Bruk av biometriske kjennetegn som fingeravtrykk, ansiktsform og øyeavlesning til å bekrefte en persons identitet, såkalt biometrisk autentisering, er i vinden som aldri før.
Apple har fingeravtrykkslesere på sine nyeste Iphone- og Ipad-modeller, og i løpet av våren planlegger Sparebank DIN, i samarbeid med Eika Kredittbank å lansere bankkort med fingeravtrykksleser som erstatning for pinkoden.
Fingeravtrykk blir også brukt som erstatning for sikkerhetskoder på andre produkter, eksempelvis som et alternativ til husnøkler.
Før jul ble det kjent at tyske hackere angivelig skal ha klart å kopiere fingeravtrykk ved hjelp av vanlige bilder, og det har vært stilt spørsmål ved sikkerheten til Apples fingeravtrykk.
Er Ikke bekymret
Vidar Sandland i Norsk senter for informasjonssikring (Norsis) er ikke bekymret.
- Det at det nå er mulig å kopiere fingeravtrykk basert på bilde endrer ikke vårt syn på fingeravtrykkslesere, og biometrisk autentisering på bank- og kredittkort er fortsatt bedre enn å bruke en firesifret pinkode, sier Vidar Sandland.
Han viser til at alle som iverksetter sikkerhetstiltak må foreta en risikovurdering, og at tiltaket skal stå i samsvar til det man skal beskytte.
- Da kan fingeravtrykk være godt nok i mange tilfeller, men jeg ville ikke kun ha benyttet fingeravtrykkslesere til å beskytte sensitiv informasjon.
Ikke redd for hackere
Forretningsutvikler Morten Danielsen i Sparebanken DIN, som er en del av Eika-alliansen, mener det er en kjensgjerning at de kriminelle bruker mye ressurser på å knekke nye sikkerhetsmetoder som blir tilgjengelig på markedet. Men Danielsen er ikke redd for at hackere vil kunne misbruke det norske firmaet Zwipe sin biometriske autentiseringsløsning, som banken benytter i sine kort.
- I våre kort må du ha et fingeravtrykk fra en levende person for å få kortet til å kommunisere med en betalingsterminal, men det viktigste av alt er at fingeravtrykket til kortets eier ikke er lagret annet sted enn i kortet. Det forhindrer at hackere kan stjele fingeravtrykk fra databaser slik som vi ser at de gjør i dag med brukerkontoer på sosiale medeier og lignende, sier Danielsen.
Han tror den største utfordringen i dag er bruk av fingeravtrykk på dyrere gjenstander som for eksempel biler, hus og safer, og at vi i verste fall vil se eksempler på fingre som blir kappet av for å stjele disse verdiene.
- Ansvaret for sikkerheten ligger hos tjenestetilbyderen
- Isolert sett er fingeravtrykk sikrere enn en firesifret pinkode, men kommer fingeravtrykket ditt på avveie har du er stort problem. Du kan ikke bytte fingeravtrykk, slik du kan med pinkoder og andre typer passord. I tillegg er fingeravtrykket knyttet til din identitet på en måte som gjør at anonymitet blir mye vanskeligere, sier fagdirektør i Forbrukerrådet, Finn Myrstad.
Ansvaret for sikkerheten mener han må ligge hos tjenestetilbyderen, og at forbrukerne ikke har forutsetning for å vurdere denne.
- Det er heller ikke urealistisk å forvente at fingeravtrykk på avveie enkelt kan «trykkes opp» og misbrukes ved hjelp av 3D-printere som blir rimeligere og enklere å få tak i, sier Myrstad som forteller at Forbrukerrådet planlegger å se nærmere på brukervilkårene rundt biometriske data i tiden fremover.
Også hos Datatilsynet har man bruk av biometriske data og autentiseringsmetoder på agendaen i 2015, både i Norge og i samarbeid med europeiske Datatilsynsmyndigheter.
Utelukker ikke tilsyn
Fagdirektør teknologi i Datatilsynet, Atle Årnes, utelukker ikke at man vil føre tilsyn med aktørene for å se nærmere på om risikovurderingen og graden av sikkerhet er god nok i henhold til kravene i personopplysningsloven.
- Det finnes både gode og dårlige løsninger for biometrisk avlesning, og det faktum at biometriske data er uløselig knyttet til det enkelte individ, gjør at man bør være varsom med bruken, sier Årnes, og understreker at biometri bare benyttes når det er saklig behov for sikker identifisering og det er nødvendig for å oppnå slik identifisering.
