Is het veilig? En twee andere vragen over betalen met je vingerafdruk

Banken bieden steeds vaker de mogelijkheid van betalen met vingerafdruk, stemherkenning, oogscan of zelfs hartslag. Is dat voor het gemak, of ook voor de veiligheid?

Foto iStock

Raak me aan: Samantha Fox verzocht het je al in 1986, in het nummer Touch Me (I Want Your Body), je smartphone sinds een tijdje ook bij sommige mobiel bankierenapps. Als het aan banken ligt worden biometrische kenmerken - stem, vingerafdruk, irisscan of zelfs hartslag - steeds belangrijker bij het accorderen van betalingen, naast of in plaats van een pincode. Drie vragen over biometrisch bankieren.

1. Welke manieren zijn er?

Op dit moment worden de vingerafdruk en de stemherkenning het meest gebruikt. HSBC maakte recent bekend die twee opties in hun app aan te bieden. ING doet dat al vanaf de zomer van 2015. Jeroen Losekoot, manager marketing mobiel en internet bij ING, legt uit waarom:

“Meer dan de helft van onze klanten onder de 45 gebruikt mobiel bankieren. Op basis van technologie die nu voor de meeste mensen beschikbaar is via hun smartphone hebben we gekozen voor stemherkenning en vingerafdruk. Stemherkenning werkt zelfs bij veel omgevingsgeluid of als je verkouden bent.”

Mastercard heeft ‘selfie pay‘: de camera van een smartphone wordt dan gebruikt voor gezichtsherkenning. Barclays heeft een vingerscantechniek die aderen detecteert. Het patroon daarvan is net als een gewone vingerafdruk uniek. Halifax meet met een bandje je hartslagprofiel, dat ook bij elke persoon anders is. Nadeel van die laatste twee is dat je er nu nog aparte apparaten voor nodig hebt.

2. Is het veiliger?

Je vingerafdruk kun je niet vergeten, wachtwoorden en pincodes wel. Daarnaast zijn ze tegenwoordig inadequaat, zegt Herbert Bos, hoogleraar systeem- en netwerkbeveiliging aan de Vrije Universiteit: “Mensen gebruiken voor veel websites hetzelfde wachtwoord. Dat is onveilig. In het algemeen geldt dat hoe moeilijker iets te onderscheppen is, en te hergebruiken, hoe veiliger. Dat kunnen lichaamskenmerken zijn.”

Toch is veiligheid niet per se het argument dat banken gebruiken. In de aankondiging van biometrie in de ING-app komt het woord ‘makkelijk’ of ‘makkelijker’ zes keer voor, ‘veiligheid’ eenmaal. Jeroen Losekoot: “Authenticatie met biometrie is veilig genoeg. Wij proberen nu vooral bankzaken makkelijker te maken in de customer journey.”

Volgens Herbert Bos is biometrie vooral geschikt als extra beveiliging:

“Vaak worden er nu twee authenticatiefactoren gebruikt. Bij internetbankieren bijvoorbeeld een inlog (‘wat je weet’) en een bankpas met e-identifier of telefoon met TAN-code (‘wat je hebt’). Een derde authenticatiefactor kan biometrie zijn. Dat is ‘wat je bent’.”

Het gebruik van biometrie als alternatief voor een pincode, zoals in de meeste huidige apps, biedt volgens Bos geen volledige oplossing: “Als je voor allerlei websites en diensten je vingerafdruk gebruikt en de gegevens worden bij één daarvan gestolen, kunnen criminelen die wellicht ook voor andere websites gebruiken.” En je wachtwoord kun je veranderen, maar je vingerafdruk niet, bij een hack.

Jeroen Losekoot zegt dat de ING-app zichtbare en onzichtbare beveiligingsmethodes heeft om fraude te voorkomen: “Als je met biometrie voor de eerste keer geld overmaakt naar een bepaalde rekening vragen we alsnog een pin op het einde van de transactie.” Het namaken van vingerafdrukken noemt hij “puur theoretisch”.

3. Hoe belangrijk wordt deze methode van betalen?

Onderzoeksbureau Aquity heeft in kaart gebracht hoe de biometrische identificatiemarkt zich zou kunnen ontwikkelen. In 2015 werden er wereldwijd zo’n 18 miljard mobiele biometrische authenticatiehandelingen verricht, betalingen en niet-betalingen. In 2020 kan dat oplopen tot 807 miljard handelingen. Dat kan deels verklaard worden door groei van de markt voor wearables.

Jeroen Losekoot: “Van de 2,5 miljoen gebruikers van onze app, gebruiken er nu ongeveer 265.000 de vingerafdruk en 100.000 hebben een stemprofiel aangemaakt. Wij zien dat we naar een steeds meer spraakgestuurde wereld toegaan, ook door de opkomst van wearables als smartwatches, die niet bestuurd worden door iets in te toetsen.”

Biometrische authenticatie zou in 2020 bij 65 procent (pdf) van de mobiele betalingen kunnen plaatsvinden. ‘Talk to the hand’ heeft tegen die tijd misschien dus wel een hele andere betekenis dan toen Arnold Schwarzenegger het je in 2003 opdroeg.

    • Joram Bolle