Privacy - Wat niemand over je mag weten

Biometrie, nog maar een keer.

12-01-2019, 15:02 door Anoniem, 33 reacties
Mooie uiteenzetting waarom biometrische authenticatie onverstandig is:
https://computerworld.nl/security/108596-6-redenen-waarom-biometrie-ongeschikt-is-voor-authenticatie

Belangrijk stuk daaruit:


Je laat je vingerafdruk overal achter en je gezicht wordt op elke straathoek opgenomen. Als ze eenmaal zijn bemachtigd hoe kun je dan nog vertrouwen op systemen die deze gebruiken om je identiteit te bewijzen?

En dit is niet theoretisch: in 2015 bemachtigden Chinese hackers de vingerafdrukken van de Amerikaanse overheidsdienst OPM. Iedereen die ooit aan een veiligheidsonderzoek in de VS is onderworpen - militairen, overheidsfunctionarissen, inlichtingendeskundigen, consultants en meer - is slachtoffer. Ik ben er een van. Mijn vrouw, die in 1984 een aanvraag had ingediend om op een scheepswerf te werken zat er ook bij. Iedereen die werkt bij de FBI, NSA en CIA is beroofd van zijn of haar vingerafdruk.

Daar was destijds een hoop ophef over en zelfs president Obama van de VS werd erbij betrokken. na enkele onderhandelingen arresteerde de Chinese overheid enkele hackers en zou de vingerafdrukdatabase zijn teruggegeven aan de Amerikanen. En natúúrlijk hebben ze geen kopie daarvan in handen.
Reacties (33)
12-01-2019, 16:25 door Anoniem
Jeetje, open deuren en oud nieuws. Tien jaar geleden al door Bruce Schneier https://www.schneier.com/blog/archives/2009/01/biometrics.html

The lesson is that biometrics work best if the system can verify that the biometric came from the person at the time of verification. The biometric identification system at the gates of the CIA headquarters works because there's a guard with a large gun making sure no one is trying to fool the system.

...

One more problem with biometrics: they don't fail well. Passwords can be changed, but if someone copies your thumbprint, you're out of luck: you can't update your thumb. Passwords can be backed up, but if you alter your thumbprint in an accident, you're stuck. The failures don't have to be this spectacular: a voiceprint reader might not recognize someone with a sore throat, or a fingerprint reader might fail outside in freezing weather. Biometric systems need to be analyzed in light of these possibilities.

Biometrics are easy, convenient, and when used properly, very secure; they're just not a panacea. Understanding how they work and fail is critical to understanding when they improve security and when they don't.
12-01-2019, 16:44 door Anoniem
Er woont hier een vrouw om de hoek. Je ziet niet veel, enkel soms dat de gordijn een beetje beweegt. Maar die kent alle gezichten uit haar hoofd. Van alles wat door de straat loopt. Tot wel 30 jaar geleden of nog langer.

Ik ken een ouwe juut. Die kan dat ook. Die loopt op zijn vrije zaterdag over de markt, honderden mensen en hij pikt ze er zo uit.

Ik ken een ouwe cafebaas. Je kunt daar voor het eerst binnenkomen. Hij vertrekt geen spier. Je denkt dat hij niet eens naar je gekeken heeft. Maar hij weet al precies wat je van plan bent. Zonder 1 cubit in zijn hoofd. Zelfs geen Google bij nodig.

Wat was ook weer het probleem dan met gezichtsherkenning. Het enige is dat zulke techniek in handen valt van mensen die niet weten hoe ze daar mee om moeten gaan. Of kunstmatige intelligenties.

Dat is nou net weer het verschil met de buurvrouw, die ouwe juut, en die ouwe cafebaas. Die kunnen dat wèl.

Je kunt een hoop met al die computers. Maar ze hebben nog niet genoeg geleerd om ze kunnen te vertrouwen. Wat nog wat hele pijnlijke errors op gaat leveren. Let maar op. Het grootste gevaar: Het domme denken dat als het uit een computer komt, het wel moet kloppen. Dat had allang een hele achterhaalde ouwe opvatting moeten zijn. Eigenlijk. Als ik sommige commentaren lees dan zie ik al wat voor vermoeiende ouwe lullen dat later zullen worden. Misschien dat ik juist nog de goeie tijd heb meegemaakt.
12-01-2019, 17:28 door Anoniem
Door Anoniem: Jeetje, open deuren en oud nieuws. Tien jaar geleden al door Bruce Schneier

De kracht van herhaling.
Google verzameld data
Facebook is onbetrouwbaar
Apple is te duur
Water is nat
Wind waait.

Er zijn nog steeds mensen, ja ook hier op het forum, die denken dat biometrie wel een goed plan is.
12-01-2019, 17:45 door karma4
Het enige wat je zegt is dat je je password niet geheim kan houden … klopt.
Je kan je gezicht niet verbergen … klopt.
Dat iemand een foto met gezicht aan een andere kan tonen en daarmee transacties kan doen … Ja dat gebeurt maar het klopt niet om daarbij de persoon bij het gezicht als schuldige te zien. Het is wettelijk verplicht dat de verwerker een deugdelijke controle doet. Faalt de verwerker daarin dan zou die voor de schade moeten opdraaien.... oeps daar gaat het dus mis.
Voor het gemak maken we de administratie van de machtigste partij maar leiden en onfeilbaar ….. function creep alert!
12-01-2019, 18:13 door Anoniem
Door karma4: Het enige wat je zegt is dat je je password niet geheim kan houden … klopt.
Je kan je gezicht niet verbergen … klopt.
Dat iemand een foto met gezicht aan een andere kan tonen en daarmee transacties kan doen … Ja dat gebeurt maar het klopt niet om daarbij de persoon bij het gezicht als schuldige te zien. Het is wettelijk verplicht dat de verwerker een deugdelijke controle doet. Faalt de verwerker daarin dan zou die voor de schade moeten opdraaien.... oeps daar gaat het dus mis.
Voor het gemak maken we de administratie van de machtigste partij maar leiden en onfeilbaar ….. function creep alert!

