur biometrische technologieën bij technologiebedrijf Unisys. Circa een kwart van alle transacties op vliegvelden (zoals inchecken) ter wereld gaat via Unisys-systemen en ook de Amerikaanse overheid is een belangrijke klant. ‘De laatste jaren zien we de vraag naar toepassingen voor consumenten toenemen’, aldus Huijgens. ‘Denk aan toegang tot je smartphone, je digitale patiëntendossier en mobiel bankieren. De behoefte om met zekerheid de identiteit van iemand vast te stellen vóór een transactie groeit enorm.’

vergeten

Tot nu toe kon je op twee manieren toegang krijgen tot een beschermde, fysieke of digitale, omgeving: met iets wat je weet (een wachtwoord) of iets wat je bij je draagt (een pasje of andere informatiedrager). Regelmatig ook een combinatie: denk aan DigiD, het identificatiesysteem van de overheid. Maar een wachtwoord kun je vergeten en is vaak makkelijk te kraken. Een pasje raak je kwijt of kan worden afgepakt. Wanneer je eigen oog je toegangspasje wordt, zijn die problemen er niet, een gruwelscenario daargelaten. Techexpert Van der Wel ziet de toegevoegde waarde van biometrie, maar dan wel in combinatie met ‘ouderwetse’ middelen. ‘Dus om in te loggen bij een bank zowel een gezichtsscan als een inlogcode. De technologie is nog niet foutloos. Bij Samsung was gezichtsherkenning een paar jaar geleden niet serieus te nemen. Met een pasfoto kon je dat systeem faken. Dat mag natuurlijk niet.’

Opvallend: gezichtsherkenning werkt niet bij ieder mens even goed, weet Rejo Zenger. Hij is beleidsadviseur bij Bits of Freedom, een onafhankelijke belangenorganisatie die opkomt voor digitale burgerrechten. ‘Bij witte mannen werkt de technologie in 99 procent van de gevallen. Maar: hoe donkerder de huid, hoe vaker het misgaat. Bij met name zwarte vrouwen lag het percentage een stuk lager.’ Dit komt doordat deze technologie zelflerend is en ‘oefent’ met databases die vooral uit witte mannen bestaan, blijkt uit onderzoek van de Amerikaanse wetenschapper Joy Buolamwini.

huiverig

Ondanks deze gebreken heeft biometrie de toekomst, denkt Ruud Huijts, voorzitter van de Vereniging Voor Biometrie & Identiteit (VVBI). ‘Het gebruiksgemak spreekt de consument enorm aan. We realiseren ons nauwelijks nog wat de impact van biometrie is.’ De VVBI zet zich in voor juist gebruik van biometrie. ‘Daarmee bedoelen we: voegt het echt wat toe aan onze veiligheid en privacy? Ik ben huiverig wanneer het puur voor het gemak is. Wanneer is het écht belangrijk dat je de juiste persoon voor je hebt? Dan denk ik aan zaken als het strafrecht, medische zorg, betalingsverkeer en nationale veiligheid, zoals op vliegvelden. Zelf zit ik er niet op te wachten dat een grote partij als Facebook mijn biometrische gegevens bezit, om bijvoorbeeld automatisch mijn gezicht op foto’s te herkennen en te taggen.’ Huijts pleit voor betere regelgeving: ‘Met de Algemene Verordening Gegevensbescherming (AVG) zetten wij een stap in de goede richting.’ Deze verordening is vanaf 25 mei van kracht en trekt de privacywetgevingen van alle Europese lidstaten zo goed mogelijk gelijk. Uitgangspunt van de nieuwe regelgeving is een striktere bescherming van persoonsgegevens, waaronder biometrische.

Net als Huijts, toont Van der Wel enige terughoudendheid met zijn persoonlijke biometriegebruik. ‘Het probleem voor consumenten, zelfs voor een redelijk goed ingevoerd persoon zoals ik, is dat we geen flauw idee hebben hoe de achterliggende systemen werken. Gaan de andere partijen veilig met mijn gegevens om? Een vriend van mij is heel wantrouwend. Dat is goed, we worden eindelijk een beetje wakker als het om onze privacy gaat.’

