image

EU werkt aan wallet-app voor online identificatie en opslag van wachtwoorden

dinsdag 1 juni 2021, 09:21 door Redactie, 31 reacties

De Europese Unie werkt aan de ontwikkeling van een wallet-app waarmee EU-burgers zich straks in heel Europa bij zowel bedrijven als overheden kunnen identificeren. Daarnaast is de app te gebruiken voor de opslag van wachtwoorden en betaalgegevens. "Deze nieuwe digitale identiteit geeft elke Europeaan de sleutels tot zijn digitale tweeling", liet Thierry Breton, EU-commissaris voor Interne Markt, eerder dit jaar weten.

De plannen voor de wallet-app worden morgen aangekondigd, meldt de Financial Times. De app, die in de hele Europese Unie zal zijn te gebruiken, ondersteunt onder andere biometrische beveiliging. Gebruikers kunnen bijvoorbeeld door middel van een vingerafdruk of gezichtsscan de app openen. Naast de toepassing van online identificatie fungeert de wallet volgens de FT ook als een 'kluis' waarin gebruikers officiële documenten zoals een rijbewijs kunnen opslaan.

De EU zou daarnaast maatregelen treffen om te voorkomen dat informatie uit de wallet voor andere commerciële doeleinden worden ingezet, zoals advertenties. Op dit moment overlegt Brussel met de lidstaten over de technische standaarden voor de uitrol van de app, die over een jaar volledig operationeel zou moeten zijn. De app wordt niet verplicht, maar personen die bij de wallet zijn betrokken laten tegenover de FT weten dat gebruikers van een "extra veilig digitaal ecosysteem en grotere flexibiliteit" zullen profiteren. Wat dit precies inhoudt is nog niet duidelijk gemaakt.

Reacties (31)
01-06-2021, 09:35 door Anoniem
Bestaat al, en heet IRMA: https://irma.app

Waarom moet men elke keer het wiel opnieuw uitvinden?

TheYOSH
01-06-2021, 09:58 door Anoniem
Door Anoniem: Bestaat al, en heet IRMA: https://irma.app

Waarom moet men elke keer het wiel opnieuw uitvinden?

TheYOSH

+1
01-06-2021, 10:10 door Anoniem
Door Anoniem: Bestaat al, en heet IRMA: https://irma.app

Waarom moet men elke keer het wiel opnieuw uitvinden?

TheYOSH

++1
01-06-2021, 10:11 door buttonius
Het lijkt mij een slecht idee om in één app opslag van wachtwoorden te combineren met allerlei andere dingen (e.g. opslag van betaalgegevens, identificatie bij bedrijven en overheden).
Als hackers je telefoon hebben geïnfecteerd met spyware en je ontgrendelt die ene app dan hebben die hackers echt alles om je leven vreselijk te vergallen... Ik heb mijn rijbewijs liever in de vorm van een stukje plastic in een andere broekzak dan mijn telefoon.
01-06-2021, 10:18 door Anoniem
Door buttonius: Het lijkt mij een slecht idee om in één app opslag van wachtwoorden te combineren met allerlei andere dingen (e.g. opslag van betaalgegevens, identificatie bij bedrijven en overheden).
Als hackers je telefoon hebben geïnfecteerd met spyware en je ontgrendelt die ene app dan hebben die hackers echt alles om je leven vreselijk te vergallen... Ik heb mijn rijbewijs liever in de vorm van een stukje plastic in een andere broekzak dan mijn telefoon.

Het idee is wel, net als bij een password manager, dat je al die data extra zwaar beveiligt en beter in de gaten kunt houden, iets wat godsonmogelijk is bij 512 losse accounts - die waarschijnlijk makkelijker lekken dan zo'n wallet.
01-06-2021, 10:22 door Anoniem
Nog nooit gehoord van IRMA maar bij deze +++1

Ik ben nu niet bezig met mijn 'thinfoil' hoedje boven te halen maar een app gemaakt door overheden voor opslaan van gegevens zoals je paswoorden zie ik niet direct zitten. Als er nu 1 student is die het slechtst is naar pentesting van eigen software dan is het toch wel meestal een overheids instantie.

Dat ze paspoorten en andere info willen digitaliseren ten 'voordele' vane fraude tot daar nog aan toe.