Je blijft identificeren maar verwarren met authenticeren. Het gaat over het gebruik van biometrische gegevens voor authenticatie, daarvoor zijn biometrische gegevens ONGESCHIKT. Biometrische gegevens zijn uitermate geschikt om mensen te identificeren.
12-01-2019, 20:23 door Anoniem
Alle identificatie, authenticatie, alles met machines, is mooi voor de grote stroom. Maar voor de uitval en de uitzonderingen heb je intuitie nodig. Dat is iets dat soms voortkomt uit ervaring maar kan ook gewoon aangeboren zijn. Ga maar transistors aan mekaar solderen om dat te maken. Dat lukt voorlopig nog lang niet. De indruk wekken dat we daar bijna zijn lukt wel vaak. Want daar wordt groot geld mee verdiend. Dat sprookje willen we maar al te graag geloven en ervoor betalen ook.

Ondertussen worden we lui en onverschillig. Daarom kopen we liever sprookjes.

Dan kunnen we blijven liggen. En op een knop drukken.
12-01-2019, 20:47 door karma4
Door Anoniem: en met authenticeren. Het gaat over het gebruik van biometrische gegevens voor authenticatie, daarvoor zijn biometrische gegevens ONGESCHIKT. Biometrische gegevens zijn uitermate geschikt om mensen te identificeren.
Ik verwar het niet. Je blijft maar vasthouden in foute verkeerde begrippen.
Het gangbare met de onduidelijke en verwarrende spraakgebruik in de dageljikse taal.

Voor IAM ICT is een duidelijke definitie nodig. https://www.owasp.org/index.php/Authentication_Cheat_Sheet
"is the process of verification that an individual, entity or website is who it claims to be. Authentication in the context of web applications is commonly performed by submitting a user name or ID and one or more items of private information that only a given user should know. "

Als we dan kijken naar: http://biometrieforum.nl/boekje%20biometrie%20maart%20200829fb.pdf?fileId=2
"Gerrit zal zich in de regel in de maatschappij identificeren door iets wat hij weet, zoals zijn naam of geboortedatum. Dat is geen sterke vorm van identificatie, want deze gegevens zijn gemakkelijk te achterhalen en door een ander te misbruiken. Een sterkere methode van identificeren is door iets wat Gerrit in zijn bezit heeft: een rijbewijs, paspoort, identiteitskaart.

De kracht van deze plastic of elektronische documenten varieert, want ze zijn na te maken en het is niet duidelijk of het ‘eigen’ is. Behoort het wel bij Gerrit? Daarom wordt in de strafrechtsketen gekozen voor biometrie als aanvulling. Biometrie is iets dat deel uitmaakt van je lichaam, dan wel iets wat bij je gedrag hoort. Het is onlosmakelijk met je verbonden.

https://www.vandale.nl/gratis-woordenboek/nederlands/betekenis/identiteit#.XDj_O_ZFyUk
en deze https://taaladvies.net/taal/advies/vraag/1674/authentificeren_authenticeren/

Voor de duidelijkheid moet er een richtlijn zijn zoals: https://www.ncsc.nl/actueel/whitepapers/beleids--en-beheersingsrichtlijnen-voor-ontwikkeling-van-veilige-software.html onderin de PDF
02 Identificeer gebruikersgroepen, -profielen en/of –rollen.
De organisatie legt gebruikersgroepen, -profielen en/of -rollen vast. Hiermee wordt beschreven welke soorten gebruikers zijn onderscheiden. ….. Het beheerproces van de technische middelen voor identificatie, authenticatie en autorisatie kent een zodanige functiescheiding, dat het niet mogelijk is voor één enkele beheerder om volledige controle over alle middelen te verwerven.

Een ICT nitwit zal zeuren doordat de dagelijkse taal het onderscheid niet snapt.
Een ICT security specialist hoort de processen te begrijpen en de onderscheidende stappen moeten kunnen duiden.


Gijzelaars zijn dat de daders of de slachtoffers. Ook die is in de dagelijks taal alleen duidelijk door herhaald gebruik in een gekozen vaste context. Identiteit en het bewijzen van de identiteit zij aparte stappen. Biometrie is uitstekend en het beste voor het bewijzen van de indentiteit. Om verwarring te voorkomen ICT spraakgebruik autenticatie.
12-01-2019, 21:24 door Bitwiper
Door Anoniem: Mooie uiteenzetting waarom biometrische authenticatie onverstandig is:
https://computerworld.nl/security/108596-6-redenen-waarom-biometrie-ongeschikt-is-voor-authenticatie
Prima stuk inderdaad.

Als aanvulling daarop (met 2 (ver-) taalfouten door mij gecorrigeerd):
Door Roger A. Grimes: Biometrische identificatiefactoren zijn niet geheim, zoals een private encryptiesleutel of een wachtwoord.
Hoewel wachtwoorden, in tegenstelling tot biometrische gegevens, na compromittering vervangen kunnen worden, zijn ook wachtwoorden niet zo geheim als ik zou willen, want ik moet ze voortdurend invoeren op (web-) servers die niet door mij worden beheerd. Daardoor kan ik alleen maar hopen dat:
- ik mijn wachtwoord op de bedoelde en niet op een fake server invoer;
- er geen third party software meegluurt (zie bijv. [1]);
- de server niet gehacked is en de beheerders te vertrouwen zijn;
- een onomkeerbare afgeleide (volgens best current practice, zie [2]) er van wordt opgeslagen en niet plain text ([3]);
- het mij onmiddellijk ter ore komt mocht de server gehacked zijn en/of de wachtwoorddatabase onrechtmatig gekopieerd is.

