Volgens Albert Einstein kun je problemen in het leven niet oplossen met dezelfde soort gedachten als die waarmee je de problemen hebt gecreëerd. Naam en wachtwoord zijn prima voor veilige inlog. Wil je echter meer secure zijn, dan is IT alleen niet voldoende en komt biometrie om de hoek kijken.
Security Management praat met Ruud Huijts, directeur van Samenzicht Consultancy en medeoprichter/voorzitter van de VVBI, Vereniging voor Biometrie & Identiteit. Over biometrische authenticatie zegt hij: “Wat het inhoudt, is niet altijd duidelijk. Als we kijken vanuit de IT-kant, dan praten we eerst over identificatie: welk ‘subject’ meldt zich met welke gebruikersnaam aan bij een computer? Vervolgens gaat het over de authenticatie: is deze identiteit juist? Past het wachtwoord bij de gebruikersnaam, dan mag de persoon verder (autorisatie). Denk aan het gebruik van een programma of toegang tot een ruimte.”
Biometrie in authenticatie
De andere kant is biometrie, legt Huijts uit. “Deze ‘tak van sport’ kent drie processen. Het eerste betreft enrollment. Wat zijn de lichaamskenmerken van een persoon? Denk in dit kader aan registratie van vingerafdrukken. Vervolgens kom je bij het verificatieproces. Is dit de persoon die hij of zij zegt te zijn? Een vingerafdruk wordt gecontroleerd aan de hand van de referentievingerafdruk. Hierin bestaan twee types: 1-op-1-vergelijking en 1-op-N-vergelijking in een hele referentiedatabase. Verificatie is meer persoonsherkenning. Identificatie – wie is deze persoon? – komt met name voor in sporenonderzoek. Dus heel anders dan identificatie in IT!”

Ruud Huijts, directeur van Samenzicht Consultancy en medeoprichter/voorzitter van de VVBI, Vereniging voor Biometrie & Identiteit
Ruud Huijts vervolgt: “Biometrische authenticatie is een vorm van sterke authenticatie, omdat het een combinatie is van (a) Wat weten we? Bijvoorbeeld de gebruikersnaam met wachtwoord. (b) Wat hebben we? Denk aan een mobiele telefoon. (c) Wat zijn we? Dat is meestal een lichaamskenmerk. Tot slot is de vraag: (d) Wat doen we? Bij biometrie hebben we het niet over ‘afgehakte vingers’, zoals we in films zien. Biometrie gaat over levende lichaamskenmerken.”
Meer nodig
In de praktijk kunnen we bij biometrie naast vingerafdrukken denken aan de iris of het gezicht. Onder andere DNA, geur, netvlies, aders, oren, manier van lopen, handtekening en stem vallen er ook onder. Huijts: ”Wachtwoord en gebruikersnaam zijn een goede authenticatie. Een simpele oplossing, die we kunnen blijven gebruiken. Maar willen we een sterke beveiliging, dan is er meer nodig. Dan ontkom je niet aan de combinatie met biometrie.”
Biometrie wordt steeds vaker toegepast, zegt Huijts. “Dit komt vanwege hogere veiligheidseisen en gestimuleerd door met name de laatste generatie smartphones. Ze hebben minimaal een vingerafdrukscan. Je legt je vinger op je mobiel en het apparaat opent zich. Met een smartphone kun je ook een foto van je gezicht maken. Er zijn al sites waarmee je met zo’n selfie in kunt loggen, zoals www.koopjesdrogisterij.nl.”
Wat is het belang van biometrie voor het bedrijfsleven? Ruud Huijts: “Het is de vraag waar je de grens trekt. Welk risico wil je lopen? Voor het afschermen van gevoelige informatie op een computer of in een ruimte, is het raadzaam biometrie toe te passen. Pasjes kunnen doorgegeven worden. Biometrische authenticatie is veiliger en niet duurder.”
