Biometrisch betalen: marktrijp en boordevol risico's

Wanneer stappen we over op biometrisch betalen? Wachtwoorden en pincodes zullen niet meer nodig zijn, dus waar wachten we op? Nou, het ligt gecompliceerder aldus hoogleraar Biometrische Patroonherkenning Raymond Veldhuis van Universiteit Twente. De combinatie van veilige browsers, veilige opslag op centrale databases èn een veilig betaalsysteem is nog een brug te ver.

Voer de zoektermen ‘wachtwoord kraken' in in Google, en je hebt al snel 83.000 resultaten. Wachtwoordje kraken scoort, en dat komt natuurlijk omdat het zo kinderlijk eenvoudig is. Een beetje computerboef draait er zijn hand niet voor om. Veel wachtwoorden bestaan namelijk niet uit moeilijk te achterhalen combinaties van hoofdletters, kleine letters, cijfers en speciale tekens maar uit voor de hand liggende en makkelijk te onthouden grapjes van het kaliber ‘1234567', ‘wachtwoord99' of ‘appeltje-eitje'. Gooi er wat rekenkracht tegenaan en de kraak is snel gepleegd.

Nee, dan biometrisch betalen. Een van de grote voordelen daarvan is dat wachtwoorden voortaan overbodig zijn. Ook een pincode is niet meer nodig. Biometrie kan pasjes, sleutels, wachtwoorden, codes, foto's en handtekeningen vervangen (of in combinatie daarmee een flink stuk veiliger maken). "Het grote voordeel van biometrie is het gemak", zegt ook André IJbema, Manager Risk Management bij International Card Services (ICS): "Wachtwoorden zullen langzaamaan verdwijnen en plaatsmaken voor een gebruiksvriendelijker alternatief: biometrische herkenning."

ICS heeft onlangs samen met MasterCard een proef rond biometrisch betalen uitgevoerd met 750 klanten van ABN Amro. De beide organisaties zijn erg enthousiast en hebben hun (positieve) conclusies al getrokken. Maar hoe reëel is dat? De werkelijkheid lijkt namelijk een stuk complexer te zijn. Sterker nog: het regent praktische bezwaren. We nemen u even mee.

Geur en postuur

Scoren met biometrisch betalen is a piece of cake. Jack Ma, CEO van Alibaba, kreeg veel aandacht in de media met zijn presentatie in 2015 van het betaalsysteem Smile to Pay. Maak een selfie van jezelf en je wordt met behulp van gezichtsherkenning geïdentificeerd, waarna je kunt kopen. Alibaba is niet de enige partij die zich met biometrisch betalen profileert. Ook Amazon heeft plannen om camera's te gebruiken bij betalingen. En het blijft niet bij gezichten herkennen. Bij Apple, Samsung en Android kunnen consumenten al betalen met hun vingerafdruk. Het scala aan biometrische methodes is rijk en gevarieerd. En hoewel sommige methodes al tientallen jaren in gebruik zijn -gezichtsherkenning wordt al sinds 1965 toegepast om mensen te identificeren- gaan de ontwikkelingen momenteel razendsnel.

Uitgangspunt van biometrie is dat de persoon niet te scheiden is van zijn lichaam. Het lichaam zelf is in principe uniek genoeg om identificatie mogelijk te maken, misschien niet met 100 procent zekerheid maar toch wel voor een heel groot deel. Vingerafdrukherkenning is de bekendste biometrische methode. Het lijnenspel op iedere vinger is uniek en wordt ingezet als identificatiemiddel. Verder hebben we de irisscan, die de biometrische eigenschappen van de iris controleert. Net zoals de vingerafdruk vertoont elke iris een uniek patroon. Zelfs eeneiïge tweelingen hebben verschillende patronen.

Maar het gaat verder. Met retinascans worden de haarvaten achterin de ogen in kaart gebracht. Handpalmherkenning is een opkomende vorm van biometrische identificatie. (Deze vorm van identificatie is makkelijk toepasbaar). Verder zijn er mogelijkheden met handgeometrie, oorafdrukken, stemherkenning, handschriftherkenning, de manier waarop iemand loopt, onderhuidse aderpatronen, DNA, geur en postuur.

Ook sprekerherkenning is volop in ontwikkeling. Deze techniek wordt gebruikt bij telefonische financiële transacties, voor toegang tot gevoelige computergegevens of voor het starten van een auto. Praktische toepassingsgebieden lijken volop aanwezig. Maar er zijn ook veel bezwaren, en omdat vooralsnog geen enkele identificatiemethoden helemaal perfect werkt, moeten biometrische technieken over het algemeen worden toegepast in combinatie met een 'gewone' identificatiemethode met een pasje, code of handtekening. Dat is al een tikkeltje minder sexy.

