Gedragsbiometrie als basis voor impliciete authenticatie?

We doen het meerdere malen per dag onbewust: een persoon herkennen. We doen dat niet alleen op basis van zijn of haar fysieke kenmerken, maar ook op basis van het gedrag van die persoon, zoals de manier van bewegen of de manier van praten. Een combinatie van dergelijke factoren samen doet ons telkens (onbewust) besluiten dat we met de juiste persoon spreken.

In de digitale wereld zijn er ook mogelijkheden om dergelijke technieken toe te passen. Men maakt daarbij gebruik van de manier van interageren met het toestel: het typgedrag, de manier waarop de gebruiker zijn smartphone vasthoudt, hoe snel er tussen schermen gewisseld wordt, etc. Al deze zaken zijn tot op zekere hoogte uniek en kunnen informatie opleveren over de identiteit van de gebruiker. Men spreekt van behavioral biometrics of gedragsbiometrie. Op basis van verschillende kenmerken wordt er een profiel opgesteld dat accurater wordt naarmate er meer informatie verzameld en geanalyseerd wordt.

Unieke eigenschappen

Gedragsbiometrie heeft een aantal unieke eigenschappen. De belangrijkste eigenschap is misschien wel dat we een bepaalde mate van zekerheid kunnen hebben over de identiteit van een gebruiker zonder de gebruiker daarvoor lastig te vallen. Het is een passieve techniek waarbij geen expliciete actie van de gebruiker nodig is zoals het ingeven van een paswoord, overtypen van een token of uitlezen van een smartcard. Dit is in het bijzonder interessant voor toepassingen waar men de drempel voor gebruikers zo laag mogelijk wil houden, zoals in de context van e-commerce.

De klassieke technieken voor biometrische authenticatie leggen zich toe op fysieke kenmerken: vingeradruk, iris, etc. Dat vereist specifieke hardware zoals een vingerafdruksensor of irisscanner die doorgaans enkel beschikbaar is bij high-end devices. Gedragsbiometrie daarentegen kan uitgevoerd worden op basis van software of hardware die standaard aanwezig is in de meeste toestellen (bijvoorbeeld beweging of stand van het toestel op basis van accelerometer en gyroscoop).

In tegenstelling tot andere authenticatietechnieken laat gedragsbiometrie toe om gebruikers continue te authenticeren, zelfs nadat een gebruiker geauthenticeerd werd op basis van een traditioneel authenticatiemiddel zoals een paswoord.

Toepassingsgebied

Maar we kunnen ons afvragen of gedragsbiometrie op zich volstaat. Biedt het voldoende zekerheid over de identiteit van een gebruiker? Afhankelijk van de gebruikte algoritmes zal de authenticatie in mindere of in meerdere mate betrouwbaar zijn. Een combinatie van technieken kan de betrouwbaarheid verhogen, maar dergelijke oplossingen bieden volgens de huidige stand van zaken nog niet voldoende zekerheid voor zeer gevoelige transacties. Er is ook geen expliciete actie of consent van de gebruiker zoals bij het opgeven van een wachtwoord of het scannen van een vingerafdruk.

Touch IDHet is daarom een techniek die enkel op zich (alleenstaand) kan toegepast worden voor scenario’s waarbij gebruiksgemak van primair belang is, waar men de gebruiker niet wil lastigvallen, maar integendeel de drempel om een transactie uit te voeren zo laag mogelijk wil houden. Voor meer gevoelige transacties dient er een ‘step-up’ te gebeuren: er moet een bijkomende, meer betrouwbare vorm van authenticatie uitgevoerd worden.

Gedragsbiometrie kan ingezet worden voor de detectie van fraude. Zo kan abnormaal gedrag gesignaleerd worden en kan belet worden dat accounts of credentials onrechtmatig gebruikt worden. Daarbij kan ook bot-achtig gedrag gedetecteerd worden.

Conclusie

Gedragsbiometrie lijkt niet voldoende als enige authenticatietechniek, maar kan een goede aanvulling zijn voor de traditionele technieken, in het bijzonder voor detectie van fraude. Hoe meer input er beschikbaar is voor het profiel, hoe beter het resultaat. Dat is een reden om het verzamelen van gedragsinformatie niet te beperken tot één toepassing, maar om dat te doen op niveau van het platform. Zo heeft Google de intentie om op het Android platform een trust score aan te bieden gebaseerd op onder andere het typgedrag, de locatie en gezichtsherkenning. Dat moet ontwikkelaars toelaten om meer zekerheid te hebben over de identiteit van de gebruiker.

Het is uitermate interessant om te zien of gedragskenmerken, aangevuld met locatie, gezichtsherkenning en toestelinformatie impliciete authenticatie mogelijk kan maken. Het zou in elk geval mooi zijn als we als gebruiker automatisch herkend worden bij het gebruik van een toepassing, zonder expliciete actie.

 

This entry was posted in Mobile, Security by Bert Vanhalst. Bookmark the permalink.
avatar

About Bert Vanhalst

Bert is sinds 2001 research consultant bij Onderzoek Smals. Na het introduceren van Service Oriented Architecture en web services, verlegde hij de focus op mobile development en security. Tegenwoordig spitst hij zich toe op sterke (mobiele) authenticatie en conversationele interfaces.

Leave a Reply

Your email address will not be published. Required fields are marked *