Maar om zich dan ook aan te geven als aanbiederen van paswoord storage geen idee waarom een overheid dit zou willen.
Laat staan wat het voordeel dan is ten opzicht van opensource initiatieven die wel specifiek richten op een goeie kluis.

Zoals er al is gezegd ze moeten het wiel niet uitvinden maar zich focussen op digitalisatie van overheids info.
Alsook toekomstgericht werken.

Dat ze maar zorgen dat identiteitsfraude dan maar in perken zal blijven.
01-06-2021, 11:13 door Erik van Straten
Door Anoniem:
Door buttonius: Het lijkt mij een slecht idee om in één app opslag van wachtwoorden te combineren met allerlei andere dingen (e.g. opslag van betaalgegevens, identificatie bij bedrijven en overheden).
Als hackers je telefoon hebben geïnfecteerd met spyware en je ontgrendelt die ene app dan hebben die hackers echt alles om je leven vreselijk te vergallen... Ik heb mijn rijbewijs liever in de vorm van een stukje plastic in een andere broekzak dan mijn telefoon.

Het idee is wel, net als bij een password manager, dat je al die data extra zwaar beveiligt en beter in de gaten kunt houden, iets wat godsonmogelijk is bij 512 losse accounts - die waarschijnlijk makkelijker lekken dan zo'n wallet.
Hoogstwaarschijnlijk wil je een back-up van van die gegevens hebben, bijv. voor het geval dat jouw smartphone dood blijkt nadat je hem uit de plee gevist hebt of voor het geval dat deze gestolen wordt. Als die back-up stevig versleuteld is met een ononvergetelijk wachtwoord en je dus niet meer weet hoe dat luidt, hoe krijg je die back-up dan veilig gerestored op jouw nieuwe smartphone? D.w.z. zodanig veilig dat geen enkele crimineel die back-up op diens smartphone kan restoren.

Bij de meeste online authenticatiesystemen die tot nu toe bedacht zijn, spelen (deels) o.a. de volgende problemen:
1) Phishing, smishing, vishing etc. (bij https deels opgelost met webauthn/FIDO2 - maar dat is teveel gedoe);
2) Bij sterke anti-phishing-maatregelen: issues met "legitieme MITM's" (client- en server-side TLS-inspectie, CDN's);
3) Geen of trage detectie van kopiejatten/misbruik van jouw geheime data, incl. shared secrets/pw-hashes op servers;
4) Revocation: hoe hou je overzicht op al jouw accounts zodat je jouw credentials snel kunt wijzigen na een incident;
5) Hoe verzorg je veilige en zo recent mogelijke back-ups en veilige restore;
6) Ontbrekende exit-strategie: hoe kunnen "nabestaanden" jouw zaken regelen als jij dat onverwacht zelf niet meer kunt.
01-06-2021, 11:19 door Anoniem
Door buttonius: Het lijkt mij een slecht idee om in één app opslag van wachtwoorden te combineren met allerlei andere dingen (e.g. opslag van betaalgegevens, identificatie bij bedrijven en overheden).
Als hackers je telefoon hebben geïnfecteerd met spyware en je ontgrendelt die ene app dan hebben die hackers echt alles om je leven vreselijk te vergallen... Ik heb mijn rijbewijs liever in de vorm van een stukje plastic in een andere broekzak dan mijn telefoon.

Helemaal mee eens.

++++1
01-06-2021, 11:25 door Anoniem
Ja, ik ga mijn wachtwoorden opslaan bij de overheid van de EU. Dat gaat dus niet gebeuren. Het is een single point of failure. Ofwel alle eitjes in één mandje. Als het mandje valt zijn al je eieren stuk.

Want er gaat vast geen bestuurder van Europol bedenken dat ze in uitzonderlijke situaties toegang moeten hebben tot je opgeslagen wachtwoorden. Ja, dat gaat dus wel gebeuren.
01-06-2021, 12:54 door Anoniem
Wat is nu de use-case voor bijvoorbeeld een Mac-gebruiker?

Mac-gebruikers hebben icloud ey-chain, waarin hun online wachtwoorden veilig bewaard worden, en deze sync't met iPhone, iPad, Laptop en AppleTV. Die experience stopt dan.
01-06-2021, 13:01 door Anoniem
lollolol. alsof burgers hun gegevens aan de EU willen afstaan.

