Biometrische gegevens

Wat zijn biometrische gegevens?

Biometrische kenmerken zijn fysieke of gedragskenmerken die uniek zijn voor elke persoon en worden gebruikt om een persoon te authentiseren voor toegang tot toepassingen en andere netwerkbronnen. Voorbeelden van biometrische identificatiemiddelen zijn vingerafdrukken, gezichtspatronen, veegpatronen, typritmes of stemgeluid. Biometrische authenticatie is een populair onderdeel van multifactorauthenticatie (MFA) omdat het een sterke authenticatie-uitdaging combineert met een gebruikerservaring met weinig fricties.

Volgens Wikipedia worden "biometrische identificatiemiddelen vaak ingedeeld in fysiologische en gedragskenmerken. Fysiologische kenmerken houden verband met de vorm van het lichaam. Voorbeelden zijn vingerafdruk, handpalmaders, gezichtsherkenning, DNA, handpalmafdruk, handgeometrie, irisherkenning, netvlies en geur/geur. Gedragsbiometrie houdt verband met een gedragspatroon, zoals het typempo van een persoon of de manier waarop hij zijn telefoon vasthoudt of door zijn vingers veegt.

Biometrische gegevens worden steeds vaker gebruikt in apps voor mobiel bankieren, waardoor klanten gemakkelijk kunnen inloggen en een extra beveiligingslaag wordt toegevoegd. Biometrische systemen zijn niet afhankelijk van het feit dat biometrische informatie, zoals een afbeelding van uw gezicht, geheim is. In tegenstelling tot wachtwoorden en PIN-codes kunnen biometrische kenmerken niet worden vergeten of gedeeld en zijn zij moeilijker te kopiëren of te stelen.  

Hoe werken biometrische gegevens?

Een biometrisch systeem bestaat uit drie verschillende onderdelen. Er moet een sensor zijn om uw biometrische informatie, zoals een vingerafdruk, te registreren en af te lezen. Wanneer u uw biometrische informatie gebruikt om toegang te krijgen tot uw mobiele telefoon, moet er een computer zijn die de biometrische informatie veilig opslaat voor vergelijking. Het derde onderdeel is software om de computerhardware met de sensor te verbinden

Statische biometrie en gedragsbiometrie: wat is het verschil?

Statische biometrie

Statische biometrie maakt gebruik van fysieke kenmerken, zoals een vingerafdrukscan of gezichtsherkenning, om mobiele telefoons te ontgrendelen, in te loggen op bankrekeningen of transacties uit te voeren.  

Dit zijn de belangrijkste soorten statische biometrische gegevens die worden gebruikt om uw identiteit te verifiëren:

  • Gezichtsherkenningssoftware analyseert de afstand tussen uw ogen en de afstand tussen uw kin en uw neus om een gecodeerd digitaal model van uw gezicht te maken. Bij de verificatie scant de gezichtsherkenningssoftware uw gezicht in real time en vergelijkt het met het digitale model dat veilig in het systeem is opgeslagen. Bij gezichtsherkenningssystemen met "actieve levendigheidsdetectie" moet u uw hoofd bewegen, knipperen of andere bewegingen maken. Liveness detection kan ook passief zijn, waarbij achter de schermen algoritmen worden gebruikt om biometrische monsters te analyseren op tekenen dat ze niet van een levende persoon afkomstig zijn, zoals het detecteren van papier, digitale schermen of uitsnijdingen in een 3D-geprint masker. Sterke aanwezigheidsdetectie zorgt ervoor dat het de echte klant is die zijn biometrische monster aan het systeem voorlegt, en niet een aanvaller die zich als de betrokkene probeert voor te doen in een zogenaamde presentatieaanval.
  • Vingerafdrukherkenning is een van de populairste vormen, zo niet de populairste, van biometrische verificatie die op mobiele toestellen wordt gebruikt. Het werd oorspronkelijk populair gemaakt door Apple's Touch ID. Een vingerafdruklezer analyseert de ribbels en patronen van uw vingerafdruk en vergelijkt deze met het opgeslagen digitale model van uw vinger tijdens de verificatie. Vingerafdrukherkenning kan veranderen als uw vinger nat of vuil is. Wanneer een vingerafdrukherkenningssysteem over een sterke "liveness detection" beschikt om presentatieaanvallen te helpen voorkomen, waarbij gebruik zou kunnen worden gemaakt van een 3D-model of een namaakafbeelding, is het voor een aanvaller een hele uitdaging om de vingerafdruk van een individu na te maken.
  • Irisherkenning: Er zijn twee methoden om de identiteit van een persoon te verifiëren door middel van een oogscan. Bij een netvliesscan wordt een licht kort in het oog geschenen om het unieke patroon van bloedvaten in het oog te tonen. Door dit patroon in kaart te brengen, kan het oogherkenningsinstrument de ogen van een gebruiker vergelijken met een origineel. Bij een irisscan worden de gekleurde ringen in de iris gescand. Bij sommige toepassingen kan oogherkenning even snel en nauwkeurig zijn als gezichtsherkenning, maar het kan moeilijk zijn om een vergelijkingsmonster te krijgen in zonlicht wanneer de pupillen samentrekken. Irisherkenning kan ook minder betrouwbaar zijn wanneer een klant een bril draagt.  
  • Stemherkenning analyseert de unieke klank van iemands stem, die wordt bepaald door de lengte van het spraakkanaal en de vorm van neus, mond en strottenhoofd. Het analyseren van iemands stem is een sterke authenticatiemethode, maar een verkoudheid, bronchitis, andere ziekten en achtergrondlawaai kunnen de stem vervormen en de authenticatie verstoren.
  • Vingergeometrieherkenning gebruikt 3D-geometrie van de vinger voor identiteitscontrole

