kunnen biometrische gegevens worden “gestolen”? Dit is een veel gestelde vraag die vaak wordt beantwoord met een onnauwkeurige reactie.

het typische onjuiste antwoord ziet er ongeveer als volgt uit:

hoewel u uw wachtwoord of pincode kunt wijzigen als het gecompromitteerd is, kunt u uw biometrische informatie niet wijzigen. Eenmaal gestolen, is het niet mogelijk om te worden herroepen en kan worden gebruikt voor herhaalde fraude.

in deze post geven we 4 redenen waarom dit denken gebrekkig is.

4 redenen waarom biometrische gegevens is veilig voor hackers:

1. in Tegenstelling tot een wachtwoord, onze biometrische gegevens is geen geheim
2. Biometrische gegevens is beveiligd door Liveness
3. Biometrische sjablonen zijn nutteloos voor de fraudeurs
4. Biometrie zijn meestal niet de enige factor authenticatie

#1 in Tegenstelling tot een wachtwoord, onze biometrische gegevens is geen geheim

Op het meest elementaire niveau, onze biometrische gegevens is per definitie openbaar, dus wat betekent het om te worden gestolen? Onze vingerafdrukken blijven achter op alles wat we aanraken, onze stemmen worden gemakkelijk opgenomen, en moderne mobiele camera ’s kunnen beelden en video’ s met hoge resolutie vastleggen. Het meest opvallende is dat de meerderheid van ons opzettelijk foto ’s en zelfs video’ s van onszelf plaatst op publiek toegankelijke sociale media en websites.

als zodanig is het voor fraudeurs vrij eenvoudig om de informatie te verkrijgen die nodig is om synthetische artefacten te maken, zoals gedrukte foto ‘ s of maskers, voor gebruik bij het hacken of “spoofen” van een biometrisch identificatiesysteem. Dit initiatief vereist geen hacking in een bedrijfsdatabase om biometrische gegevens te verkrijgen — een eenvoudige Google-zoekopdracht is alles wat nodig is om gegevens te verkrijgen die kunnen worden gebruikt om gezicht, stem en zelfs iris biometrie aan te vallen.

echter, in tegenstelling tot een wachtwoord of pincode, is authenticatie op basis van biometrische gegevens niet afhankelijk van informatie die geheim is. Dat wil zeggen, het is niet nodig dat de biometrische geheim is. Waarom? Omdat moderne biometrische authenticatiesystemen ofwel (1) een persoon hebben die toezicht houdt op de biometrische controle, zoals bij het passeren van een gate op een luchthaven, of (2) gebruik maken van liveness technologie om ervoor te zorgen dat de biometrische is van een echte persoon en is niet een spoof aanval. Daarom is de dreiging van het stelen van iets dat al openbaar is niet veel van een bedreiging.

# 2 biometrie wordt gewaarborgd door Liveness

zoals vermeld in punt #1, is biometrische matching slechts één onderdeel van de huidige identiteitsverificatie-en authenticatiesystemen. Biometrie beantwoordt de vraag: “Is dit de juiste persoon?”, liveness detectie is noodzakelijk om de vraag te beantwoorden, ” Is dit een echt persoon?”Het bevestigen van de aanwezigheid van de echte persoon bij het presenteren van een biometrisch is cruciaal in use cases die op afstand of zonder toezicht, zoals het aanmelden voor een nieuwe bankrekening op een mobiele app in plaats van in persoon bij een kantoor. Met andere woorden, liveness detection voorkomt dat biometrie wordt gehackt.

voor biometrie van het gezicht bijvoorbeeld maakt de technologie voor gezichtslift onderscheid tussen de aanwezigheid van een levende persoon op het punt van verificatie (aanwezigheid voor de camera) en spoofingaanvallen, zoals die waarbij geprinte foto ‘ s, videobeelden en maskers worden gebruikt. Dezelfde ideeën over liveness gelden voor vingerafdrukken en stem waar iemand siliconen gebruikt om een vingerafdruk te vervalsen of een opname om een stembiometrisch te vervalsen.

met liveness op zijn plaats, bent u beschermd, zelfs als uw biometrische gegevens worden gehackt. Gezicht liveness is de meest gebruikte anti-spoofing technologie vandaag, die logisch is gezien het groeiende gebruik van gezicht biometrie voor remote onboarding en authenticatie. De toonaangevende producten voor het detecteren van liveness voor het gezicht van vandaag bieden bewezen nauwkeurigheid en het extreem lage voorkomen van een fraudeur die het biometrische systeem voor de gek houdt.

