image

Internetbankieren via je stem heeft de toekomst (interview)

dinsdag 5 juni 2012, 11:25 door Redactie, 9 reacties

Internetbankieren vanaf je mobiele telefoon via stemherkenning, steeds meer banken kijken naar biometrie als authenticatiemiddel. Onlangs kwam technologiebedrijf Unisys met onderzoek waaruit bleek dat 58% van de Nederlanders het wel ziet zitten om via hun vingerafdruk of stemherkenning te internetbankieren. Security.nl sprak met Herma Volwater, senior account executive TCIS en Jan van der Sluis, manager IDentity Solutions van Unisys.

Waarom is biometrische beveiliging zoveel beter dan de authenticatie die we nu al gebruiken?
Herma: Het antwoord ligt al in de term zelf. Biometrisch is zeer persoonsgebonden het is geen wachtwoord dat je kunt weggeven of op gele stickers op je monitor kunt plakken. Zaken als pincodes en wachtwoorden zijn ook nodig, maar biometrische beveiliging is eigenlijk een aanvulling daarop. Je wordt het best geauthenticeerd door iets wat je hebt, wat je weet en wat je bent. Wat je hebt en wat je weet zijn dan die tokens op je smartphone. En wat je bent is die aanvulling, de biometrische beveiliging.

Maar wat als mijn vingerafdruk wordt misbruikt? Een wachtwoord kan ik wijzigen, maar een vingerafdruk niet.
Jan: Het is een misvatting om te denken dat biometrie alleen gericht is op de vingerafdruk. Er zijn ook andere kenmerken die hiervoor te gebruiken zijn. De vingerafdruk heeft een bepaald privacy aspect. Het heeft een hoger privacygehalte dan andere biometrische kenmerken. In servicegerichte omgevingen zouden we vingerafdrukken niet als biometrisch kenmerk aanbevelen, omdat een vingerafdruk iets is dat je ook echt achterlaat. In de forensische wetenschap is de vingerafdruk als een uniek identificatiekenmerk voor juridische toepassingen aangemerkt. Daarom is het ook niet zo toepasbaar voor dit soort diensten. We denken meer aan stem, iris of gezichtsherkenning.

Maar een stem kun je toch opnemen? Hoe kwetsbaar is stemherkenning voor dit soort aanvallen?
Jan: Een stem kun je inderdaad opnemen, maar er zijn oplossingen als live-herkenning, zodat je kan beoordelen of een stem is opgenomen of
niet. Je kunt ook aanvullende vragen tijdens de conversatie stellen, zoals een unieke identificatiecode.

Dus eigenlijk is het dan een wachtwoord, met als extra beveiliging de stem van de gebruiker?
Jan: Ja, dat klopt. Biometrie an sich biedt vaak niet de beveiliging om een transactie te laten plaatsvinden. Er zal altijd iets extra's nodig zijn. Een tweede factor.

Biometrie is dus meer een extra beveiligingslaag dan een vervanging van huidige authenticatiemethoden?
Jan: Het hangt van de toepassingen af. Biometrie is een middel dat je vooral in de fysieke toegangscontrole zag. Je gebruikt je unieke kenmerk, waarvoor je je bij het gemeentehuis hebt enrolled, om de grens over te gaan, zonder een wachtwoord op te geven. Dat kun je als je een vervanging van je paspoort zien. Voor die toepassing is een biometrisch kenmerk voldoende. Als je naar het internet kijkt en niet goed weet wie er aan de andere kant zit, heb je vaker een extra herkenning nodig, om er zeker van te zijn dat de persoon is wie hij beweert te zijn. Daar kun je veel verder mee gaan, bijvoorbeeld door PKI toe te voegen en zo een 100% veilige tunnel te creëren tussen aanbieder en afnemer.

Herma: Afhankelijk van de hoogte of kwetsbaarheid van de transactie zou je ook aanvullende vragen kunnen stellen. Je kunt bijvoorbeeld een pincode met gezichtsherkenning doen en daarna komt er dan nog een gerichte vraag. Bijvoorbeeld het voorlezen van een bepaalde zin. Een andere aanvulling is het combineren met GPS-bepaling, dan kijk je naar de locatie van de gebruiker.

Maar wat als ik verkouden ben, werkt de stemherkenning dan nog wel betrouwbaar?
Jan: Je hebt altijd fault acceptance en fault rejects, dat je ten onrechte wordt geaccepteerd of afgewezen. Ten onrechte accepteren kun je door die extra vraag ondervangen. Ten onrechte niet geaccepteerd, dan krijg je de service niet, en dan is het aan de service-aanbieder om een alternatief kanaal op te zetten.