In het algemeen worden statische biometrische gegevens beschouwd als een veilige manier om klanten te authentiseren en moeten ze voorzien zijn van aanwezigheidsdetectie om vervalste vingerafdrukken of foto's bij een presentatieaanval tegen te gaan

Cover of Gartner guide

Gartner Market Guide for In-App Protection

Download the full Gartner Market Guide for In-App Protection to learn about the application security capabilities necessary to protect your mobile apps as well the major providers in the security space today.

Download Now

Gedragsbiometrie

Gedragsbiometrie analyseert uw unieke gewoonten en bewegingen om een gedragspatroon te creëren dat kan worden herkend wanneer u typt of hoe u uw telefoon vasthoudt. Net als statische biometrische gegevens voegen gedragsbiometrische gegevens een extra beveiligingslaag toe om uw identiteit te verifiëren. FinancialIT.net zegt: "Deze baanbrekende technologie maakt gebruik van bewegingssensoren en kunstmatige intelligentie om unieke maniertjes te identificeren, zoals de manier waarop een telefoon wordt vastgehouden. Het wordt algemeen beschouwd als de laatste grens in veiligheid."

Dit zijn de belangrijkste soorten gedragsbiometrie:

  • Toetsaanslagritme analyseert de manier en snelheid van uw typen om onderscheidende patronen te bepalen. De hoeveelheid vingerdruk die u tijdens het typen uitoefent, kan ook in een herkenbaar patroon worden geplaatst.
  • Hoe u uw telefoon vasthoudt analyseert de hoek waaronder u uw telefoon vasthoudt en de dominante hand die u gebruikt wanneer u uw telefoon gebruikt. Gedragsbiometrische gegevens omvatten ook de manier waarop u op uw telefoon veegt en met welke hand.    
  • Uw manier van lopen is ook een gedragskenmerk dat bestudeerd kan worden voor een patroon. Bovendien kunnen uw gebruikelijke tijd en plaats voor logins en transacties ook in een gedragspatroon worden geplaatst.  

Gedragsbiometrie is een naadloze ervaring voor klanten, maar een uitdaging voor fraudeurs omdat elk individu een specifiek profiel heeft van zijn gewoonten en bewegingen. Met gedragsbiometrie wordt de sessie van een gebruiker voortdurend gevolgd, zodat als die op een bepaald moment wordt onderbroken of mogelijk gekaapt, het systeem dat kan herkennen en passende actie kan ondernemen om fraude te voorkomen voordat die plaatsvindt.

Hoe biometrische gegevens beschermen tegen financiële fraude

Biometrische gegevens worden door financiële instellingen gebruikt voor de volgende doeleinden

  1. Voor digitale identiteitscontrole wanneer een klant op afstand een nieuwe rekening opent
  2. Voor de authenticatie van de klant (bij het inloggen of voor voortdurende authenticatie tijdens de gehele banksessie)
  3. Voor de authentificatie van transacties (om er zeker van te zijn dat de legitieme rekeninghouder ook werkelijk de persoon is die de transactie initieert)

Consumenten raken steeds meer vertrouwd met biometrische gegevens en velen kiezen ervoor om bijvoorbeeld een vingerafdruk of gezichtsherkenning te gebruiken als middel voor authenticatie en identiteitsverificatie bij hun financiële instelling. Biometrische gegevens voegen een extra beveiligingslaag toe en verhogen het vertrouwen van de klant in zijn financiële instelling. Apple's Touch ID, dat in 2013 werd geïntroduceerd, heeft bijgedragen aan de opkomst van biometrie bij mobiel bankieren omdat financiële instellingen hiermee de beschikking krijgen over een apparaatgebaseerde technologie die zij kunnen gebruiken om hun platform voor mobiel bankieren te beveiligen.  