NEIN NEIN NEIN
01-06-2021, 13:55 door Anoniem
Helemaal oneens -1-1-1
Ik hoef geen wachtwoorden te onthouden en op te slaan in een wachtwoordmanager. En daardoor kunnen wachtwoorden of passphrases nooit gelekt en nooit gestolen worden.

Gebruik altijd "wachtwoord-vergeten" bij het inloggen en maak elke keer een nieuw wachtwoord aan met een password tool dat zo sterk is, dat het niet is te brute-forcen. Ander voordeel is dat je niet meer dezelfde wachtwoorden hoeft te her-gebruiken. Als iedereen het zo zou doen dan is inbraak met her-gebruikte wachtwoorden zinloos geworden.
01-06-2021, 14:54 door Anoniem
Door Anoniem: Helemaal oneens -1-1-1
Ik hoef geen wachtwoorden te onthouden en op te slaan in een wachtwoordmanager. En daardoor kunnen wachtwoorden of passphrases nooit gelekt en nooit gestolen worden.

Gebruik altijd "wachtwoord-vergeten" bij het inloggen en maak elke keer een nieuw wachtwoord aan met een password tool dat zo sterk is, dat het niet is te brute-forcen. Ander voordeel is dat je niet meer dezelfde wachtwoorden hoeft te her-gebruiken. Als iedereen het zo zou doen dan is inbraak met her-gebruikte wachtwoorden zinloos geworden.

In je (fantasie) methode moet je 2x een wachtwoord intypen; dat van je e-mail, en je dat waarop je wil inloggen.
01-06-2021, 15:00 door buttonius
Door Anoniem 13:55: Helemaal oneens -1-1-1
Ik hoef geen wachtwoorden te onthouden en op te slaan in een wachtwoordmanager. En daardoor kunnen wachtwoorden of passphrases nooit gelekt en nooit gestolen worden.

Gebruik altijd "wachtwoord-vergeten" bij het inloggen en maak elke keer een nieuw wachtwoord aan met een password tool dat zo sterk is, dat het niet is te brute-forcen. Ander voordeel is dat je niet meer dezelfde wachtwoorden hoeft te her-gebruiken. Als iedereen het zo zou doen dan is inbraak met her-gebruikte wachtwoorden zinloos geworden.
Doe je dat ook iedere keer als je bij je bank of op je werk inlogt?
Gaat je bank/werkgever niet na een paar weken steigeren? Zo niet, dan is er daar - naar mijn mening - iets grondig mis met de security.
Of heb je geen bank en geen werkgever?
01-06-2021, 15:16 door Anoniem
Das ist Problemlos möglich ohne eine Speicherung von Passwörtern. Suchen Sie bei Google nach Antumid oder digibyte.org
01-06-2021, 15:29 door Anoniem
Door Anoniem: Wat is nu de use-case voor bijvoorbeeld een Mac-gebruiker?

Mac-gebruikers hebben icloud ey-chain, waarin hun online wachtwoorden veilig bewaard worden, en deze sync't met iPhone, iPad, Laptop en AppleTV. Die experience stopt dan.

En staat in de FBI cloud ....
01-06-2021, 15:50 door Anoniem
Dus al mijn wachtwoorden, betaalgegevens en zo'n beetje mijn hele digitale identiteit bij de EU in de cloud? Nee dank je....
01-06-2021, 16:18 door Anoniem
Toen mijn iPhone defect was en ik hem via Vodafone liet repareren, vroeg ik of mijn inlog wachtwoord moest worden
verwijderd kreeg ik het antwoord dat dit niet nodig was. Kan hier iemand mij vertellen waarom niet.
01-06-2021, 16:20 door Anoniem
Door Anoniem:
Door Anoniem: Wat is nu de use-case voor bijvoorbeeld een Mac-gebruiker?

Mac-gebruikers hebben icloud ey-chain, waarin hun online wachtwoorden veilig bewaard worden, en deze sync't met iPhone, iPad, Laptop en AppleTV. Die experience stopt dan.

En staat in de FBI cloud ....

De gegevens zijn de FBI eenvoudig te doorzoeken met behulp van de IDFA (Apple’s Identifier for Advertisers), een unieke en aan de persoon te koppelen code die op iedere iPhone wordt toegepast.

https://noyb.eu/en/noyb-files-complaints-against-apples-tracking-code-idfa
01-06-2021, 17:39 door Anoniem
Door Anoniem: Helemaal oneens -1-1-1
Ik hoef geen wachtwoorden te onthouden en op te slaan in een wachtwoordmanager. En daardoor kunnen wachtwoorden of passphrases nooit gelekt en nooit gestolen worden.

