Gepubliceerd op:

Authenticatie op basis van biometrie wordt steeds vaker toegepast door dienstverleners. In de financiële sector is het bijvoorbeeld bij de Rabobank mogelijk om met je vingerafdruk in te loggen of te betalen en maakt de ING-app gebruik van stemherkenning. Ook in het afsprakenstelsel Idensys voor veilig inloggen bij overheden, bedrijven en zorginstellingen begint biometrische authenticatie op basis van gezichtsherkenning zijn intrede te doen.

Het voordeel van biometrische authenticatie is dat het gebruikersvriendelijk is: je hoeft geen pincode meer in te toetsen en te onthouden. Echter, waar een pincode leidt tot een eenduidig antwoord (“correct” of “fout”), resulteert een biometrische herkenning vaak in een bepaalde waarschijnlijkheid (“de vingerafdruk komt 95% overeen met de referentie-afdruk”). Dan rijst natuurlijk al snel de vraag hoe betrouwbaar biometrische authenticatie eigenlijk is.

Een risico bij biometrische authenticatie is dat de verkeerde gebruiker toegang krijgt tot de dienst, de zogenaamde False Acceptance Rate (FAR). Een FAR van 0,001 houdt in dat als de mobiele telefoon jouw vingerafdruk moet herkennen, en 1000 andere mensen proberen dit, dat er 1 van die mensen toch per ongeluk als jou wordt herkend en dus kan inloggen. Naast de FAR, is er ook een zogenaamde False Rejection Rate, waarbij je als gebruiker onterecht niet wordt herkend. Deze FRR is minder risicovol dan een FAR, maar tegelijkertijd ook minder gebruikersvriendelijk. Hiermee dient dus rekening te worden gehouden bij een biometrische authenticatieoplossing.

In de bovenstaande voorbeelden wordt de biometrische authenticatiefactor (wat je bent zoals je vinger of stem) gecombineerd met een tweede factor (wat je hebt zoals de app op je mobiele telefoon). Een dergelijke twee-factor authenticatie oplossing biedt meer zekerheid over de identiteit van de gebruiker en reduceert de risico’s van een false acceptance.

Dé bron voor het vaststellen van de betrouwbaarheid van een authenticatieoplossing is het normenkader betrouwbaarheidsniveaus van Idensys. Dit kader is gebaseerd op de Europese verordening voor elektronische identificatie en vertrouwensdiensten (eIDAS). Helaas wordt hier nauwelijks iets gezegd over normen voor biometrische authenticatie. De concept specificaties van NIST over betrouwbaarheid van authenticatie geven al wel wat richtlijnen voor biometrische authenticatie:

  • De FAR mag niet slechter zijn dan 1 op 1000;
  • De biometrische sensor (b.v. vingerafdruklezer) moet fraudebestendig zijn;
  • De communicatie tussen de sensor en de server moet beveiligd zijn;
  • Na drie opeenvolgende mislukte authenticatiepogingen moet het systeem stoppen;
  • Biometrische revocatie moet worden geïmplementeerd (en wel zodanig dat ik niet na 10 keer geen vingerafdrukken meer over heb om in te loggen);
  • Biometrische templates en samples moeten worden beveiligd (privacy is hier belangrijk).

Een goede eerste aanzet wat mij betreft, maar het kan nog wel wat scherper voor een goede beoordeling van de betrouwbaarheid van de oplossing. Moeten we voor betrouwbaarheidsniveau substantieel en hoog onderscheidt maken in FARs? Hoe toont een leverancier betrouwbaar de FAR van zijn biometrische oplossing aan? Wat als biometrische authenticatie door omstandigheden niet lukt; moet er dan een fallback authenticatieoplossing zijn? Moeten bepaalde biometrische standaarden, zoals BOPS, worden verplicht of niet? En misschien dat u zelf ook nog vragen heeft? Ik hoor ze graag!