Msm copypasters zouden moeten stoppen met het promoten/normaliseren van dit soort ongein.

De EU zal wel reageren dat eea volledig is opgelost wanneer de Europese Identiteit een feit is, eraan voorbijgaand dat deze "vrijwillig" zou zijn. Ja en keuzes hebben nu eenmaal consequenties he (waar hebben we dat eerder gehoord?)

Suggesties: je krijgt een (qr?) code, gaat naar een bepaalde winkel of instantie waar twee mensen verifiëren dat je volwassen bent. Geen info gedeelt over welke website oid. Website krijgt alleen officiëel seintje dat gebruiker voldoet aan voorwaarde.

En als ouder heb je de keuze om een gebruikersnaam met je kind te delen, als je dus als ouder geen probleem hebt met je kind die online gaat gokken, bijvoorbeeld. Ik zeg maar wat.

Ra5a

VPN, je aandienen als van buiten de EU.

Bij de bekende biermerken heb je dit gezever ook al. Alsof je online dronken kan worden.

Het kan volgens mij redelijk OK via: https://www.yivi.app/

Als het alleen maar gaat om een OK of NIET OK terug te geven op de vraag: ouder dan 18 jaar?, dan zie ik nog niet zo veel problemen. De site die je controleerd weet niet wie je bent, maar wel dat je oud genoeg bent.

Maar het zal wel uitdraaien op allemaal accounts aanmaken met te veel data vragen... jammer

TheYOSH

Daar heb je weinig fantasie voor nodig, want dat gebeurde eerder ook al. Uit https://www.bbc.com/news/technology-67771794:
Alleen denk ik dat dit niet gaat werken zoals "geadverteerd".

Met EDIW + online leeftijdsverificatie verwacht ik dat, binnen enkele jaren, de volgende resultaten zullen zijn geboekt:

1) Er zal een markt zijn ontstaan voor EDIW's van andere personen die oud genoeg zijn, zowel voor mensen die niet oud genoeg zijn, alsook voor mensen die (o.a. vanwege punt 2 en 3) zelf "buiten beeld" willen blijven;

2) Brave mensen die oud genoeg zijn zullen in toenemende mate slachtoffer zijn geworden van identiteitsfraude (zie punt 1), onder meer via phishing, maar ook via social engineering (bijvoorbeeld: "oma in het verpleeghuis merkt er vast zelf niks van als ik haar EDIW misbruik", of, bij een Airbnb-woning- of autoverhuurder, "ik neem even uw paspoort mee naar achteren om een kopietje te maken", of, de bezorger van een duur pakket aan de deur: "ik moet uw ID scannen met dit apparaat. ... Het apparaat vraagt om uw pincode, hoe luidt deze?");

3) Van brave mensen die oud genoeg zijn zullen, ten gevolge van een alsmaar toenemend aantal datalekken, meer en betrouwbaarder privacygevoelige gegevens in verkeerde handen zijn gevallen, waarna zij een vergroot risico zijn gaan lopen om slachtoffer van daardoor mogelijke cybercriminaliteit te worden - of reeds slachtoffer daarvan zijn geworden (afpersing, identiteitsfraude bijv. om nog meer informatie te verzamelen, spear phishing, reputatieschade, ...);

4) Voor mensen die niet oud genoeg zullen er, naast reeds bestaande mogelijkheden, veel nieuwe mogelijkheden zijn ontstaan (vooral in middelvingerlanden) om toch te kunnen doen wat zij willen -zonder betrouwbare leeftijdsverificatie, met -potentieel- vooral aanbieders die nog veel minder in het welzijn van hun klanten geïnteresseerd zijn.

Goed gedaan (not), naïeve wensdenkers!

Hieronder zal vast wel weer een andere naïeveling "Ja maar Yivi!" o.i.d. roepen. In een (vermoedelijk zinloze) poging zulke onzin van zo'n goedgelovige te pareren: hoe minder identificerende gegevens gebruikt worden bij authenticatie (waaronder bewijzen dat jij minstens n jaar oud bent), hoe eenvoudiger (lastiger detecteerbaarder) impersonatie (spoofing) is.

Kunnen ze gelijk wel even screenen welke websites wel of niet geschikt zijn voor algemene consumptie.
Als we toch bezig zijn misschien moeten we dan ook even kijken of het niet toevallig om fake-news of om de verkeerde politieke mening gaat.
We zouden toch gewoon een ministerie kunnen hebben dat dit even voorziet. Een soort internet whitelist dat een paar gezalfde dan voor ons wil uitzoeken. Dat scheelt ook veel keuze stress.
Ook voorkomt het heel veel verwarring over wat de juiste mening is om erop na te houden.