Gebruik altijd "wachtwoord-vergeten" bij het inloggen en maak elke keer een nieuw wachtwoord aan met een password tool dat zo sterk is, dat het niet is te brute-forcen. Ander voordeel is dat je niet meer dezelfde wachtwoorden hoeft te her-gebruiken. Als iedereen het zo zou doen dan is inbraak met her-gebruikte wachtwoorden zinloos geworden.

Slecht idee mogelijk: Want dit betekend dat je geen 2-factor hebt ingeschakeld.
En als je wachtwoord zo sterk is, dan kun je het dus ook gerust gewoon houden ipv elke keer te resetten?
Hoeveel uur per dag besteed je hieraan?

(en het gaat best off-topic)
01-06-2021, 17:40 door Anoniem
Door Anoniem:
Door Anoniem: Wat is nu de use-case voor bijvoorbeeld een Mac-gebruiker?

Mac-gebruikers hebben icloud ey-chain, waarin hun online wachtwoorden veilig bewaard worden, en deze sync't met iPhone, iPad, Laptop en AppleTV. Die experience stopt dan.

En staat in de FBI cloud ....

Grote claim. Is er ooit in het nieuws een voorbeeld geweest hiervan?
01-06-2021, 18:15 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Wat is nu de use-case voor bijvoorbeeld een Mac-gebruiker?

Mac-gebruikers hebben icloud ey-chain, waarin hun online wachtwoorden veilig bewaard worden, en deze sync't met iPhone, iPad, Laptop en AppleTV. Die experience stopt dan.

En staat in de FBI cloud ....

Grote claim. Is er ooit in het nieuws een voorbeeld geweest hiervan?

Sorry, had moeten staan "En staat in een US cloud", bij mij vind er dan altijd een vertaalslag plaats US=FBI=CIA=NSA=EEN-POT-NAT
02-06-2021, 08:04 door Toje Fos
Door Anoniem: Bestaat al, en heet IRMA: https://irma.app

Waarom moet men elke keer het wiel opnieuw uitvinden?

TheYOSH

Die kunnen dus binnenkort wel inpakken. De weg van Hyves, zogezegd. Helaas, maar zo gaat dat.
02-06-2021, 08:32 door Anoniem
Door Anoniem:
Door buttonius: Het lijkt mij een slecht idee om in één app opslag van wachtwoorden te combineren met allerlei andere dingen (e.g. opslag van betaalgegevens, identificatie bij bedrijven en overheden).
Als hackers je telefoon hebben geïnfecteerd met spyware en je ontgrendelt die ene app dan hebben die hackers echt alles om je leven vreselijk te vergallen... Ik heb mijn rijbewijs liever in de vorm van een stukje plastic in een andere broekzak dan mijn telefoon.

Het idee is wel, net als bij een password manager, dat je al die data extra zwaar beveiligt en beter in de gaten kunt houden, iets wat godsonmogelijk is bij 512 losse accounts - die waarschijnlijk makkelijker lekken dan zo'n wallet.

en dat is nog NOOOOOOOOIT fout gegaan he? neem nu eens een voorbeeld aan de natuur dat dmv evolutie de betere stabielere long term oplossingen laat zien: heterogeen en gedistribueerd ipv monocultuur op een hoopje?
02-06-2021, 08:35 door Anoniem
Door Anoniem: Ja, ik ga mijn wachtwoorden opslaan bij de overheid van de EU. Dat gaat dus niet gebeuren. Het is een single point of failure. Ofwel alle eitjes in één mandje. Als het mandje valt zijn al je eieren stuk.
Door Anoniem: lollolol. alsof burgers hun gegevens aan de EU willen afstaan.
Door Anoniem: Dus al mijn wachtwoorden, betaalgegevens en zo'n beetje mijn hele digitale identiteit bij de EU in de cloud? Nee dank je....
Ik heb nog nergens zien staan dat data in de cloud worden opgeslagen en/of dat de EU bij dingen kan waar ze niets mee te maken hebben.

