Hoe betrouwbaar zijn biometrische toegangsbeveiligingen?
Biometrie is niet nieuw: personen worden herkend aan hun gezicht of stem, en de foto op paspoort en rijbewijs wordt vergeleken met het uiterlijk van de drager. Wel nieuw is dat dit elektronisch gebeurt: de door middel van camera's en andere sensoren waargenomen kenmerken worden vergeleken met gegevens van de desbetreffende persoon, die ooit eerder digitaal in een database of ander geheugenmedium zijn opgeslagen.
Bij die vergelijking spelen steeds twee factoren een rol: de veiligheid en het comfort. Voor het laatste geldt dat de biometrische verificatie vooral snel moet gaan, gemakkelijk in het gebruik is en door de mensen geaccepteerd moet worden. Wat betreft de veiligheid is de nauwkeurigheid van belang, de fraudegevoeligheid en een stabiele werking. Het optimale systeem biedt een maximale veiligheid en een maximaal comfort.
De balans tussen die twee is voor alle biometrische kenmerken en de bijbehorende herkenningsapparatuur anders, zie de grafiek. Hierin zijn van een aantal biometrische systemen de veiligheid en het comfort tegen elkaar uitgezet. Via een DNA-onderzoek is iemands identiteit zeer nauwkeurig vast te stellen, maar het is een ingewikkelde procedure; als dagelijks controlemiddel om toegang te krijgen tot een pc of server is het een weinig comfortabel middel.
Ook het zetten van een handtekening (signature) scoort laag qua comfort én qua veiligheid. Spraakherkenning (Voice recognition) scoort ook niet hoog, maar wordt bijvoorbeeld in België gebruikt voor mensen met huisarrest: via de telefoon controleert een computer of die personen inderdaad thuis zijn. Gaat het hier om actieve biometrie (je moet een handtekening zetten of iets zeggen), vormen van passieve biometrie scoren beter. Vooral de laatste jaren zijn er zulke enorme vorderingen gemaakt, dat de ideale balans tussen comfort en veiligheid steeds dichterbij komt.
Sinds de James Bond film uit 1983 zijn er inmiddels vele fraudebestendige technieken ontwikkeld met een zeer hoge mate van betrouwbaarheid. Deze betrouwbaarheid wordt uitgedrukt door de FRR-waarde en de FAR-waarde:
- De FAR (False Acceptance Rate) moet zo laag mogelijk zijn, want die geeft aan hoe groot de kans is dat een niet-geautoriseerd persoon toch wordt toegelaten.
- De FRR (False Reject Rate) moet ook laag zijn, want die geeft aan hoe groot de kans is dat een wel-geautoriseerd persoon niet wordt herkend.
De tabel laat zien dat een irisscan met FAR-waarden van 0,0001% in 2005 tot de betrouwbaarste van alle biometrie-oplossingen behoort.
Biometriesysteem FAR bij 3% FRR
Spraakherkenning 1%
Vingerafdruk - chipsensor << 1%
Vingerafdruk - optische sensor << 1%
Gelaatsherkenning 0,5%
Handgeometrie 0,15%
Bloedvatenherkenning in hand 0,0001%
Irisscan 0,0001% bij 2% FRR