Biometrisch betalen: marktrijp en boordevol risico's

Wanneer stappen we over op biometrisch betalen? Wachtwoorden en pincodes zullen niet meer nodig zijn, dus waar wachten we op? Nou, het ligt gecompliceerder aldus hoogleraar Biometrische Patroonherkenning Raymond Veldhuis van Universiteit Twente. De combinatie van veilige browsers, veilige opslag op centrale databases èn een veilig betaalsysteem is nog een brug te ver.

Voer de zoektermen ‘wachtwoord kraken' in in Google, en je hebt al snel 83.000 resultaten. Wachtwoordje kraken scoort, en dat komt natuurlijk omdat het zo kinderlijk eenvoudig is. Een beetje computerboef draait er zijn hand niet voor om. Veel wachtwoorden bestaan namelijk niet uit moeilijk te achterhalen combinaties van hoofdletters, kleine letters, cijfers en speciale tekens maar uit voor de hand liggende en makkelijk te onthouden grapjes van het kaliber ‘1234567', ‘wachtwoord99' of ‘appeltje-eitje'. Gooi er wat rekenkracht tegenaan en de kraak is snel gepleegd.

Nee, dan biometrisch betalen. Een van de grote voordelen daarvan is dat wachtwoorden voortaan overbodig zijn. Ook een pincode is niet meer nodig. Biometrie kan pasjes, sleutels, wachtwoorden, codes, foto's en handtekeningen vervangen (of in combinatie daarmee een flink stuk veiliger maken). "Het grote voordeel van biometrie is het gemak", zegt ook André IJbema, Manager Risk Management bij International Card Services (ICS): "Wachtwoorden zullen langzaamaan verdwijnen en plaatsmaken voor een gebruiksvriendelijker alternatief: biometrische herkenning."

ICS heeft onlangs samen met MasterCard een proef rond biometrisch betalen uitgevoerd met 750 klanten van ABN Amro. De beide organisaties zijn erg enthousiast en hebben hun (positieve) conclusies al getrokken. Maar hoe reëel is dat? De werkelijkheid lijkt namelijk een stuk complexer te zijn. Sterker nog: het regent praktische bezwaren. We nemen u even mee.

Geur en postuur

Scoren met biometrisch betalen is a piece of cake. Jack Ma, CEO van Alibaba, kreeg veel aandacht in de media met zijn presentatie in 2015 van het betaalsysteem Smile to Pay. Maak een selfie van jezelf en je wordt met behulp van gezichtsherkenning geïdentificeerd, waarna je kunt kopen. Alibaba is niet de enige partij die zich met biometrisch betalen profileert. Ook Amazon heeft plannen om camera's te gebruiken bij betalingen. En het blijft niet bij gezichten herkennen. Bij Apple, Samsung en Android kunnen consumenten al betalen met hun vingerafdruk. Het scala aan biometrische methodes is rijk en gevarieerd. En hoewel sommige methodes al tientallen jaren in gebruik zijn -gezichtsherkenning wordt al sinds 1965 toegepast om mensen te identificeren- gaan de ontwikkelingen momenteel razendsnel.

Uitgangspunt van biometrie is dat de persoon niet te scheiden is van zijn lichaam. Het lichaam zelf is in principe uniek genoeg om identificatie mogelijk te maken, misschien niet met 100 procent zekerheid maar toch wel voor een heel groot deel. Vingerafdrukherkenning is de bekendste biometrische methode. Het lijnenspel op iedere vinger is uniek en wordt ingezet als identificatiemiddel. Verder hebben we de irisscan, die de biometrische eigenschappen van de iris controleert. Net zoals de vingerafdruk vertoont elke iris een uniek patroon. Zelfs eeneiïge tweelingen hebben verschillende patronen.

Maar het gaat verder. Met retinascans worden de haarvaten achterin de ogen in kaart gebracht. Handpalmherkenning is een opkomende vorm van biometrische identificatie. (Deze vorm van identificatie is makkelijk toepasbaar). Verder zijn er mogelijkheden met handgeometrie, oorafdrukken, stemherkenning, handschriftherkenning, de manier waarop iemand loopt, onderhuidse aderpatronen, DNA, geur en postuur.

Ook sprekerherkenning is volop in ontwikkeling. Deze techniek wordt gebruikt bij telefonische financiële transacties, voor toegang tot gevoelige computergegevens of voor het starten van een auto. Praktische toepassingsgebieden lijken volop aanwezig. Maar er zijn ook veel bezwaren, en omdat vooralsnog geen enkele identificatiemethoden helemaal perfect werkt, moeten biometrische technieken over het algemeen worden toegepast in combinatie met een 'gewone' identificatiemethode met een pasje, code of handtekening. Dat is al een tikkeltje minder sexy.