Niet perfect (o.a. ook niet veilig bij Man-in-the-Middle aanvallen) maar veiliger is het gebruik van een private encryptiesleutel, want die hoef je niet met derden te delen om aan te tonen dat jij deze in jouw bezit hebt. Daardoor is een private key makkelijker geheim te houden dan een wachtwoord, ook als je de bijbehorende public key op meer dan 1 server zou laten opslaan (iets wat met een wachtwoord zeer onverstandig is gebleken).

Natuurlijk kunnen we private keys niet onthouden, laat staan de benodigde berekeningen uit het hoofd doen. In plaats van een gewone wachtwoordmanager zul je een programma, app of losstaand device moeten hebben met daarin de private key, waarbij je uitsluitend lokaal een "master password" moet invoeren om, middels een berekening, aan te tonen dat jij over die private key beschikt. En natuurlijk kan uiteindelijk ook die private key in verkeerde handen vallen (als er een pistool tegen je hoofd gezet wordt bijvoorbeeld). Maar zo'n ding kan, na overmacht, worden ingetrokken en vervangen - in tegenstelling tot biometrische data.

Ik begrijp niet waarom we, voor authenticatie, nog steeds nauwelijks of geen gebruik maken van asymmetrische cryptografie.

[1] https://www.wired.com/story/covert-replay-sessions-harvesting-passwords/
[2] https://www.owasp.org/index.php/Password_Storage_Cheat_Sheet
[3] https://www.theregister.co.uk/2018/11/23/knuddels_fined_for_plain_text_passwords/
12-01-2019, 21:43 door Anoniem
Door karma4:
Door Anoniem: en met authenticeren. Het gaat over het gebruik van biometrische gegevens voor authenticatie, daarvoor zijn biometrische gegevens ONGESCHIKT. Biometrische gegevens zijn uitermate geschikt om mensen te identificeren.

Biometrie is uitstekend en het beste voor het bewijzen van de indentiteit. Om verwarring te voorkomen ICT spraakgebruik autenticatie.

Nee Karma4, het is identiteit niet indentiteit, en identitficeren is niet authentificeren.
12-01-2019, 21:46 door Anoniem
En iedereen maar vrolijk Internet of Things apparaten gemaakt in China blijven kopen.

Die bouwen al jaren aan een wereldwijde afpers en informatie graaimachine.
1 druk op de knop en ze leggen een compleet land lam. Is nog niet gebeurd op internationaal niveau zover ik weet maar het zou me niets verbazen nu met Taiwan en de Zuid Chineese Zee.
Waar de VS een land onder druk zet met SWIFT en internationale sancties heeft china dus dadelijk het monopolie op de energievoorziening en alles wat ons leven in goede banen lijdt. Lang leve onze luiheid, alsook Europese naïviteit de rommel uit China te blijven omarmen. Biometrie omarmen betekend dus ook china omarmen want we produceren zelf niets meer.
12-01-2019, 22:19 door Anoniem
Als je minder bezig bent met door de gordijnen te gluren dan hou je meer tijd over. Er zit misschien iemand op de bank. Die ook eens aandacht zou willen. Moet niet, maar zou wel leuk zijn. Voor de verandering.

Dan glipt er maar een een-eiïge tweeling door. Is dat nou zo belangrijk?
12-01-2019, 22:43 door Bitwiper - Bijgewerkt: 12-01-2019, 23:02
Authenticatie is het bijna altijd in het belang van de persoon wiens identiteit met voldoende zekerheid (rekening houdend met het doel en de risico's) moet worden aangetoond. Uitzonderingen hierop: bij aanhouding wegens een overtreding of verdenking van een misdrijf, onder de 18 alcohol willen kopen of als er iemand voor je staat die de opdracht heeft om jouw bekkie te verbouwen, komt het voor dat mensen liever niet zeggen wie zij zijn of zelfs claimen een andere identiteit te hebben.

Die uitzonderingen buiten beschouwing latend: omdat de meeste personen zelf heel goed weten wie zij zelf zijn, gaat het er dus primair om dat met voldoende mate van zekerheid wordt aangetoond dat het niet gaat om imand die zich voordoet als de betreffende persoon. M.a.w. het gaat meestal om de zekerheid waarmee identiteitsfraude wordt uitgesloten - en feitelijk geldt dat zelfs voor genoemde uitzonderingen.

In https://www.nist.gov/document/nstic-strength-authentication-discussion-draftpdf (dat ik zojuist nog kon downloaden, terwijl andere delen van de NIST site uit de lucht zijn) vond ik een mooi overzicht van wat er allemaal mis kan gaan bij "biometrische authenticatie" (voor zover dat geen contradictio in terminis is in het licht van de in deze PDF beschreven aanvalsvectoren, en wat ik schreef in de tweede alinea van deze bijdrage).

Aanvulling, ik durf deze stelling wel aan: het authenticatieniveau is de mate waarin identiteitsfraude wordt uitgesloten.
13-01-2019, 07:44 door karma4 - Bijgewerkt: 13-01-2019, 08:28
Door Anoniem:
Nee Karma4, het is identiteit niet indentiteit, en identitficeren is niet authentificeren.
Voor de typo heb je gelijk (betekent posities verschuiven in opmaak)
Wat betreft de betekenis rond identificatie authenticatie zit je faliekant fout.

Aub Gewoon even de uitleg van de betekenis en bedoeling van die woorden volgen.
Het blijven vasthouden aan een foute verwarrende aanduiding zonder het proces:
a/ "zeggen wie je bent" ,
b/ "bewijzen wie je bent" ,
te begrijpen faciliteert het frauduleus gemak.

