image

Security Tip van de Week: vermom je paspoort als boterham

maandag 24 december 2012, 09:21 door Vincent Bohre, 27 reacties

In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.

Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.

Deze week de tip van Vincent Böhre

Laat je paspoort voortaan thuis
De meeste mensen leven al jaren in de veronderstelling dat ze verplicht zijn een geldig paspoort of identiteitskaart (of rijbewijs) bij zich te dragen. Volgens de Wet op de uitgebreide identificatieplicht (januari 2005) hoef je echter alleen maar een geldig identiteitsbewijs te kunnen tonen. Van een officiële draagplicht is nooit sprake geweest. Dus de eerstvolgende keer dat oom agent naar je identiteitsbewijs vraagt, kun je zeggen: “Prima, meneer de agent, loopt u maar even met me mee naar huis en dan laat ik u mijn identiteitsbewijs zien. Drinken we ook meteen even een bakkie koffie.”

Nu zul je misschien denken: “Leuke tip, maar wat heeft dit met security te maken?” Heel veel, als je je realiseert dat er jaarlijks honderdduizenden paspoorten en ID-kaarten vermist raken. Die documenten kunnen vervolgens door anderen worden misbruikt. Dus kun je je paspoort of ID-kaart beter thuislaten. Da’s wel zo veilig!

Vermom je paspoort als boterham
Er is nog een tweede reden waarom ik mensen zou willen adviseren om hun paspoort of identiteitskaart voortaan thuis te laten: de op-afstand-uitleesbare RFID-chip in het document. Eind augustus 2006 is die chip in Nederland ingevoerd. Nut en noodzaak ervan zijn overigens nooit aangetoond. Ondanks hoge beveiligingsnormen is er geen enkele garantie dat de RFID-chip niet ongemerkt door onbevoegden kan worden uitgelezen, gekloond of misbruikt.

Bijvoorbeeld terwijl je nietsvermoedend in de rij staat bij de bakker. Of in een drukke tram, of waar dan ook. Mocht je alsnog graag je paspoort of ID-kaart op zak willen hebben, zorg er dan voor dat de chip niet meer op afstand uitleesbaar is. Bijvoorbeeld door je identiteitsbewijs in huis-tuin-en-keuken aluminiumfolie te wikkelen (kooi van Faraday!), net als een boterham.

Word staatsburger van Sealand
En dan zijn er nog die vervelende vingerafdrukken. Volgens de “tentatieve planning” van het ministerie van Binnenlandse Zaken komen identiteitskaarten zonder vingerafdrukken pas per oktober 2013 op de markt. Tot die tijd zal de Nederlandse bevolking het dus nog even moeten uitzingen met een biometrisch foutenpercentage van 21-25%.

Of tijdelijk een buitenlandse ID-kaart zonder vingerafdrukken aanvragen, bijvoorbeeld in Sealand (een microstaatje in de Noordzee). Er zijn ook andere, fysieke methoden om de afname van vingerafdrukken te omzeilen, maar die laat ik aan je eigen verbeelding over… en op eigen risico. ;)

Paspoortproces Privacy First
Op 18 december jl. daagde Privacy First de Nederlandse Staat voor het Hof Den Haag wegens schending van de privacy in de nieuwe Paspoortwet. In deze zaak zal ook het RFID-aspect van paspoorten en ID-kaarten aan de orde komen. Dit tenzij de Tweede Kamer voortijdig besluit dat de RFID-chip een vrijwillig karakter dient te krijgen. En dat Nederlandse paspoorten en ID-kaarten van metaalfolie in de hoes moeten worden voorzien (zoals in de Verenigde Staten al jaren gebruikelijk is). Een mooiere Kerst zal Privacy First zich volgend jaar niet kunnen wensen!

Vincent Böhre is Director of Operations bij Stichting Privacy First.

Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.

Reacties (27)
24-12-2012, 09:39 door Anoniem
Dat er nooit sprake is geweest van een draagplicht, is zeer omstreden. Zolang dit in de (hogere) rechtspraak niet is uitgemaakt is in het artikel sprake van het promoveren van een persoonlijke mening tot een pretens feit. Kortom: slecht artikel.
24-12-2012, 09:53 door WhizzMan
De oprichter van Sealand is afgelopen october overleden. Tevens wordt Sealand door geen enkele staat erkend. Deze tip lijkt me daarom onverstandig om op te volgen.

