Een pleidooi voor gedragsbiometrie

Nu apps voor mobiel bankieren door steeds meer mensen dagelijks worden gebruikt, beginnen cybercriminelen serieus belangstelling te krijgen voor methoden en technieken om mobiele apparaten te compromitteren. Nieuwe en geavanceerde aanvalsmethoden hebben de klassieke pogingen om gebruikersnaam en wachtwoord te ontfutselen overbodig gemaakt. Zelfs een betere, maar nog altijd basale methode als tweefactor-authenticatie lijkt onvoldoende. De reden is dat hackers manieren hebben gevonden om gebruikers te verleiden tot het invoeren van toegangscodes via valse gebruikersinterfaces van betaalsites. Tijd voor een nieuwe aanpak – ‘behavioral biometrics’ – die individuele transacties beschermt zonder dat de gebruiker hier extra handelingen voor hoeft te doen.

De grootste uitdaging is altijd geweest: ontwerp een ​​beveiligingsschema dat dynamisch genoeg is om hackers te dwarsbomen zonder dat dit schema de bruikbaarheid van de app of het apparaat belemmert. Vanuit gebruikersperspectief is het lastig om steeds nieuwe inloggegevens toe te moeten voegen, zoals sterke wachtwoorden en unieke gebruikersnamen. Hoewel dit vanuit security-oogpunt erg verstandig is, levert dit voor gebruikers vaak zoveel overlast op dat zij soms zelfs besluiten om maar over te stappen naar een andere en minder ‘strenge’ serviceprovider.

Het veroorzaakt bovendien foutief gedrag, waarbij een gebruiker bijvoorbeeld hetzelfde wachtwoord gebruikt voor meerdere platformen of eenvoudige wachtwoorden toepast die gemakkelijk te onthouden zijn. Dat alleen al ondermijnt de veiligheid, omdat criminelen gemakkelijker zwakke punten kunnen vinden om te exploiteren. Mobiele apparaten zijn hierbij nog eens extra kwetsbaar, omdat gebruikers bij dit soort apparaten over het algemeen minder alert zijn op beveiliging dan op desktops of laptops.

Nieuwe lagen toevoegen

Met enige regelmaat voegen app-bouwers extra beveiligingslagen toe. De effectiviteit daarvan wordt vaak echter deels weer teniet gedaan doordat de technische implementaties nogal eens bugs vertonen. Ook kennen sommige mobiele apparaten en hun besturingssystemen structureel zwakke punten die ook door het toevoegen van extra security-lagen nauwelijks op te vangen zijn. Cybercriminelen zijn voortdurend aan het werk om nieuwe manieren te vinden om deze fouten en lekken te exploiteren. Elk succes betekent dat ontwikkelaars bestaande beveiligingslagen moeten verbeteren of een nieuwe laag moeten toevoegen, die op zijn beurt weer bijdraagt ​​aan de algehele complexiteit.

Technologie is echter niet het enige doelwit van cybercriminelen. Ze proberen ook misbruik te maken van het gebrek aan kennis van gebruikers. Criminelen zijn heel goed in staat om de gebruiker een vals inlogscherm te presenteren, waarbij de onwetende klant de inloggegevens invoert evenals eventuele authenticatiecodes die per sms worden toegezonden. De malware wijzigt vervolgens in het geheim en onzichtbaar voor de gebruiker bijvoorbeeld het rekeningnummer waarnaar het bedrag dient te worden overgemaakt.

Om deze redenen hebben financiële instellingen – terecht – meer discrete beveiliging toegevoegd aan hun apps. Deze heeft normaal gesproken geen invloed op de bruikbaarheid. Door bijvoorbeeld rekening te houden met de tijd en de plaats waarop gebruikers inloggen op hun mobiele bank-apps, kunnen ze snel verdachte inlogpogingen detecteren. Als iemand aan de andere kant van de wereld probeert om een ​​grote transactie te doen, is er gewoonlijk iets niet in de haak. Het blokkeren van de transactie tot er aanvullende verificatie is geweest, is de beste manier van handelen.

Banken kunnen daarnaast nog meer gedragskenmerken toevoegen aan de mix – naast tijd en plaats. Bijvoorbeeld de druk van de vinger op het scherm van de smartphone of tablet tijdens het tikken of swipen. Of denk aan de snelheid van tikken. Sluit een van de biometrische kenmerken niet bij het profiel van de echte gebruiker, dan kan het zijn dat het apparaat is gestolen. Of dat de gebruiker onbewust een overlay gebruikt die door cybercriminelen is aangebracht in plaats van de eigenlijke app voor bankieren.

Gedrag als security-maatregel

Dit type beveiliging staat bekend als ‘behavioral biometrics’ ofwel gedragsbiometrie. Het is een extra bescherming die VASCO heeft toegevoegd aan zijn oplossingen. Door de manier te bepalen waarop de gebruiker het apparaat doorgaans gebruikt, kunnen specifiek voor gedragsbiometrie ontwikkelde algoritmes een soort profiel van de gebruiker definiëren. Als de handelingen van de gebruiker overeenkomen met dit profiel, dan is de kans groter dat de acties van de gebruiker legitiem zijn. En dat het dus niet nodig is om de gebruikservaring te verstoren en mogelijk in gevaar te brengen. Een plotselinge gedragsverandering kan er echter op wijzen dat er iets aan de hand is. De bank kan dan om aanvullende verificatie vragen.

Gedragsbiometrie biedt een methode om transacties te verifiëren waarvan de gebruiker geen last ondervindt. Gebruikers zullen deze extra security-laag in de regel zelfs helemaal niet opmerken, omdat er geen extra actie van hen nodig is. Dit betekent op zijn beurt dat de tijd die wordt besteed aan het authenticeren van een gebruiker geminimaliseerd is. De gebruiker kan hierdoor meer tijd besteden aan het feitelijke gebruik van de applicatie. Al die tijd is de sessie echter beveiligd tot het niveau dat gebruikers zouden verwachten.

Het gevolg van het gebruik van gedragsbiometrie is minder fraude en een minimalisering van het aantal ‘false positives’. Het doet ook veel minder inbreuk op de privacy van klanten, dan traditionele biometrische gegevens. Denk aan databases met vingerafdrukken, irisscans of stempatronen. Het gedragspatroon van een gebruiker wordt opgeslagen als een wiskundige vergelijking die nutteloos is voor criminelen die persoonlijke gegevens zoeken.

Gedragsbiometrie biedt beveiliging per individuele transactie. Het beveiligt niet slechts één ingangsroute, zoals een inlog plus wachtwoord. Hierdoor is het voor criminelen veel lastiger geworden om toegang te krijgen tot bijvoorbeeld bank-apps. Er is nu immers geen sprake meer van technische of menselijke zwakheden. Bovendien wordt de gebruiker niet langer belast met de ongemakken die extra beveiligingslagen normaal gesproken met zich meebrengen.