Wil je https://www.forumstandaardisatie.nl/nieuws/nieuwe-versie-handreiking-betrouwbaarheidsniveaus de opens standaarden volgens het: "pas toe of leg uit" volgen, dan heb je: "Aanbieders van authenticatiemiddelen doen er goed aan om hun aanbod zo snel mogelijk op eenzelfde wijze te categoriseren, zodat overheidsdienstverleners die digitale diensten aanbieden makkelijk de link kunnen leggen tussen hun behoefte en het beschikbare aanbod van middelen."
en " Het is niet mogelijk om voor al die diensten één uniforme oplossing vast te stellen voor identificatie, authenticatie en autorisatie."

Door Bitwiper: ..
Aanvulling, ik durf deze stelling wel aan: het authenticatieniveau is de mate waarin identiteitsfraude wordt uitgesloten.
Een heel fraaie stelling waar ik achter sta. Mooi Nist-documentje

Jammer van die Grimes. Zijn ongelijk wordt bewezen door de juridische praktijk waarbij biometrie de enige onderbouwde en geaccepteerde praktijk voor authenticatie is ofwel het bewijs leveren van de juiste persoon. Het vakgebied https://en.wikipedia.org/wiki/Forensic_identification. Let op het woord identified wordt gebruikt als het bewijs leveren van de juiste persoon, dat is wat bij de ICT IAM invullen met het woord authenticatie.
13-01-2019, 09:26 door Anoniem
Onderzoekers kunnen d.m.v. biometische gegevens iemands identiteit vastsellen maar krijgen daarmee geen geautenticeerde toegang tot b.v. diens computer terwijl ze daarvoor wel geauthoriseerd zijn.
13-01-2019, 09:35 door -karma4
Door karma4:
Door Anoniem:
Nee Karma4, het is identiteit niet indentiteit, en identitficeren is niet authentificeren.
Voor de typo heb je gelijk (betekent posities verschuiven in opmaak)
Wat betreft de betekenis rond identificatie authenticatie zit je faliekant fout.

Het staat nota bene letterlijk in de inleiding van het aangehaalde artikel!

"Biometrische gegevens zijn wat mij betreft enkel geschikt voor identificatie, analoog aan een inlognaam. Voor authenticatie zijn ze onnauwkeurig, diefstalgevoelig en vatbaar voor misleiding."

Of denkt karma4 het weer beter te weten? ... NOT
13-01-2019, 09:48 door Bitwiper
Door karma4: Jammer van die Grimes. Zijn ongelijk wordt bewezen door de juridische praktijk waarbij biometrie de enige onderbouwde en geaccepteerde praktijk voor authenticatie is ofwel het bewijs leveren van de juiste persoon. Het vakgebied [ur]https://en.wikipedia.org/wiki/Forensic_identification[/url]. Let op het woord identified wordt gebruikt als het bewijs leveren van de juiste persoon, dat is wat bij de ICT IAM invullen met het woord authenticatie.
Jammer van die karma4. Zijn ongelijk wordt bewezen door de juridische praktijk waarbij biometrische sporen een van de aanwijzingen voor de dader van een misdrijf kunnen zijn waar een rechter rekening mee houdt, wetende dat biometrische sporen op een ander moment dan het misdrijf kunnen zijn aangebracht, door een derde kunnen zijn geplaatst, of kunnen zijn verwisseld. Bovendien houdt een goede rechter rekening met de kans dat een identificerend gegeven daadwerkelijk toebehoort aan de verdachte.

Uit het artikel dat karma4 aanhaalt, https://en.wikipedia.org/wiki/Forensic_identification:
Downfalls

The two basic conceptual foundations of forensic identification is that everyone is individualized and unique.[2] This individualization belief was invented by a police records clerk, Alphonse Bertillon, based on the idea that "nature never repeats," originating from the father of social statistics, Lambert Adolphe Jacques Quetelet. The belief was passed down through generations being generally accepted, but it was never scientifically proven.[11] There was a study done intending to show that no two fingerprints were the same, but the results were inconclusive.[12] Many modern forensic and evidentiary scholars collectively agree that individualization to one object, such as a fingerprint, bite mark, handwriting, or ear mark is not possible.

Een stukje uit één van de vele indicaties op Internet dat zelfs DNA-sporen niet altijd geschikt zijn als bewijs, https://www.nist.gov/news-events/news/2017/10/nist-assess-reliability-forensic-methods-analyzing-dna-mixtures:
Many police agencies now routinely swab doorknobs and other surfaces for touch DNA when investigating property crimes. But if many people have touched those surfaces, the result may be a complex, low-level DNA mixture that is difficult, or impossible, to interpret reliably.

“Some labs won’t do anything with that kind of evidence,” said Butler. “Other labs will go too far in trying to interpret it.”

Als biometrische gegevens de laatste strohalm zijn om iemand achter de tralies te krijgen, is de kans op een rechterlijke dwaling groot. Verklaringen van niet beïnvloede getuigen van een misdrijf zijn vaak een veel betere graadmeter, maar hoe weet je zeker dat die getuigen objectief zijn, niet beïnvloed en geen dingen door elkaar halen?

Net zoals biometrie is rechtspraak zelden een absolute wetenschap, maar -op basis van zoveel mogelijk gegevens- een vermoeden met een zo groot mogelijke kans vaststellen. Immers, je kunt nooit voor 100% uitsluiten dat een verkrachter een condoom heeft gebruikt en daarna het sperma van een ander in de plaats delict heeft achtergelaten, of dat door een fout in een lab samples zijn verwisseld. Hoewel aan de hand van DNA sporen vaak met enorme zekerheid kan worden vastgesteld van wie dat DNA is, betekent niet in alle gevallen dat je dan ook de dader te pakken hebt.

