Privacy
- Wat niemand over je mag weten
Identificatiekastje online winkelen en privacy, uw mening ?
29-10-2016, 17:57 door Anoniem, 18 reacties
http://www.nu.nl/geldzaken/4342942/digitale-aankopen-voortaan-alleen-goedkeuring-met-kastje-.html
Lijkt mij een ramp ('Big brother'), als leek. Ook kwestie van macht.
Lijkt mij een ramp ('Big brother'), als leek. Ook kwestie van macht.
Reacties (18)
Tip: maak je linkjes aan te klikken met . Waarom zou je anoniem iets willen kopen ergens via internet? Moet toch bezorgd worden.
Toegeslagen verveling?
Tja, het is een luchtballonnetje hè?
En het staat in de telegraaf.
Meer nieuws over spannende nieuwe kastjes op dezelfde teletoet pagina nog wel.
http://www.telegraaf.nl/tv/digitaal/26904491/___Indrukwekkend_maar_loeiduur___.html
Of die andere kastjes nou veiliger zijn?
Nee niet per sé (#), in de eerste plaats gaat het om de veiligheid van je verbinding, daar begint het mee.
En die veiligheid is er niet als je op een openbare wifi zit (zonder extra maatregelen maar dan nog).
Te abstract?
Voorbeeldjes en leeslinkjes met wat meer diepgang dan dit soort teletoeter berichtjes:
https://decorrespondent.nl/3166/de-wifi-in-de-trein-is-volstrekt-onveilig-en-de-ns-doet-er-niets-aan/97373496-af07ccc1
De site trainwatch is trouwens down, jammer want het was heel illustratief.
Openbare wifi : wie shopt bij wie?
https://decorrespondent.nl/845/Dit-geef-je-allemaal-prijs-als-je-inlogt-op-een-openbaar-wifinetwerk/25988820-b2a600e1
# Al ben je met Apple heel algemeen gesteld over het algemeen beter af boven Windows, en dus zowaar nog ook nog goedkoper uit voor een keer ;), haha het kan verkeren.
En/maar een goedkoper iOS apparaat is op dit moment het allerveiligst om mee te internetbankieren als je de algemene os-en onderling vergelijkt.
Op een veilige verbinding dan en niet op een phishingpagina, dat stukje veiligheid zal je echt zelf moeten verzorgen.
Tja, het is een luchtballonnetje hè?
En het staat in de telegraaf.
Meer nieuws over spannende nieuwe kastjes op dezelfde teletoet pagina nog wel.
http://www.telegraaf.nl/tv/digitaal/26904491/___Indrukwekkend_maar_loeiduur___.html
Of die andere kastjes nou veiliger zijn?
Nee niet per sé (#), in de eerste plaats gaat het om de veiligheid van je verbinding, daar begint het mee.
En die veiligheid is er niet als je op een openbare wifi zit (zonder extra maatregelen maar dan nog).
Te abstract?
Voorbeeldjes en leeslinkjes met wat meer diepgang dan dit soort teletoeter berichtjes:
https://decorrespondent.nl/3166/de-wifi-in-de-trein-is-volstrekt-onveilig-en-de-ns-doet-er-niets-aan/97373496-af07ccc1
De site trainwatch is trouwens down, jammer want het was heel illustratief.
Openbare wifi : wie shopt bij wie?
https://decorrespondent.nl/845/Dit-geef-je-allemaal-prijs-als-je-inlogt-op-een-openbaar-wifinetwerk/25988820-b2a600e1
# Al ben je met Apple heel algemeen gesteld over het algemeen beter af boven Windows, en dus zowaar nog ook nog goedkoper uit voor een keer ;), haha het kan verkeren.
En/maar een goedkoper iOS apparaat is op dit moment het allerveiligst om mee te internetbankieren als je de algemene os-en onderling vergelijkt.
Op een veilige verbinding dan en niet op een phishingpagina, dat stukje veiligheid zal je echt zelf moeten verzorgen.
29-10-2016, 22:36 door
Erik van Straten
30-1--2016,17:57 door Anoniem: http://www.nu.nl/geldzaken/4342942/digitale-aankopen-voortaan-alleen-goedkeuring-met-kastje-.html
Lijkt mij een ramp ('Big brother'), als leek. Ook kwestie van macht.
