Pinnen zonder bankpas of zonder een pincode in te toetsen. Online boodschappen doen zonder een gebruikersnaam of wachtwoord in te voeren. Met biometrische identificatie kan dat werkelijkheid worden. 

Biometrische beveiliging is echter niet waterdicht. Veel biometrische lezers, vooral goedkopere uitvoeringen die bijvoorbeeld in smartphones zitten, digitaliseren maar een deel van de biometrische informatie. Data worden cryptografisch verwerkt met een proces dat we ‘hashing’ noemen. Daarna zijn de geregistreerde biometrische gegevens vergelijkbaar met een wachtwoord van gemiddelde lengte.

Een vastberaden hacker kan in de beveiliging omzeilen, zegt Karsten Nohl, lid van het Duitse beveiligingscollectief Security Research Labs. “Een ingewikkeld wachtwoord is vrijwel niet te kraken.”, zegt hij. “Een vingerafdruk kan beter zijn dan een eenvoudig wachtwoord, maar niet beter dan een sterk wachtwoord.” En het hacken van een stemherkenningsysteem is al helemaal gemakkelijk: “Je kunt vrijwel elke stem laten klinken als een andere.” Het grootste risico is dat een hacker de biometrische gegevens die bij een bedrijf liggen opgeslagen, in handen krijgt. Sommige bedrijven bewaren de vingerafdrukgegevens in een vorm die dicht bij het origineel ligt, zonder hashing. “Sommige systemen slaan het exacte beeld op dat de lezer registreert”, vertelt hij. “Dan ligt dus alle informatie die je (als hacker) nodig hebt, voor het grijpen.”

“Privacyschending is het grootste risico voor een bedrijf dat biometrische data opslaat, samen met de directe gevolgschade van een gegevenslek voor de betrokken personen”, zegt Karen Strong, technology manager for UK and Ireland bij Chubb. De invloed van biometrische identificatie zal volgens Strong snel toenemen. “Persoonlijk denk ik dat deze technologie steeds belangrijker wordt in ons dagelijks leven. De verzekeringsmarkt moet daarop reageren met zowel risicobeoordelingen als dekking”, concludeert ze.

Drie belangrijke tips voor risicomanagers:

1. Biometrische gegevens moeten worden bewerkt en een versleutelingsproces ondergaan (‘hashen’) voordat ze worden opgeslagen. Als dat niet goed gebeurt, vallen de gegevens waarschijnlijk in de categorie ‘gegevens die tot identificatie van personen kunnen leiden’. Een gegevenslek kan dan ernstige gevolgen hebben.

2. Deze technologie valt onder de werkingssfeer van de nieuwe Algemene verordening gegevensbescherming van de EU die in 2018 van kracht wordt.

3. Gegevenslekken zijn altijd duur, maar als de gebruikers van biometrische identificatiesystemen zichzelf opnieuw moeten registreren (bijvoorbeeld door hun vingerafdruk opnieuw te laten scannen) kan dat duurder en tijdrovender zijn dan wanneer gebruikers alleen hun wachtwoord hoeven te veranderen.

Alles bij de bron; AmWeb