Fysieke methoden om je vingerafdrukken niet af te hoeven geven zijn er wel, maar je krijgt dan een duurdere kaart die maar een jaar geldig is. De vraag is ook of er niet van eerdere momenten dat je je ID hebt aangevraagd nog ergens scans rondwaren, want de gemiddelde gemeente kan nog niet aangeven wat er met oude scans is gebeurd. Er is beloofd dat dat wel zou worden geregeld door de minister destijds, maar in de praktijk heb ik daar niets meer van terug gezien.
24-12-2012, 10:06 door [Account Verwijderd]
[Verwijderd]
24-12-2012, 10:47 door Anoniem
Ach ja. Criminelen krijgen zo een paspoort van de gemeente, want de gemeente is te bescheten om op de zwarte lijst te kijken. Dus springen fred&ivo subiet op om toch maar snel wetswijzigingen door te voeren (alsof dat nu ineens wel gaat helpen tegen lakse ambtenaren), maar die beloofde vingerafdrukloze gekortwiekte identiteitskaart schittert door afwezigheid. Ze hebben hun prioriteiten wel op orde zeg, onze fred&ivo. Nuja, dus duidelijk niet de onze, stelletje wereldvreemde digibeten.

Wel weer aardig dat hier even tussen neus en lippen door een chiploze optie wordt genoemt. Dat hadden de ministers en ambtenaren natuurlijk ook in den beginne zelluf kunnen bedenken, maar dat is stelselmatig genegeerd. In plaats had de minister de handen vol aan het traineren van anti-vingerafdrukrechtszaken. Alweer, duidelijke prioriteiten bij wat zoal voor onze volksvertegenwoordigers moet doorgaan tegenwoordig.

Ongeveer van hetzelfde laken een pak als "strenger" willen straffen terwijl de pakkans al jaren onderuit gaat.

En maar klagen dat het volk niet meer met den haag meeleeft. Tuurlijk, het geef het domme plebsvolk maar weer de schuld. Er is een reden dat Geert stemmen trekt ongeacht wat'ie nou weer brult.
24-12-2012, 11:52 door Anoniem
Ik neem mijn ID ook bijna nooit mee: de kans dat ik het moet tonen is veel kleiner dan de kans dat ik het kwijt raak door onvoorzichtigheid of diefstal. Ook andere pasjes neem ik trouwens alleen mee als ik ze nodig kan hebben.
24-12-2012, 12:09 door Anoniem
Hahaha... goeie tips! ;)
24-12-2012, 14:22 door Anoniem
Ben het met Peter V volledig eens.
Draagplicht of toonplicht is spelen met woorden en is niet in lijn met de rechtspraak.

Een vraag aan de schrijver van dit artikel:
Hoe kun je aan de "eerste vordering van een opsporingsambtenaar om een identiteitsbewijs te tonen voldoen" als je geen identiteitsbewijs bij je hoeft te dragen.

De wetgever heeft met het afschaffen van draagplicht slechts willen voorkomen dat strandgangers (zwem)recreanten niet in de problemen kwamen als ze geen identiteitsbewijs op hun lijf droegen.

Consequentie van het niet op eerste vordering ter inzage kunnen overhandigen van een geldig identiteitsbewijs kan leiden tot een aanhouding ter zake van de overtreding van de Wet op de Identificatieplicht.
Als gevolg hiervan doet de politie een identiteitsonderzoek.
Hiertoe heeft de politie maximaal 2x 6 uur de tijd.
De tijd tussen 00:00 en 09:00 telt hierbij niet mee.
Gevolg kan zijn dat een ander voor jou naar het politiebureau moet komen met jouw identiteitsbewijs.
Om aan jouw identiteitsbewijs te komen zal diegene waarschijnlijk eerst jouw huissleutels moeten komen ophalen op het politiebureau. En al die tijd zit jij dus te wachten (of overnacht je) op het politiebureau.

Het niet op eerste vordering ter inzage overhandigen is strafbaar: Art. 447e SR
Daarbij komt dat het OPZETTELIJK niet voldoen er nog een extra strafbaar feit aan toevoegd:
Artikel 184 SR. http://jure.nl/bx4998

Kortom: een flutadvies wat in strijd is met de rechtspraak.
Iets met "de klok horen luiden" en dingen uitleggen gebaseerd op een letterlijke duiding van 1 woord (geen 'draag'plicht),
en hoe dat woord het beste uitkomt, zonder enig idee van jruisprudentie te hebben.