Wondje aan vinger

Feit is dat dit nieuwe vakgebied potentie heeft en onderzoek vergt. De enige Nederlandse universiteit die er structureel onderzoek naar doet is Universiteit Twente. Raymond Veldhuis, hoogleraar Biometrische Patroonherkenning vertelt: "We kijken vooral naar gezichtsherkenning, vingerafdrukken, aderherkenning en multibiometrics: de combinatie van verschillende technieken. Dat laatste is bijvoorbeeld interessant voor camera's met een hoge resolutie, die gezichtsherkenning en irisscans kunnen combineren."

Welke methode is het meest marktrijp? Veldhuis: "Dat is een korte maar geen eenvoudige vraag. Het hangt samen met hoe het betaalproces is georganiseerd, en met de technologie." Alle technieken hebben voor- en nadelen, stelt Veldhuis. Gezichtsherkenning gaat goed samen met smartphones, maar die worden beïnvloed door omgevingsfactoren zoals fel zonlicht en de hoek waaronder de opname wordt gemaakt. De irismeting is betrouwbaar, maar minder makkelijk te vertalen naar de praktijk. (Voor een irisscan is een infraroodcamera nodig.) Stemherkenning heeft ook zo zijn nadelen. De stem kan worden vervalst of opgenomen. Het aderpatroon is nauwelijks te vervalsen omdat het niet op de huid (vingerafdruk) maar onder de huid zit. Maar mobieltjes met aderpatroonherkenning bestaan nog niet.

Speciale aandacht verdient de vergelijking tussen vingerafdrukken en selfies. De kans op fouten bij een vingerafdruk lijkt kleiner dan bij het vergelijken van twee foto's, stelt Veldhuis: "Nadeel is wel dat nu nog heel weinig smartphones een scanner hebben voor vingerafdrukken, terwijl je met bijna elke mobiel een selfie kunt maken." Als straks alle smartphones zo'n scanner hebben, kan vingerafdrukherkenning wellicht worden ingezet bij de kassa van de supermarkt.

Volgens Veldhuis gebeurt het niet vaak dat een mobiel apparaat de vinger niet herkent. Toch kan dit wel gebeuren. Hoe ouder mensen zijn, hoe moeilijker de vingerafdruk is uit te lezen. Ook het wegslijten of vervormen van de afdruk stuit op beperkingen. Een weekendje geklust? Een wondje aan de vinger? Stenen gesjouwd zonder handschoenen? Het systeem kan zomaar haperen. En er zijn meer bezwaren. Vingerafdrukken worden achtergelaten op elk koffiekopje, elk toetsenbord en elke deurklink. Fans van CSI weten er alles van. Wat de forensische experts van CSI kunnen, wordt ook toegepast in het criminele circuit. Het stelen van een vingerafdruk is doodsimpel. "One snagged by hackers is out of your control forever", schreef Fortune een tijdje terug. Kortom: met vingerafdrukherkenning zit het nog niet helemaal lekker.

Online betalen

Ondertussen in de polder. De Nederlandse deelnemers aan de eerste wereldwijde proef van MasterCard en ICS omarmen de nieuwe technologie waarbij ze online kunnen betalen via een vingerafdruk of selfie. Zes maanden lang hebben 750 creditcardhouders van ABN Amro helemaal zonder pincodes, wachtwoorden of bevestigingscodes hun online aankopen gedaan. Dat heeft goed uitgepakt. Negen op de tien deelnemers zijn bereid hun wachtwoorden definitief in te ruilen voor biometrische authenticatie. Bijna iedereen zegt na afloop van de pilot graag te blijven betalen met vingerafdruk (93 procent) of gezichtsherkenning (77 procent).

Hoe werkt het precies? Nou, vrij eenvoudig. Tijdens het afrekenen in een webwinkel krijgt de consument een pop-up op zijn mobiele telefoon waarin hij eenvoudig met een vingerafdruk of gezichtsherkenning de transactie kan autoriseren. Meer is het niet. De deelnemers vinden het geweldig. Bijna 80 procent geeft de voorkeur aan het gebruik van de vingerafdruk voor authenticatie. De deelnemers zijn vooral te spreken over het gebruiksgemak. Ze vinden shoppen met biometrische authenticatie ‘eenvoudiger' en ‘prettiger'.

De beide bedrijven zien biometrisch betalen als "de toekomst" aangezien de deelnemers enthousiast zijn. "De proef in Nederland heeft geleid tot commerciële interesse vanuit de gehele wereld", aldus Arjan Bol, Country Manager MasterCard Nederland. "We gaan nu verder kijken naar de mogelijkheden om onze technologie te integreren in de apps van banken en tech-reuzen om betalen met een selfie of vingerafdruk nog gemakkelijker te maken. We streven naar vercommercialisering van het product in Nederland, VK, België, Spanje, Italië, Frankrijk, Duitsland, Zwitserland en Scandinavië voor eind 2017."

Spoofing

MasterCard, ICS en de klanten van ABN Amro lijken niet meer te stoppen. Naast het gebruiksgemak bezingen de 750 deelnemers aan de pilot ook meteen maar de veiligheid van biometrisch betalen. Bijna driekwart van de gebruikers verwacht dat biometrisch betalen zorgt voor vermindering van het aantal fraudegevallen. Maar aangezien ICS en MasterCard niets melden over het testen van de veiligheid, lijkt dit eerder een staaltje wishfull thinking dan een goed beargumenteerde keuze. Ofwel: de polonaise is al ingezet maar het feest is nog niet begonnen. Dat maakt toch een wat potsierlijke indruk.