Niet noodzakelijkerwijs.Lijkt mij een ramp ('Big brother'), als leek. Ook kwestie van macht.
Wat we m.i. al heel lang nodig hebben is een betrouwbaar kastje met:
1) een unieke en veilig gegenereerde private key (die dat kastje nooit verlaat);
2) een display waarop we kunnen zien "waar we mee akkoord gaan" (wat/ we digitaal ondertekenen).
Hier komen steeds meer initiatieven voor, zie bijv. [1].
Uitleg: een private key kun je beschouwen als een heel groot willekeurig getal dat niet te raden valt. Met een wiskundige truc kan de eigenaar aantonen over die private key te beschikken, zonder die private key zelf te delen met anderen. Wel moet hij een bijbehorende public key delen, maar uit die public key kun je private key herleiden. Zolang niemand anders over die private key beschikt kun je aantonen dat jij jij bent.
[1] http://www.metzdowd.com/pipermail/cryptography/2016-October/030645.html
Het is een beetje wild verhaal. Het 'kastje' waar over wordt gesproken is de 2factor zoals al bij vele banken bekend.
Het is een gevolg van de invoering van PSD2, zie bijvoorbeeld https://www.swift.com/insights/news/payment-service-directive-2-psd2_strong-customer-authentication
Bij rabo, abn en andere banken is er dus niet zo veel aan de hand (die hebben al een onafhankelijke 2e factor). ING zal het lastiger krijgen. Risk based payments mogen niet meer en eigenlijk is dat een slechte zaak, en de 2 factor verplichting wordt dan ingevoerd omdat een aantal landen hun bankzaken niet op orde hebben.
Het is een gevolg van de invoering van PSD2, zie bijvoorbeeld https://www.swift.com/insights/news/payment-service-directive-2-psd2_strong-customer-authentication
Bij rabo, abn en andere banken is er dus niet zo veel aan de hand (die hebben al een onafhankelijke 2e factor). ING zal het lastiger krijgen. Risk based payments mogen niet meer en eigenlijk is dat een slechte zaak, en de 2 factor verplichting wordt dan ingevoerd omdat een aantal landen hun bankzaken niet op orde hebben.
17:17 ??
@Erik,
Wie bepaalt wat voor kastje gebruikt wordt, en wat voor software er op draait ?
En als iemand nou niet meer het "recht" krijgt om het kastje te gebruiken ... etc. ?
@Erik,
Wie bepaalt wat voor kastje gebruikt wordt, en wat voor software er op draait ?
En als iemand nou niet meer het "recht" krijgt om het kastje te gebruiken ... etc. ?
Het is wel eenrichtingsverkeert: alleen de identiteit (en dus de betrouwbaarheid) van de (eventuele) klant zou hiermee worden vastgesteld.
Ik wil een kastje voor de webshops: eentje waarmee de betrouwbaarheid van de webshops kan worden bepaald.
Er zijn enorm veel onbetrouwbare en/of fake webshops, waar je wel kunt betalen maar niets ontvangt. Of waar je wel iets ontvangt maar het een webshop in China blijkt te zijn terwijl de gehele presentatie eruit zag alsof het een NL gevestigd bedrijf was. En je daardoor heel veel geld naar de invoerrechten kunt brengen. Of webshops die na terugsturen van goederen nooit meer iets van zich laten horen. Of die je creditkaart gegevens (als je op die manier betaalde) misbruiken voor andere doelen.
Juist daarvoor zou dat kastje (ook) moeten werken! Ter verificatie van de leveranciers.
Ik wil een kastje voor de webshops: eentje waarmee de betrouwbaarheid van de webshops kan worden bepaald.
Er zijn enorm veel onbetrouwbare en/of fake webshops, waar je wel kunt betalen maar niets ontvangt. Of waar je wel iets ontvangt maar het een webshop in China blijkt te zijn terwijl de gehele presentatie eruit zag alsof het een NL gevestigd bedrijf was. En je daardoor heel veel geld naar de invoerrechten kunt brengen. Of webshops die na terugsturen van goederen nooit meer iets van zich laten horen. Of die je creditkaart gegevens (als je op die manier betaalde) misbruiken voor andere doelen.
