Duitsland en Frankrijk waarschuwen voor risico's videogebaseerde identificatie
De Duitse en Franse overheid waarschuwen voor de risico's van videogebaseerde identificatie, aangezien het eenvoudiger is voor aanvallers om hierbij te frauderen dan het geval is bij 'face-to-face' fysieke afspraken en contacten. Steeds meer diensten en bedrijven voeren online identificatie uit. Vaak wordt daarbij voor een videogebaseerde aanpak gekozen om mensen te identificeren.
Het is echter belangrijk dat zowel het getoonde identiteitsdocument echt is als overeenkomt met de eigenschappen van de persoon die zich laat identificeren, zoals zijn gezicht en vingerafdrukken. "Dit soort identificatie is erg complex en kan worden misbruikt door aanvallers voor identiteitsdiefstal. Gestolen identiteiten zijn te gebruiken van spionage of sabotage, of voor financieel gewin door criminelen", aldus het Duitse BSI en Franse ANSSI. De cyberagentschappen hebben een document gepubliceerd met informatie en adviezen voor het toepassen van 'Remote Identity Proofing'.
Daarin staat dat er bijvoorbeeld minimaal een 720p-videokwaliteit moet worden gebruikt voor het opnemen van gezichten. Om er zeker van te zijn dat er niet met het beeldmateriaal is geknoeid moet de persoon in kwestie willekeurige opdrachten uitvoeren. Verder merken de overheidsdiensten op dat identiteitsdocumenten geen visuele beveiligingsfeatures hebben. Het gebruik van foto of videogebaseerde methodes om de authenticiteit van id-documenten te verifiëren zijn dan ook niet effectief.
Volgens het Bundesamt für Sicherheit in der Informationstechnik (BSI) en het Franse nationale bureau voor beveiliging van informatiesystemen (ANSSI) is een grensoverschrijdende methodologie voor het testen van remote identity proofing procedures wenselijk en kan dit via standaarden en certificering onder de Europese Cybersecurity Act geïmplementeerd worden.
Let the AI-battles begin!
Helaas ontbreken vangnetten voor slachtoffers met wiens identiteit wordt gefraudeerd. Wellicht kunnen we het KifiD ook inschakelen voor klachten op dit vlak, zij weten er vast wel raad mee.
{*} Hoe weet je als leek dat de verifieerder niet is wie zij/hij zegt te zijn, maar een AitM? Die vervolgens jouw (digitaal ondertekende, dus "echte") identificerende gegevens op haar/zijn smartphone zet?
Aanvulling 17:50: ik heb het "risico-document" nog eens goed gelezen, maar zie nergens iets terug over AitM-aanvallen. Bizar, want juist de reden om QWAC's te introduceren is, dat je als burger, verifiërende partijen erop moet kunnen vertrouwen dat zij niet, als een AitM, jouw identiteit stelen. Hoe denken BSI en ANSSI dit soort slachtoffers te voorkómen, die juist op het moment van de enrollment kwetsbaar zijn?
Banken proberen biometrie te verplichten, maar dat mag natuurlijk niet. De normale werkwijze van controleren van identiteit is het tonen van de identiteitspapieren aan een functionaris. Die methode bestond al en is veel minder invasief. Gelet op het gebrek aan noodzaak kunnen banken dus niet -zoals ze nu doen- e.e.a. verplichten. Er zijn overigens ook nog veel mensen zonder smartphone of webcam die zodoende worden gediscrimineerd.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.