Laatste nieuws
 
 
  Achtergrondartikelen  
 


Hoe verstandig is dat?

Ons digitale leven wordt (grotendeels) geregeerd door wachtwoorden. Het onthouden van al die wachtwoorden die de toegang bepalen tot ons digitale (mobiele) leven, vormt echter een ware martelgang voor velen. Recent onderzoek van Enterprise Management Associates (EMA) suggereert dat we graag toe willen groeien naar ontsluiting van informatie en apparaten via biometrische gegevens. Maar is dat nou wel zo verstandig? Want als er toch iets persoonsgebonden is…

Onlangs verscheen een aantal artikelen die min of meer aan elkaar waren gerelateerd met als onderwerp de toegankelijkheid van (mobiele) apparaten op basis van biometrische gegevens. Het lijkt het ei van Columbus, maar als biometrische gegevens
de sleutel tot allerlei apparaten vormen en daarmee tot belangrijke bedrijfsinformatie, hoe zit dat dan? Waar, hoe en door wie worden dan die biometrische gegevens opgeslagen en beheerd? Wie houdt daar toezicht op? Hoe veilig is de ontsluiting via biometrische gegevens nu eigenlijk echt? Waarom willen we dit eigenlijk? Dat laatste is eenvoudig: gebruiksgemak. Wachtwoorden vergeten we namelijk nogal eens.


MOBIELE APPARATEN HEBBEN DE TOEKOMST
Uit het onderzoek van EMA komen de volgende (volgens opdrachtgever MobileIron) belangrijke bevindingen naar voren:

  1. Meer dan 90% van alle respondenten geeft aan dat hun organisatie het afgelopen jaar te maken heeft gehad met een ernstige schending van het wachtwoordbeleid.
  2. Authenticatieoplossingen op basis van mobiele apparaten worden door de respondenten gezien als de eenvoudigste oplossing voor identiteitsbeheer; zij beschouwen het gebruik van eenmalige wachtwoorden als het meest uitdagend.
  3. De helft van de respondenten is van mening dat wachtwoordloze authenticatie veiliger is dan het gebruik van wachtwoorden.
  4. Authenticatie voor mobiele devices met biometrisch toegangsbeheer biedt volgens de respondenten gebruikseenvoud, krachtige beveiliging en verbeterde productiviteit.


‘Authenticatie voor met name mobiele apparaten op basis van biometrisch toegangsbeheer biedt een oplossing voor de problemen die gepaard gaan met wachtwoordgebruik. Mobiele beveiliging vormt een kerncomponent van de digitale transformatie’, aldus onderzoekster Rhonda Shantz. Oké, maar moet dat per se met biometrische gegevens? Even de vraag voorgelegd aan een freelance security specialist/privacy officer. Toegang via een scan van een vingerafdruk blijkt helemaal niet zo veilig. ‘Er worden tien scans gemaakt, omdat je nu eenmaal je vinger steeds op een andere manier tegen de scanner houdt. Als maar één van die tien overeenkomt met de scan is het al goed. Bovendien is het slechts een deel van jouw vingerafdruk. Er komt daarom een fors percentage false positives naar boven… Die false positives vormen daarmee het grootste risico. Naar mijn idee is een goed wachtwoord beter. Bovendien kun je daarmee veel meer variëren.’

De relatie met de GDPR
In juridisch perspectief: biometrische gegevens bedoeld voor identificatie zijn bijzondere persoonsgegevens, waarvoor speciale regels gelden. Regine Scholten, (BRIEQ Advocatuur), gespecialiseerd advocaat in Privacy en Contractenrecht. ‘In principe is het volgens de richtlijnen van de GDPR verboden om biometrische gegevens te verzamelen en te gebruiken om iemand te identificeren, tenzij dit echt noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Dat is alleen zo als er sprake is van het ontbreken van een goed alternatief.’ We hebben echter net begrepen dat een goed doordacht wachtwoord een prima alternatief is… Het is alleen wat lastiger. Een andere mogelijkheid voor het gebruik van biometrische gegevens is als er expliciete toestemming voor wordt gegeven. Die expliciete toestemming moet dan wel weer voldoen aan strikte randvoorwaarden.

Data Protection Impact Assessment
Een Data Protection Impact Assessment (DPIA) zou hier ook van toepassing moeten zijn: om welke gegevens gaat het precies, wat zijn de risico’s, zijn er mogelijke alternatieven en wat doet een bedrijf eraan om die gegevens te beveiligen? Scholten: ‘Het op basis van biometrische gegevens inloggen op een bepaald tijdstip, een bepaalde plaats, het zegt allemaal iets over de aanwezigheid en activiteit van een individu op dat tijdstip en die plaats. Als die gegevens worden verwerkt, moet het voldoen aan de GDPR en de Nederlandse Uitvoeringswet AVG.’

