Doel van authenticatie
Het belangrijkste doel van authenticatie is het voorkómen van (ongewenste) impersonatie, namelijk dat criminelen zich voordoen als jou in jouw nadeel.

Een origineel identiteitsbewijs
Een origineel "reisdocument" (zoals een paspoort) is zowel een:
• Identificatiemiddel
als een
• Authenticatiemiddel
Omdat het beide is, wordt het meestal een "identiteitsbewijs" genoemd. Een kopie daarvan is hooguit een identificatiemiddel, maar zeker géén authenticatiemiddel.

Ik speel overigens met de gedachte of het zou helpen als we onderscheid zouden gaan maken tussen (met het doel om een ander te benadelen):
• Identiteitsfraude:
Op zettelijk opgeven van valse of onterecht wijzigen van opgeslagen persoonsgegevens.
• Authentiteitsfraude:
Het, min of meer overtuigend, gebruik makend van een authenticatiemiddel, aantonen dat jij iemand anders bent dan jij bent.

Het verschil tussen een identificatiemiddel en een authenticatiemiddel licht ik hieronder verder toe.

Voorbeeld van authenticatiemiddel: wachtwoord
Een voorbeeld van een digitaal authenticatiemiddel is het wachtwoord van een DigiD-account (het user-ID is het identificatiemiddel). Omdat de DigiD server geen enkel verschil ziet tussen een wachtwoord ingevoerd door de account-eigenaar en een crimineel, moet dat wachtwoord strikt geheim gehouden worden - met één uitzondering: je moet het "delen" om in te kunnen loggen.

Om zo goed als mogelijk te voorkómen dat het wachtwoord tijdens of na inloggen gekopieerd en misbruikt kan worden, zal de DigiD-server, onmiddellijk nadat het wachtwoord is ingevoerd, daar een éénweg-afgeleide van berekenen - waarna de invoer wordt gewist. Vervolgens zal de server de berekende éénweg-afgeleide vergelijken met de eerder bij het DigiD-account opgeslagen éénweg-afgeleide; als deze overeenkomen is het juiste wachtwoord ingevoerd.

Het is de verantwoordelijkheid van de burger dat deze diens wachtwoord verder strikt geheim houdt (dat vereist ook het up-to-date en veilig houden van de door die burger gebruikte apparatuur) en dat die burger het wachtwoord nooit op een andere server dan met de exacte domeinnaam digid.nl invoert (https helpt je niets als de domeinnaam niet klopt; zie https://tweakers.net/nieuws/216878/#r_19450852 voor meer info over veilig inloggen).

Als je er toch intrapt om op een nep-DigiD server jouw user-ID en wachtwoord in te voeren, en eventueel een via SMS ontvangen code, dan kan de eigenaar van die nepserver met de door jou ingevoerde gegevens als zijnde jou inloggen op de échte DigiD-server. Dit wordt een AitM (Attacker in the Middle) of MitM (Man-) aanval genoemd.

Merk op dat je altijd de verifieerder van jouw authenticatiemiddel zult moeten vertrouwen, want deze kan zich sowieso voordoen als jou (ook een AitM dus). Ook zul je erop moeten vertrouwen dat die verifieerder diens servers en andere computers goed beveiligt, om te voorkómen dat zij (onbedoeld) deel gaan uitmaken van een AitM-aanval.

Kortom, deze vorm van authenticatie is alleen betrouwbaar als aan een flink aantal lastige voorwaarden wordt voldaan (het aanmaken van het account is nog niet eens besproken).

Voorbeeld van authenticatiemiddel: paspoort
Een paspoort is voorzien van allerlei technische snufjes waardoor het zo lastig mogelijk is gemaakt om daar een kopie van te maken die door geoefende ogen als origineel wordt gezien.

Dan nog is het onverstandig om kopiën van identiteitsbewijzen te (laten) maken, maar in de praktijk hou je dat nauwelijks of niet tegen. Essentieel is echter dat zo'n kopie of scan nooit als authenticatiebewijs wordt behandeld, en dit is precies wat we hebben laten verwateren.