naarmate er meer use cases ontstaan voor spraakgestuurde IoT-apparaten, verwachten we een vergelijkbare toepassing van voice liveness om beveiligde stemverificatie mogelijk te maken voor betalingen in apps, toegang tot persoonlijke informatie en meer.

hoewel vingerafdrukken mogelijk niet zo toegankelijk zijn, wordt de technologie ook beschermd door liveness. Nauwkeurige biometrie ondersteunt bijvoorbeeld gezichtsliftgevoeligheid met ID R&D IDLive™ gezicht en vingerafdruklevendheid met hun BioLive-oplossing. BioLive identificeert nauwkeurig een valse vingerafdruk door het analyseren van een aantal fundamentele beeldverschillen tussen een live vingerafdruk afbeelding en een van een spoof.

om punt 2 samen te vatten: liveness detection beperkt de bezorgdheid dat biometrische gegevens in verkeerde handen vallen.

#3 biometrische templates zijn nutteloos voor fraudeurs

hoe zit het met de dreiging dat iemand de database van biometrische informatie van een bedrijf hackt?

biometrische systemen zetten het biometrische monster, zoals een foto-of spraakopname, om in een sjabloon. Deze templates zijn niet omkeerbaar terug in de oorspronkelijke steekproef. Een modern biometrisch systeem slaat alleen de sjablonen op, niet de originele biometrische informatie. De sjablonen bevatten geen persoonlijke informatie over de mens, zoals leeftijd, geslacht of unieke fysieke kenmerken. Zelfs als iemand een sjabloon steelt, kan hij er niets mee doen. Op de top van deze, het toepassen van best practices van het versleutelen van gegevens in rust zorgt ervoor dat elke hacker die de sjablonen steelt twee lagen van nutteloze bytes zal hebben.

#4 biometrie is doorgaans niet de enige authenticatiefactor

gereguleerde industrieën en toepassingen met hoge zekerheid voeren meerdere beveiligingscontroles uit om persoonlijke informatie en transacties te beschermen. Sterke klantverificatie vereist het gebruik van twee van drie factoren: iets wat je weet (zoals een pincode), iets wat je hebt (zoals je telefoon), of iets wat je bent (een biometrisch). Een bank kan bijvoorbeeld het gebruik van gezichtsbiometrie met liveness mogelijk maken om in te loggen op hun mobiele app. Ze vertrouwen echter ook op uw mobiele apparaat als token en kunnen zelfs vragen om een tweede biometrische modaliteit of een eenmalig wachtwoord voor bepaalde transacties met een hoog risico. Dit is bovenop geavanceerde kunstmatige intelligentie die op zijn plaats kan zijn om ongewoon gedrag te identificeren.

geen authenticatietechnologie is waterdicht. In het zeldzame geval van een succesvolle aanval op een biometrisch systeem, schade zal worden beperkt door extra beveiligingsfactoren, fraude tools, en veelgebruikte toepassing beveiligingspraktijken te beschermen tegen man in the middle en andere aanvallen.

heroverwegen van de vraag: kunnen biometrische gegevens worden gestolen?

op basis van bovenstaande informatie is de vraag of biometrische gegevens kunnen worden gestolen niet erg goed. De betere vraag is: “wat is het risico dat iemand mijn identiteit in gevaar brengt met behulp van mijn biometrische gegevens?”In termen van identiteitsverificatie en authenticatie, het risico van een fraudeur het creëren van een artefact en met succes spoofing uw identiteit is extreem laag met liveness detectie op zijn plaats. De fraudeur wordt gestopt en kan geen herhaalde fraude plegen, zelfs niet als hij over uw biometrische gegevens beschikt.

hoewel weinig mensen een foto van hun wachtwoord op Facebook zouden plaatsen, denken we er niet twee keer over na om een selfie te plaatsen. We kijken niet actief uit voor mensen die foto ‘ s nemen, video of audio-opnames van ons. En we wissen zeker niet alles wat we aanraken om te voorkomen dat onze vingerafdrukken worden genomen. Dat is niet erg, want liveness detectie in combinatie met goede praktijken in moderne biometrische systemen beschermen onze biometrische gegevens tegen gehackt en gebruikt wanneer we niet aanwezig zijn.

Kom meer te weten over de biometrische authenticatie en liveness producten van ID R&D of vul het formulier in om contact op te nemen met onze experts.