Je moet ook met verschillende doelgroepen en leeftijdsklassen testen om alles zo goed mogelijk dicht te timmeren. Dat geeft je geen 100% garantie dat je altijd de juiste transactie met de juiste persoon doet.

Wat het verkouden zijn betreft gaat het niet alleen om herkenning van de stem, maar ook om herkenning van het stempatroon. Bijvoorbeeld of iemand vaak uh of ah zegt, de toonhoogte zich in bepaalde frequenties bevindt. Er zijn allerlei mechanismen om dat goed in kaart te brengen.

Hoe reageren banken op biometrische beveiliging?
Herma: Ze zijn intern al veel bezig, voor interne authenticatie en toegangscontrole. En ze zijn ook aan het kijken wat voor middelen er voorhanden zijn om internetbankieren, en dan vooral mobiel bankieren, naar een volgend niveau te brengen. Op dit moment wordt er [bij de mobiele apps] met limieten gewerkt en zijn er beperkingen, om te zorgen dat het risico voor de bank beperkt is. Ze willen toch aan hun klanten iets leveren waar gebruiksgemak gecombineerd wordt met een grotere en sterkere authenticatie. Daar kijken ze allemaal naar.

Zijn er al Nederlandse banken die hiermee bezig zijn?
Herma: We zijn met een grote Nederlandse en Engelse bank in gesprek over een proof of concept

Hoe is de verwachting dat wij over een a twee jaar mobiel internetbankieren?
Herma: De smartphones en iPads, zeker de moderne, hebben allemaal een camera en microfoon. Je kunt dan authenticeren door een foto van je zelf te nemen. Daarmee maak je contact met een authenticatiedatabase van de bank. Die database controleert of degene die de informatie opstuurt wel is wie hij zegt dat hij is.

Vervolgens gaat de applicatie toegang verlenen aan de gebruiker. Dat kan zowel voor mobiel als normaal internetbankieren. Op je mobiel heb je een camera, microfoon en locatiebepaling. Dat zou je ook kunnen gebruiken om een sterkere authenticatie voor het normale internetbankieren toe te staan. Locatie wordt vaak als derde of vierde authenticatie gebruikt.

Waar worden al die biometrische gegevens bewaard? Het zijn toch zeer persoonlijke gegevens.
Herma: Bij het aanmelden voor biometrisch gebruik bij de bank, wordt het biometrische kenmerk gehasht in de authenticatie database opgeslagen. In de database staat dus geen foto, maar een hash. Op het moment dat je je aanmeldt kijkt het systeem ook naar de risico's van de transactie en bepaalt vervolgens of er om gezichtsherkenning of een vraag wordt gevraagd. Het kunnen ook willekeurige vragen van het systeem zijn.

Dus als de database wordt gestolen of gehackt zijn de biometrische gegevens nog steeds beschermd door de hash?
Herma: absoluut. Nederlanders zijn een beetje panisch voor het opslaan van biometrische gegevens in databases. Met als voorbeeld de registratie van Joden in de gemeente Amsterdam. Dat wil men niet meer, dus dat soort gegevens mogen ook niet centraal worden opgeslagen. Maar als het versleuteld is, kan verder niemand erbij.

Is die angst terecht?
Herma: Onze index heeft laten zien dat de acceptatie van biometrie wel steeds groter wordt. Men snapt dat er steeds betere beveiliging voor financiële activiteiten en medische gegevens moet komen.

Jan: We hebben veel mensen in verschillende bevolkingslagen geïnterviewd. En die zeggen te begrijpen dat er extra beveiligingsmaatregelen nodig zijn om een veilig dienstverlening mogelijk te maken. Mensen zijn dan ook bereid om die gegevens te geven, wat al een hele omschakeling is.

Wat zijn de voornaamste obstakels die de uitrol van biometrie in de weg staan?
Jan: De grootste doorbraak zal komen door het gebruik van smartphones en tablets. We zien nu dat de meest verkochte middelen niet meer de laptops en pc zijn. Dit [smartphone en tablet] is de standaard voor de toekomst. Daar zullen ook allerlei beveiligingstoepassingen op gaan draaien.

Je kunt al gezichtsherkenning op je iPhone doen. Uiteindelijk zal die acceptatie daarvan als standaard app de technische doorbraak zijn. Echte obstakels zijn er niet meer. Er wordt nu wel gekeken hoe je die apps zo veilig mogelijk op een apparaat kunt krijgen. Ik verwacht dat binnen nu en een jaar een hele grote doorbraak zal plaatsvinden. Aan de techniek ligt het niet meer.

