Data spelen een steeds belangrijkere rol in ons leven. De manier waarop we ons authentiseren, via computers, smartphones, online apps en online profielen, wordt gerevolutioneerd.
Heel wat stemmen pleiten voor het einde van het traditionele wachtwoord. Vooral omdat we van zoveel apparaten en accounts afzonderlijke wachtwoorden moeten onthouden. Uit recent onderzoek blijkt dat er gemiddeld 130 wachtwoorden per e-mailadres geregistreerd staan. Voor de meeste gebruikers levert dat voor de hand liggende problemen op.
Daarom gebruikt het merendeel van de gebruikers (59 procent) hetzelfde paswoord – of een variant ervan – voor verschillende accounts. Daar komt bij dat 62 procent van de ondervraagden dat wachtwoord zowel voor privé- als voor werkdoeleinden gebruikt. 53 procent geeft ook toe dat ze hun wachtwoord niet veranderen, ook als ze weten dat er een data-inbreuk plaatsvond en hun wachtwoord dus gecompromitteerd is.
Dat gedrag speelt in de kaart van hackers en cybercriminelen. Zij zijn steeds bedrevener in het uitbuiten van persoonlijke gegevens om frauduleuze transacties uit te voeren.
“62 procent van de ondervraagden gebruikt hetzelfde wachtwoord zowel voor privé- als voor werkdoeleinden.”
Om het wachtwoordprobleem te bestrijden, wordt biometrische authenticatie geprezen als een veel veiligere en handigere optie voor het beschermen van accounts en persoonlijke gegevens. Zo voorspelt Gartner bijvoorbeeld dat bedrijven die investeren in nieuwe authenticatiemethoden, zoals biometrie, tegen 2020 de helft minder inbreuken op de identiteitsgerelateerde beveiliging zullen ondervinden dan bedrijven die dat niet doen.
Welke biometrie is het beste?
Naarmate de technologie zich verder ontwikkelde, ontstonden er twee soorten biometrie: statische en gedragsmatige. Maar wat zijn de belangrijkste verschillen, zijn er potentiële zwakke punten en, het belangrijkste, wat is de toekomst van biometrische authenticatie?
Hoewel ze vergelijkbaar zijn, is er toch een cruciaal onderscheid tussen statische en gedragsbiometrie. Statische biometrie is de bekendste en meer gevestigde vorm. Over het algemeen wordt die als heel consumentvriendelijk beschouwd en is de gebruikerservaring erg positief. Deze vorm maakt gebruik van fysieke kenmerken, zoals vingerafdrukken of gezichtsherkenning, en wordt steeds vaker gebruikt in verschillende situaties. Denk maar aan het ontgrendelen van smart devices, het inloggen op mobiele bankrekeningen en het uitvoeren van transacties.
Ondanks het gebruiksgemak bevatten statische biometrische gegevens echter wel veiligheidsfouten. Het meest voor de hand liggende probleem is dat, indien gestolen, de gegevens niet kunnen worden gereset. Als fraudeurs in staat zijn om de technologie te bedriegen, schept dat voor hen mogelijkheden. Zo vervalste een groep Duitse hackers in 2013 met succes de log-in van de Duitse minister van Defensie met behulp van high-definition foto’s en slaagden onderzoekers van het Nationaal Instituut voor Informatica in Tokio erin om een vingerafdruk te reconstrueren aan de hand van een foto.
Gedragsbeveiliging in theorie
Door deze kwetsbaarheden worden er veel vraagtekens gezet bij de effectiviteit en veiligheid van op zich staande statische methoden, wat de weg vrijmaakt voor een grotere adoptie van gedragsbiometrische gegevens. Deze technologie introduceert een nieuwe, dynamische benadering van authenticatie door complexe gedragspatronen te analyseren, zoals bijvoorbeeld de swipesnelheid van een gebruiker.