Juist daarvoor zou dat kastje (ook) moeten werken! Ter verificatie van de leveranciers.
Door Anoniem: 17:17 ??
@Erik,
Wie bepaalt wat voor kastje gebruikt wordt, en wat voor software er op draait ?
En als iemand nou niet meer het "recht" krijgt om het kastje te gebruiken ... etc. ?
@Erik,
Wie bepaalt wat voor kastje gebruikt wordt, en wat voor software er op draait ?
En als iemand nou niet meer het "recht" krijgt om het kastje te gebruiken ... etc. ?
17:17 hier. Wat dacht je van Edentifier (ABN), Rabo scanner, etc. Dat zijn allemaal 2 factor devices zoals in de PSD 2 worden vereist. Ingewikkelder dan dat is het niet. Dat is het 'kastje' waarover wordt gesproken.
Dus als je het kastje even 'leent' van een ander, dan ga je ook met zijn Private Key aan de haal?
De rillingen lopen mij nu al over de rug...
De rillingen lopen mij nu al over de rug...
31-10-2016, 15:33 door
BaseMent
Het kastje doet toch niet bijzonders? De sleutel zit toch in de pasje die je in de kastje steekt?
https://www.veiligbankieren.nl/betaalmiddelen/mobiel-bankieren/ zegt "In Nederland zijn nog geen gevallen van misbruik van bank apps vastgesteld. Daarmee is mobiel bankieren met een bank app veilig en betrouwbaar. De banken doen hun uiterste best om dat in de toekomst ook zo te houden"
Misschien dat een kastje iets toe te voegen heeft voor banken buiten nederland, maar volgens mij valt de fraude in nederland wel mee, zeker in combinatie met ideal of paypal.
Laat mensen gewoon zelf verantwoordelijk zijn, zelf heb ik een yubikey met OTP en een app die compleet random gegenereerde wachtwoord invoert nadat ik op de otp knop heb geduwd.
Ze kunnen beter een kastje maken wat iemands IQ meet voordat men 100.000 euro gaat overmaken naar hun online nooitgeziene partner in Nigeria
Misschien dat een kastje iets toe te voegen heeft voor banken buiten nederland, maar volgens mij valt de fraude in nederland wel mee, zeker in combinatie met ideal of paypal.
Laat mensen gewoon zelf verantwoordelijk zijn, zelf heb ik een yubikey met OTP en een app die compleet random gegenereerde wachtwoord invoert nadat ik op de otp knop heb geduwd.
Ze kunnen beter een kastje maken wat iemands IQ meet voordat men 100.000 euro gaat overmaken naar hun online nooitgeziene partner in Nigeria
Door BaseMent: Het kastje doet toch niet bijzonders? De sleutel zit toch in de pasje die je in de kastje steekt?
Precies men geeft wel weer erg duidelijk aan er niks van te snappen!De bedoeling is dat je aantoont dat je de legitieme houder van de creditcard bent als je afrekent.
Dit speelt in Nederland al nauwelijks omdat hier veel meer met iDEAL afgerekend wordt waar dit probleem allang is
opgelost (we hebben daar allang die 2nd factor authenticatie voor).
En degenen die zonodig privacy willen die hebben weer boter op hun hoofd, ik vind het helemaal niet nodig dat de
crimineel die mijn creditcard wil misbruiken privacy heeft, en als ik zelf betaal dan zit ik er ook niet mee dat de bank
mijn identiteit kan vaststellen want dat moesten ze toch al om van de juiste rekening af te schrijven.
31-10-2016, 20:26 door
karma4
Wil je nu iets kopen of niet. Zo ja dan is het bankrekening en bezorgadres nodig en zijn je gegevens bekend, dat is met of zonder zo'n e-identifier die de ank al gebruikt. Zo nee waar maak je je druk om?
30-10-2016, 22:29 door Anoniem: [...]
@Erik,
Wie bepaalt wat voor kastje gebruikt wordt, en wat voor software er op draait ?
Jij bepaalt welke leverancier je vertrouwt. Uitgangspunt is dat het kastje zelf geen internetconnectiviteit heeft.@Erik,
Wie bepaalt wat voor kastje gebruikt wordt, en wat voor software er op draait ?