Evenzo kunnen gebruikers met Android Fingerprint ID op sommige Android-toestellen hun identiteit verifiëren met een vingerafdruk. Javelin zegt dat consumenten authenticatie keuze eisen. Voor meer dan een derde van de gebruikers zijn de drie verificatiemethoden die zij het liefst door hun financiële instelling ondersteund willen zien, alle biometrische modaliteiten. Javelin merkt ook op dat, hoewel typisch zou worden verwacht dat consumenten die biometrische keuzemogelijkheden willen, vooral jonger zijn, ongeveer 40% ouder is dan 55 jaar

Hoe biometrie een sterke klantenauthenticatie biedt

Biometrische gegevens maken deel uit van een multifactorauthenticatieproces (MFA), waarbij meerdere technologieën kunnen worden gebruikt om iemands identiteit te verifiëren wanneer hij inlogt op een banksessie of een financiële transactie verricht. Om multifactorauthenticatie (MFA) te bereiken, moeten ten minste twee verschillende authenticatiefactoren worden gebruikt. Authenticatiefactoren zijn onder meer:

Iets dat je weet

Dit is gewoonlijk een wachtwoord, PIN-code, wachtwoordzin of vragen met de bijbehorende antwoorden.  

Iets wat je hebt

Dit kan als een eenmalige PIN, of uw smartphone met een authenticator-app als het apparaat dat achter de schermen een eenmalige toegangscode genereert.

Iets wat je bent

Dit kan gaan van vingerafdrukken, netvliesscans, gezichtsherkenning en stemherkenning tot het gedrag van een klant (zoals hoe hard of snel hij typt of veegt op een scherm) dat kan worden gebruikt om een unieke klant te verifiëren.

Bijgevolg is het gebruik van een PIN-code met gezichtsherkenning multifactorauthenticatie omdat het een combinatie is van iets wat je weet en iets wat je bent, terwijl het gebruik van een PIN-code met een wachtwoord niet als multifactorauthenticatie zou worden beschouwd omdat het gewoon om twee dingen gaat die je weet.

Hoe biometrische gegevens helpen beschermen tegen financiële fraude

Het gebruik van biometrische gegevens als onderdeel van sterke klantenauthenticatie (SCA) of MFA kan helpen verschillende soorten fraudeaanvallen te beperken. Wanneer fraudeurs digitaal inbreken op een bankrekening om er de controle over te nemen, gebruiken zij vaak tactieken zoals phishing om mensen ertoe over te halen hun inloggegevens onbedoeld prijs te geven. Het resultaat is accountovername, wat een grote bedreiging is voor financiële instellingen en hun klanten vanwege de financiële verliezen en de inspanningen om de gevolgen te beperken. Biometrie kan aanvallers helpen tegenhouden op het punt van toegang (inloggen) door te vragen om een vingerafdrukscan of gezichtsscan. De aanvaller zal niet in staat zijn om zich met succes te authenticeren en zal worden verhinderd om op de rekening van iemand anders te komen. Bovendien wordt het aanvallers nog moeilijker gemaakt door robuuste liveness detection en spoof detection. De aanvaller zal niet in staat zijn de biometrische gegevens van een legitieme klant na te bootsen en zal geen toegang krijgen tot de rekening.  

Hoe biometrische kenmerken fraude helpen voorkomen bij het openen van een rekening op afstand

Biometrie speelt ook een rol bij het helpen voorkomen van identiteitsfraude tijdens het openen van een rekening op afstand. Dankzij COVID-19 vermijden veel consumenten vandaag onnodige bezoeken aan het bankkantoor. Zelfs wanneer een nieuwe aanvrager niet oog in oog staat met een vertegenwoordiger van de bank, moet de bank toch nagaan of de aanvrager op afstand wel degelijk de rechtmatige eigenaar is van een identiteitsdocument, zoals een paspoort of een rijbewijs. Dit is van essentieel belang in de strijd tegen aanvraagfraude.    