Veilig op je telefoon?
Volgens de meest gangbare opties blijft de scan van de vingerafdruk op je mobiele telefoon staan. Maar is dat wel zo veilig? Alles wat op enig moment is gekoppeld aan internet is te hacken, tot en met je koelkast aan toe. Een onderzoek van het CBS (Cybersecurity Monitor 2018) leert dat Nederlanders hun computer meestal nog wel redelijk goed beveiligen. Anders is dat bij hun mobiele telefoon. In 2018 was 2300 keer aangifte gedaan van zo’n hack en volgens het CBS is dat waarschijnlijk maar het topje van de ijsberg. Naar schatting doet tachtig procent niet eens aangifte. Reden? Amper vijf procent van die aangiftes wordt opgelost. Telefoons zijn bovendien heel vaak net zo zeer privé als zakelijk in gebruik. Dat maakt het extra lastig om grip op het apparaat en het gebruik ervan te houden. Niettemin lijken deze aantallen hacks niet substantieel in relatie tot de aantallen mobiele apparaten die in gebruik zijn. Er wordt echter niet vermeld wat de gevolgen van die hacks waren. Identiteitsfraude is een bijkomend, groot en lastig te ondervangen probleem van het steeds meer digitaal werken en communiceren.

Data en scan gescheiden
Bij de meeste mobiele telefoons wordt een mathematische weergave van je vingerafdruk opgeslagen op de telefoon. Die data zijn heel goed met encryptie beveiligd. De eigenlijke scan blijft daarbij gescheiden van de data. Voor andere delen van de processor is het onmogelijk daar toegang toe te krijgen, net zozeer als voor apps (bron: www.ikwilmobielwerken.nl). Heel veel veiliger dan dat gaat het niet worden waarschijnlijk. Iets vergelijkbaars kan met een speciale usb om bijvoorbeeld een laptop of desktop computer te ontsluiten via biometrische gegevens. Op die usb zit een optie om een vinger te scannen. De zwakke schakel is echter altijd weer de kwaliteit van de scanner en de hoeveelheid scans waarmee wordt vergeleken. Misschien toch goed om daarover na te denken vóór je dergelijke toepassingen bedrijfsmatig inzet.

Welke biometrische gegevens?
Het gaat in de praktijk overigens niet alleen om de vingerafdruk van de gebruiker: er zijn irisscans, retinascans, gezichtscans (2D, maar ook de 3D-scan die weer veiliger is) en zelfs de manier van lopen of de persoonlijke geur van iemand kan zorgen voor toegang. Dat laatste type authenticatie zal uiteraard niet snel voor een mobiele telefoon of computer worden gebruikt, maar het kan ook gaan om toegang tot een gebouw of ruimte en die ruimte kan bijvoorbeeld wel een serverpark of datacenter zijn.

Consument versus zakelijk
Dan is er ook nog verschil tussen het consumentengebruik en het zakelijk gebruik van deze vormen van beveiliging. In het geval het gaat om zakelijk gebruik liggen de eisen veelal een stuk hoger en wordt gebruik gemaakt van zogenaamde meervoudige authenticatie. Daarbij krijgt een gebruiker zowel een ID als een KEY om te kunnen inloggen op bijvoorbeeld een bedrijfsportaal. Dergelijke meervoudige beveiliging kun je heel eenvoudig zelf instellen: maak je gebruik van een vingerafdruk (en neem eens niet standaard je wijsvinger!), maak dan óók gebruik van een PIN of andere code bijvoorbeeld. Zorg bijvoorbeeld ook voor aparte codes voor toegang tot apps op je telefoon, laptop of tablet. Dat maakt het alweer een stuk lastiger om ‘in te breken’.

Conclusie
Beveiliging via biometrische gegevens wekt de suggestie dat het een stuk veiliger is dan met een wachtwoord. Het is echter maar zeer de vraag óf het veiliger is. Er zitten behoorlijk wat haken en ogen aan, zeker als het gaat om privacy. Het wachtwoordloze tijdperk laat waarschijnlijk nog wel even op zich wachten. Wachtwoorden kun je in ieder geval nog snel aanpassen. Dat is bij een individuele vingerafdruk na tien keer niet meer mogelijk. Makkelijker is dus niet altijd beter.

Plaats op:
Datum: 27 november 2019
Bron: Doxis
Gerelateerde artikelen  
26-04-2019 Nieuws Collega’s zorgen voor productiviteitslek op de werkvloer
14-08-2013 Nieuws Nederlandse kantoren milieuvriendelijker dan Duitse?
19-09-2017 Achtergrondartikelen Trusted community platform brengt rust
15-07-2013 Nieuws Schiphol plaats LED verlichting langs de start- en landingsbanen
18-07-2013 Nieuws NEN publiceert NTA voor verbetering veiligheidsgedrag op de werkvloer
 
 

- partners -

 
 
 
 
 
� 2005 - 2019 Vakwereld. All rights reserved Pagina geladen in 0,5 seconden.