Reacties (9)
05-06-2012, 11:55 door Dennixx
Spreek uw pincode in
05-06-2012, 12:19 door Mysterio
Mijn telefoon is wat ouder, dus ik moet wat luider praten.

Het wordt een gezellige boel in de trein zo.
05-06-2012, 13:19 door AceHighness
Jammer dat de expert die het uit moet leggen al in de eerste alinea dingen zegt die imo niet kloppen :


Je wordt het best geauthenticeerd door iets wat je hebt, wat je weet en wat je bent. Wat je hebt en wat je weet zijn dan die tokens op je smartphone. En wat je bent is die aanvulling, de biometrische beveiliging.

Dat is lekker zinvol, om wat je hebt EN wat je weet allebei op je telefoon te zetten. De token op je telefoon HEB je, en een bijbehorende pincode WEET je. Dan nog een iris scan of fingerprint erbij die je BENT.

Amateur !
05-06-2012, 13:21 door Anoniem
Wanneer gaan ze door hebben dat 90% van de beveiligingsproblemen niet de toegangscode is? Door deze statisch te maken ga je niet veel winnen. Je kan ook twee pincodes vragen in plaats van een pincode en een vingerafdruk.


Ik ben benieuwd hoe lang het duurt voordat je advies krijgt op te letten waar je je lege glas neerzet omdat anders iemand je vingerafdruk steelt... Ik gok 5 jaar.
05-06-2012, 13:28 door AceHighness
nog zo'n amateur ^^

2 pincodes is dus NIET hetzelfde als een pincode + biometric data .... ja een vingerafdruk is te kopieren, maar daarom is het something you KNOW , something you HAVE and something you ARE. De kans dat de persoon die jou iris-scan heeft weten te kopieren ook nog eens je RFID badge te pakken heeft EN je pincode weet is natuurlijk vele malen kleiner dan wanneer je 3 pincodes gebruikt en die op je PC invoert waar een keylogger op zit.
06-06-2012, 08:50 door Anoniem
wel eens naar de suggestieve vragen van 'de index' gekeken? Daar trekken mijn bitjes krom van...
Unisys heeft veel geld invested in biometry en die index is niets meer dan een marketing middel.

HAVE en KNOW zijn voor mij meer dan genoeg voor die paar knaken op de bank.

Ik verwacht dat biometry/ARE echter wel zal aanslaan, niet als 3e factor, maar als vervanging voor HAVE. En dan voor de verkeerde redenen. Het zal hip zijn om biometry toe te passen, nodig niet.
06-06-2012, 14:39 door Anoniem
Uiteraard is de index een marketing middel, het is goed gebruik in de industrie de markt te onderzoeken om daar je productenaanbod op aan te laten sluiten. We doen al jaren onderzoek naar de mening van onze klanten op het gebied van beveiliging, en publiceren ook de resultaten daarover. Dat betekent niet dat het onderzoek "rigged" is.
Onze investeringen in beveiliging zijn inderdaad op het gebied van biometrie, maar ook perimeter protection staat hoog op de lijst. Verder hebben we geinvesteerd in een framework voor een "holistische" aanpak van security, dus dat alle aspecten (proces, mensen, locatie, IT) in de beveilingsaanpak worden meegenomen.

Er zijn processen in de industrie, dus niet alleen financiele instellingen maar bijv ook in de zorg, in de bescherming van patenten, in wetenschappelijk onderzoek en bij de verwerking van bepaalde stoffen, waar een unieke persoonlijk authenticatie nodig is om misbruik en fraude te verminderen. En daar kan biometrie, dus niet alleen stem of vingerafdruk maar ook gezichts of handpalm herkenning, een rol in spelen.

Inderdaad is de zin " Wat je hebt en wat je weet zijn dan die tokens op je smartphone. En wat je bent is die aanvulling, de biometrische beveiliging." niet handig. Wat je hebt zijn je token OF je smartphone, wat je weet is je pincode en de aanvulling is dus wat je bent.
07-06-2012, 10:07 door Anoniem
'rigged', mmm, dat is een rekbaar begrip. Ik ben werkzaam geweest bij Unisys. Security afdeling nonetheless. Wij lazen met plaatsvervangende schaamte de zgn. 'onderzoeken'.

En nog meer holistische marketing...
11-06-2012, 10:34 door Anoniem
Sorry, ik geloof daar niet in.(het artikel bedoel ik)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.