Diefstal
Als een verifieerder (of een dief) jouw identiteitsbewijs steelt, bestaat er een kans op identiteitsfraude, onder meer indien:
• Iemand die sterk op jou lijkt dat identiteitsbewijs in handen krijgt en zich voor gaat doen als jou (bijv. op jouw naam leningen afsluit);

• Criminelen er online mee als jou kunnen "authenticeren", evt. in aanvulling met een selfie of een filmpje van jouw gezicht (AINmaakt dit steeds eenvoudiger), bijv. om een creditcard op jouw naam aan te vragen;

• De chip wordt uitgelezen en jouw digitale identiteit op de smartphone van een crimineel wordt gezet, waarna daarmee online authentiteitsfraude wordt gepleegd.

Een voordeel voor slachtoffers is dat zij vaak merken dat zij hun identiteitsbewijs kwijt zijn, terwijl de kans dat zij opmerken dat een kopie van een wachtwoord of identiteitsbewijs in verkeerde handen is gevallen, een stuk kleiner is. Het derde voorbeeld dat ik gaf is griezeliger, en is wellicht mogelijk als een foute verifieerder jouw paspoort met een smoes even mee "naar achteren" neemt (waarschijnlijk gaat dit risico alleen maar toenemen).

Scan of kopie
Indien een verifieerder een scan of kopie maakt van jouw identiteitsbewijs, of dat door jou toegezonden krijgt, kan die verifieerder zich, met gelijke betrouwbaarheid, naar een derde partij voordoen als jou (indien die derde zo'n "authenticatie"-methode accepteert, met alle risico's voor jou). Een watermerk kan hierbij helpen, maar met de toenemende kracht van AI kunnen zelfs leken een watermerk verwijderen of wijzigen. Ook hier zul je dus de verifieerder zelf moeten vertrouwen, én je zult erop moeten vertrouwen dat de systemen van die verifieerder goed beveiligd zijn (oeps van gisteren: "Akira ransomware gang says it stole passport scans from Lush in 110 GB data heist": https://theregister.com/2024/01/26/akira_lush_ransomware/).

Geen authenticatiemiddel: paspoortscan
Een kopie of een scan van een identiteitsbewijs ("ID-scan") is ongeschikt als authenticatiemiddel om in elk geval de volgende redenen:

1) ID-scans worden meestal "as is" opgeslagen (dus géén éénweg-afgeleiden daarvan zoals gebruikelijk is bij wachtwoorden). In de praktijk zijn dit soort scans meestal online toegankelijk en zijn ze zelden versleuteld (eventuele versleuteling is zinloos als de sleutel ernaast te vinden is, en aan "at-rest-encryption" heb je niets zolang het systeem online is);

2) In de praktijk beschikken meerdere, en soms vele, organisaties over een kopie van jouw identiteitsbewijs. Steeds meer organisaties worden gehacked waarbij data wordt gekopiejat en verhandeld of gepubliceerd;

3) Vaak worden er minder betrouwbare kanalen (zoals e-mail) gebruikt voor het verzenden van ID-scans;

4) De identiteit, en daarmee indirect de betrouwbaarheid, van de (uiteindelijke) verifieerder is vaak nóg lastiger vast te stellen dan als je een wachtwoord invoert;

5) Er wordt, ook door de overheid, ontkend én bevestigd dat een ID-scan bruikbaar is als authenticatiemiddel. Daardoor ontbreken heldere beveiligingseisen en doordat veel organisaties de risico's zelf niet inzien, rommelen ze maar wat aan.

Nb. Zelfs voor de AP zijn ID-scans geen taboe, uit https://www.autoriteitpersoonsgegevens.nl/themas/identificatie/paspoort-en-identiteitskaart/kopie-van-uw-id-bewijs-wat-kunt-u-doen:
Dit is ronduit absurd. Het gaat hier niet alleen om het voorkómen dat partijen meer privacygevoelige gegevens in handen krijgen dan strikt noodzakelijk, maar óók en m.i. vooral het voorkómen van authentiteitsfraude of impersonatie (in de volksmond identiteitsfraude genoemd, maar het vervalsen van persoonsgegevens vind ik minder vérstrekkend dan fraude middels een of een kopie/scan van een identiteitsbewijs, of het misbruiken van een gestolen of ontechtmatig uitgegeven exemplaar).

Kopie-ID-app: schijnveiligheid
De door de overheid (en vooral de RvIG) aanbevolen Kopie-ID app levert alleen maar schijnveiligheid op. Hoewel daarmee een deel van de informatie van een identiteitsbewijs kan worden afgedekt, is het uitgangspunt ervan hartstikke fout, namelijk dat een scan of kopie van een deel van de gegevens op een identiteitsbewijs wél bruikbaar zou zijn als authenticatiemiddel. Alleen al omdat een AitM zich met zo'n scan richting andere partijen kan voordoen als jou (evt. na het verwijderen of vervangen van een watermerk, en/of het vervangen van de pasfoto) belazert onze overheid ons waar wij bij staan. Voor meer info en leugens van de RvIG zie https://security.nl/posting/826969.