Door karma4: Let op het woord identified wordt gebruikt als het bewijs leveren van de juiste persoon, dat is wat bij de ICT IAM invullen met het woord authenticatie.
Kul. Zowel bij een gevonden vingerafdruk, schoenafdruk of een foto van een auto met een leesbare kentekenplaat, kan het om een vervalsing gaan. Ja, de verdachte heeft die vingerafdruk, die schoenen en dat kenteken, maar dat bewijst niet dat zij de dader is.

Bij authenticatie in de ICT is het, in tegenstelling tot in het strafrecht, meestal (zo niet altijd) in het belang van de betrokkene dat identiteitsfraude wordt uitgesloten (zoals ik in mijn vorige bijdrage beargumenteerde).

Het zal de eigenaar van een webshop een biet zijn of jij bent wie jij zegt dat jij bent, als er maar geen gezeik komt dat jij een rekening niet wilt betalen van een verzonden object waarvan jij zegt dat nooit besteld te hebben. Ook de belastingdienst ligt er vermoedelijk niet wakker van dat ik met de DigiD van mijn moeder haar belastingopgave indien. Zelfs bazen hebben er zelden problemen mee als iemand inlogt op het account van een afwezige collega om het werk doorgang te kunnen laten vinden, zolang er maar geen gedonder van komt.

Dat gedonder komr er wel als een derde, gebruikmakend van jouw rechten en/of privileges, dingen doet in jouw nadeel. En precies zoals Grimes aangeeft, is het enorm lastig om personen bijv. op basis van een vingerafdruk uit elkaar te houden. Als een foute collega weet dat hij, aan de hand van zijn vingerafdruk, wel eens herkend wordt als jou, kan hij daar misbruik van maken.

Het probleem bij biometrische identificatie, in elk geval in de ICT, is dat het zo weinig mogelijk moet kosten. Er worden eenvoudig te foppen sensoren gebruikt en er staat geen dure gewapende man bij die jou neerknalt als jij de boel belazert.

Precies zoals het NCSC adviseert in hun recente uodate van "Gebruik tweefactorauthenticatie: Wachtwoorden alleen zijn niet altijd voldoende [1]: gebruik niet te raden en niet te brute-forcen wachtwoorden, en omdat je daar maar weinig van kunt onthouden: gebruik een wachtwoordmanager. Alleen voor het geval daar iets grondig mee mis gaat, kan het zinvol zijn om daarnaast andere authenticatiemethodes in te zetten.

Mijn toevoeging daar aan: maar zorg er dan wel voor dat die tweede factor niet eenvoudig te foppen valt door aanvallers, want dan voegt deze niets toe - integendeel, het slachtoffer moet dan nog meer moeite doen om te bewijzen dat zij het niet was.
WANT OOK HET NCSC VERGEET BIJ ELK VAN DE VOLGENDE FACTOREN::
- iets dat hij weet (een wachtwoord of een pincode);
- iets dat hij heeft (een telefoon of een zogenaamde token);
- iets dat hij is (een biometrisch gegeven).
de essentiële toevoeging: DAT NIET EENVOUDIG DOOR DERDEN ONTVREEMD, GEKOPIEERD EN INGEZET KAN WORDEN.

[1] zie de factsheet te vinden via https://www.ncsc.nl/actueel/nieuwsberichten/update-factsheet-gebruik-tweefactorauthenticatie.html
13-01-2019, 10:38 door karma4 - Bijgewerkt: 13-01-2019, 10:42
Door The FOSS:
Door karma4:
Door Anoniem:
Nee Karma4, het is identiteit niet indentiteit, en identitficeren is niet authentificeren.
Voor de typo heb je gelijk (betekent posities verschuiven in opmaak)
Wat betreft de betekenis rond identificatie authenticatie zit je faliekant fout.

Het staat nota bene letterlijk in de inleiding van het aangehaalde artikel!

"Biometrische gegevens zijn wat mij betreft enkel geschikt voor identificatie, analoog aan een inlognaam. Voor authenticatie zijn ze onnauwkeurig, diefstalgevoelig en vatbaar voor misleiding."

Of denkt karma4 het weer beter te weten? ... NOT
Ik verwijs naar NIST NCSC Nora en het verdere wetenschappelijke onderzoek.
Dat een Grimes FOSS met fud argumenten komen is ongeveer van het zelfde niveauals het bewijs dat de wereld plat is omdat je in je achtertuintje ogenschijnlijk alles vlak hebt. Er staat nergens dat er van een onfeilbaar discreet bewijs uit gegaan wordt, het is het best haalbare. Veel beter dan iets wat je weet of bezit


Door Bitwiper:
Jammer van die karma4. Zijn ongelijk wordt bewezen door de juridische praktijk waarbij biometrische sporen een van de aanwijzingen voor de dader van een misdrijf kunnen zijn waar een rechter rekening mee houdt, wetende dat biometrische sporen op een ander moment dan het misdrijf kunnen zijn aangebracht, door een derde kunnen zijn geplaatst, of kunnen zijn verwisseld. Bovendien houdt een goede rechter rekening met de kans dat een identificerend gegeven daadwerkelijk toebehoort aan de verdach]
Dat zegt niets over de koppeling van het gevonden materiaal te koppelen aan de betreffende persoon.
Het zegt iets over de lijn van de kwetsbaarheden in het proces. Pak plaatje Figure 1 – Biometric system attack diagram6 in je fraaie nist document er maar bij. Als bij de het vastleggen van de sporen al fouten maakt dan is het achterliggende deel onbetrouwbaar. Daarom is er bij het vastleggen van sporenonderzoek zo'n strict protocol.

Zelf grimes geeft dat gewoon toe. Bij de fysieke toegang met een aparte bewaker als controle is biometrie al gewoon veel veel beter. Even een pasje uitlenen … en je weet dat wat je bezit al faalt.

