Biometriske adfærdsdata er ny supercookie der omgår cookie-loven
Antallet af metoder til at identificere internetbrugere er nærmest eksploderet. I starten snakkede man mest om cookies, men nu er listen udvidet betydeligt.
Profilering af brugerne ved hjælp af deres biometriske adfærdsdata er blandt de seneste metoder, der er i fremmarch.
Én metode har især fået meget opmærksomhed på grund af dens potentiale til at omgå de mere snedige anonymitets-tjenester som Tor-browseren og krypterede VPN-forbindelser. Der er tale om tjenester, der kan aflure en persons unikke måde at trykke på tasterne og skabe en særlig adfærdsprofil, der identificerer vedkommende på tværs af websites og endda computere. Det er med andre ord et kodeord, som man ikke umiddelbart er i stand til at ændre. En cookie, der er forbundet med personen og ikke maskinen.
»Det foregår i det skjulte, men jeg vil gætte på, at den slags er stigende, fordi der er en interesse i at genkende folk på tværs af forskellige websites,« siger formanden for IT-Politisk Forening, Jesper Lund, og peger på at metoden har en særlig fordel i forhold til almindelige cookies, der bliver gemt på brugerens computer:
»Du kan slette en cookie, men ikke ændre dit taste-mønster.«
Omgår cookie-loven
Hvor almindelige cookies normalt bliver lagret på computeren, så foregår den biometriske profilering uafhængigt af hardwaren og vil i flere tilfælde ikke lagre noget på brugerens computer.
Dermed er indsamlingen af brugernes taste-mønstre ikke indbefattet af cookie-loven, der blandt andet dikterer, at et website skal indsamle brugerens accept, før det må lagre cookies, der kan identificere brugeren, når vedkommende vender tilbage.
»Det lyder ikke umiddelbart som noget, der falder under cookiereglerne. Det er et gråzone-område,« siger specialkonsulent hos Erhvervsstyrelsen Jacob Voetmann.
»Det lyder som noget, der ikke foregår i forbindelse med brugerens terminal overhovedet; men ud fra, hvordan løsningen teknisk er skruet sammen, er det noget, vi vil kigge på,« siger han og påpeger, at virksomhederne dog stadig skal leve op til persondataloven, selvom cookie-loven ikke gør sig gældende her.
Sikkerhed i bytte for privatliv?
Teknologien der kan profilere brugernes tastemønstre er allerede blevet raffineret af firmaer som KeyTrac og svenske BehavioSec.
KeyTrac påstår at kunne identificere en bruger med 99 pct. sikkerhed. Og man skal ikke have skrevet mere end 44 tegn for allerede at have ‘afsløret’ et tastemønster, der kan identificeres. KeyTrac anslår således, at kun 2 ud af 10.000 mennesker har en taste-adfærdsprofil, der minder meget om hinanden. Det fungerer blandt andet ved, at systemet registrerer, hvor lang tid hver tast bliver holdt nede, hvor lang tid der går mellem hvert tastetryk, samt hvor lang tid det tager at indtaste en velkendt sætning.
Det kan virksomhederne, som køber KeyTracs tjeneste bruge til to ting: at tilføje et ekstra lag af sikkerhed til brugernes kodeord samt at identificere brugere på tværs af platforme.
Førstnævnte løsning har især fået bankernes interesse, da den kan gøre det sværere for hackere at få adgang til en bankkonto, selvom de har fået fat i det rigtige kodeord. Hvis man ikke indtaster kodeordet i den rigtige ‘rytme’, så vil man stadig kunne blive nægtet adgang. Danske Bank har blandt testet BehavioSecs løsning i sin netbank med det resultat, at banken kan kende forskel på en rigtig bruger og en svindler i 97,4 pct. af gangene ifølge BehavioSec. Danske Bank oplyser, at den dog ikke har taget løsningen i brug efterfølgende.
BehavioSec benytter sig dog ikke kun af tastemønstrene, men tilføjer yderligere lag som musebevægelser, eller fingrenes bevægelser på en touch-skærm til at identificere brugeren og dermed skabe en unik adfærds-cookie.
»Det er problematisk, fordi det giver mulighed for at genkende dig i alle situationer. Når du beslutter dig for at være anonym og f.eks. bruge Tor, VPN eller slette cookies, så bliver det omsonst, hvis de her tjenester kan genkende dig på din adfærd,« siger Jesper Lund.
En browserplugin til Chrome ved navn Keyboard Privacy kan dog anonymisere noget af den biometriske adfærdstracking. Den fungerer ved at skabe en lille tilfældigt genereret forsinkelse, når man trykker på tasterne, hvilket forstyrrer ens normale tastemønster og dermed gør det sværere at blive identificeret. I Version2’s test af Keyboard Privacy gik KeyTrac fra at kunne identificere undertegnede med 99 pct. sikkerhed til at ryge ned på 1 pct. Men for at nå dertil, måtte jeg skrue så meget op for forsinkelsen af tasterytmen, at det blev direkte irriterende.
Det værktøj, som webbutikkerne har sukket efter?
Det er ikke tilfældigt, at adfærdscookies kommer på banen netop nu.
En ting er det øgede lag af sikkerhed, som de tilfører, men værktøjerne har også en anden og sandsynligvis mere tiltalende funktion for især e-handelsvirksomheder. Det handler om cool cash.
I takt med at forbrugerne bruger flere og flere forskellige devices - smartphones, tablets og laptops - så har webbutikkerne også et stigende behov for at kunne identificere brugerne på tværs af disse platforme.
Eksempelvis vil man måske gå ind og læse om en løbesko i en webshop på mobilen i frokostpausen for derefter at vende tilbage hjemme i sofaen på en tablet. Her vil e-butikken måske være interesseret i at tilbyde lige præcis de sko, man har set på, som det første man ser, når man vender tilbage til hjemmesiden. Men for at gøre det, har virksomheden brug for at kunne identificere brugeren.
Hidtil har dette ofte foregået ved at man logger ind som bruger i webshoppen, hvilket langt de færreste benytter sig af.
I denne sammenhæng giver biometriske adfærdscookies en helt ny mulighed for at identificere brugere på tværs af alle platformene på en måde, som er mere brugervenlig, men også udfordrer privatlivet.
Opdateret den 31. juli 2015 kl. 13.44 med korrektion af Danske Banks brug af BehavioSecs løsning.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.