image

EFF hekelt biometrie: een vingerafdruk kun je niet veranderen

donderdag 18 juni 2015, 10:10 door Redactie, 11 reacties

Het gebruik en de toepassingen van biometrie groeien, maar deze manier van authenticatie is niet zonder risico, zo waarschuwt de Amerikaanse burgerrechtenbeweging EFF. Deze week besloot de EFF samen met verschillende andere privacygroepen uit een overleg te stappen met de Amerikaanse overheid en het bedrijfsleven over het opstellen van een vrijwillig protocol voor gezichtsherkenning.

"We vinden dat mensen een fundamenteel recht op privacy hebben. Mensen hebben het recht om zelf te bepalen wie hun gevoelige informatie krijgt, en hoe die informatie wordt gedeeld", aldus de privacygroepen in een gezamenlijke verklaring. Daarbij is biometrische informatie zeer gevoelig, zo lieten ze weten. "Je kunt je wachtwoord en creditcardnummer veranderen, maar dat geldt niet voor je vingerafdrukken of de exacte afmetingen van je gezicht. Via gezichtsherkenning kunnen deze onveranderlijke fysieke eigenschappen worden gebruikt om je te identificeren, op afstand en in geheim, zonder enige bescherming."

Databases

Ondanks de gevoeligheid van gezichtsherkenningsgegevens, zijn de Amerikaanse overheid en opsporingsdiensten bezig met het opzetten van steeds groter wordende gezichtsherkenningsdatabases. Zo lanceerde de FBI vorig jaar een biometrische database met 14 miljoen gezichtsafbeeldingen. De opsporingsdienst heeft het doel om dit naar 52 miljoen afbeeldingen uit te breiden. Ook het commercieel gebruik van gezichtsherkenning baart de EFF zorgen, omdat de mogelijkheid bestaat dat de verzamelde data met politie en overheid worden gedeeld.

Vanwege deze zorgen had de burgerrechtenbeweging de hoop dat door deel te nemen aan het overleg ze beperkingen voor het gebruik van gezichtsherkenning konden opstellen. Zo moest er een opt-in komen voor mensen die aan een gezichtsherkenningsdatabase wilden deelnemen. De bedrijven die aan het overleg deelnemen zagen dit echter niet zitten, wat reden voor de privacygroepen was om het overleg te verlaten.

Reacties (11)
18-06-2015, 10:18 door Anoniem
Kost maar een paar jaar (sinds wanneer zit die chip ookalweer in je paspoort?) maar dan begint de EFF zich ook te roeren hoor.
18-06-2015, 10:18 door Mysterio
Ja, een opt-in zou echt helpen want dan kunnen de opsporingsdiensten die mensen negeren. -zucht-
18-06-2015, 11:03 door Reinder
Door Mysterio: Ja, een opt-in zou echt helpen want dan kunnen de opsporingsdiensten die mensen negeren. -zucht-

Wat de EFF hiermee wilde doen was voorkomen dat bijvoorbeeld winkels met camera's in de winkel zonder toestemming vooraf een eigen database met gezichten verzameld om die te gebruiken om de klant te herkennen bij volgende bezoeken of bij bezoeken aan andere vestigingen. Het overleg waaraan gerefereerd wordt was een overleg om tot een set afspraken te komen tussen overheid, bedrijfsleven en burgers, niet een overleg over de mogelijkheden van opsporingsdiensten.
18-06-2015, 11:13 door Anoniem
Die biometrie heeft mij al veel gedoe opgeleverd bij de aanvraag van een nieuwe ID. Door chemotherapie had/heb ik nog nauwelijks profiel op mijn vingertoppen. Ik moet er niet aan denken dat zich dat bij allerlei toegangen gaat herhalen.

Overigens denk ik dat de EFF gelijk heeft: wachtwoorden kun je veranderen, bio-kenmerken niet. Dat sluit je naadloos aan op systemen en beperkt je vrijheid op den duur aanzienlijk.

Het argument "het komt er aan, niks aan te doen" maakt ons tot slaven van de industrie. Ik ben niet van plan mijn burgerlijke vrijheden zo voetstoots op te geven.
18-06-2015, 11:39 door Erik van Straten
18-06-2015, 11:13 door Anoniem: Door chemotherapie had/heb ik nog nauwelijks profiel op mijn vingertoppen.
Dank voor jouw bijdrage! Ik wist dat vingerafdrukken van vooral ouderen (door dunnere huid? of minder snel aangroeien na slijtage?) vaak problemen opleveren, maar niet dat chemoterapie daar ook invloed op kan hebben.

Hoe meer concrete argumenten, vóór of tegen, hoe beter je een keuze kunt maken, of keuzemakers op andere ideeën kunt brengen (en dan met name keuzemakers die het privacy-argument irrelevant vinden).

18-06-2015, 11:13 door Anoniem: Ik moet er niet aan denken dat zich dat bij allerlei toegangen gaat herhalen.
De eerste gedachte bij falende biometrie is vaak dat jij iets niet mag omdat jij niet herkend wordt. Maar vaak zijn de gevolgen daarvan minder ernstig dan dat iemand anders als jou herkend wordt, al dan niet opzettelijk.

