Je lichaam als login

In opkomst: identificatie met een uniek lichaamskenmerk, zoals je vingerafdruk, iris of de aderen in je hand. Worden wachtwoorden en pincodes verleden tijd? En is het wel veilig?

Illustratie Pepijn Barnard
Illustratie Pepijn Barnard

Hoeveel wachtwoorden gebruik je? Vijf? Tien? Volgens een recent onderzoek van het Britse Cyber Streetwise hebben mensen gemiddeld negentien online accounts, dus ook negentien wachtwoorden. Althans, in theorie, want de meeste mensen gebruiken hetzelfde wachtwoord voor meerdere accounts. En dan hebben we het nog niet eens over zwakke wachtwoorden: de 12345’jes en huisdiernamen.

Geen wonder dus dat er gezocht wordt naar een alternatief. Een veelbelovende optie is biometrische authenticatie: identificatie via een uniek lichaamskenmerk. Dat kan je vingerafdruk zijn, maar bijvoorbeeld ook je iris, stem of de aderen in je hand. Het voordeel van deze methode is dat het gebaseerd is op wie je bent, niet op wat je weet. Een wachtwoord kun je vergeten; een vinger niet.

Vingerafdruk: populair maar tricky

De bekendste toepassing is Apple’s Touch ID, die in 2013 werd ingevoerd voor de iPhone 5: identificatie via je vingerafdruk. Concurrent Samsung volgde in 2014 met een vingerafdrukscanner in de Galaxy 5. Beide gebruiken een aanraaksensor om je vinger te herkennen.

Dit systeem is relatief eenvoudig te misleiden door een vingerafdruk te stelen via een koffiekopje en daar een afgietsel van te laten maken, zegt hoogleraar biometrische patroonherkenning Raymond Veldhuis van de Universiteit Twente. „Het is lastig zo’n nepvinger te gebruiken als er toezicht is, bijvoorbeeld in een winkel of bij de douane. Voor toepassingen waarbij je de valse vinger ongezien kunt gebruiken, is het wel een risico.”

Er wordt daarom gewerkt aan betere technologie. Zo kondigde de fabrikant Qualcomm onlangs een vingerafdrukscanner aan die met een ultrasone sensor een 3D-afdruk van je vingertop maakt, inclusief de poriën in je huid. Dat systeem is minder gevoelig voor verkeerde scans als je vingers een beetje nat of vies zijn. Bovendien neemt de sensor waar of er bloed door de huid stroomt. Dat maakt de hack met een gekopieerde vingerafdruk (of een afgehakte duim) onmogelijk. Het systeem wordt later dit jaar op de markt gebracht.

Behalve fraudegevoeligheid is ook privacy een belangrijk thema. Veldhuis: „We zagen dat toen een paar jaar geleden het biometrisch paspoort in Nederland werd ingevoerd. Het was toen de bedoeling dat de vingerafdrukken zouden worden opgeslagen in een centrale databank, maar veel mensen vonden dat een aantasting van hun privacy.” Vingerafdrukken mogen nu alleen maar tijdelijk worden bewaard in de administratie, als iemand een reisdocument aanvraagt. Na uitreiking zijn deze alleen nog in de chip in het paspoort zelf opgeslagen.

Nieuw: gezicht, iris, oor of aderen

Naast de vingerafdruk wordt er ook gewerkt aan authenticatie via het gezicht. Windows 10, het besturingssysteem dat naar verwachting komende zomer uitkomt, zal van beide technologieën gebruikmaken. Ook identificatie via de iris wordt een optie. Hiervoor heb je een computer nodig met een Intel RealSense 3D-camera.

Yahoo werkt aan oorherkenning: je oorschelp wordt gescand via het touchscreen van je telefoon. Volgens Yahoo is dit goedkoper dan vingerafdrukherkenning.

Irisherkenning is op dit moment een van de veiligste methodes, zegt Veldhuis. „Een foto van een gezicht kun je vrij gemakkelijk van internet halen, een iris niet. Daarnaast moet die foto ook nog eens met een infraroodcamera zijn genomen, van dichtbij.”

