Referendum sleepwet nog een stap dichterbij

Face ID niet feilloos, maar dat hoeft ook niet

De week van sekswerk op Facebook, ‘Klont’ en bespioneerde spionnen

Op het nieuwe vlaggenschip van Apple, de iPhone X, kun je inloggen met je gezicht. De camera van de telefoon herkent je en kan op basis van die herkenning je telefoon ontgrendelen. Natuurlijk waren er direct tal van vragen: is dit wel veilig?

Bij wie ben je in beeld?

Zo'n vraag beantwoord ik altijd met een tegenvraag: waartegen wil je je beschermen? Het antwoord daarop geeft enig inzicht in de veiligheid van een technologie voor de bescherming van informatie die je voor jezelf wilt houden. Natuurlijk wil iedereen voorkomen dat de foto’s op je mobiele telefoon in verkeerde handen vallen.

Maar de maatregelen die je moet nemen om de controle over die foto’s te behouden hangen sterk af van van de risico’s die van jou op toepassing zijn. Wil je voorkomen dat iemand met de foto’s aan de haal kan gaan als jij je telefoon in de trein vergeet? Of moet je er rekening mee houden dat je op de radar staat van een geheime dienst van een grootmacht?

Veiligheid kost moeite

Hoe geraffineerd je tegenstander is, is bovendien niet het enige criterium. In je afweging moet je ook het gebruiksgemak meenemen. Voor veel mensen volstaat een toegangscode van vier of zes cijfers. Dat tik je lekker snel in op de relatief grote toetsenbord op het schermpje van je mobiele telefoon.

Als je een hogere drempel wilt, kies je voor het intikken van een heel woord of zelfs een complete zin. Misschien beter beveiligd, maar wel meer tikken en meer pielen op een toetsenbord met kleinere knopjes. Voor veel gebruikers geldt: hoe minder moeite, des te beter.

Hoe goed werkt Face ID met make-up, hoofddoek of hoed?

Vinger als gebruiksvriendelijk alternatief

Zo’n pincode kent ook weer tal van andere nadelen. Veel gebruikers hergebruiken de pincode of kiezen er eentje die een bepaald patroon volgt of voorspelbaar is. Als iemand een klein beetje moeite doet, kan hij zo over je schouder meekijken en je code snel achterhalen.

In dat opzicht is de vingerafdruk die je bij Apple’s Touch ID gebruikt nog niet eens zo’n slecht idee. Je kunt je telefoon zonder te pielen net iets sneller ontgrendelen en als je hem in de trein vergeet, dan kan de vinder van je telefoon er niets mee.

Je vinger vervalst

En ja, ook dit is een kwestie van afwegingen: immers, een pincode zit in je hoofd en de vingerafdruk aan je lichaam. Het is voor een persoon in je omgeving echt niet zo heel erg makkelijk om een goede vingerafdruk te achterhalen én na te maken op een manier die te bruikbaar is om Touch ID te misleiden – los van de fysieke toegang tot de telefoon die daarbij ook nog nodig is. Dat lukt je misschien voor je gezinsleden, maar als de bedreiging in die hoek zit, is een goed gesprek wellicht een effectievere remedie.

En terug bij af: waartegen wil je je beschermen? De politie kan makkelijk je vingerafdruk afnemen, maar mag je weer niet dwingen je pincode op te hoesten. Tenminste, de politie in Nederland. Want voor de politie in China ligt dat misschien weer anders.

Je gezicht als biometrische sleutel

Het kan je niet ontgaan zijn: Apple’s nieuwste iPhone komt met Face ID, een nieuwe technologie voor het ontgrendelen van je telefoon met je gezicht. Het lijkt op het eerste gezicht een welkome aanvulling op de opties die je hebt om toegang te krijgen tot je telefoon. Het zal zonder meer in de meeste gevallen goed en snel werken. Nog makkelijker dan Touch ID. Het werkt bijvoorbeeld ook als je vingers nat zijn.