Wondje aan vinger

Feit is dat dit nieuwe vakgebied potentie heeft en onderzoek vergt. De enige Nederlandse universiteit die er structureel onderzoek naar doet is Universiteit Twente. Raymond Veldhuis, hoogleraar Biometrische Patroonherkenning vertelt: "We kijken vooral naar gezichtsherkenning, vingerafdrukken, aderherkenning en multibiometrics: de combinatie van verschillende technieken. Dat laatste is bijvoorbeeld interessant voor camera's met een hoge resolutie, die gezichtsherkenning en irisscans kunnen combineren."

Welke methode is het meest marktrijp? Veldhuis: "Dat is een korte maar geen eenvoudige vraag. Het hangt samen met hoe het betaalproces is georganiseerd, en met de technologie." Alle technieken hebben voor- en nadelen, stelt Veldhuis. Gezichtsherkenning gaat goed samen met smartphones, maar die worden beïnvloed door omgevingsfactoren zoals fel zonlicht en de hoek waaronder de opname wordt gemaakt. De irismeting is betrouwbaar, maar minder makkelijk te vertalen naar de praktijk. (Voor een irisscan is een infraroodcamera nodig.) Stemherkenning heeft ook zo zijn nadelen. De stem kan worden vervalst of opgenomen. Het aderpatroon is nauwelijks te vervalsen omdat het niet op de huid (vingerafdruk) maar onder de huid zit. Maar mobieltjes met aderpatroonherkenning bestaan nog niet.

Speciale aandacht verdient de vergelijking tussen vingerafdrukken en selfies. De kans op fouten bij een vingerafdruk lijkt kleiner dan bij het vergelijken van twee foto's, stelt Veldhuis: "Nadeel is wel dat nu nog heel weinig smartphones een scanner hebben voor vingerafdrukken, terwijl je met bijna elke mobiel een selfie kunt maken." Als straks alle smartphones zo'n scanner hebben, kan vingerafdrukherkenning wellicht worden ingezet bij de kassa van de supermarkt.

Volgens Veldhuis gebeurt het niet vaak dat een mobiel apparaat de vinger niet herkent. Toch kan dit wel gebeuren. Hoe ouder mensen zijn, hoe moeilijker de vingerafdruk is uit te lezen. Ook het wegslijten of vervormen van de afdruk stuit op beperkingen. Een weekendje geklust? Een wondje aan de vinger? Stenen gesjouwd zonder handschoenen? Het systeem kan zomaar haperen. En er zijn meer bezwaren. Vingerafdrukken worden achtergelaten op elk koffiekopje, elk toetsenbord en elke deurklink. Fans van CSI weten er alles van. Wat de forensische experts van CSI kunnen, wordt ook toegepast in het criminele circuit. Het stelen van een vingerafdruk is doodsimpel. "One snagged by hackers is out of your control forever", schreef Fortune een tijdje terug. Kortom: met vingerafdrukherkenning zit het nog niet helemaal lekker.

Online betalen

Ondertussen in de polder. De Nederlandse deelnemers aan de eerste wereldwijde proef van MasterCard en ICS omarmen de nieuwe technologie waarbij ze online kunnen betalen via een vingerafdruk of selfie. Zes maanden lang hebben 750 creditcardhouders van ABN Amro helemaal zonder pincodes, wachtwoorden of bevestigingscodes hun online aankopen gedaan. Dat heeft goed uitgepakt. Negen op de tien deelnemers zijn bereid hun wachtwoorden definitief in te ruilen voor biometrische authenticatie. Bijna iedereen zegt na afloop van de pilot graag te blijven betalen met vingerafdruk (93 procent) of gezichtsherkenning (77 procent).

Hoe werkt het precies? Nou, vrij eenvoudig. Tijdens het afrekenen in een webwinkel krijgt de consument een pop-up op zijn mobiele telefoon waarin hij eenvoudig met een vingerafdruk of gezichtsherkenning de transactie kan autoriseren. Meer is het niet. De deelnemers vinden het geweldig. Bijna 80 procent geeft de voorkeur aan het gebruik van de vingerafdruk voor authenticatie. De deelnemers zijn vooral te spreken over het gebruiksgemak. Ze vinden shoppen met biometrische authenticatie ‘eenvoudiger' en ‘prettiger'.

De beide bedrijven zien biometrisch betalen als "de toekomst" aangezien de deelnemers enthousiast zijn. "De proef in Nederland heeft geleid tot commerciële interesse vanuit de gehele wereld", aldus Arjan Bol, Country Manager MasterCard Nederland. "We gaan nu verder kijken naar de mogelijkheden om onze technologie te integreren in de apps van banken en tech-reuzen om betalen met een selfie of vingerafdruk nog gemakkelijker te maken. We streven naar vercommercialisering van het product in Nederland, VK, België, Spanje, Italië, Frankrijk, Duitsland, Zwitserland en Scandinavië voor eind 2017."

Spoofing

MasterCard, ICS en de klanten van ABN Amro lijken niet meer te stoppen. Naast het gebruiksgemak bezingen de 750 deelnemers aan de pilot ook meteen maar de veiligheid van biometrisch betalen. Bijna driekwart van de gebruikers verwacht dat biometrisch betalen zorgt voor vermindering van het aantal fraudegevallen. Maar aangezien ICS en MasterCard niets melden over het testen van de veiligheid, lijkt dit eerder een staaltje wishfull thinking dan een goed beargumenteerde keuze. Ofwel: de polonaise is al ingezet maar het feest is nog niet begonnen. Dat maakt toch een wat potsierlijke indruk.

