Universiteit van Tilburg

22 april 2009

Skimming vrijwel onmogelijk door beveiliging via typgedrag

Onderzoek naar keystroke dynamics Universiteit van Tilburg

Identiteitsfraude door het stelen van een wachtwoord of pincode wordt vrijwel onmogelijk als naast het wachtwoord ook het typgedrag gebruikt wordt ter verificatie. Een individu is te herkennen aan hoe hij typt, blijkt uit onderzoek van Jan Magnus en Salima Douhou van de Universiteit van Tilburg.

Geld opnemen met je pincode, betalen met je creditcard, inloggen met een wachtwoord, het zwembad in met een vingerscan, de grens over op Schiphol via een irisscan. Allemaal systemen waarbij we onszelf bekendmaken via wat alleen wij weten (wachtwoord, pincode), hebben (creditcard, pinpas) of zijn (vingerafdruk, irisscan). Het zijn instrumenten die ons in staat stellen om onze gegevens te beschermen.

Helaas zijn dergelijke systemen nooit 100% veilig. Als je slachtoffer bent van skimming (je pinpasgegevens worden gestolen), kan iemand je geld opnemen. Zelfs bij toepassingen als vingerscan of irisscan gaat het gemiddeld in één op de vijf gevallen mis, bleek onlangs nog uit onderzoek van Annemarie Spokkereef en Paul de Hert van de Universiteit van Tilburg.

Fraude binnen systemen waarbij de gebruiker iets moet intypen om zich te identificeren kan echter aanzienlijk verkleind worden als er een tweede beveiligingssysteem ingebouwd wordt: verificatie via typgedrag (keystroke dynamics), dus via hoe iemand typt. Jan Magnus en Salima Douhou onderzochten de betrouwbaarheid van verificatie door middel van typgedrag door 1254 mensen twintig keer dezelfde gebruikersnaam en hetzelfde wachtwoord te laten typen en te meten hoe lang een toets wordt ingedrukt en hoeveel tijd er zit tussen twee opeenvolgende toetsaanslagen. Met name hoe lang een toets ingedrukt wordt gehouden, blijkt een duidelijke onderscheidende factor te zijn voor typgedrag van een individu.

Wanneer verificatie van typgedrag wordt gebruikt naast een bestaand beveiligingssysteem, verhoogt dat de betrouwbaarheid van het bestaande systeem met 85%, blijkt uit het onderzoek van Magnus en Douhou. Zou een skimmer normaal gesproken in 99% van de gevallen herkend worden, door het toevoegen van typgedrag als verificatie-instrument wordt hij in 99,85% van de gevallen herkend. De kosten die door bijvoorbeeld skimmers veroorzaakt worden, kunnen zo met 85% worden teruggebracht.

Keystroke dynamics, de studie van persoonlijk typgedrag, is onderdeel van biometrie, waarbij uitgegaan wordt van het feit dat bepaalde fysieke kenmerken uniek zijn en daarom gebruikt kunnen worden voor identificatie en/of verificatie.