Tegelijkertijd zal het nabootsen van een gezicht lastiger zijn dan het vervalsen van een vingerafdruk. En als Apple’s cijfers correct zijn, is de kans op dat jouw telefoon iemand anders’ gezicht als het jouwe herkent kleiner dan de kans op een false positives bij vingerafdrukken.

Dat maakt Face ID voor het gros van de mensen een manier van ontgrendelen die relatief veilig en frictieloos is. Als ik al ergens twijfel, dan is het op het punt van gebruiksgemak in specifieke situaties: hoe goed werkt de technologie met make-up, hoofddoek of hoed? Of hoe gemakkelijk ontgrendel je je telefoon tijdens een vergadering zonder direct alle aandacht op je te vestigen?

“Waartegen wil je je beschermen?” is de eerste vraag die je jezelf moet stellen als je wilt weten of een bepaalde technologie wel veilig is.

Bewust van de beperkingen

Apple lijkt zich overigens ook bewust van de beperkingen van deze nieuwe technologie. De gebruiker kan daarom per app bepalen of Face ID gebruikt mag worden voor authenticatie. Dat maakt het mogelijk om met je gezicht je telefoon te ontgrendelen om snel op te zoeken hoe je bij je volgende afspraak komt, terwijl er nog wel om een code gevraagd wordt als je toegang wilt tot je foto’s. Ook kun je in noodgevallen met een druk op een tweetal knoppen aan de zijkant van het toestel snel Face ID uitschakelen. Handig als je onverhoopt in aanraking komt met de politie. Tenslotte heeft Apple de drempel voor het kopiëren van gegevens van je telefoon naar een computer verhoogd: daar is nu altijd een ingetikte code voor nodig.

Face ID niet feilloos, maar dat hoeft ook niet

Hoe gemakkelijk hardcore beveiligingsonderzoekers Face ID kunnen misleiden moet nog blijken. Het is aannemelijk dat ze zullen aantonen dat Face ID niet feilloos is. Maar het is net zo aannemelijk dat de kwetsbaarheden die zij vinden vooral relevant zijn voor mensen die rekening moeten houden met gerichte en geraffineerde aanvallen op de informatie op hun mobiele telefoon. Voor de meeste mensen volstaat Face ID. De prijs van de iPhone X is dan veel lastiger dilemma.

  1. Huib de Bruin

    Wat vinden jullie van deze tweet van Edward Snowden:
    #FaceID
    Good: Design looks surprisingly robust, already has a panic disable.
    Bad: Normalizes facial scanning, a tech certain to be abused.

    Bron: https://twitter.com/Snowden/status/907730980701700096

    • Rejo Zenger

      We kunnen ons daar goed in vinden. Snowden constateert immers dat Apple er al over heeft nagedacht dat je de functionaliteit misschien wel wil gebruiken, maar soms even niet. Verder zijn we het met hem eens dat het het scannen van gezichten (om welke reden dan ook) verder normaliseert.

      Wat vind jij?

      • Huib de Bruin

        Zelf ben ik op zulke momenten meer een doemdenker. Dat normaliseringsproces maakt me wel enigszins verontrust over de toekomst, aangezien mensen er mogelijk zo aan zullen wennen dat ze het niet meer erg zullen vinden dat hun gezichten op straat continu gescand worden door camera’s. Natuurlijk is het in het ene geval een keuze, terwijl het in het andere geval iets is dat aan je opgelegd wordt, maar toch heb ik het gevoel dat het de mentale drempel verlaagt.

  2. Rolf

    Een kwalijke ontwikkeling. Gezichtherkenning is als techniek nog erger dan tracking via internet, waar je jezelf nog enigzins tegen kunt beschermen. Als gezichtsherkennings-software gemeengoed wordt (en dat zal het, techniek wordt almaar goedkoper en voor steeds meer instanties, ook overheden, beschikbaar komen) zal een surveillance-staat een feit worden en kun je zelfs in de openbare ruimte niet meer vrij bewegen. Dit hoort in een democratie niet thuis.
    (Het is in China al werkelijkheid: http://computerworld.nl/overheid/101106-eng-dit-is-geavanceerd-videobewakingssysteem-sky-net)

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.