Van der Wel maakt een duidelijk onderscheid tussen lokale en centrale opslag van onze biometrische gegevens. ‘Je vingerafdruk voor je smartphone wordt bij Apple-apparaten opgeslagen op een speciale, losse chip. Dit is centrale opslag. Malware – kwaadwillende software dat gevoelige info wil verzamelen – kan daar niet bij. Ook Apple zelf niet. Die data verlaten je toestel dus nooit.’

Tegenover deze lokale opslag staat centrale opslag, zoals bij Europese overheden die vingerafdrukken aan paspoorten koppelen. Bij centrale opslag is de kans op misbruik groter, zeker als het partijen zonder expertise betreft. Huijgens: ‘Stel: een sportschool vraagt je vingerafdruk voor toegang tot hun faciliteiten, dan zou ik dat persoonlijk onverstandig vinden. De kans dat zij hun beveiliging goed op orde hebben is klein. Maar als zij gehackt worden, zijn de consequenties voor hun klanten groot. Sterker nog: ook voor de maatschappij. Een omloop van valse vingerafdrukken kan zelfs de rechtssystemen dwarszitten.’ Huijts bevestigt: ‘Dit is een goed voorbeeld van onjuist biometriegebruik.’ ?

hoe werkt een irisscan?

Een irisscan wordt momenteel gezien als het meest betrouwbare biometrische kenmerk van de mens. Maar wat maakt dit kleurrijke gedeelte van het oog nu zo uniek?

‘Een iris bezit ontzettend veel informatie’, begint Ronald Huijgens, directeur biometrische technologieën bij technologiebedrijf Unisys. ‘Een irisscan werkt als volgt. Een infraroodcamera scant het spierpatroon van de iris. Deze spieren kunnen je pupil groter of kleiner maken. Dit spierpatroon vormt zich al in de baarmoeder en is bij ieder mens uniek.’ Sterker nog: ieder oog is uniek. Bij een gemiddeld persoon zijn de overeenkomsten tussen het linker- en rechteroog ongeveer 50 procent. Wanneer je persoon X met persoon Y vergelijkt, is de overlap maximaal 20 procent. Huijgens: ‘Uit een iris kunnen we 1024 unieke bits – heel kleine stukjes informatie – halen. De informatie uit vingerafdrukken haalt het bij lange na niet daarbij – zelfs niet alle tien vingers bij elkaar opgeteld. Daarbij wordt een iris beter beschermd door de rest van het lichaam.’

vertrouwen in biometrie groot

Bijna zeven op de tien Europeanen (68 procent) zegt organisaties meer te vertrouwen wanneer deze biometrie gebruiken voor authenticatie. Dat blijkt uit onderzoek van technologiebedrijf Unisys.

Een onderzoeksbureau hield in opdracht van Unisys een steekproef onder 3500 Europeanen. 57 procent van de Nederlandse respondenten vindt biometrie veiliger dan de traditionele pincode en wachtwoorden. Rejo Zenger, beleidsadviseur bij Bits of Freedom: ‘Dat zegt mij niet zo veel. Deze mensen doen zelf geen onderzoek en gaan af op hun onderbuikgevoel. Veiligheidsgevoel is niet hetzelfde als veiligheid.’

Respondenten vinden het een belangrijk voordeel dat ze geen wachtwoorden hoeven te onthouden. Deze focus op gemak baart Ronald Huijgens, directeur biometrische technologieën bij Unisys, zorgen. ‘Gemak prefereren boven privacy, daar ben ik zeker bang voor. Als industrie moeten wij daar rekening mee houden, door onze systemen alsnog met een dubbele beveiliging in te richten: wachtwoord én gezichtsherkenning bijvoorbeeld. Bij alles wat we doen, denk ik: hoe wil ik dat er met mijn eigen data wordt omgegaan? Dat werkt goed.’