Biometrische gegevens maken deel uit van dit proces. Gezichtsvergelijking wordt bijvoorbeeld gebruikt voor identiteitscontrole, om er zeker van te zijn dat de aanvrager op afstand is wie hij zegt dat hij is. Zodra de echtheid van het rijbewijs, paspoort of ander door de overheid afgegeven identiteitsbewijs van de aanvrager is geverifieerd, wordt hem gevraagd een selfie te nemen met zijn mobiele toestel. Wanneer een selfie wordt gebruikt voor gezichtsherkenning, kan liveness detection worden toegepast om echte menselijke aanwezigheid aan te tonen.  

Er zijn twee soorten levendheidsdetectie om vast te stellen of een biometrisch kenmerk van een echte persoon afkomstig is of een digitale of gefabriceerde weergave is. Voor actieve levendheidsdetectie moet een persoon knipperen of zijn hoofd draaien, terwijl passieve levendheidsdetectie achter de schermen werkt en algoritmen gebruikt om tekenen van mogelijke spoofing te detecteren. Technologieën voor gezichtsvergelijking gebruiken geavanceerde algoritmen om biometrische gegevens van iemands gelaatstrekken te bekijken. Zo kunnen de positie en de grootte van iemands ogen ten opzichte van elkaar worden gebruikt om te bepalen of de selfie en het door de overheid verstrekte identiteitsbewijs van dezelfde persoon afkomstig zijn

Hoe biometrie de klantervaring verbetert

Het gebruik van biometrie maakt het voor klanten sneller en gemakkelijker om met hun financiële instelling te communiceren. Biometrie is een veiliger authenticatiemiddel dan wachtwoorden, die vaak worden gestolen of vergeten. Biometrie kan het vertrouwen van klanten in hun financiële instelling vergroten, omdat het voor fraudeurs veel moeilijker is om succes te boeken met een valse vingerafdruk of selfie. Positieve ervaringen met biometrische gegevens voor identiteitsverificatie bij het openen van een rekening op afstand en voor authenticatie van de klant bij het inloggen, kunnen ook de loyaliteit en het vertrouwen van de klanten in hun financiële instelling vergroten.   

Opgemerkt zij dat biometrische modellen in de loop van de tijd kunnen leren, zodat veranderingen in de kenmerken van een persoon als gevolg van veroudering in aanmerking worden genomen en een overeenkomst niet ongeldig maken. Wanneer een gebruiker zich regelmatig authentiseert, zullen kleine veranderingen in uiterlijk niet significant genoeg zijn om de overeenkomst ongeldig te maken. In plaats daarvan zal het wiskundige model van een persoon worden bijgewerkt wanneer veranderingen in het uiterlijk worden herkend.

Javelin Scorecard book open
Analyst Report

Javelin | Mobile Biometrics Platform Scorecard

To help financial institutions evaluate mobile biometric solutions, Javelin ranked 12 vendors using the advisory firm's Functional, Innovative, and Tailored (FIT) model. Discover which vendors lead the pack in key areas like ease of integration, long-term value, and flexibility in adapting to business needs and use cases.

Download Now

Wat analisten zeggen over biometrie

Volgens Gartner"kan en is biometrische authenticatie niet afhankelijk van de geheimhouding van biometrische kenmerken, maar in plaats daarvan van de moeilijkheid om zich voor te doen als de levende persoon die het kenmerk aan een vastleggingsapparaat ("sensor") presenteert - d.w.z. een presentatieaanval." Gartner voegt eraan toe dat dit punt niet algemeen bekend is, wat leidt tot een aantal veel voorkomende misvattingen, versterkt door beperkte detectie van presentatieaanvallen (PAD) in consumentenapparaten en publiciteit over succesvolle aanvallen tegen Apple Touch ID, Samsung swipe sensors, Android gezichtsherkenning, enzovoort. De klantvoordelen van biometrische authenticatie, aldus Gartner, hebben de afgelopen jaren gezorgd voor een toename van het aantal toepassingen voor mobiel bankieren.