Nog beter vindt hij aderpatroonherkenning. Het werkt als volgt: wanneer infrarood licht op je handpalm of vingers schijnt, wordt de straling geabsorbeerd door de bloedvaten, maar niet door het weefsel. Het teruggekaatste licht wordt opgevangen door een sensor. Het patroon dat daarbij ontstaat is voor elke persoon uniek. „Het grote voordeel is dat je een aderpatroon niet kunt achterlaten, zoals je vingerafdruk”, zegt Veldhuis. „Dat maakt het moeilijker om te vervalsen.”

Experimenten met je loopje of stem

Wat je ook niet kunt achterlaten is je ECG: de elektrische activiteit van de hartspier, die voor elk mens uniek is. In tegenstelling tot je hartslag, die versnelt en vertraagt, blijft deze gelijk (tenzij je hartproblemen hebt).

Het Canadese bedrijf Bionym speelt hierop in met de Nymi: een armband die je hartactiviteit registreert. Via een bijpassende app kun je de Nymi activeren. Het voordeel van deze manier van authenticatie is dat het geen eenmalige handeling is, maar voortdurend doorgaat: zolang je hart klopt, blijft Nymi verifiëren wie je bent.

Op dit moment kun je met de Nymi inloggen op verschillende Windows- en Applecomputers. Ook heeft er een pilot plaatsgevonden in samenwerking met MasterCard en Royal Bank, waarbij een testgroep de armband kon gebruiken om contactloos te betalen. De sensor in de armband bevestigt iemands identiteit, en de betaling gaat vervolgens via een near field communication-chip in de armband.

Naast lichamelijke kenmerken kunnen ook gedragskenmerken worden ingezet als identificatiemiddel, zoals iemands loopje of handtekening. ING werkt momenteel aan authenticatie via sprekersherkenning. Je stemprofiel wordt gemaakt op basis van een zin („Luister naar mijn stem en je weet wie ik ben”), die je drie keer moet uitspreken om de app te ‘trainen’. Klanten kunnen via een app met hun stem hun saldo opvragen of een betalingsopdracht klaarzetten. Een betaling kan alleen nog geautoriseerd worden door een testgroep, komende zomer moet deze optie voor iedereen beschikbaar zijn.

Het beste is twee-staps-authenticatie

Biometrische authenticatie zal binnen vijf tot tien jaar op grote schaal worden gebruikt, verwacht Veldhuis. Maar dat betekent niet dat wachtwoorden en pincodes helemaal verdwijnen. „De meeste toepassingen zullen gebruikmaken van twee-staps-authenticatie; zeker apps waarmee je kunt betalen. Dus bijvoorbeeld een combinatie van irisscan en pincode.” Wachtwoorden blijven noodzakelijk als back-up. Iedereen kan een vinger verwonden. „Wel zo makkelijk als je dan nog steeds kunt internetbankieren.”

Ondanks de vele voordelen van biometrische authenticatie is er één groot nadeel: een wachtwoord kun je veranderen als die gestolen wordt, je stem of iris niet. Hoe gaat de biometrie daarmee om?

Er bestaat een manier om biometrische data te versleutelen via een zogeheten ‘secret’, vertelt Veldhuis. De biometrische gegevens worden dan omgezet in een code van nullen en enen. „Zo kunnen de gegevens wel gebruikt worden voor herkenning, maar bevatten die geen informatie meer over de vingerafdruk of de iris.” Het Nederlandse bedrijf GenKey is hierin gespecialiseerd. Zelfs als hackers dan inbreken in het systeem, kunnen ze niet bij de biometrische data.

Toch wordt deze methode nog maar zelden toegepast. Wat nou als iemand je biometrische gegevens toch weet te bemachtigen? Veldhuis: „Dan zou je moeten proberen die data te herroepen. En gelukkig heb je altijd nóg een iris, en een hoop vingers. Maar het blijft oppassen.”

    • Anouk Vleugels