Hm in het kader van data minimalisatie alleen leeftijdsgrens ouder 18 ja/nee.
Als vraag... Waarbij een organisatie dat niet vaker dan X ( 3x? ) maal aan yivi mag vragen.

Achja... Het internet, ooit een mooie vrijheid en straks een identificatiegevangenis ondat we de kinders van een ander moeten beschermen omdat ouders daar zelf de verantwoordelijkheid niet voor nemen en ome-overheid voor moeder wil gaan spelen.
Net waar we oo zaten te wachten, zucht!

1) Pleeg je überhaupt identiteitsfraude als je uitsluitend over "ik ben ouder dan x jaar" liegt (d.w.z. in het geval dat een site niet om aanvullende identificerende gegevens vraagt)? Want, "ik ben ouder dan x jaar" is een extreem zwak identificerend gegeven (zeker bij x == 18 geldt dit voor de overgrote meerderheid van de Nederlanders, aantal toenemend).

Niet dat het in de praktijk ook maar iets uitmaakt of dat, wettelijk gezien, identiteitsfraude is, want in de (extreem onwaarschijnlijke) situatie dat er iemand of iets gaat handhaven, hoe stelt die handhaver (maar ook sites), zonder aanvullend identificerend "referentiemateriaal" vast dat het niet jouw leeftijd was die je doorgaf? Het e.e.a. nog los van de capaciteit van het OM en de uiteindelijke strafmaat.

2) Hoe doordacht is eigenlijk het uitgangspunt dat een smartphone altijd slechts door één en dezelfde persoon wordt gebruikt, en dat eigenaars overal unieke pincodes voor gebruiken die verder niemand kent? "Pap, mag ik je telefoon lenen, mijn accu is leeg" (of "hij is zo traag", "er zitten zoveel barsten in m'n scherm", ...) - nog los van de foons van pa en ma die, zonder factory reset, naar de kids gaan zodra pa en ma een nieuwe hebben.

3) Waarom zouden allerlei buitenlandse sites, met het risico op boetes als zij toch minderjarigen toelaten, op een niche-product uit Nederland, genaamd Yivi, vertrouwen, en daar protocollen voor implementeren? In elk geval zie ik nog geen pornosites hier: https://www.yivi.app/voor-mij/yivi-aanbieders.

4) Voor zover ik begrepen heb (verbeter me als ik het fout heb) zet je bij Yivi (voorheen IRMA) véél meer identificerende gegevens dan "ik ben ouder dan x jaar" van jezelf, of bij (voor de hand liggende) fraude, van een ander op jouw smartphone.

Voorbeeldscenario: met de identiteit van een ander (omdat je <18 bent of het none of their business van pornosites vindt) bezoek jij een pornosite. Die eist, behalve jouw leeftijd, ter verificatie aanvullende gegevens (zoals NAW en geboortedatum en mogelijk BSN). Wat doe je?

Stel jij bent de baas van een pornosite en weet dat je vette boetes kunt krijgen indien je minderjarigen toelaat. Hoe zou jij, met jouw voorstel, van een actuele bezoeker kunnen weten dat het om dezelfde bezoeker gaat, die ooit een keer diens eigen "ik ben ouder dan x jaar" (of die van een ander) Yivi-data heeft verstrekt?

Het doel van de onderhavige maatregelen is, in de eeste plaats, voorkómen dat minderjarigen dingen kunnen doen waarvan de één of andere gezaghebber vindt dat zij dat niet zouden moeten kunnen doen. Dat mensen die ouder zijn, dat feit bewijzen, is in de basis onnodige collateral damage - met enorme privacy-risico's als gevolg (zie mijn eerdere bijdrage).

Waarom snappen zo weinig mensen dat het primaire doel van authenticatie, is dat je impersonatie (identiteitsfraude) probeert te voorkómen? En dus dat, hoe betrouwbaarder je een authenticatieproces wilt laten zijn, hoe moeilijker je elke mogelijke vorm van impersonatie zult moeten maken?