Juniper Research heeft berekend dat gezichtsherkenningshardware, zoals Face ID op recente iPhones, de snelst groeiende vorm van biometrische hardware voor smartphones zal zijn. Verwacht wordt dat het er in 2024 meer dan 800 miljoen zullen zijn, tegenover een geschatte 96 miljoen in 2019. Het nieuwe onderzoek, Mobile Payment Authentication: Biometrics, Regulation & Forecasts 2019-2024, merkt echter op dat de meerderheid van de smartphone gezichtsherkenning softwarematig zal zijn, met meer dan 1,3 miljard apparaten die die mogelijkheid hebben tegen 2024

MarketResearch.com merkt op dat voor de bestrijding van bankfraude in de digitale wereld meer onfeilbare technologieën nodig zijn. "Biometrie is een krachtig wapen in de strijd tegen de toenemende dreiging van financiële fraude. De technologie staat dan ook volop in de schijnwerpers dankzij voordelen zoals een eenvoudige en onfeilbare authentificatie op basis van unieke fysieke tekens die moeilijk te repliceren of te dupliceren zijn, zoals spraakherkenning, irisscanning, vingerafdruk- en gezichtsherkenning; het niet meer nodig zijn om wachtwoorden te onthouden en eenmalige wachtwoorden (OTP's) te beheren; verbeterde beveiliging die immuun is voor cyberhackingstrategieën; ongeëvenaard gebruiksgemak; aanzienlijk verminderd risico op identiteitsdiefstal; hogere kwaliteit van de gebruikerservaring; minimale tot geen gebruikersinterface; tijdsbesparing en vermindering van de werklast voor backofficeauthenticatie, enzovoort." Volgens MarketResearch.com zal de wereldmarkt voor biometrie voor bank- en financiële diensten tegen 2025 naar schatting 10,8 miljard dollar bedragen.

Javelin zegt dat het lokaal opslaan van biometrische sjablonen op het apparaat van een persoon de risico's vermindert in verband met het compromitteren van gegevens, hetzij tijdens het vervoer of door kwaadwillende actoren die zich richten op een gecentraliseerde opslag van biometrische gegevens. "Javelin merkt ook op: "Als een kwaadwillende zijn eigen kenmerken met succes in een biometrische authenticator kan invoeren, zal hij zelfs met de meest geavanceerde authenticatiemethode nog steeds beveiligingsuitdagingen kunnen doorstaan. Daarom bieden veel providers aanvullende risicobeoordelingsinstrumenten die in hun platform zijn ingebouwd, zoals device fingerprinting en geolocatie. Andere hulpmiddelen, zoals het scannen van documenten, bieden een natuurlijke aanvulling op het biometrisch scannen, dat een zekere mate van vergelijking mogelijk maakt tussen de vastgelegde biometrische input van de gebruiker en het beeld op een identificatiedocument"

Biometrie en naleving van de regelgeving

Biometrie helpt organisaties te voldoen aan de vereisten voor Strong Customer Authentication (SCA) van de tweede richtlijn betalingsdiensten (PSD2) van de Europese Unie, die voorschriften zijn voor elektronische betalingsdiensten. Volgens de SCA-vereisten moet de authenticatie gebaseerd zijn op twee of meer van de volgende factoren: kennis (zoals wachtwoorden of PIN-codes), bezit (zoals tokens of mobiele apparaten) of inherkenning (biometrie).

Op grond van de General Data Protection Regulation (GDPR) van de EU is twee-factor authenticatie vereist voor naleving. Dat betekent dat een eenvoudige combinatie van gebruikersnaam en wachtwoord niet langer volstaat om gegevens te beschermen, aangezien wachtwoorden gemakkelijk kunnen worden gestolen, gedeeld of misbruikt. In plaats daarvan wordt tweefactorauthenticatie, of 2FA, gebruikt om een persoon te identificeren wanneer twee van de drie mogelijke authenticatiefactoren worden gecombineerd om toegang te verlenen tot een website of applicatie: iets wat de persoon weet, iets wat de persoon heeft of iets wat de persoon is, waarbij biometrische gegevens worden gebruikt zoals een vingerafdruk of gezichtsscan.

In de VS heeft de grootste toezichthouder van de staat, het New York Department of Financial Services, een verordening uitgevaardigd met de titel Cybersecurity Requirements for Financial Services Companies. Het vereist het gebruik van multifactorauthenticatie, met inbegrip van biometrie, "ter bescherming tegen ongeoorloofde toegang tot niet-openbare informatie of informatiesystemen". De niet-openbare informatie is de privé-informatie van de betrokkene

Neem contact met ons op

Neem contact op met een van onze beveiligingsexperts voor meer informatie over hoe onze oplossingen u kunnen helpen met uw digitale beveiligingsbehoeften