Hoogleraar Raymond Veldhuis concludeert: "Biometrie kun je zo veilig maken als je wilt, maar dat gaat niet vanzelf. De veilige opslag van gegevens baart ons zorgen. Als gegevens zijn opgeslagen op centrale databases, kunnen door hacks ineens veel gegevens op straat komen te liggen. Als persoonlijke gegevens, waaronder vingerafdrukken, worden gehackt, dan heb je echt een probleem."

Daar zijn oplossingen voor, bijvoorbeeld door de vingerafdrukscan om te zetten in een regeltje getallen dat wordt versleuteld. Een andere oplossing om het hacken tegen te gaan is computers krachtig genoeg maken om versleutelde vingerafdrukken te herkennen. Kortom: veilige opslag is haalbaar maar laat nog even op zich wachten. Daarnaast noemt Veldhuis ook het gevaar van spoofing: vervalsing van vingerafdrukken en gezichten. Veldhuis: "Bij betaling in de winkel zal spoofing niet zo'n issue zijn want er kijkt altijd iemand mee. Bij online betalingen, dus als mensen alleen achter de computer zitten, is dat anders. Webwinkels moeten daar rekening mee houden."

Veldhuis adviseert (r)etailers het hele proces in ogenschouw te nemen: "Kijk naar de totale veiligheid. Het betaalsysteem zelf moet goed worden dichtgetimmerd. Daarnaast zijn browsers en pc's te hacken. Vooral oudere versies zijn niet veilig en geven criminelen toegang via social engineering. Ook dat vraagt aandacht. En dan is er nog de opslag van gegevens. Op mobieltjes is opslag niet zo'n probleem, op centrale databases wel. Met een gewoon wachtwoorden als back-up ondervang je dat, in elk geval zolang er praktische problemen kleven aan biometrie. Wachtwoorden zullen dus nog wel een tijdje blijven."

recente artikelen

gepubliceerd in diverse (vak)media

“Wat gezondheid is moet iedereen zelf bepalen”

Noord-Limburg wil de gezondste regio van Nederland worden en heeft grootse plannen. Het klinkt aantrekkelijk maar een burgerraadslid uit Horst aan de Maas heeft felle kritiek.

Lees artikel »

Securityproject Melissa hackt Russische hackers

Na Deadbolt en Genesis Market werd onlangs de hackersgroep Qakbot opgerold, mede dankzij het cybersecurityproject Melissa. Arwi van der Sluijs is er trots op en vertelt.

Lees artikel »

Pfas-zaak Dordrecht zet forever chemicals op radar

Het gevaar van pfas voor de volksgezondheid is niet meer te bagatelliseren door de recente rechtszaak tegen Chemours in Dordrecht. Maar pfas is here to stay. Hoe nu verder?

Lees artikel »

Het wonder van geperst, verhit en gefilterd gras

Start-up Grassa claimt meer eiwit uit gras te kunnen halen dan de koe. Gras is niets minder dan een wonderplantje volgens directeur Rieks Smook: "Er kan zoveel méér met gras."

Lees artikel »

Moleculair bioloog over gedrag en kwantumfysica

Moleculair bioloog en therapeut Lianne Hermers gebruikt de kwantumfysica om bewustzijnskracht te ontdekken. Haar cliënten lossen mentale problemen zelf op zonder pillen.

Lees artikel »

Overvolle binnensteden hunkeren naar fresh air

Bedrijfsbussen op diesel mogen vanaf 2025 veel Nederlandse stadscentra niet meer in. Met elektrische steps, cargo-bikes en (bak)fietsen vinden monteurs hun weg in de binnenstad.

Lees artikel »

Google wil onze medische data, maar wat willen wij?

Care Studio van Google Health heeft aangekondigd in de VS patiëntendossiers te willen gaan beheren. Huisarts Huib Rutten ziet risico's: "De regie moet altijd bij de patiënt blijven."

Lees artikel »

Bouwvallig Blackpool, walhalla voor kansarmen

De Engelse badplaats Blackpool werd onlangs belachelijk gemaakt door minister Helen Wheeler. Ze bood haar excuses aan maar met financiële steun schiet de stad meer op.

Lees artikel »

Mark Soetman levert de primeur: rauw krabbenvlees

Start-up Crustalicious heeft een machine ontwikkeld die kleine krabben in zes stappen ontdoet van pcb's, zware metalen, ingewanden en schaal. Een wereldprimeur!

Lees artikel »

Meneer Parkinson gaat niet weg, maar boksen helpt wel

Parkinson dendert als een epidemie door Europa. Om het ziektebeeld te vertragen worden steeds meer bokstrainingen speciaal voor Parkinson-patiënten verzorgd.

Lees artikel »