Biometrisch betalen: marktrijp en boordevol risico's

Wanneer stappen we over op biometrisch betalen? Wachtwoorden en pincodes zullen niet meer nodig zijn, dus waar wachten we op? Nou, het ligt gecompliceerder aldus hoogleraar Biometrische Patroonherkenning Raymond Veldhuis van Universiteit Twente. De combinatie van veilige browsers, veilige opslag op centrale databases èn een veilig betaalsysteem is nog een brug te ver.

Voer de zoektermen ‘wachtwoord kraken' in in Google, en je hebt al snel 83.000 resultaten. Wachtwoordje kraken scoort, en dat komt natuurlijk omdat het zo kinderlijk eenvoudig is. Een beetje computerboef draait er zijn hand niet voor om. Veel wachtwoorden bestaan namelijk niet uit moeilijk te achterhalen combinaties van hoofdletters, kleine letters, cijfers en speciale tekens maar uit voor de hand liggende en makkelijk te onthouden grapjes van het kaliber ‘1234567', ‘wachtwoord99' of ‘appeltje-eitje'. Gooi er wat rekenkracht tegenaan en de kraak is snel gepleegd.

Nee, dan biometrisch betalen. Een van de grote voordelen daarvan is dat wachtwoorden voortaan overbodig zijn. Ook een pincode is niet meer nodig. Biometrie kan pasjes, sleutels, wachtwoorden, codes, foto's en handtekeningen vervangen (of in combinatie daarmee een flink stuk veiliger maken). "Het grote voordeel van biometrie is het gemak", zegt ook André IJbema, Manager Risk Management bij International Card Services (ICS): "Wachtwoorden zullen langzaamaan verdwijnen en plaatsmaken voor een gebruiksvriendelijker alternatief: biometrische herkenning."

ICS heeft onlangs samen met MasterCard een proef rond biometrisch betalen uitgevoerd met 750 klanten van ABN Amro. De beide organisaties zijn erg enthousiast en hebben hun (positieve) conclusies al getrokken. Maar hoe reëel is dat? De werkelijkheid lijkt namelijk een stuk complexer te zijn. Sterker nog: het regent praktische bezwaren. We nemen u even mee.

Geur en postuur

Scoren met biometrisch betalen is a piece of cake. Jack Ma, CEO van Alibaba, kreeg veel aandacht in de media met zijn presentatie in 2015 van het betaalsysteem Smile to Pay. Maak een selfie van jezelf en je wordt met behulp van gezichtsherkenning geïdentificeerd, waarna je kunt kopen. Alibaba is niet de enige partij die zich met biometrisch betalen profileert. Ook Amazon heeft plannen om camera's te gebruiken bij betalingen. En het blijft niet bij gezichten herkennen. Bij Apple, Samsung en Android kunnen consumenten al betalen met hun vingerafdruk. Het scala aan biometrische methodes is rijk en gevarieerd. En hoewel sommige methodes al tientallen jaren in gebruik zijn -gezichtsherkenning wordt al sinds 1965 toegepast om mensen te identificeren- gaan de ontwikkelingen momenteel razendsnel.

Uitgangspunt van biometrie is dat de persoon niet te scheiden is van zijn lichaam. Het lichaam zelf is in principe uniek genoeg om identificatie mogelijk te maken, misschien niet met 100 procent zekerheid maar toch wel voor een heel groot deel. Vingerafdrukherkenning is de bekendste biometrische methode. Het lijnenspel op iedere vinger is uniek en wordt ingezet als identificatiemiddel. Verder hebben we de irisscan, die de biometrische eigenschappen van de iris controleert. Net zoals de vingerafdruk vertoont elke iris een uniek patroon. Zelfs eeneiïge tweelingen hebben verschillende patronen.

Maar het gaat verder. Met retinascans worden de haarvaten achterin de ogen in kaart gebracht. Handpalmherkenning is een opkomende vorm van biometrische identificatie. (Deze vorm van identificatie is makkelijk toepasbaar). Verder zijn er mogelijkheden met handgeometrie, oorafdrukken, stemherkenning, handschriftherkenning, de manier waarop iemand loopt, onderhuidse aderpatronen, DNA, geur en postuur.

Ook sprekerherkenning is volop in ontwikkeling. Deze techniek wordt gebruikt bij telefonische financiële transacties, voor toegang tot gevoelige computergegevens of voor het starten van een auto. Praktische toepassingsgebieden lijken volop aanwezig. Maar er zijn ook veel bezwaren, en omdat vooralsnog geen enkele identificatiemethoden helemaal perfect werkt, moeten biometrische technieken over het algemeen worden toegepast in combinatie met een 'gewone' identificatiemethode met een pasje, code of handtekening. Dat is al een tikkeltje minder sexy.