Verklaringen van niet beïnvloede getuigen van een misdrijf zijn vaak een veel betere graadmeter, maar hoe weet je zeker dat die getuigen objectief zijn, niet beïnvloed en geen dingen door elkaar halen?
Getuigenverklaringen zijn nu net de grootste kwaal bij wat later gerechtelijke dwalingen bleken te zijn. Het volksgerecht is bekend om onschuldigen te offeren waarbij de echt schuldig het vuur aanwakkert.


[Het zal de eigenaar van een webshop een biet zijn of jij bent wie jij zegt dat jij bent, als er maar geen gezeik komt dat jij een rekening niet wilt betalen van een verzonden object waarvan jij zegt dat nooit besteld te hebben.
Die is leuk, je zegt dat spookrekening gewoon via een deurwaarder geincasseerd gaan worden. Dat lijkt me echt fout.
Het raakt wel de kern juist de verwerker (eigenaar van een webshop in jouw voorbeeld) moet het probleem van de fraude voelen en niet de derde als slachtoffer. Laat die nu wettelijk ook nog eens zo zijn, alleen faalt helaas de praktijk.
Voorbeeld probeer maar eens vals geld dat je geaccepteerd hebt als echt bij een bank in te wisselen.

Zelfs in de rechtspraak wordt gewoon overtuigend bewijs geaccepteerd en dat hoeft niet een absolute zekerheid te zijn.
Er gaat dan wel eens iets niet goed. Je kent vast wel de uitspraak: "uitzonderingen bevestigen de regel"


aanvulling, ik durf deze stelling wel aan: het authenticatieniveau is de mate waarin identiteitsfraude wordt uitgesloten.
Je hebt net je eigen stelling zelf proberen onderuit te halen.
13-01-2019, 11:07 door -karma4 - Bijgewerkt: 13-01-2019, 11:07
Door karma4: Dat een Grimes FOSS met fud argumenten komen is ongeveer van het zelfde niveauals het bewijs dat de wereld plat is omdat je in je achtertuintje ogenschijnlijk alles vlak hebt.

Een Grimes 'FOSS'? En de rest van dat verwarde verhaaltje. #WTF karma4!
13-01-2019, 11:20 door karma4
Door The FOSS:
Door karma4: Dat een Grimes FOSS met fud argumenten komen is ongeveer van het zelfde niveauals het bewijs dat de wereld plat is omdat je in je achtertuintje ogenschijnlijk alles vlak hebt.
Een Grimes 'FOSS'? En de rest van dat verwarde verhaaltje. #WTF karma4!
De gangbare reactie zoals te verwachten. Want serieus met informatieveiligheid bezig gaan ncsc nora nist is te hoog gegrepen.
13-01-2019, 11:25 door -karma4 - Bijgewerkt: 13-01-2019, 12:02
Door karma4:
Door The FOSS:
Door karma4: Dat een Grimes FOSS met fud argumenten komen is ongeveer van het zelfde niveauals het bewijs dat de wereld plat is omdat je in je achtertuintje ogenschijnlijk alles vlak hebt.
Een Grimes 'FOSS'? En de rest van dat verwarde verhaaltje. #WTF karma4!
De gangbare reactie zoals te verwachten. Want serieus met informatieveiligheid bezig gaan ncsc nora nist is te hoog gegrepen.

Daar doelde ik juist op karma4. Jouw teksten en reacties zijn gezien het bovenstaande toch echt niet meer serieus te nemen. De manier waarop jij topauteurs denkt te kunnen wegzetten met 'FOSS', 'fud argumenten', 'wereld plat' verhaaltjes. En hoe je je eigen - niet of slecht onderbouwde mening - als waarheid verkondigt. Het lijkt bijna pathologisch.
13-01-2019, 11:26 door Anoniem
De laaste voor Karma4:

Zijn ongelijk wordt bewezen door de juridische praktijk waarbij biometrie de enige onderbouwde en geaccepteerde praktijk voor authenticatie is ofwel het bewijs leveren van de juiste persoon.

Ik kan, door me te identificeren soms ook authenticeren (bio), als ik me kan authenticeren (wachtw) kan ik me nog niet identificeren.

Het is dus grote onzin dat juridisch gezien biometrie gezien wordt als authenticatie, het leveren van bewijs dat jij ben wie je zegt te zijn heet identificatie.
13-01-2019, 11:47 door Bitwiper - Bijgewerkt: 13-01-2019, 11:48
Door karma4: Je hebt net je eigen stelling zelf proberen onderuit te halen.
Veel plezier met jouw mening, maar dat heb ik juist niet.

Authenticatie is nooit 100% betrouwbaar. Als identiteitsfraude in jouw nadeel uit kan vallen, doe je er verstandig aan om geen diensten af te nemen of producten aan te schaffen van aanbieders die identiteitsfraudeurs in de kaart spelen. Dat vaak met gehypte en geclaimd "onfeilbare" 2FA, op dit moment vooral biometrie (waarbij de verkopers daarvan "vergeten" te vermelden dat je een gewapende bewaker bij de sensor moet zetten om fraude te voorkomen).

Met legio praktijkvoorbeelden, waaronder https://www.security.nl/posting/592733/Gezichtsherkenning+tientallen+smartphones+met+foto+te+omzeilen en https://www.security.nl/posting/568113/MijnOverheid-phishingsite+maakte+ook+2-factorauthenticatie+buit.

Zodra authenticatie in jouw belang is, is een niet te raden en niet te brute forcen wachtwoord jouw beste wapen, exact zoals het NCSC aangeeft in de laatste door mij genoemde factsheet (dat jij gemakshalve negeert, want jij vindt biometrie kennelijk altijd en onvoorwaardelijk betrouwbaarder dan wachtwoorden voor authenticatie in de ICT - want daar hebben we het primair over op deze site).
13-01-2019, 11:57 door [Account Verwijderd]
Door Bitwiper:

Zodra authenticatie in jouw belang is, is een niet te raden en niet te brute forcen wachtwoord jouw beste wapen, exact zoals het NCSC aangeeft in de laatste door mij genoemde factsheet (dat jij gemakshalve negeert, want jij vindt biometrie kennelijk altijd en onvoorwaardelijk betrouwbaarder dan wachtwoorden voor authenticatie in de ICT - want daar hebben we het primair over op deze site).