Ik adviseer de schrijver eens te googlen met de toevoeging "site:jure.nl".
Zonder quotes en zonder spatie na de dubbele punt!
24-12-2012, 14:30 door Anoniem
Blijft een rare wet.

Toonplicht of draagplicht

U heeft geen draagplicht, alleen een toonplicht. Omdat u het identiteitsbewijs verplicht moet kunnen tonen, betekent het in de praktijk dat u altijd een identiteitsbewijs bij u moet dragen. Het verschil tussen een draagplicht en een toonplicht is dat de politie bij een draagplicht bevoegd zou zijn u ook zonder reden aan te houden om uw identiteit te controleren.

http://www.rijksoverheid.nl/onderwerpen/paspoort-en-identificatie/vraag-en-antwoord/wat-is-de-identificatieplicht.html
24-12-2012, 14:57 door Anoniem
Ik mis nog een paar tips mbt die RFID-chip... iets met een hamer of een magnetron! ;)
24-12-2012, 15:57 door DJ de DJ
Ozin dat iedereen je paspoort zo kan uitlezen: "Ondanks hoge beveiligingsnormen is er geen enkele garantie dat de RFID-chip niet ongemerkt door onbevoegden kan worden uitgelezen, gekloond of misbruikt. Bijvoorbeeld terwijl je nietsvermoedend in de rij staat bij de bakker. Of in een drukke tram, of waar dan ook. "

Om de chip uit te lezen heb je toch echt nodig:
- het paspoort nummer
- geb. dat. persoon
- verval datum paspoort

Valt allemaal te social eningeeren, zeker, maar 'zomaar' in de tram, is dikke onzin.
24-12-2012, 16:11 door Anoniem
Meneer doet een leuke poging, maar de wet zegt ook "terstond ter inzage aanbieden" ofwel "meteen", "onmiddellijk".

Ik denk dat "Prima, meneer de agent, loopt u maar even met me mee naar huis en dan laat ik u mijn identiteitsbewijs zien." niet uitgelegd gaat worden als "terstond". Tenzei je toevallig al voor je voordeur staat natuurlijk.
24-12-2012, 22:07 door Anoniem
Ik vraag me af of de schrijver van dit artikel ook AFgestudeerd is. Kennelijk wel met 8 jaar studie rechten.

Hij studeerde:
- internationaal & Europees recht en
- Nederlands recht aan de Universiteit van Amsterdam.
http://www.privacyfirst.nl/privacy-first/organisatie/item/247-vincent-bohre.html

I.p.v. het paspoort zou ik me veel meer zorgen maken over het EPD en de Amerikanen die volgens hun wetgeving bij de data kunnen. En de minister die van toeten nog blazen weet verkondigt dat de Amerikanen de beste partij zijn. Jaja.
En dat het allemaal veilig is omdat de data gecodeerd is. Ja, want iets wat gecodeerd is niet te decoderen toch?
Mevrouw de minister, het is geen koe die een bal gehakt werd. Want van gahakt kun je geen koe meer maken.
Van gecodeerde data wel gedecodeerde data.

En gestolen dat op snelle PC's zijn heus een keer te decoderen.
En niemand die er dan nog grip op heeft. Laat staan dat iemand er weet van heeft.
Dus het interesseert niemand hoe die EPD info opgeslagen is.
Eenmaal in Amerikaanse handen is het decoderen een fluitje van een cent.
En daarna is het cashen. Er is altijd wel een verzekeraar die er interesse in heeft.
24-12-2012, 22:19 door Anoniem
O wat heerlijk wereldvreemd... :)
25-12-2012, 00:12 door Anoniem
In Belgie bestaat er wel draagplicht voor de identiteitskaart.
25-12-2012, 00:12 door TAPE
Artikel van geen waarde hier..

Ik vraag me af hoevaak de schrijver het is gelukt met zijn zin van 'loop maar even mee naar huis' ..