M.a.w. het kan heel vervelend zijn als je ergens niet naar binnen kunt of zo, maar het risico op persoonsverwisseling (identiteitsfraude) neemt ook toe.
18-06-2015, 12:17 door [Account Verwijderd]
Je kunt je wachtwoord en creditcardnummer veranderen, maar dat geldt niet voor je vingerafdrukken of de exacte afmetingen van je gezicht

Vraag me af of het zou werken als je bij gezichtsherkenning gewoon probeert een ander gezicht te trekken, zodat je vervolgens alleen maar herkent wordt als je precies het zelfde gezicht trekt. (kuiltjes in de wangen maken, of de mond een beetje open maken bijvoorbeeld) Iemand een idee?
18-06-2015, 14:15 door Anoniem
Door _kraai__:
Je kunt je wachtwoord en creditcardnummer veranderen, maar dat geldt niet voor je vingerafdrukken of de exacte afmetingen van je gezicht

Vraag me af of het zou werken als je bij gezichtsherkenning gewoon probeert een ander gezicht te trekken, zodat je vervolgens alleen maar herkent wordt als je precies het zelfde gezicht trekt. (kuiltjes in de wangen maken, of de mond een beetje open maken bijvoorbeeld) Iemand een idee?
Dat (volgens mij) is waarom je niet meer mag lachen op je passport. Omdat die foto's dan niet gematched kunnen worden aan je gezicht in bepaalde emoties. Bovendien gaan systemen steeds verder. Het herkennen van de emotie ten opzichte van een baseline wordt de volgende stap. Zodat ze je niet alleen kunnen herkennen maar ook kunnen zien welke emotie je voelde. Uiteraard allemaal voor de terroristen, op hun eigen burgers zouden ze dat nooit doen, dat begrijpt u. ;).
18-06-2015, 14:43 door Anoniem
In feite heb je in het 'toegangscontrole' proces drie stappen. Identificatie, authenticatie, en tot slot autorisatie.

De huidige manier van werken (en bijbehorende theorieën) waren tot nu toe altijd als volgt:

Identificatie: je zegt gewoon wie je bent (denk aan een username). Iedereen kan zeggen wie hij is, maar dat is niet echt veilig. Dus de volgende stap is belangrijk:
Authenticatie: bewijzen dat je bent wie je zegt. Wachtwoord, pincode, biometrische kenmerken, token, of een combinatie van die dingen (multi-factor authentication).
Autorisatie: bepaalt aan de hand van wie je bent waar je mag komen. Maar dat laten we nu even buiten beschouwing.

Het punt is dus dat wanneer je biometrische gegevens gebruikt voor authenticatie, en deze gegevens ooit gestolen of misbruikt worden, je deze niet zomaar (of helemaal niet) kunt veranderen. Een wachtwoord kun je aanpassen, een pincode, een pasje, een token, enz, kunnen allemaal gereset worden en zo weer 'veilig' worden gemaakt. Biometrische data, zeker eenmaal gestolen, kan een levenlang voor ellende blijven zorgen voor de slachtoffers. Daarom is biometrische data gewoon een heel slecht idee voor authenticatie c.q. zou je het eigenlijk niet in een computer willen opslaan.

Ja, je zou biometrische gegevens in kunnen zetten voor de identificatie-stap in plaats van authenticatie, maar ook dat is een slecht idee, omdat wederom eenmaal gestolen biometrische gegevens dan misbruikt zou kunnen worden in andere systemen waarbij biometrie gebruikt worden voor de authenticatie. Het verschuift dus het probleem, maar lost een aantal van de kernbezwaren niet op.

Maar goed, eigenlijk gaat daar deze hele discussie niet over. De EFF probeert namelijk aandacht te vragen over het grootschalig opslaan van biometrische gegevens, en welke impact dat kan hebben op de maatschappij. EN dat betreft dus niet een enkel 'authenticatieprocesje' binnen een enkel bedrijf.
18-06-2015, 16:31 door Anoniem
je moet maar net dezelfde afmetingen hebben als de toekomstige binladen ofzo.
"nee, ik ben dat niet" roepen als al 10 dumdum kogels op je achterhoofd afgevuurd worden is dan te laat.
en dat gebeurt al als je op je pda ziet dat je metro vertrekt in London. laat staan al je hoofd digitaal lijkt op terrorist a b of c.
18-06-2015, 18:32 door Anoniem
Nog een voorbeeld,
http://www.demorgen.be/technologie/facebook-is-nu-ook-eigenaar-van-je-gezicht-a2362955/
Niemand houdt ze tegen want er is geen wetgeving die erop is toegespitst.
Daarnaast is het hartstikke leuuuuuk!
02-02-2016, 19:26 door Anoniem
Vandaag lukte het niet om een goede vingerafdruk te laten scannen bij de gemeente. Ook op mijn Iphone lukt het niet. Bij mijn zoon lukt dat wel, dus geen defect van de apparatuur. Dit orobleem wirdt veroorzaakt doordat ik net 9 chemokuren heb gehad en mijn vingertoppen heel glad zijn geworden. Daar zullen wel meer kankerpatiënten last van hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.