As presented at the Heliview IAM event on 18 May 2017. The title is Dutch, but literally translated: From Irisscan to bud print: biometric authentication in 2017
7. Er zijn nog geen goede normen voor biometrische authenticatie
1
Wel zegt NIST het nodige
• NIST 800-63-3 Digital Authentication Guideline - https://pages.nist.gov/800-63-3/
• Strength of Function for Authenticators - Biometrics (SOFA-B) - https://pages.nist.gov/SOFA/
Doe een serieuze assessment! Inclusief mitigerende maatregelen, bv revocatie
8. Biometrische authenticatie impliceert mobiel
2
Met name voor consumenten/burgers
“More than 1 billion mobile devices will include fingerprint readers this year”
[Deloitte, 16 maart 2017, http://deloitte.wsj.com/cio/2017/03/16/biometric-security-comes-of-age/]
Maar allemaal hebben ze een camera …
FIDO standaard maakt het ook makkelijker
10. Vanwege privacy op de mobiel, maar … voor security op de server
3
Biometrische templates zijn (erg) privacygevoelig
Op de mobiel vereist vertrouwen in de mobiel, en veilige opslag op de mobiel
Op de server betekent een privacy hotspot/risico
Heel secure opslaan, of nog beter: niet opslaan (homomorphic encryption)
11. Liveness/spoofing is ERG belangrijk
4
Immers, biometrische kenmerk is min-of-meer publiek
Maar wel meer of minder praktisch voor sommige biometrische kenmerken
Ook genoemd: presentation attack detection
Mooie morphing demo
https://www.theverge.com/2016/3/21/11275462/facial-transfer-donald-trump-george-bush-video - https://youtu.be/ohmajJTcpNk?t=58
[http://www.science20.com/beachcombing_acade
mia/progress_fake_finger_detection-88116]
12. Biometrie is vaak de tweede factor
5
Vanwege false-acceptance en liveness uitdagingen
NIST: “Biometrics SHALL be used with another authentication factor
(something you know or something you have).”
Let op: een smartphone kan de eerste factor zijn!
13. Biometrie is vaak de tweede tweede factor
6
Pleister, slecht licht, veroudering etc
Fall-back nodig
15. Take aways – biometrische authenticatie
Is doorgebroken. Op mobiel.
Veel technologische ontwikkeling, bijna niet bij te
houden. Wees agile en monitor!
Keuzes: privacy of security, false-accept of false-reject
Liveness vaak onderbelicht
Een gemakkelijke tweede tweede factor
Maarten Wegdam | maarten.wegdam@innovalor.nl | innovalor.nl | readid.com