BOPS
Bij informatie-uitwisseling is standaardisatie van belang, zo ook bij biometrie. Eind september 2015 voerde de IEEE (Institute of Electrical and Electronic Engineers) de standaard 2410-2015 BOPS (Biometric Open Protocol Standard) in. “Met BOPS is er een betere uitwisseling mogelijk tussen data, systemen en apparatuur”, vertelt Ruud Huijts. “Doel is ook om de identiteit te garanderen en de integriteit van biometrische oplossingen te beschermen, evenals de marktpartijen. Het leuke van BOPS is dat het een combinatie is van hard- en software. Met biometrie heb je immers altijd apparatuur nodig. En verder: BOPS is vrij in modaliteit – vingerafdruk, gelaat, iris, et cetera – noch afhankelijk van een leverancier of een (mobiel) apparaat.”
De identificatie (genesis) is met vier veiligheidsniveaus afhankelijk van welke risico’s men wil nemen. Verificatie is mogelijk via sms tot en met paspoort. Vervolgens vindt enrollment – Huijts sprak er al eerder over – plaats met koppeling van de persoon met biometrie en apparatuur, zoals een smartphone en/of een ruimte. Achter de schermen spelen allerlei zaken rondom bijvoorbeeld veiligheid en dataverwerking. Bij BOPS I (2410-2015) worden de gegevens als versleutelde vector (grafisch bestand opgezet uit lijnen, red.) op het (mobiele) apparaat opgeslagen. Daar worden de afgenomen (biometrische) gegevens vergeleken met de tijdens identificatie en aanmelding opgeslagen vector. Is er een match? Bij BOPS II wordt een willekeurig deel van de gegevens beveiligd op het apparaat bewaard. Het andere deel wordt op een speciale server beveiligd opgeslagen. Matchen kan op het (mobiele) apparaat of op de server. “Door deze gescheiden opslag is de kans op hacken veel kleiner”, zegt Huijts.
Bij biometrie zijn we alert op de beveiliging van persoonsgegevens. De BOPS helpt hierbij, maar ook de Verordening bescherming persoonsgegevens die de Europese Commissie per 25 mei 2018 instelt. Anders dan de richtlijn uit 1995 is deze verordening rechtstreeks van toepassing in alle EU-lidstaten. De verordening zorgt onder meer voor versterking en uitbreiding van privacyrechten en meer verantwoordelijkheid voor organisaties.
Blijven nadenken
“Biometrie is mooi, maar we moeten opletten dat we hierin niet doorslaan”, vervolgt Huijts. “Zie biometrie als een hulpmiddel. We moeten blijven nadenken waarom we het willen toepassen en wat de consequenties zijn. Wat als het niet werkt of niet mogelijk is? Iemand die geen vingers heeft, kan geen vingerafdruk zetten.”
Biometrie is een hulpmiddel. We moeten blijven nadenken waarom we het willen toepassen
Ruud Huijts tot slot: “Negen van de tien keer wordt biometrie toegepast in een keten van informatievoorziening. In ketens zien we regelmatig niveauvergissingen. Wat op het niveau van een individu werkt, hoeft niet op dezelfde wijze in een keten te werken. Een voorbeeld? De KNVB haalde onlangs het nieuws met een vingerafdruk-app; een digitale meldplicht voor mensen met een stadionverbod. Bij een wedstrijd meldt de hooligan zich en de KNVB weet dan dat hij niet in het stadion is. De test met de app was positief. De hooligans deden graag mee in ruil voor strafvermindering. Het systeem werkt voor het individu. Maar hooligans zijn een grote groep zonder uitzicht op strafvermindering. Het loont dan de moeite het systeem gezamenlijk te omzeilen. Dus of een dergelijke app in de keten gaat werken, is nog maar de vraag.”
>> Lees ook Kwetsbaar voor IT-bedreigingen van binnenuit
>> Alles over trends in cybersecurity leest u in de gratis whitepaper Trends in cybersecurity