Hoogleraar Raymond Veldhuis concludeert: "Biometrie kun je zo veilig maken als je wilt, maar dat gaat niet vanzelf. De veilige opslag van gegevens baart ons zorgen. Als gegevens zijn opgeslagen op centrale databases, kunnen door hacks ineens veel gegevens op straat komen te liggen. Als persoonlijke gegevens, waaronder vingerafdrukken, worden gehackt, dan heb je echt een probleem."

Daar zijn oplossingen voor, bijvoorbeeld door de vingerafdrukscan om te zetten in een regeltje getallen dat wordt versleuteld. Een andere oplossing om het hacken tegen te gaan is computers krachtig genoeg maken om versleutelde vingerafdrukken te herkennen. Kortom: veilige opslag is haalbaar maar laat nog even op zich wachten. Daarnaast noemt Veldhuis ook het gevaar van spoofing: vervalsing van vingerafdrukken en gezichten. Veldhuis: "Bij betaling in de winkel zal spoofing niet zo'n issue zijn want er kijkt altijd iemand mee. Bij online betalingen, dus als mensen alleen achter de computer zitten, is dat anders. Webwinkels moeten daar rekening mee houden."

Veldhuis adviseert (r)etailers het hele proces in ogenschouw te nemen: "Kijk naar de totale veiligheid. Het betaalsysteem zelf moet goed worden dichtgetimmerd. Daarnaast zijn browsers en pc's te hacken. Vooral oudere versies zijn niet veilig en geven criminelen toegang via social engineering. Ook dat vraagt aandacht. En dan is er nog de opslag van gegevens. Op mobieltjes is opslag niet zo'n probleem, op centrale databases wel. Met een gewoon wachtwoorden als back-up ondervang je dat, in elk geval zolang er praktische problemen kleven aan biometrie. Wachtwoorden zullen dus nog wel een tijdje blijven."

recente artikelen

gepubliceerd in diverse (vak)media

Grootste hackathon wereldwijd in Groningen

Dit voorjaar vond in de Groninger Suikerfabriek ’s werelds grootste hackathon voor blockchain en AI plaats. Zo’n 1.500 ‘hackers’ gingen aan de slag met maatschappelijke thema’s.

Lees artikel »

Mijn visie op hoogbouw in toch gezellig Rotterdam

Rotterdam bouwt momenteel extreem hoge woontorens. Wat betekent dit voor de leefbaarheid van de stad? Journalist en oud-Rotterdammer Ton Verheijen zocht het uit en spreekt zich uit.

Lees artikel »

Eerste steen Amsterdams outletcenter in SugarCity

De eerste steen van ATSO (Amsterdam The Style Outlets) werd gelegd op 21 juni. De voorbereidingen waren complex: “We moesten eerst een nieuw stuk polder creëren.”

Lees artikel »

Virtuele restaurants leunen sterk op slimme software

Sterrenkok Ron Blaauw heeft het virtuele restaurant ontdekt. En niet alleen hij. Virtuele restaurants zijn trending. “De slag wordt gewonnen door beste chef met beste software.”

Lees artikel »

Burgers boos over hoogbouwplannen

Veel gemeentes moeten 'verdichten' en jagen burgers in de gordijnen met hoogbouw. Wat kunnen bouwers doen die de hoogte in gaan en burgers te vriend willen houden?

Lees artikel »

Proef met golfenergie op Texel belooft nogal wat

Uitvinder Erwin Croughs heeft een droom: golfenergie omzetten in elektriciteit. De eerste stap is gezet. Met een subsidie van 2,8 miljoen euro is een pilot gestart voor de kust van Texel.

Lees artikel »

Criminaliteit voorspellen in zenuwcentrum Securitas

In Securitas Operations Center, het Nederlandse zenuwcentrum van de Zweedse beveiligingsmultinational, worden klanten en objecten 24/7 beveiligd. Een reportage.

Lees artikel »

Futuroloog over softskills en virtuele oncologen

De ene futuroloog is de andere niet. Onlangs luisterde ik naar een presentatie van Christian Kromme. En ik was onder de indruk. Hierbij een extract van zijn betoog over tech-trends.

Lees artikel »

Nieuwe auto komt (iets) vaker uit de webshop

Volvo en BMW hebben al stappen gezet. Amazon broedt op plannen en Alibaba heeft vending machines waaruit nieuwe auto’s tevoorschijn komen als kroketten uit de muur. En wij hebben Auto.nl.

Lees artikel »

Samen innoveren in oude RDM-fabriek Heijplaat

Dankzij RDM Makerspace kon de ANWB een slimme fietsverzekering ontwikkelen en Damen Shipyards een scheepsschroef printen in 3D. Een reportage.

Lees artikel »