Zenger is het eens met deze ‘tweetrapsraket’. ‘Als jij je wachtwoord intikt, of een pasje ergens bij houdt, draag je zelf actief bij aan het proces. Ongemerkt een pasje uitlezen op afstand kan misschien nog wel, maar je wachtwoord uitlezen niet. Bij sommige vormen van biometrie verandert dat: gezichtsherkenning zonder weet van de betrokkene, is mogelijk. Heimelijk gebruik van de technologie ligt dan op de loer.’

Mail de redactie
Mail de redactie
Heeft u een tip over dit onderwerp, ziet u een spelfout of feitelijke onjuistheid? We stellen het zeer op prijs als u ons daarover een bericht stuurt.
Lisa Westerveld (GL-PvdA, links) roept samen met Faith Bruyning (NSC, rechts) op om een zogenoemde beknopte parlementaire enquête uit te laten voeren naar de gesloten jeugdzorg van 2008 tot nu.

De Kamer is diep bezorgd over de gesloten jeugdzorg, maar ziet weinig in weer een enquête

GroenLinks-PvdA en NSC willen met een ‘beknopte parlementaire enquête’ uitzoeken hoe de misstanden in de gesloten jeugdzorg zo lang konden doorgaan. Maar een meerderheid van de Kamer twijfelt of ‘nog een rapport’ wel de oplossing biedt.

Agenten met machinegeweren bewaken de Dom in Keulen rond Kerst en Nieuwjaar na de ontdekking van aanslagplannen van ISIS-Khorasan.

ISIS heeft Europa nog steeds in het vizier voor aanslagen als die in Rusland

In heel Europa zijn veiligheidsdiensten in staat van paraatheid. Want de aanslag in Moskou was niet het enige plan van ISIS. Het heeft Europa weer stevig in het vizier, te beginnen met kerken.

‘Je kunt aan je vlucht een CO2-uitstootcijfer hangen, maar wat zijn de precieze gevolgen dan?'

Waarom we toch blijven vliegen ondanks schaamte. 'Zet op een rij wat je belangrijkste waarden zijn'

Vliegschaamte blijft een dingetje, van de 18 tot 65-jarigen heeft 1 op de 5 er last van. Waarom blijven we vliegen, terwijl we weten dat het het klimaat fors schaadt?

De brug over het Noordhollandsch Kanaal bij Purmerend ligt midden in de A7, en is verreweg de belangrijkste verkeersader in het gebied.

Motorambulances en speedpedelecs om de file te omzeilen: de brug over de A7 wordt verbouwd

De verkeersoverlast in Noord-Holland zal gigantisch zijn zodra Rijkswaterstaat begint met de versteviging van een brug, midden in de A7. Artsen en verpleegkundigen maken zich zorgen over de gevolgen voor de spoedzorg.

Boerenprotest dinsdagmorgen in Brussel.

EU-landen komen boeren ongekend snel tegemoet, GroenLinks spreekt van 'symboolpolitiek'

De EU-landen zijn akkoord met een serie maatregelen die tegemoetkomen aan de protesten van boeren. De milieueisen om EU-landbouwsubsidies te krijgen worden versoepeld, kleinere landbouwbedrijven worden helemaal niet meer gecontroleerd.

Het gezin Laan, met rechtsboven Henk-Willem en daaronder zijn gehandicapte zoon Joas pleit voor betere toiletvoorzieningen voor mensen als Joas. ‘We hopen dat het balletje nu snel verder gaat rollen.’

Waar verschoon je onderweg een ernstig gehandicapt kind? 'Soms moet het in de bosjes'

Naar de wc gaan tijdens een dagje uit levert kinderen en volwassenen met een ernstige beperking veel gedoe op. Ze hebben vaak een ruimte nodig waarin ze liggend verschoond kunnen worden. Maar die zijn er nauwelijks.