Moet je dan wel je wifi en BT uitzetten op je mobiel want die zend alsnog je werkelijke locatie door via de o zo handige Google services. Je hebt dan wel een buitenlandse locatie via VPN maar Google ' weet' dat je nog gewoon in NL zit door je Wifi + BT locatie beacons. Er zijn ook apps die niet zonder sim werken en naar het nummer kijken of de locatie (land ID) overeenkomt. Er zijn zoveel slimmigheden te bedenken als mobiele app bouwer om de werkelijke locatie vast te stellen. Waarom denk je dat de EU zo graag alle identiteitsshit op je mobiel wil hebben? De enkelband in de meest optima forma, we dragen deze vrijwillig mee, en betalen er ook nog zelf voor. Hoe mooi wil je het hebben als dictator?

als de overheid een userinterface maakt die een gecertificeerde leeftijd uitvoert zonder zelf kennis te hebben voor welke website die wordt gebruikt en die verder geen id doorgeeft, dan zijn een heleboel problemen met privacy verholpen

Bedoel je iets als volgt?

Jij logt in op DigiD en krijgt een digitaal ondertekend bewijs dat jij 18+ bent, zonder dat daarin staat wie jij bent (noch voor welke pornosite het bewijs bestemd is), maar wel tot hoe laat dat bewijs geldig is.

In de praktijk zal het onpraktisch zijn als dat bewijs maar één minuut o.i.d. geldig is, want als je dan naar een andere site wilt (of er iets mis gaat met de verbinding, op security.nl word ik ook uitgelogd als ik even te ver van mijn WiFi router ben); dan wordt het ('s avonds) wel erg spitsuur op de DigiD servers. Het ligt voor de hand om zo'n bewijs bijv. 1 of 4 uur geldig te laten zijn, zodat je, in die tijd, meer dan één pornosite kunt bezoeken (4 uur is nog steeds veel korter dan een set Yivi credentials, waar je iets vergelijkbaars mee doet).

Sowieso zul je op zo'n pornosite een soort (langdurig of tijdelijk) account hebben of krijgen waarop je "inlogt" zodra je jouw "ik ben ouder dan x" hebt aangetoond (dat is op dit moment ook al zo, anders zou je na het openen van elke nieuwe pagina opnieuw de vraag krijgen of je oud genoeg bent).

Daarbij bestaan er m.i. twee opties:
1) Je hebt geen echt account, maar ontvangt wel een session-cookie van de website, elke keer nadat je jouw leeftijdsbewijs hebt ingediend. Het is afhankelijk van de instellingen in zo'n cookie hoe lang dat vervolgens geldig blijft.

2) Je maakt, éénmalig, echt een account aan op zo'n site, met een (pseudoniem) user-ID + wachtwoord (en evt. 2FA). Dan hoef je alleen bij het aanmaken van het account zo'n leeftijdsbewijs bij DigiD op te halen. Dit geeft meer rust op de DigiD-servers en komt jouw privacy ten goede.

Nadelen:
1) Bij DigiD weten ze: oh die gast gaat weer porno kijken (oh en nu, 1+ of 4+ uur later, alweer op een andere site? Een volhouder ;-). Maar ook nadeel 2.b) is niet uitgesloten.

2.a) Jouw partner, kinderen etc. zouden erachter kunnen komen waar jij accounts hebt.

2.b) Criminelen gaan DigiD leeftijdsbewijzen verkopen aan minderjarigen en/of mensen die (ook richting DigiD) anoniem willen blijven. Ofwel (onwaarschijnlijk) gebruiken zij daarvoor hun eigen DigiD, ofwel misbruiken zij gehackte DigiD's of de DigiD's van een soort geldezels (die een grijpstuiver voor dat misbruik krijgen). De opsporing hiervan is lastig, en als mensen gepakt worden (inclusief onschuldigen met gehackte DigiD en/of geldezels in de schuldsanering), wat voor straf geef je hen dan?

Maar sowieso verwacht ik dat de EC/EU niet akkoord zal gaan met het uitsluitend registreren van "ik ben ouder dan x" statussen voor de toegang tot pornosites, juist omdat fraude dan wel heel erg gemakkelijk is - en vooral omdat het dan onmogelijk is om achteraf te checken of pornosites zich -betrouwbaarder- aan de regels hebben gehouden.

Bovendien heb ik nog geen oplossing gezien voor issue 4) in mijn bovenste reactie (https://security.nl/posting/829219).

Het is wellicht uitermate vervelend om te moeten accepteren, maar sommige problemen kun je simpelweg niet met techniek oplossen (zeker verkopers van dure Haarlemmerolie gaan dat niet doen, bij wie je desgewenst wel jouw geld kwijt kunt - doch bij voorkeur niet de belasting die ik betaal).