Franse overheid gaat wachtwoorden afschaffen
De Franse Staatssecretaris van Ontwikkeling van de digitale economie heeft vandaag het einde van wachtwoorden op het internet beloofd. Het plan van Nathalie Kosciusko-Morizet bestaat uit het verstrekken van digitale certificaten, waarmee gebruikers hun identiteit bij online diensten kunnen bewijzen. De diensten moeten dan wel met het plan van Kosciusko-Morizet meewerken.
Inmiddels zouden al twintig organisaties zich hebben aangemeld om een technologisch prototype te ontwerpen en ontwikkelen. Als alles meezit kunnen gebruikers zich volgend jaar al via de certificaten identificeren. Onder andere de Franse Vereniging van Banken en Verbond van Verzekeraars doen mee. Het gaat met name om gevoelige online diensten, zoals internetbankieren. Via een digitaal certificaat is het mogelijk om een lening af te sluiten, aankopen te doen, maar ook kinderbijslag aan te vragen. Kosciusko-Morizet voorziet zelfs de geboorte van een nieuw soort sociaal netwerk, gebaseerd op echte identiteiten.
Aantrekkingskracht
De technologie achter het plan is nog in ontwikkeling. "Maar ik hoop dat beveiliging centraal staat", zegt Rik Ferguson van Trend Micro. "Een enkele manier om de identiteit van tientallen miljoen individuen te bewijzen, met ernstige financiële gevolgen, zal een sterke aantrekkingskracht op criminelen hebben."
Volgens Ferguson is beveiliging meer dan alleen het controleren van de identiteit. "Het gaat ook om het certificeren van de integriteit." Multi-factor authenticatie kent ook verschillende problemen, zo kan malware het al geruime tijd omzeilen. "Bij de meeste implementaties is het probleem dat slechts één onderdeel van de de transactie wordt geauthenticeerd en dat is de identiteit van de klant."
Malware kan de geauthenticeerde sessie kapen om vervolgens valse opdrachten te versturen en op te vragen. Daarom is het zo belangrijk dat het Franse plan individuele transacties verifieert, in plaats van alleen de gebruiker, zo merkt Ferguson op.
Lijkt me nou niet echt een veilig systeem dit maarja, het zal allemaal toch wel weer door de strot geduwd worden.
Of op zijn minst, dat een certificaat aangevraagd kon worden door een wild vreemde op naam een bekende organisatie.
Dus, hoe veilig zal deze oplossing nu echt zijn?
Nederland is al JAREN bezig met de eNIK. Daarop zouden ook Certs komen.
Zodat die gebruikers nog beter in het oog kunnen gehouden worden? Heeft volgens mij niet veel te maken met wachtwoorden.
En in België elke inwoner een certificaat? Moet je eerst en vooral een eID hebben (krijg je pas van 12 jaar), een eID-lezer (12-jarigen die voor de eerste maal hun eID ontvangen krijgen dat ding in sommige (alle?) gemeenten als cadeau) én je moet toegang hebben tot het internet, software installeren en instellen.Dan heb je als Belg pas een "echt" certificaat... En geloof me, veel ben je er niet mee. Je rijksregister raadplegen, belastingen invullen via TaxWeb, gegevens van je ziekenkas raadplegen, een verhuis aan de gemeente melden via het eLoket, ... zijn volgens mij de belangrijkste dingen. Plus, vooral voor twaalfjarigen, je kan inloggen op bepaalde chatsites waar de leeftijd gecontroleerd wordt. Dat laatste is trouwens lek, want als een pedofiel met de eID van zijn kinderen inlogt, dan zijn die andere kinderen dus wél met een pedo aan het chatten.
Maar toen in de header zag, dacht ik ,sure, net zoals de DE overheid firewalls wil verbieden zodat men overheidsspyware kan instaleren,, uit naam van de staatsveilheid..
Ik hoop het ook maar dat ze niet een jaar gaan ontwikkelen en de eerste de beste digitale crimineel kopieert je certificaat en kan gewoon legaal transacties maken, dat wordt nog leuk. Naar mijn mening wordt dit nog wel teruggedraaid. Een ander element is dat hiermee "GROTE" problemen zoals Man-in-the-Browser niet wordt tegen gehouden, ik hoop dat ze in Frankrijk wel (sterke) Two-Factor authenticatie gebruiken, want anders kunnen ze straks echt hun lol op.
Of op zijn minst, dat een certificaat aangevraagd kon worden door een wild vreemde op naam een bekende organisatie.
Of op zijn minst, dat een certificaat aangevraagd kon worden door een wild vreemde op naam een bekende organisatie.
Ja? Wanneer het gaat om het identificeren van een persoon, dan kan dat alleen met zijn/haar eigen certificaat. Het certificaat van iemand die een bewindvoerder nodig heeft, zou juist alles moeten blokkeren. Zou dit niet zo zijn, dan kan iedereen dat certificaat kopieren (de persoon in kwestie snapt het waarschijnlijk toch niet) en doen alsof ze gemachtigd zijn. Deze machtiging zou echter moeten hangen aan het certificaat van de bevoegde persoon.
Tenzij je computer helemaal up-to-date is gaat dit werken.
En als je software moet installeren?
Wordt die dan wel ondersteund voor Linux, BSD, Mac, etc... of worden ze dan ook verplicht om maar over te stappen op Windows 7 zodat de overheid korting krijgt op de troep van MS.
Het enige wat goed werkt is een combinatie van meerdere lagen van veiligheid zoals we dat nu hebben met DigiID.
Je hebt een gebruikersnaam, wachtwoord en SMS authcode. Dat werkt net zo veilig.
Een certificaat kan hier iets aan toevoegen, maar 'alleen' is gewoon dom en onveilig.
Dat niet alleen, het kan zelfs heel valide zijn als iemand b.v. bewindvoerder is voor iemand anders (b.v. je oude moedertje).
In hoeverre dat ook in de praktijk zal gebeuren? Het impliceert een hele keten van procedures vanaf het moment van toewijzing bewindsvoering, waar b.v. ook banken, zorginstituten, e.d. aan gekoppeld dienen te zijn.
Je id zijn code ofzo, en je wachtwoord ?
Dat is veiliger dan die rommel met die certificaten ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.