100% mee eens.
13-01-2019, 12:30 door -karma4
Door karnna4:
Door Bitwiper:

Zodra authenticatie in zijn/haar belang is, is een niet te raden en niet te brute forcen wachtwoord zijn/haar beste wapen, exact zoals het NCSC aangeeft in de laatste door mij genoemde factsheet (dat jij gemakshalve negeert, want jij vindt biometrie kennelijk altijd en onvoorwaardelijk betrouwbaarder dan wachtwoorden voor authenticatie in de ICT - want daar hebben we het primair over op deze site).

100% mee eens.

En nu nog steeds, karma4? (lees bovenstaande verduidelijkend aangepaste quote terug.)
13-01-2019, 12:34 door [Account Verwijderd] - Bijgewerkt: 13-01-2019, 12:37
Door The FOSS:

Zodra authenticatie in zijn/haar belang is, is een niet te raden en niet te brute forcen wachtwoord zijn/haar beste wapen, exact zoals het NCSC aangeeft in de laatste door mij genoemde factsheet (dat jij gemakshalve negeert, want jij vindt biometrie kennelijk altijd en onvoorwaardelijk betrouwbaarder dan wachtwoorden voor authenticatie in de ICT - want daar hebben we het primair over op deze site).



En nu nog steeds, karma4? (lees bovenstaande verduidelijkend aangepaste quote terug.)

Ja, nog steeds.

ps; Het zit 'm in de details ... ;)

Zo zie je maar dat ik me hier gemakkelijk kan identificeren als iemand anders terwijl die ander zich niet op mijn account kan authenticeren.

karnna4 <> karma4
13-01-2019, 12:36 door Overcome
Door karma4:Voor IAM ICT is een duidelijke definitie nodig. https://www.owasp.org/index.php/Authentication_Cheat_Sheet
"is the process of verification that an individual, entity or website is who it claims to be. Authentication in the context of web applications is commonly performed by submitting a user name or ID and one or more items of private information that only a given user should know. "

Als we dan kijken naar: http://biometrieforum.nl/boekje%20biometrie%20maart%20200829fb.pdf?fileId=2
"Gerrit zal zich in de regel in de maatschappij identificeren door iets wat hij weet, zoals zijn naam of geboortedatum. Dat is geen sterke vorm van identificatie, want deze gegevens zijn gemakkelijk te achterhalen en door een ander te misbruiken. Een sterkere methode van identificeren is door iets wat Gerrit in zijn bezit heeft: een rijbewijs, paspoort, identiteitskaart.


Hier worden aardig wat dingen door elkaar gehaald. Identificatie hoeft niet sterk te zijn. Identificatie is “zeggen wie je bent”. Als ik me moet identificeren, dan zeg ik tegen een agent mijn naam. Duizenden mensen kennen mijn naam. Dat is ook de reden dat gebruikersnamen veelal makkelijk achterhaald kunnen worden in een bedrijf. De gebruikersnamen (de identificatiemechanismen) zijn absoluut niet geheim en hoeven ook niet sterk te zijn. Leuk meegenomen, maar niet belangrijk.

De opmerking “een sterkere methode van identificeren is door iets dat Gerrit in zijn bezit heeft” is authenticatie, niet identificatie. Authenticatie is de verificatie van de identificatie op basis van informatie die is uitgegeven door een trusted third party zoals een gemeente (paspoort) of kan worden gecontroleerd door een trusted third party zoals een AD server of MFA oplossing (wachtwoord/ OTP code).

Denk aan “what you have, what you are, what you know”. What you have is in het geval van Gerrit dus b.v. het rijbewjis. Die dingen zijn niet eenvoudig na te maken (vandaar de echtheidskenmerken die gecontroleerd zouden moeten worden door een agent). Het is daarnaast lastig om zich met b.v. een gestolen rijbewijs voor te doen als iemand anders, want het gezicht op het rijsbewijs moet overeen komen met het gezicht van de persoon die het rijbewijs presenteert, de documentcode behorende bij de overige persoonsgegevens moet bekend zijn bij de vervalser, de persoonsgegevens moeten overeenkomen met mijn gegevens etc. Dat is door de agent weer te controleren bij een trusted third party (het systeem waar hij in kan zoeken tijdens de controle).

Door karma4: Zijn ongelijk wordt bewezen door de juridische praktijk waarbij biometrie de enige onderbouwde en geaccepteerde praktijk voor authenticatie is ofwel het bewijs leveren van de juiste persoon.

Niet waar. Dit zou min of meer inhouden dat in de wereld van (cyber)criminaliteit alleen op basis van biometrie een dader “onderbouwd en geaccepteerd” kan worden geauthenticeerd. Dat zou het oplossingspercentage geen goed doen! Bewijs van identiteit van een persoon kan op een hoop andere manieren worden achterhaald. Het ligt er maar aan hoeveel bewijs is verzameld. Het zou de eerste keer niet zijn dat iemand in ons bedrijf is ontslagen, doordat met zijn account (zonder biometrie) is aangelogd, de werkplek van waaruit de aanval is gestart een IP adres heeft gekregen waar zijn naam op dat moment in de eventlog is weggeschreven, dat interactief is aangelogd met zijn password-protected admin account op een andere server zonder biometrie, dat hij ten tijde van het incident op de camerabeelden staat etc. Het ontslag volgde.