Misbruik BSN als authenticatiemiddel
De reden dat de TS in https://security.nl/posting/826904/#BSN-gestolen-in-buitenland haar of zijn BSN wil laten wijzigen, is omdat zij of hij bang is dat criminelen, met de kennis van dat BSN, authenticatiefraude (in de volksmond identiteitsfraude) kunnen plegen. Oftewel, dat criminelen, met de kennis van dat BurgerServiceNummer, zich zodanig overtuigend als die TS kunnen voordoen, dat dit van kleine privacy-inbreuken tot mogelijk grote (financiële en/of anderszins) schade leidt voor die TS en/of diens familie, vrienden etc. maar deels ook voor organisaties.

Niet geheim? Dan geen authenticatiemiddel!
Het feit dat de kennis van een BSN, of een andere niet geheime karakterreeks en/of reeks bytes, inclusief persoonsgegevens zoals een geboortedatum t/m een scan van een identiteitsbewijs, als authenticatiemiddel wordt ingezet voor overduidelijk risicovolle zaken, is ronduit krankzinnig. Want dit betekent een enorm groot risico voor totaal onschuldige personen, meestal als gevolg van bezuinigingsdrift van bedrijven en overheden.

Geen vangnetten
Voor een kopie-ID als authenticatiemiddel zou (heel misschien) nog wat te zeggen kunnen zijn, indien er voor alle slachtoffers van zo'n per definitie gevaarlijk systeem fatsoenlijke vangnetten zouden zijn opgetuigd die in de praktijk effectief zijn - maar die ontbreken (dit is ordinaire bezuiniging waarbij risico's op onschuldige individuen worden afgewenteld). Zie bijvoorbeeld https://www.rtlnieuws.nl/lifestyle/artikel/5411351/chantal-wil-nooit-meer-slachtoffer-zijn-van-identiteitsfraude-schulden (zie ook https://security.nl/posting/827019).

Deels off topic, maar ook voor andere slachtoffers van online identiteitsfraude ontbreken vangnetten of worden zelfs afgebouwd om bezuinigingsredenen (voorbeeld in https://tweakers.net/nieuws/217632/creditcardbedrijf-ics-krijgt-avg-boete-wegens-ontbreken-risicoanalyse-privacy.html#r_19517952). Denk ook aan criminelen die zich (o.a. telefonisch) voordoen als bankmedewerkers. En denk aan nepwebsites die steeds lastiger van de echte zijn te onderscheiden (terwijl er elke dag vele nieuwe bijkomen om virusscanners en blocklists te omzeilen, zonder dat iemand daar een stokje voor steekt, zie bijv. https://www.virustotal.com/gui/ip-address/213.226.123.41/relations voor één IP-adres van een door Russen beheerde server). Dit en andere vormen van phishing zijn steeds meer plausibel omdat alles tegenwoordig online plaatsvindt (bankfilialen zijn gesloten en ook de overheid is voor steeds meer zaken uitsluitend online bereikbaar).

Mede door deze deplorabele staat van het internet zijn digitale identiteitsapps (zoals EDIW en Yivi) een enorme uitnodiging tot het plegen van authentiteitsfraude: veel te veel mensen worden nu al slachtoffer van phishing. Via nepsites zijn AitM-aanvallen met als doel online authenticatiefraude een eitje. Ik begrijp er dan ook helemaal niets van dat dit risico niet eens wordt benoemd in een eind vorig jaar gepubliceerd onderzoek naar de risico's van Video-IDent (PDF, Engelstalig): https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/ANSSI-BSI-joint-releases/ANSSI-BSI_joint-release_2023.pdf?__blob=publicationFile&v=3.

En nu moet het afgelopen zijn!
M.i. moet deze (notabene toenemende, "het is okay want andere organisaties doen dit ook") kopietje-paspoort-praktijk met hand en tand worden bestreden. Ik vind dat op dit punt de overheid het voortouw moet nemen.


P.S. aan reageerders: quote s.v.p. niet hele postings maar beperk je tot die zinnen waar jouw reactie betrekking op heeft; dat komt de leesbaarheid van dit forum ten goede.