Wondje aan vinger

Feit is dat dit nieuwe vakgebied potentie heeft en onderzoek vergt. De enige Nederlandse universiteit die er structureel onderzoek naar doet is Universiteit Twente. Raymond Veldhuis, hoogleraar Biometrische Patroonherkenning vertelt: "We kijken vooral naar gezichtsherkenning, vingerafdrukken, aderherkenning en multibiometrics: de combinatie van verschillende technieken. Dat laatste is bijvoorbeeld interessant voor camera's met een hoge resolutie, die gezichtsherkenning en irisscans kunnen combineren."

Welke methode is het meest marktrijp? Veldhuis: "Dat is een korte maar geen eenvoudige vraag. Het hangt samen met hoe het betaalproces is georganiseerd, en met de technologie." Alle technieken hebben voor- en nadelen, stelt Veldhuis. Gezichtsherkenning gaat goed samen met smartphones, maar die worden beïnvloed door omgevingsfactoren zoals fel zonlicht en de hoek waaronder de opname wordt gemaakt. De irismeting is betrouwbaar, maar minder makkelijk te vertalen naar de praktijk. (Voor een irisscan is een infraroodcamera nodig.) Stemherkenning heeft ook zo zijn nadelen. De stem kan worden vervalst of opgenomen. Het aderpatroon is nauwelijks te vervalsen omdat het niet op de huid (vingerafdruk) maar onder de huid zit. Maar mobieltjes met aderpatroonherkenning bestaan nog niet.

Speciale aandacht verdient de vergelijking tussen vingerafdrukken en selfies. De kans op fouten bij een vingerafdruk lijkt kleiner dan bij het vergelijken van twee foto's, stelt Veldhuis: "Nadeel is wel dat nu nog heel weinig smartphones een scanner hebben voor vingerafdrukken, terwijl je met bijna elke mobiel een selfie kunt maken." Als straks alle smartphones zo'n scanner hebben, kan vingerafdrukherkenning wellicht worden ingezet bij de kassa van de supermarkt.

Volgens Veldhuis gebeurt het niet vaak dat een mobiel apparaat de vinger niet herkent. Toch kan dit wel gebeuren. Hoe ouder mensen zijn, hoe moeilijker de vingerafdruk is uit te lezen. Ook het wegslijten of vervormen van de afdruk stuit op beperkingen. Een weekendje geklust? Een wondje aan de vinger? Stenen gesjouwd zonder handschoenen? Het systeem kan zomaar haperen. En er zijn meer bezwaren. Vingerafdrukken worden achtergelaten op elk koffiekopje, elk toetsenbord en elke deurklink. Fans van CSI weten er alles van. Wat de forensische experts van CSI kunnen, wordt ook toegepast in het criminele circuit. Het stelen van een vingerafdruk is doodsimpel. "One snagged by hackers is out of your control forever", schreef Fortune een tijdje terug. Kortom: met vingerafdrukherkenning zit het nog niet helemaal lekker.

Online betalen

Ondertussen in de polder. De Nederlandse deelnemers aan de eerste wereldwijde proef van MasterCard en ICS omarmen de nieuwe technologie waarbij ze online kunnen betalen via een vingerafdruk of selfie. Zes maanden lang hebben 750 creditcardhouders van ABN Amro helemaal zonder pincodes, wachtwoorden of bevestigingscodes hun online aankopen gedaan. Dat heeft goed uitgepakt. Negen op de tien deelnemers zijn bereid hun wachtwoorden definitief in te ruilen voor biometrische authenticatie. Bijna iedereen zegt na afloop van de pilot graag te blijven betalen met vingerafdruk (93 procent) of gezichtsherkenning (77 procent).

Hoe werkt het precies? Nou, vrij eenvoudig. Tijdens het afrekenen in een webwinkel krijgt de consument een pop-up op zijn mobiele telefoon waarin hij eenvoudig met een vingerafdruk of gezichtsherkenning de transactie kan autoriseren. Meer is het niet. De deelnemers vinden het geweldig. Bijna 80 procent geeft de voorkeur aan het gebruik van de vingerafdruk voor authenticatie. De deelnemers zijn vooral te spreken over het gebruiksgemak. Ze vinden shoppen met biometrische authenticatie ‘eenvoudiger' en ‘prettiger'.

De beide bedrijven zien biometrisch betalen als "de toekomst" aangezien de deelnemers enthousiast zijn. "De proef in Nederland heeft geleid tot commerciële interesse vanuit de gehele wereld", aldus Arjan Bol, Country Manager MasterCard Nederland. "We gaan nu verder kijken naar de mogelijkheden om onze technologie te integreren in de apps van banken en tech-reuzen om betalen met een selfie of vingerafdruk nog gemakkelijker te maken. We streven naar vercommercialisering van het product in Nederland, VK, België, Spanje, Italië, Frankrijk, Duitsland, Zwitserland en Scandinavië voor eind 2017."

Spoofing

MasterCard, ICS en de klanten van ABN Amro lijken niet meer te stoppen. Naast het gebruiksgemak bezingen de 750 deelnemers aan de pilot ook meteen maar de veiligheid van biometrisch betalen. Bijna driekwart van de gebruikers verwacht dat biometrisch betalen zorgt voor vermindering van het aantal fraudegevallen. Maar aangezien ICS en MasterCard niets melden over het testen van de veiligheid, lijkt dit eerder een staaltje wishfull thinking dan een goed beargumenteerde keuze. Ofwel: de polonaise is al ingezet maar het feest is nog niet begonnen. Dat maakt toch een wat potsierlijke indruk.