Geen rechter die zou zeggen dat hij het niet was, of dat de zaak niet goed was onderbouwd of niet was geaccepteerd door gebrek aan biometrie.
13-01-2019, 12:41 door [Account Verwijderd]
Er is nu genoeg door mijn[1] verhaal heen geprikt, ik ga toch niet toegeven en trol lekker verder.

[1] nn <> m
13-01-2019, 13:29 door -karma4
Door karnna4: karnna4 <> karma4

Ha, die is sterk! :-) Totaal overheen gekeken!
13-01-2019, 13:29 door -karma4 - Bijgewerkt: 13-01-2019, 13:46
..
13-01-2019, 15:53 door karma4
Door Bitwiper:
Door karma4: Je hebt net je eigen stelling zelf proberen onderuit te halen.
Veel plezier met jouw mening, maar dat heb ik juist niet.

Authenticatie is nooit 100% betrouwbaar. Als identiteitsfraude in jouw nadeel uit kan vallen, doe je er verstandig aan om geen diensten af te nemen of producten aan te schaffen van aanbieders die identiteitsfraudeurs in de kaart spelen..
...
Met die stellingname zeg je eigenlijk dat zowel het AP als BZK RVIG fout bezig zijn met de onwettelijke ondersteuning van fraudeurs door niet de verwerker met onvoldoende bewijs van juiste autorisatie aan te pakken maar het probleem bij de slachtoffers van identiteitsfraude te laten liggen. Dat klopt, Nederland heeft daarvoor zelfs een veroordeling van het EHRM hof voor gekregen. Aan de achterliggende oorzaken is niets gedaan.

Dan kom je aan de vereisten van autorisatieniveau's waarbij bij elke hoger stricter niveau er nog steeds een mogelijkheid van fraude en van onterecht de juiste personen afkeuren is. Een absolute waarheid en zekerheid bestaat niet.

Een password welke alleen die persoon zou weten, dat is onmogelijk de tegenspraak zit overal in het proces met wachtwoorden. Nooit wachtwoorden vertrouwen als bij fraude het tegenbewijs onmogelijk is.
13-01-2019, 16:08 door karma4
Door Overcome:
Hier worden aardig wat dingen door elkaar gehaald. Identificatie hoeft niet sterk te zijn. Identificatie is “zeggen wie je bent”. Als ik me moet identificeren, dan zeg ik tegen een agent mijn naam. Duizenden mensen kennen mijn naam. Dat is ook de reden dat gebruikersnamen veelal makkelijk achterhaald kunnen worden in een bedrijf. De gebruikersnamen (de identificatiemechanismen) zijn absoluut niet geheim en hoeven ook niet sterk te zijn. Leuk meegenomen, maar niet belangrijk.
Prima en juist. Ook heel belangrijk voor de traceerbaarheid en een persoonlijk contact als dat nodig zou zijn.

De opmerking “een sterkere methode van identificeren is door iets dat Gerrit in zijn bezit heeft” is authenticatie, niet identificatie. Authenticatie is de verificatie van de identificatie op basis van informatie die is uitgegeven door een trusted third party zoals een gemeente (paspoort) of kan worden gecontroleerd door een trusted third party zoals een AD server of MFA oplossing (wachtwoord/ OTP code).
Het is gekopieerde tekst die de verwarring door het woordgebruik aangeeft. Dank je ….
agent weer te controleren bij een trusted third party (het systeem waar hij in kan zoeken tijdens de controle).

Door karma4: Zijn ongelijk wordt bewezen door de juridische praktijk waarbij biometrie de enige onderbouwde en geaccepteerde praktijk voor authenticatie is ofwel het bewijs leveren van de juiste persoon.

Niet waar. Dit zou min of meer inhouden dat in de wereld van (cyber)criminaliteit alleen op basis van biometrie een dader “onderbouwd en geaccepteerd” kan worden geauthenticeerd. Dat zou het oplossingspercentage geen goed doen! Bewijs van identiteit van een persoon kan op een hoop andere manieren worden achterhaald. Het ligt er maar aan hoeveel bewijs is verzameld. … [/quote]Ja je hebt gelijk de hoeveelheid aan bewijs bepaald of het overtuigend genoeg is. Het is voldoende als je het daarmee voor de rechter aantoont.

De opmerking en reacties zijn nu uit zijn verband. Het is een verwijzing naar artikel van grimes dat biometrie niet kan dienen als bewijs van de juiste persoon maar slechts als aanduiding van een gebruikersnaam.
Dan zou elke rechtszaak met het onderbouwde verhaal van vingerafdrukken DNS foto's van aanwezigheid niet overtuigend bewijs zijn. Het zijn de bewijzen die veel sterker staan bij een rechter dan een getuigenverklaring (wat iemand zegt te weten).
13-01-2019, 16:27 door Anoniem
Nou, vergis je niet, er zijn er maar weinig met zo een grote. Maar om die nou elke keer te moeten laten zien als ik 100 euro ga pinnen? Midden op straat?
13-01-2019, 16:37 door Bitwiper
Door karma4: De opmerking en reacties zijn nu uit zijn verband.
En daar ben jij mee begonnen en ga je mee door (zie hieronder).

Door karma4: Het is een verwijzing naar artikel van grimes dat biometrie niet kan dienen als bewijs van de juiste persoon maar slechts als aanduiding van een gebruikersnaam.
Dan zou elke rechtszaak met het onderbouwde verhaal van vingerafdrukken DNS foto's van aanwezigheid niet overtuigend bewijs zijn. Het zijn de bewijzen die veel sterker staan bij een rechter dan een getuigenverklaring (wat iemand zegt te weten).
De heer Grimes heeft het nergens over forensische identificatie, dat heb jij erbij gesleept. En dat gebeurt op geheel andere wijze dan met de biometrische sensoren, t.b.v. inloggen, waar de heer Grimes het over heeft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.