Het kan natuurlijk blijken dat het ontwerp rammelt aan alle kanten, maar mij lijkt het niet zo handig om dingen als uitgemaakte zaak te beschouwen waarvan nog helemaal niet duidelijk is hoe ze gaan uitpakken.
02-06-2021, 09:58 door spatieman
lekker de staat toegang geven tot al je wachtwoorden, kan je meteen je bank pin code publiek toegankelijk maken.
02-06-2021, 12:33 door Briolet
Door Anoniem:…Ik heb nog nergens zien staan dat data in de cloud worden opgeslagen en/of dat de EU bij dingen kan waar ze niets mee te maken hebben.

Het kan natuurlijk blijken dat het ontwerp rammelt aan alle kanten, maar mij lijkt het niet zo handig om dingen als uitgemaakte zaak te beschouwen waarvan nog helemaal niet duidelijk is hoe ze gaan uitpakken.

Dat was ook mijn reactie bij het lezen van de bovenstaande berichten. Mensen nemen maar wat aan en reageren dan op dingen die er niet staan.

Het ontwerp rammelt natuurlijk niet omdat er nog niet eens een ontwerp is. (-: Er is alleen de intentie om zo'n app te maken, zoals je terecht schrijft. En zo'n app kan inderdaad alles lokaal opslaan als daartoe besloten wordt. Dat gebeurt bij mij ook. Ik gebruik wel de wachtwoord manager van Apple, maar laat de sleutelhangers niet via de cloud van Apple synchroniseren. Ik doe dat via mijn eigen nas.
02-06-2021, 13:02 door Anoniem
Door Briolet:
Door Anoniem:…Ik heb nog nergens zien staan dat data in de cloud worden opgeslagen en/of dat de EU bij dingen kan waar ze niets mee te maken hebben.

Het kan natuurlijk blijken dat het ontwerp rammelt aan alle kanten, maar mij lijkt het niet zo handig om dingen als uitgemaakte zaak te beschouwen waarvan nog helemaal niet duidelijk is hoe ze gaan uitpakken.

Dat was ook mijn reactie bij het lezen van de bovenstaande berichten. Mensen nemen maar wat aan en reageren dan op dingen die er niet staan.

De EU beheert de App. Dus ze hebben je bij de 'ballen'. Ze hoeven niet bij de cloud te kunnen en/of het hoofdwachtwoord te kraken. Ze kunnen gewoon wachten tot de burger die ingeeft en dan alles uploaden naar Europol. Het is veel beter als marktpartijen je wachtwoorden beheren en als daar variatie in is.

Anoniem 11:25
04-06-2021, 23:03 door Anoniem
Door Anoniem: Maar om zich dan ook aan te geven als aanbiederen van paswoord storage geen idee waarom een overheid dit zou willen.
Toegang tot al jouw wachtwoorden bijvoorbeeld.
05-06-2021, 22:18 door Anoniem
Ik ga daar heel kort over zijn - durft u aan de overheid uw wachtwoorden cadeau doen? Ik ga dat niet doen!
Dus beste EU bespaar u de moeite - u krijgt mijn data / wachtwoorden e.v.a. gegevens die u zo graag zou willen - NIET!
De staat is NIET te vertrouwen. En als de staat er in kan - en er wordt daar ingebroken - dan kan de georganiseerde misdaad/China/Rusland - daar vanalles mee doen.
Wie dus op dat voorstel ingaat - maakt zichzelf kwetsbaarder dan bij een private partij te gaan.
Een wachtwoord aan Google/Amazon/Microsoft/Apple schenken - dat is even erg dan dat aan de EU geven!
07-06-2021, 12:08 door eduardEtc
In tegenstelling tot waarvan velen hier in commentaar van uitgaan is het niet de EU die de passwords wil opslaan, de kern van wat de EU beoogt is dat er in elke lidstaat een of meer apps aangeboden gaan worden die aan de Europese EIDAS verordening voldoet, waarmee iedere Europese burger bij elke Europese overheidsinstantie kan inloggen. De Europese normen daarvoor bestaan al een jaar of tien. Met de adoptie ervan loopt het niet echt storm, dus daar wil de commissie wat aan doen. Dus het politieke proefballonnetje dat nu opgelaten wordt is dat die zo gewilde EIDAS-app ook als password manager gaat dienen en zo iets nuttiger voor de burger wordt.

Het is afwachten hoe heet de soep hier gegeten gaat worden.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.