Face ID niet feilloos, maar dat hoeft ook niet
- 16 oktober 2017
- Foto: Rodney Troy
Op het nieuwe vlaggenschip van Apple, de iPhone X, kun je inloggen met je gezicht. De camera van de telefoon herkent je en kan op basis van die herkenning je telefoon ontgrendelen. Natuurlijk waren er direct tal van vragen: is dit wel veilig?
Bij wie ben je in beeld?
Zo'n vraag beantwoord ik altijd met een tegenvraag: waartegen wil je je beschermen? Het antwoord daarop geeft enig inzicht in de veiligheid van een technologie voor de bescherming van informatie die je voor jezelf wilt houden. Natuurlijk wil iedereen voorkomen dat de foto’s op je mobiele telefoon in verkeerde handen vallen.
Maar de maatregelen die je moet nemen om de controle over die foto’s te behouden hangen sterk af van van de risico’s die op jou van toepassing zijn. Wil je voorkomen dat iemand met de foto’s aan de haal kan gaan als jij je telefoon in de trein vergeet? Of moet je er rekening mee houden dat je op de radar staat van een geheime dienst van een grootmacht?
Veiligheid kost moeite
Hoe geraffineerd je tegenstander is, is bovendien niet het enige criterium. In je afweging moet je ook het gebruiksgemak meenemen. Voor veel mensen volstaat een toegangscode van vier of zes cijfers. Dat tik je lekker snel in op de relatief grote toetsenbord op het schermpje van je mobiele telefoon.
Als je een hogere drempel wilt, kies je voor het intikken van een heel woord of zelfs een complete zin. Misschien beter beveiligd, maar wel meer tikken en meer pielen op een toetsenbord met kleinere knopjes. Voor veel gebruikers geldt: hoe minder moeite, des te beter.
Hoe goed werkt Face ID met make-up, hoofddoek of hoed?
Vinger als gebruiksvriendelijk alternatief
Zo’n pincode kent ook weer tal van andere nadelen. Veel gebruikers hergebruiken de pincode of kiezen er eentje die een bepaald patroon volgt of voorspelbaar is. Als iemand een klein beetje moeite doet, kan hij zo over je schouder meekijken en je code snel achterhalen.
In dat opzicht is de vingerafdruk die je bij Apple’s Touch ID gebruikt nog niet eens zo’n slecht idee. Je kunt je telefoon zonder te pielen net iets sneller ontgrendelen en als je hem in de trein vergeet, dan kan de vinder van je telefoon er niets mee.
Je vinger vervalst
En ja, ook dit is een kwestie van afwegingen: immers, een pincode zit in je hoofd en de vingerafdruk aan je lichaam. Het is voor een persoon in je omgeving echt niet zo heel erg makkelijk om een goede vingerafdruk te achterhalen én na te maken op een manier die te bruikbaar is om Touch ID te misleiden – los van de fysieke toegang tot de telefoon die daarbij ook nog nodig is. Dat lukt je misschien voor je gezinsleden, maar als de bedreiging in die hoek zit, is een goed gesprek wellicht een effectievere remedie.
En terug bij af: waartegen wil je je beschermen? De politie kan makkelijk je vingerafdruk afnemen, maar mag je weer niet dwingen je pincode op te hoesten. Tenminste, de politie in Nederland. Want voor de politie in China ligt dat misschien weer anders.
Je gezicht als biometrische sleutel
Het kan je niet ontgaan zijn: Apple’s nieuwste iPhone komt met Face ID, een nieuwe technologie voor het ontgrendelen van je telefoon met je gezicht. Het lijkt op het eerste gezicht een welkome aanvulling op de opties die je hebt om toegang te krijgen tot je telefoon. Het zal zonder meer in de meeste gevallen goed en snel werken. Nog makkelijker dan Touch ID. Het werkt bijvoorbeeld ook als je vingers nat zijn.
Tegelijkertijd zal het nabootsen van een gezicht lastiger zijn dan het vervalsen van een vingerafdruk. En als Apple’s cijfers correct zijn, is de kans op dat jouw telefoon iemand anders’ gezicht als het jouwe herkent kleiner dan de kans op een false positives bij vingerafdrukken.
Dat maakt Face ID voor het gros van de mensen een manier van ontgrendelen die relatief veilig en frictieloos is. Als ik al ergens twijfel, dan is het op het punt van gebruiksgemak in specifieke situaties: hoe goed werkt de technologie met make-up, hoofddoek of hoed? Of hoe gemakkelijk ontgrendel je je telefoon tijdens een vergadering zonder direct alle aandacht op je te vestigen?
"Waartegen wil je je beschermen?" is de eerste vraag die je jezelf moet stellen als je wilt weten of een bepaalde technologie wel veilig is.
Bewust van de beperkingen
Apple lijkt zich overigens ook bewust van de beperkingen van deze nieuwe technologie. De gebruiker kan daarom per app bepalen of Face ID gebruikt mag worden voor authenticatie. Dat maakt het mogelijk om met je gezicht je telefoon te ontgrendelen om snel op te zoeken hoe je bij je volgende afspraak komt, terwijl er nog wel om een code gevraagd wordt als je toegang wilt tot je foto’s. Ook kun je in noodgevallen met een druk op een tweetal knoppen aan de zijkant van het toestel snel Face ID uitschakelen. Handig als je onverhoopt in aanraking komt met de politie. Tenslotte heeft Apple de drempel voor het kopiëren van gegevens van je telefoon naar een computer verhoogd: daar is nu altijd een ingetikte code voor nodig.
Face ID niet feilloos, maar dat hoeft ook niet
Hoe gemakkelijk hardcore beveiligingsonderzoekers Face ID kunnen misleiden moet nog blijken. Het is aannemelijk dat ze zullen aantonen dat Face ID niet feilloos is. Maar het is net zo aannemelijk dat de kwetsbaarheden die zij vinden vooral relevant zijn voor mensen die rekening moeten houden met gerichte en geraffineerde aanvallen op de informatie op hun mobiele telefoon. Voor de meeste mensen volstaat Face ID. De prijs van de iPhone X is dan veel lastiger dilemma.
Dit artikel verscheen eerder bij NumrushNumrush.nl is een nieuwssite rondom smart technology en innovatie..