Houd altijd rekening met ‘biometric spoofing’!
Spoofing gevaar voor automatische biometrische systemen
Biometrische kenmerken namaken is vaak niet zo heel moeilijk. Denk bijvoorbeeld aan een foto van een gezicht, een kunststof vinger, contactlens met irispatroon, etc. Dit wil niet zeggen, dat toegepaste biometrie gemakkelijk te misleiden is. Spoofing is vooral een risico bij onbegeleide, volledig automatische herkenning. Zeker als geen tweede identificatiemiddel zoals een “ token” (sleutel of code, zoals een pas of pincode) wordt gebruikt om een identiteit te claimen. De mate van dreiging van spoofing verschilt tussen biometrische modaliteiten. Het gevaar voor irisherkenning ligt beduidend lager dan voor gezichts- en vingerafdrukherkenning. Spoofing dient voortdurend vanaf ontwerp tot in de operationele fase van biometrie aandacht te krijgen. Wees dus op ‘alles’ voorbereid.
Spoofing serieuze bedreiging maar geen showstopper voor biometrie
Risico’s zijn er om rekening mee te houden. Wees daarom niet (te) negatief noch lichtzinnig over spoofing. Rondom de inzet van een biometriesysteem bestaan mogelijkheden om het gevaar van spoofing te verkleinen:
- Beloning bij herkenning:
- Je mag iets, of je krijgt iets.
- Je hebt belang bij medewerking.
- Straf bij herkenning:
- Je wordt ergens in tegengehouden.
- Je hebt geen belang bij medewerking.
- Omstandigheden zijn beïnvloedbaar:
- Bewaakt of begeleid proces
- Anti-spoofing technologie
- Multi-factor authenticatie
Een succesvolle introductie van biometrie voor persoonsherkenning gaat verder dan alleen een technisch goed werkend systeem opleveren. Ook de organisatie dient voorbereid dan wel tijdig aangepast te worden.
Anti-spoofing technologie ontwikkelt zich door
Detectie van spoofing is hoe dan ook een aandachtspunt. Gelukkig zijn vele vormen nogal opvallend. Bijv. iemand die met een foto voor zijn gezicht de grens over wil, zal meestal worden opgemerkt. Bij irisherkenning is betrekkelijk hoogdrempelige technologie nodig. Ook wordt tegenwoordig op verschillende manieren en met wisselend succes gecontroleerd of de persoon leeft. Tabula Rasa is een Europees project gericht tegen spoofingaanvallen. Interessante resultaten zijn geboekt.
De anti-spoofing technologie ontwikkelt zich dus gestaag verder en dat is ook nodig in deze race. Biometrische persoonsherkenning is onderdeel van de eeuwige strijd tussen goed- en kwaadwillenden.
Dankbetuiging
Het bovenstaande is geïnspireerd door een workshop biometrie die Ruud van Munster en ik op Identity & Access Management 2017 hebben gegeven en door de activiteiten van de VVB-werkgroep Techniek & Toepassing Biometrie.
Ruud Huijts
Ruud is mede-oprichter en voorzitter van de Vereniging Voor Biometrie & Identiteit (VVBI). Hij is als zelfstandig onafhankelijk adviseur werkzaam vanuit SAMENZICHT Consultancy. Ruud heeft zich met (de organisatie van) biometrie en identiteit beziggehouden bij o.a. Regiopolitie Amsterdam-Amstelland, Dienst Justitiële Inrichtingen en Ministerie van Veiligheid en Justitie. Hij is van mening, dat biometrie juist in het digitale tijdperk noodzakelijk is om personen betrouwbaar te herkennen zonder afbreuk aan privacy te doen.