Door de complexiteit en gedetailleerdheid is het bijna onmogelijk om het gecreëerde profiel na te bootsen
In essentie analyseert gedragsbiometrie de interne kenmerken in plaats van enkel de externe. Het zit verweven in gebruikspatronen en onderzoekt hoe een gebruiker zich normaal gedraagt bij het gebruik van zijn of haar smart device. Het unieke gedragsprofiel dat wordt opgebouwd, bestaat uit een groot aantal variabelen: van beweging binnen een site of app tot de interactie van de gebruiker met een apparaat, waaronder vingerdruk en swipepatronen.
Door de complexiteit en gedetailleerdheid is het bijna onmogelijk om het gecreëerde profiel na te bootsen, zelfs voor de meest gesofisticeerde fraudeurs. Het biedt ook gemak voor de gebruikers omdat het discreet in de achtergrond opereert en gebruikers continu worden geverifieerd door de manier waarop ze hun toestel gebruiken.
Natuurlijk is het nog niet perfect. Het gedrag van de gebruiker verandert vaak en is afhankelijk van waar die zich bevindt. Want als we in bed liggen, dan gedragen we ons anders dan als we op kantoor zijn. Ook hebben we de neiging om ons anders te gedragen als we moe of gehaast zijn. Maar nu software steeds beter in staat is om complexe data in realtime te analyseren, ontstaan er een heel wat interessante gebruikscases.
Gedragsbeveiliging in de praktijk
Er rijst steeds meer twijfel of statische biometrie wel zo onoverwinnelijk is om het hoofd te bieden tegen aanvallen als aanvankelijk gedacht. Gedragsauthenticatie is ondertussen in opmars als veiliger alternatief, en bepaalde sectoren zijn zich daar bewust van geworden.
Zo omarmt de banksector biometrie als een manier om de massale misdrijven op de financiële markt te bestrijden. Geen overbodige luxe: naar schatting kost fraude en witwaspraktijken de wereldeconomie jaarlijks ongeveer 2,1 biljoen dollar.
In zijn eenvoudigste vorm kunnen financiële instellingen gebruikmaken van gedragsanalyse voor het snel opsporen van mogelijk verdachte inlogpogingen door te kijken naar waar en wanneer gebruikers inloggen op hun mobiele bankapplicaties. Op die manier kunnen ongebruikelijke transacties – zoals iemand die midden in de nacht een groot bedrag probeert over te maken naar de andere kant van de wereld – onmiddellijk worden geflagd en geblokkeerd totdat er een aanvullende verificatie heeft plaatsgevonden.
Hoe gaat het verder?
De kracht van deze vorm van authenticatie kan veel verder reiken dan enkel tijd en locatie. Zo gebruikt de Royal Bank of Scotland biometrie om bezoekers van haar websites en apps te controleren. Wanneer klanten inloggen op de mobiele app, registreert geavanceerde software meer dan 2.000 handelingen, waaronder hoe hard er wordt getapt, welke vingers er worden gebruikt om te swipen en te tappen en zelfs de hoek waarop gebruikers hun toestel vasthouden. Op een laptop of desktop verzamelt diezelfde software gegevens over hoe gebruikers hun muis bewegen en het ritme van de toetsaanslagen.
“In de toekomst wordt gedragsbiometrie essentieel tegen fraude en cybercriminelen.”
In de toekomst wordt het steeds duidelijker dat gedragsbiometrie essentieel is om bedrijven het hoofd te helpen bieden aan toenemende fraude en cybercriminelen die steeds geavanceerder te werk gaan. Het is de allerbeste manier om biometrie gebruiksvriendelijk te maken, datapunten van gebruikers op de achtergrond te verzamelen en hier een waarde aan vast hangen. Maar het is ook belangrijk om op te merken dat voor het juiste beveiligingsniveau extra technologieën nodig zijn om gelijke tred te houden met de opkomende bedreigingen.
Dit is een ingezonden bijdrage van Frederik Mennes, Senior Manager Market and Security Strategy bij Onespan (vroeger Vasco). Via deze link vind je meer informatie over de security-oplossingen van het bedrijf.