Biometrische beveiliging is sterk in populariteit gegroeid, met name doordat steeds meer moderne smartphones en laptops ermee uitgerust zijn. Dit maakt het leven van eindgebruikers een stuk makkelijker, want door in te loggen met een vingerafdruk, een gezichts- of irisscan, hoeven zij geen pincode of wachtwoord meer te onthouden. Een win-win, zowel voor resellers als eindgebruikers, zou je zeggen. Toch ligt de realiteit iets genuanceerder.
Bedrijven kunnen hun informatiebeveiliging sterk verbeteren met biometrische beveiliging. Een vingerafdruk is immers een stuk lastiger te stelen dan een wachtwoord. Een groot voordeel is bovendien dat de meeste zakelijke laptops en luxere smartphones al zijn voorzien van een vingerafdrukscanner. De kracht van biometrische beveiliging is echter sterk afhankelijk van de implementatie. Er is daarom een belangrijke rol weggelegd voor resellers en implementatiepartners om hier zorg voor te dragen. Dit zijn vijf belangrijke aandachtspunten bij biometrische beveiliging.
1. Gebruik biometrie voor extra beveiliging, niet als enige beveiliging.
De meeste bedrijven geven werknemers toegang tot hun bedrijfssoftware met een loginnaam en wachtwoord. Als zij zelf een wachtwoord mogen bedenken, wordt nog veel te vaak iets uit de top 25 meest gebruikte wachtwoorden gekozen, zoals deze. En krijgen ze een ‘sterk’ (en moeilijk te onthouden) wachtwoord toegewezen? Dan wordt dat nog regelmatig op een Post-it op de monitor geplakt.
Biometrische beveiliging, zoals met een vingerafdruk, is in zekere zin veiliger dan een wachtwoord. Je kunt het immers niet overdragen, opschrijven of stelen, en de eigenaar heeft zijn ‘wachtwoord’ altijd letterlijk bij de hand. Het klinkt misschien logisch om dat ouderwetse wachtwoord direct te vervangen door biometrische beveiliging. Maar, zoals verderop zal blijken, is dat niet de beste optie. De beveiliging wordt pas echt verbeterd als je biometrie inzet als extra beveiligingslaag. Dit heet ook wel 2-factor authenticatie (2FA). Naast de loginnaam en wachtwoord wordt dan ook nog een biometrisch ‘wachtwoord’ gevraagd. De beveiliging wordt hiermee aanzienlijk verbeterd, omdat kwaadwillenden zelfs met een gestolen wachtwoord niet kunnen inloggen.
2. Erken de risico’s van biometrie-hacking.
Ook al klinkt biometrische beveiliging als het ei van Columbus, in de praktijk blijkt het lang niet zo veilig als je zou denken. Er wordt veel onderzoek naar gedaan en bepaalde vormen, zoals vingerafdrukken of gezichtsherkenning, zijn vrij makkelijk te omzeilen. Vingerafdrukken kunnen gekloond worden van aangeraakte objecten en zelfs van een foto. Ook gezichtsherkenning blijkt te omzeilen met een foto of een masker.
Je kunt dus niet blindvaren op biometrie, waardoor het zo belangrijk is om het niet als primaire loginmethode in te zetten. In het verlengde hiervan ligt locatie-hacking. Veel smartphonegebruikers die hun vingerafdruk als vergrendeling gebruiken, kunnen die beveiliging tijdelijk opschorten als ze zich op een bekende locatie bevinden, zoals de woning of het kantoor, of als ze via bluetooth verbonden zijn met een vertrouwd apparaat, zoals een draadloze speaker. Een dief kan daar dankbaar gebruik van maken.
3. Controleer de techniek en implementatie.
Wees uitermate kritisch bij het kiezen van een biometrisch beveiligingsproduct. Sommige vingerafdrukscanners leggen bijvoorbeeld een volledige afbeelding van een vingerafdruk vast. Als die biometrische gegevens om wat voor reden dan ook worden gestolen, dan is die vingerafdruk definitief onbruikbaar voor beveiliging.
Andere systemen slaan alleen een zogeheten ‘hash’ op van een vingerafdruk, waarin de belangrijkste kenmerken samengevat zijn. Het verlies van deze data is minder risicovol, maar dit systeem is tegelijk ook minder nauwkeurig.
Uiteindelijk hebben alle biometrische beveiligingstechnieken sterke en zwakke punten. Denk aan de kwaliteit en betrouwbaarheid van de gebruikte techniek, en of de gegevens wel versleuteld opgeslagen en verwerkt worden. Duik dus vooral in de technische details om tot de veiligste keuze te komen.
4. Let op databeveiliging en privacybescherming.
Steeds meer software slaat gegevens op in de cloud, en voor biometrie is dat niet anders. De kritische vraag die je moet stellen bij een biometrische login, bijvoorbeeld op een smartphone of tablet, is: wie beheert je biometrische gegevens en vertrouw je die partij? Denk aan grote internationale bedrijven Apple, Google en Samsung en Sony. Hoe veilig gaan zij met jouw gegevens om?
Met de Sony-hack uit 2014 nog vers in het geheugen is dit een serieus risico. En in hoeverre garanderen deze partijen dat ze de privacy-rechten van hun Europese klanten respecteren? Niet voor niets is de naderende AVG/GDPR in het leven geroepen om meer transparantie en verantwoording te krijgen op dit gebied.
5. Gebruik biometrie voor GDPR-compliance.
Ten slotte is biometrische beveiliging ook een manier om beter te voldoen aan de eisen van de GDPR aan gegevensbeveiliging. Biometrie moet dan wel bij voorkeur ingezet worden als extra beveiligingsfactor naast de loginnaam en het wachtwoord, aangezien de betrouwbaarheid van sommige technieken te wensen overlaten.
Door werknemers standaard te laten inloggen met een loginnaam, wachtwoord en een biometrische methode zijn de bedrijfssystemen veel beter beschermd tegen ongewenste indringers, hackpogingen en datalekken. De GDPR kan dus een uitstekend argument zijn om de vingerafdruklezers op laptops en telefoons structureel, mits op de juiste manier, te gaan gebruiken. De informatiebeveiliging en privacybescherming van een organisatie kunnen er drastisch mee verbeterd worden, wat bijdraagt aan GDPR-compliance.
