Kijk me aan

Afbeelding via Pixabay

Hoe ontgrendel jij je mobiel, tablet of laptop? Met een wachtwoord, een pincode, je vingerafdruk of misschien zelfs met je gezicht? Er zijn legio mogelijkheden en je kon dan ook wachten op de vraag of gezichtsherkenning wel veilig is. Een paar jaar geleden was mijn antwoord: op zakelijke toestellen zou ik het niet gebruiken, privé lijkt me geen probleem – tenminste, als je een beetje een normaal leven hebt. Maar klopt die stelling wel? Tijd voor wat onderzoek, zodat jij er niet zelf in hoeft te duiken.

Gezichtsherkenning is een vorm van biometrische identificatie, waarbij unieke kenmerken van je lichaam worden vergeleken met een opgeslagen patroon. Andere vormen van biometrie zijn bijvoorbeeld de vingerafdruk- en handpalmscan, de irisscan en stemherkenning. Deze technieken werken anders dan de goede oude vingerafdrukken die je kent van de politie, waarbij met geïnkte vingers een afdruk op papier wordt gemaakt die dan vergeleken wordt met de afdrukken die de inbreker op het raam heeft achtergelaten. In plaats daarvan wordt de scan vertaald in een biometrisch profiel, waarbij onder andere wordt gekeken naar de afstand tussen je ogen, de afstand tussen neus en mond, de vorm van je jukbeenderen en de afmetingen van je gezicht. Geavanceerdere systemen maken een 3D-scan en gebruiken infraroodbeelden, waardoor het profiel nauwkeuriger wordt. Nog beter wordt het als technologie wordt gebruikt om te controleren of de camera naar een levende persoon kijkt. Bij het ontgrendelen worden de dan waargenomen kenmerken vergeleken met het opgeslagen profiel. Het is dus niet zo dat foto’s van toen en nu met elkaar worden vergeleken.

Ik heb vanochtend een stoet aan artikelen over dit onderwerp gelezen, en het antwoord op de vraag of gezichtsherkenning een veilige methode is om je apparaat te ontgrendelen blijkt te zijn: het hangt ervan af om welk apparaat het gaat. FaceID van Apple maakt vanaf de iPhone X gebruik van de geavanceerdere technieken die ik hierboven beschreef en wordt daardoor als veilig beschouwd. Voor Android-toestellen geldt een ander verhaal, zo ontdekte de Consumentenbond. Die herhaalde in 2023 zijn onderzoek van vier jaar eerder en moest concluderen dat er weinig was veranderd: nog steeds konden ze 43% van de onderzochte toestellen voor de gek houden met een foto. Het gaat dan vooral om toestellen aan de onderkant en in het midden van de prijslijst, hoewel ook een paar duurdere toestellen door de mand vielen. Bijna alle Samsung-toestellen deden het goed.

Op Windows-pc’s is Windows Hello beschikbaar. Dat maakt gebruik van infraroodcamera’s om een 3D-scan van je gezicht te maken. Het systeem kan ook checken of het naar een levend wezen zit te kijken, waardoor je het niet gemakkelijk kunt foppen met een foto. Beschikt je computer niet over de benodigde camera’s, dan is gezichtsherkenning niet beschikbaar.

Natuurlijk heb ik de proef op de som genomen en mijn privé-telefoon naar een foto op mijn beeldscherm laten kijken. En vervolgens heb ik gezichtsherkenning op dat toestel gauw uitgeschakeld… De vingerafdrukscanner blijf ik wel gebruiken, want dat is veiliger dan een pincode omdat die kan worden afgekeken. En waar je gezichtsherkenning vaak met een foto kunt foppen, is dat met een vingerafdruk vele malen moeilijker. Sommige Android-toestellen hebben nog patroonherkenning, waarbij je met je vinger een patroon tekent op een raster van negen punten. Het gebruik daarvan wordt zo’n beetje unaniem afgeraden, omdat iemand die over je schouder meekijkt dat patroon heel gemakkelijk kan onthouden. Bovendien verraden vetsporen op het scherm ook het nodige.

Tijdens de research voor deze blog is mij iets opgevallen. Ik heb gezocht op “gezichtsherkenning veilig” en op “face recognition safe”. De Nederlandstalige artikelen gaven goed antwoord op de vraag die ik had, terwijl de Engelstalige artikelen vooral ingingen op het privacy-aspect van gezichtsherkenning: voor welke doelen is deze technologie allemaal te misbruiken? Privacy speelt met name een rol wanneer biometrische gegevens in databases worden opgeslagen. En weer zien we die Chinees bij rood oversteken en een paar dagen later per post een bekeuring ontvangen. Maar ook criminelen zijn geïnteresseerd in technologie waarmee je op basis van een (heimelijk genomen) foto informatie over iemand kunt vergaren. En ten slotte vrezen nogal wat mensen dat de politie hun telefoon wel heel gemakkelijk kan ontgrendelen – je kunt je gezicht nu eenmaal niet uitzetten (net zo min als vingerafdrukken overigens). Terwijl je wel kunt weigeren om je pincode af te staan.

Volgende week verschijnt er geen Security (b)log.

 

En in de grote boze buitenwereld …

• zijn er ook nog andere wegen om telefoons te ontgrendelen.
• worden valse QR-codes op parkeerautomaten geplakt.
• verkopen Chinese ambtenaren gegevens van burgers op de zwarte markt.
• roept D-Link gebruikers van bepaalde VPN-routers dringend op het apparaat te vervangen.
• proberen phishers onder de radar te blijven met behulp van vectorafbeeldingen.
• verraden de telefoons van Amerikaanse militairen en spionnen hun locatie.
• doen we het allemaal voor niets.
• vinden criminelen Black Friday ook leuk.
• denkt de minister van V&J dat decryptieplicht voor chat-apps een dilemma is.
• begrijpt diezelfde minister wel dat de politie meer verstand van de onlinewereld moet krijgen.
• wordt zelfs de naam van het NCSC misbruikt in een phishingcampagne.