Hoogleraar Raymond Veldhuis concludeert: "Biometrie kun je zo veilig maken als je wilt, maar dat gaat niet vanzelf. De veilige opslag van gegevens baart ons zorgen. Als gegevens zijn opgeslagen op centrale databases, kunnen door hacks ineens veel gegevens op straat komen te liggen. Als persoonlijke gegevens, waaronder vingerafdrukken, worden gehackt, dan heb je echt een probleem."

Daar zijn oplossingen voor, bijvoorbeeld door de vingerafdrukscan om te zetten in een regeltje getallen dat wordt versleuteld. Een andere oplossing om het hacken tegen te gaan is computers krachtig genoeg maken om versleutelde vingerafdrukken te herkennen. Kortom: veilige opslag is haalbaar maar laat nog even op zich wachten. Daarnaast noemt Veldhuis ook het gevaar van spoofing: vervalsing van vingerafdrukken en gezichten. Veldhuis: "Bij betaling in de winkel zal spoofing niet zo'n issue zijn want er kijkt altijd iemand mee. Bij online betalingen, dus als mensen alleen achter de computer zitten, is dat anders. Webwinkels moeten daar rekening mee houden."

Veldhuis adviseert (r)etailers het hele proces in ogenschouw te nemen: "Kijk naar de totale veiligheid. Het betaalsysteem zelf moet goed worden dichtgetimmerd. Daarnaast zijn browsers en pc's te hacken. Vooral oudere versies zijn niet veilig en geven criminelen toegang via social engineering. Ook dat vraagt aandacht. En dan is er nog de opslag van gegevens. Op mobieltjes is opslag niet zo'n probleem, op centrale databases wel. Met een gewoon wachtwoorden als back-up ondervang je dat, in elk geval zolang er praktische problemen kleven aan biometrie. Wachtwoorden zullen dus nog wel een tijdje blijven."

recente artikelen

gepubliceerd in diverse (vak)media

Burn-out onder techneuten komt steeds vaker voor

Wetenschappers zijn het niet helemaal eens over wat burn-out nou precies is maar ‘mentale en emotionele uitputting’ komt aardig in de buurt. Dat je daardoor niet of slecht functioneert lijkt een open deur. Het goede nieuws? Een burn-out is te voorkomen.

Lees artikel »

Uitstervend beroep: natuursteenbewerker

Voor steenhouwers is er in heel Nederland nog één opleiding, die jaarlijks een handjevol vakmensen aflevert voor de hele branche. Bij restauratiebedrijf Slotboom Steenhouwers staan klanten in de rij. “Jemig, bestaat dat vak nog?”

Lees artikel »

Broodfonds redding voor zzp'er Mario van Kemenade

Mario van Kemenade, zzp'er in de bouw, kon een jaar niet werken vanwege een ernstig bedrijfsongeval. “Zonder broodfonds was het voor mijn bedrijf einde oefening geweest.”

Lees artikel »

Recruiter, check gamingskills in sollicitatie

“Ingewikkelder dan schaken”, beweren sommigen. Dat games als League of Legends en Call of Duty speciale skills vragen, leidt geen twijfel. HR-managers zouden standaard naar gamingskills moeten vragen in sollicitatiegesprekken. Dat kan nieuw talent opleveren.

Lees artikel »

Brandweer-coach Biesot over mentale weerbaarheid

Als je ergens klappen moet kunnen verwerken (om geen burn-out te krijgen) is het wel bij de brandweer. Willem Biesot, coach van De Zwerm Groep, weet er alles van. Al vele jaren traint hij brandweermensen om mentaal weerbaar te worden.

Lees artikel »

Digital natives retailen zonder tussenschakels

De keten kan korter. Dat is de overtuiging van digital natives, bedrijven die online zijn geboren, gegroeid en succesvol geworden. 'Cut out the middle man!'

Lees artikel »

Fujitsu over smart society

Het Japanse tech-bedrijf Fujitsu denkt dat artificial intelligence nu pas rijp is voor ontginning. Een gesprek met Pacal Huijbers.

Lees artikel »

Infrastructuur laat zich eenvoudig plat leggen

Het nieuwe kabinet steekt 95 miljoen euro per jaar in cyberveiligheid. Dat is fijn voor straks maar ondertussen is het prijsschieten. "Inbreken kan op alle fronten", stelt de ethical hacker.

Lees artikel »

Klussers bedienen doe je zo

Intergamma, de franchiseorganisatie van Gamma en Karwei, trekt online twee miljoen bezoekers per week. Hoe krijgt Lieke Luttmer, directeur e-commerce, dat voor elkaar?

Lees artikel »

E-commerce duikt op booming pillenmarkt

Het louche imago lijkt verdwenen. Heel Holland slikt en koopt via internet.

Lees artikel »