Stel je voor: je wordt verdacht van een misdrijf. De politie vermoedt dat op je telefoon, die vergrendeld is met een vingerafdruk of met gezichtsscan, bewijsmateriaal staat. Dan mag de opsporingsdienst je vanaf nu dwingen om je telefoon of tablet met een vingerafdruk of gezichtsscan te ontgrendelen. Dit kun je concluderen uit een uitspraak van de Hoge Raad van 9 februari 2021. Voor de goede orde: op dit moment kan de politie je dus niet dwingen met bijvoorbeeld een wachtwoord of toegangscode je telefoon te ontgrendelen. Je hebt namelijk altijd het recht om te zwijgen.

Dit zorgt ervoor dat het goed is om even in te zoomen op authenticatie. Wat is dat nou eigenlijk? Simpel: aan de hand van een aantal unieke kenmerken vaststellen dat je bent wie je zegt dat je bent. Dat kan op veel verschillende manieren, maar het komt meestal neer op een variatie op; iets wat je bent, wat je hebt of wat je weet.

De meest intimiderende manier van authenticatie vind ik de visuele. Op de een of andere manier gaat mijn hartslag toch omhoog als ik die nors kijkende douanier mijn paspoort met die vreselijke pasfoto van 5 jaar geleden geef. Voor mijn gevoel klinkt mijn stem toch net wat anders als ik ook nog moet bevestigen dat ik degene ben die in het paspoort staat. Minder intimiderend is wat mij betreft de vingerafdruk of gezichtsscan op de mobiele telefoon: dat gebruik je zonder erbij na te denken. Gebruikersnamen en wachtwoorden voeren we de hele dag in op websites, portalen, platforms, interne netwerken, enzovoorts, daar hebben we zelfs passwordmanagers voor. We kunnen ze immers nooit allemaal onthouden. En juist daarom is authenticatie met iets dat je dus niet kunt vergeten of kwijtraken (zoals je vingerafdruk of gezichtsscan) zo superhandig.

Authenticatie is dus een essentieel onderdeel van beveiliging. Er moet worden vastgesteld dat je de juiste persoon bent die toegang krijgt tot bijvoorbeeld het land, een gebouw, je computersysteem, je telefoon of je gegevens. Toch bestaat er een risico dat anderen jouw unieke eigenschappen misbruiken. Bijvoorbeeld pientere kinderen die, als mamma een uiltje knapt op de bank, Pokémon-aankopen doen met haar vingerafdruk. Nu kunnen dus ook de autoriteiten je ertoe dwingen om met je vingerafdruk of gezichtsscan (in het belang van hun onderzoek) je telefoon te ontgrendelen. Biometrische authenticatie is met deze uitspraak van de Hoge Raad in één klap voor de beveiliging van je gegevens een stuk minder geschikt en aantrekkelijk geworden. Om het nog even scherp te hebben: dat kunnen ze dus niet als je je gegevens beveiligt met iets wat je ‘weet’, zoals een wachtwoord of een toegangscode.

De enige conclusie die ik kan trekken is dat écht gevoelige informatie of gegevens niet meer met biometrie beveiligd mogen worden. Een ouderwetse gebruikersnaam met wachtwoord is daarvoor geschikter. Ironisch genoeg is het juist de zeer gevoelige informatie die het vaakst beveiligd wordt met biometrische authenticatie. De mensen die mij kennen weten dat ik een evangelist ben van multi-factor authenticatie, ook wel 2FA of MFA genoemd. Dit is, afhankelijk van de gekozen authenticatievorm, niet ingewikkeld voor de gebruiker en maakt kostbare gegevens lastiger te bereiken voor kwaadwillenden. Ja, het is misschien wat lastiger en kost waarschijnlijk iets meer tijd om ermee te werken, maar dat weegt niet op tegen de voordelen die het biedt en risico’s die het mitigeert. Implementeren dus!

 


Hulp nodig?

De auteur Arno van de Hof is accountmanager bij Cuccibu. Informatie is van onschatbare waarde. Voor organisaties, consumenten, werknemers, voor iedereen. Veiligheid van informatie is geen vanzelfsprekendheid en op allerlei vlakken liggen bedreigingen op de loer. Cuccibu helpt organisaties die bedreigingen, die risico’s, op een verantwoorde manier te behandelen (Reduce Risk) zonder het doel van de organisatie uit het oog te verliezen (Create Value). Onze missie: Reduce Risk, Create Value!

Heb je vragen over dit onderwerp of wil je verder praten? Of twijfel je erover of veilige authenticatie van medewerkers of collega’s op dit moment wel goed is geregeld? Neem dan gerust contact met mij op of met een van onze betrouwbare professionals via:

info@cuccibu.nl of +31 (0) 85 3030 2984.