Mooi theoretische droom van hem...
25-12-2012, 00:44 door Anoniem
Interessant publiek hier... vrijwel niemand lijkt te begrijpen dat dit artikel ironisch bedoeld is.
25-12-2012, 02:19 door Anoniem
Ben benieuwd naar reactie van auteur op feedback..
25-12-2012, 11:50 door Anoniem
Helemaal eens met DJ de DJ: Wat een totale nonsense over dat skimmen in de rij!
Een Nederlands ePasspoort (en de identiteitskaart) heeft sinds het begin van uitrol Basic Access Control (BAC) dat, alhoewel het een kleine keyspace heeft (die drie dingen die DJ de DJ noemt), beschermt tegen een dergelijke aanval. Een brute-force aanval zoals genoemd niet praktisch: de aanvaller moet binnen tenminste 30cm (realistisch: binnen 5-10cm) van je paspoort zijn met zijn reader, en dat dan een paar duizend uur volhouden zelfs met die kleine keyspace. Het is wel een kleine keyspace, maar je moet toch over die trage verbinding steeds de challenge-response door en dat kost tijd, veel tijd.

Afluisteren van een legitieme lees-actie en dan de crypto brute-forcen, dat is een realistischere aanval. Of gewoon simpelweg malware op de hotel computers waar je je paspoort laat uitlezen.

Met dit soort FUD spuien maakt meneer zich niet echt betrouwbaar als een bron van informatie.
25-12-2012, 20:33 door Anoniem
Door DJ de DJ: Om de chip uit te lezen heb je toch echt nodig:
- Genoeg rekenkracht. Die specificatie is volgens mij nog steeds stuk.
26-12-2012, 11:48 door Anoniem
Goed artikel.
Eindelijk iemand die de materie begrijpt. Helaas blijkt dat de meeste reageerderser niets van begrijpen.
De RFID chip kan op afstand uitgelezen en moeiteloos ontsleuteld worden.
Een sealand ID kaart is een enorm goede tip, je kan er alleen problemen mee krijgen als je daar onjuiste persoonsgegevens op vermeldt.
26-12-2012, 19:02 door Anoniem
Zonder ID kaart of paspoort de straat op.
Als ik buiten nu een ongeluk krijg en dood ben,stel je eens voor en buiten op straat lig,
ik had net toevallig mijn mobiele telefoon niet bij me.
Dan kost dat de politie of ambulance broeders een heleboel gedoe van wie ik dan daadwerkelijk ben.
26-12-2012, 23:18 door Anoniem
Voor de rfid chip al voorgesteld bij de gemeente dat ze standaard een al-dan-niet met reclames volgeplakte shield te leveren ipv fluthoesje, maar je kent gemeenten. Nooit reageren op goeie ideeen. Ik heb gewoon voor alle familieleden zo'n shield gehaald, kleine prijs voor enige bescherming.
02-01-2013, 11:05 door Whacko
Door Anoniem: Goed artikel.
Eindelijk iemand die de materie begrijpt. Helaas blijkt dat de meeste reageerderser niets van begrijpen.
De RFID chip kan op afstand uitgelezen en moeiteloos ontsleuteld worden.
Sommige mensen hebben er misschien al ervaring mee, en die weten dat je toch ECHT die informatie nodig hebt. Als dat niet zo is, zie ik graag een link met informatie hierover.
14-01-2013, 12:29 door Anoniem
Overgenomen op http://www.psg.nu/laat-je-paspoort-thuis/ .
05-09-2013, 22:13 door Anoniem
Zelfs de Nederlandse overheid geeft inmiddels impliciet toe dat de RFID-chip in paspoorten en ID-kaarten onveilig is: https://www.nvvb.nl/publiciteit/nieuws/eerste-oplossing-tegen-identiteitsfraude
30-10-2013, 14:57 door Anoniem
Het uitlezen van een RFID chip gaat zo makkelijk en snel, dat de kat met in het lijfje geimplanteerde RFID chip niet eens hoeft stil te staan bij het kattenluik met RFID chip lezer. Ze kan gewoon doorlopen terwijl het luikje haar chip leest, identificeert, en uitsluitend voor haar RFID chip nummer opent.

Hoe moeilijk kan het dan zijn, om de FID chip in het paspoort uit te lezen.

Je kunt je identiteitsbewijs daarom beter in een metalen etui of in alufolie steken.
Dat is overigens ook aan te raden voor je bankpasje.
21-01-2014, 15:17 door Anoniem
Wie graag een ID-bewijs zonder vingerafdrukken wil hebben kan daarvoor inmiddels gewoon in Nederland terecht i.p.v. in Sealand: per 20 januari 2014 worden er geen vingerafdrukken meer afgenomen bij de aanvraag van een Nederlandse identiteitskaart: http://www.rijksoverheid.nl/nieuws/2014/01/10/paspoort-twee-keer-zo-lang-geldig-id-kaart-zonder-vingerafdrukken.html :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.