30-10-2016, 22:29 door Anoniem: En als iemand nou niet meer het "recht" krijgt om het kastje te gebruiken ... etc. ?
Men kan inderdaad ook jouw paspoort innemen. Dat is voor mij geen aanleiding om dan maar geen nieuw paspoort aan te vragen zodra mijn huidige exemplaar verlopen is.31-10-2016, 13:31 door Anoniem: Dus als je het kastje even 'leent' van een ander, dan ga je ook met zijn Private Key aan de haal?
De facto representeert nu jouw e-mail account (en dus de devices die je gebruikt om dat account te benaderen, by default met het toegangswachtwoord opgeslagen op dat device) jouw identiteit. Daarnaast kunnen aanvallers die enkele gegevens van jou kennen (NAW, BSN en/of GebDat) en/of in jouw brievenbus hengelen, eenvoudig met jouw identiteit aan de haal.Ik, maar ook marktpartijen, zien grote voordelen in betrouwbare digitale authenticatie. Natuurlijk wel op z'n minst een pincode op dat kastje (2FA).
Ik voorzie dat je voor een aantal accounts (buiten dat kastje) nog wel wachtwoorden zult willen blijven gebruiken, maar strikt genomen zijn zelfs die niet meer nodig: je gebruikt het kastje om aan te tonen dat jij jij bent. Meer dan (één van) jouw public key(s), al dan niet verpakt in een client certificaat, krijgt de wereld niet te zien. Middels challenge-response toon jij aan over de bijbehorende private key te beschikken.
Voor steeds meer toepassingen is nu je smartphone dat kastje, en dat vind ik een veel griezeliger idee.
01-11-2016, 08:03 door
[Account Verwijderd]
-
Bijgewerkt: 01-11-2016, 08:03
[Verwijderd]
01-11-2016, 09:08 door
Erik van Straten
@Rinjani: ik bedoelde https://sc4.us/hsm (te vinden via de link die ik eerder gaf)
Erik,
Dat kan een heel stuk goedkoper, daar heb je geen hsm voor nodig: https://www.yubico.com/products/yubikey-hardware/fido-u2f-security-key/
Daarnaast: de key verlaat je bankpas ook niet. Dat werkt uitstekend samen met raboscanner, E-dentifier en dergelijke. Helemaal geen nieuwe spullen nodig zoals ik al eerder betoogd heb.
PSD2 eist dat ook helemaal niet. De media gaan aan de haal met een verhaal over een kastje...
Dat kan een heel stuk goedkoper, daar heb je geen hsm voor nodig: https://www.yubico.com/products/yubikey-hardware/fido-u2f-security-key/
Daarnaast: de key verlaat je bankpas ook niet. Dat werkt uitstekend samen met raboscanner, E-dentifier en dergelijke. Helemaal geen nieuwe spullen nodig zoals ik al eerder betoogd heb.
PSD2 eist dat ook helemaal niet. De media gaan aan de haal met een verhaal over een kastje...
01-11-2016, 12:19 door
[Account Verwijderd]
[Verwijderd]
Door Anoniem:
# Al ben je met Apple heel algemeen gesteld over het algemeen beter af boven Windows, en dus zowaar nog ook nog goedkoper uit voor een keer ;), haha het kan verkeren.
En/maar een goedkoper iOS apparaat is op dit moment het allerveiligst om mee te internetbankieren als je de algemene os-en onderling vergelijkt.
Op een veilige verbinding dan en niet op een phishingpagina, dat stukje veiligheid zal je echt zelf moeten verzorgen.
# Al ben je met Apple heel algemeen gesteld over het algemeen beter af boven Windows, en dus zowaar nog ook nog goedkoper uit voor een keer ;), haha het kan verkeren.
En/maar een goedkoper iOS apparaat is op dit moment het allerveiligst om mee te internetbankieren als je de algemene os-en onderling vergelijkt.
Op een veilige verbinding dan en niet op een phishingpagina, dat stukje veiligheid zal je echt zelf moeten verzorgen.
Knap dat ie iets teletoet kan noemen en tegelijkertijd hetzelfde gebrek aan rhetoriek toepast in dat laatste stuk. Amper ironisch meer te noemen...
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.