Justitie gaat vingerafdruk-beveiliging op PCs toepassen

De mensen die werken bij het Rechterlijke Organisatie van het Ministerie van Justitie zullen in de toekomst niet langer een wachtwoord hoeven te onthouden. Meer dan twaalfduizend werkplekken zullen namelijk met een biometrisch beveiligingssysteem worden uitgerust. Je vingerafdruk in en een smartcard zorgen dan voor je verificatie. Naast elke computer zal hiervoor een leesapparaat worden geïnstalleerd, welke de vingerafdruk van de gebruiker kan identificeren. De kosten van dit project liggen boven de 2,5 miljoen euro. Hieronder een gedeelte uit het artikel van InfoWorld:

Daarnaast is het systeem uitgerust met een Single Sign On (SSO) mogelijkheid, waardoor een gebruiker niet telkens opnieuw zijn eigen identiteit hoeft te bewijzen. De door Justitie gebruikte beveiligingsapplicaties worden voorzien van Utimaco's Public Key Infrastructure (PKI), in combinatie met een Directory Server voor de lokale opslag van certificaten.

[...]Nederland heeft hiermee een primeur: het is wereldwijd de grootste installatie van vingerafdruk biometrie voor informatie beveiliging tot nu toe. Het project wordt vermoedelijk volgend jaar afgerond.

Met dank aan Verwijderd voor de tip.

Lees meer

Reacties (69)

Verwijderd 14 december 2001 10:25

Het is niet zo heel moeilijk om te voorkomen dat namaak 'vingerafdrukken' gebruikt worden. Via infrarood kan gekeken worden of de vinger nog leeft, via weerstand meting kan bepaald worden of het wel huid is wat op de plaat gelegd wordt.

Gebruikelijk bij dergelijke systemen is dat er niet 1 vinger gescand wordt maar meerdere over verschillende handen. Als je dan een keer een wondje hebt, kan je een andere vinger gebruiken.

Het is een beetje naief om te denken dat wij hier op het forum effe kunnen bedenken hoe deze beveiliging omzeild kan worden. Je denkt toch niet dat justitie een eenvoudig te omzeilen techniek gaat gebruiken?

Verwijderd @Verwijderd • 14 december 2001 14:17

Dan vraag ik mij toch af hoe ver ze zijn gegaan. Kijken ze ook naar:
1 temperatuur
2 elektrische eigenschap van de 'huid'
3 bloeddruk
4 etc.

Want als ze slechts kijken naar afdruk en temperatuur/IR, dan is het gat in het 'net' zo veilig dat er een walvis een rondje in kan zwemmen.

Roland684 @Verwijderd • 16 december 2001 02:41

Dan zal ik even heel naief zijn:

1) bemachtig pasje
2) zoek vingerafdruk (staat op het pasje omdat je je vinders stevig op het pasje drukt om het pasje in/uit de reader te doen)
3) maak een apparaatje dat zich voordoet als een vingerscanner en dat direct een opgeslagen vingerafdruk doorgeeft ipv werkelijk een vinger te scannen.

Waarom zou je moeilijk doen om temperatuur, vochtigheid etc. na te bootsen om zo een scanner voor de gek te kunnen houden als je heel die scanner kunt vervangen door een eigen apparaat dat de computer gewoon verteld dat de temperatuur, vochtigheid, etc. in orde was en de gedigitaliseerde vingerafdak doorgeeft? Zolang ze die scanner in muis of toetsenbord inbouwen (of als losse terminal naast de computer zetten) is dat een fluitje van een cent.

Als de vingerafdruk niet na te bootsen is, dan boots je toch gewoon de vingerscanner na? (niet dat een passwoord veiliger is, maar toch.. dit garandeert ook geen absolute veiligheid)

Verwijderd 14 december 2001 09:51

Mooi systeem, maar een gebruiker aanmaken voor je netwerk wordt wel een stukje lastiger en duurder.

lairnoc @Verwijderd • 14 december 2001 10:06

ja ik zie ook voor de beveiliging al mensen met afgehakte vindgers rondlopen en van die james bond achtige filmlaagjes met afdruk van iemand anders!! heeh

Conti @lairnoc • 14 december 2001 11:11

Je kan niet met afgehakte vingers rondlopen,

Die apparaatjes meten ook de lichaamstemperatuur afgehakte vinger = koud, en al warm je hem op koelt die veel ste snel af of is die veelste heet.

Verwijderd @Conti • 14 december 2001 12:45

dan moet je alleen iets harder rondlopen... dus voor hij afgekoelt is

Anyway, ik vind dat ze veel te veel kosten maken.. Wij moeten dat allemaal weer betalen.....

Als ze de ingangen goed beveiligen, dan hebben ze dit helemaal niet nodig...

En als ze te dom zijn, om hun passworden te onthouden... ontsla ze dan...
Over kosten besparingen gesproken....

5,5 miljoen voor een afdeling, die hun password niet kan onthouden... tssssssssssssk !

Verwijderd @Conti • 14 december 2001 14:37

het probleem zit hem niet in het onthouden van paswoorden, maar in de mogelijkheid om paswoorden te kraken...

biometrics maakt dit onmogelijk (andere mogelijkheid is bijv. checken van de iris)

Verwijderd @Conti • 14 december 2001 21:43

wat jij zegt klopt toch niet helemaal, stap maar eens op een motor met een beetje slechte handschoentjes, en kijk maar eens wat de temperatuur van die vingers is, dus temperatuur is geen optie

capedro @Verwijderd • 14 december 2001 10:37

Mooi systeem, maar een gebruiker aanmaken voor je netwerk wordt wel een stukje lastiger en duurder.

Heb je enig idee hoeveel tijd men bij Justitie (oa Politie) besteed aan het antecedentenonderzoek. Dus voordat ze je gaan aanmaken op het netwerk ben je al helemaal doorgelicht... dus dit kan er wel bij!

Het zorgt toch weer voor een beter security, mensen willen hun password e.d toch nog wel eens opschrijven in agenda's en vervolgens de agenda's kwijt raken.

En dat met "afgehakte vingers" zoals Laimoc het noemt... is een beetje raar. Hij heeft waarschijnlijk geen idee hoe lastig het is om zo'n gebouw van Justitie binnen te komen.

Van het Hoofdbureau Politie Rotterdam Rijnmond is het voor bezoekers als volgt:
1) Melden bij de hoofdbalie;
2) Legitimeren + melden met wie je een afspraak hebt;
3) Zij kijken of je als bezoeker bent aangemeld en anders nemen ze contact op met die persoon;
4) Als alles ok is krijg je een bezoekerspas;
5) Je dient plaats te nemen in de wachtruimte;
6) De persoon waarmee je afspraak hebt komt je ophalen (of iemand anders van die afdeling);
7) Deze persoon brengt jouw naar de betreffende persoon/kamer (nadat ze 2x met hun pas toegang krijgen tot de juiste afdeling, kan niet met bezoekerspas);

Als je weer vertrekt, wordt je begeleid totdat je je bezoekerspas hebt afgegeven, tevens wordt je weer afgemeld in het systeem.

Met andere woorden... binnnen komen is niet zo gemakkelijk en als je een medewerkerspas hebt ben je al helemaal doorgelicht (het zijn maar minimaal 16kantjes die je moet invullen voor een antecedentenonderzoek)!

En zoals zomer ook al zei dat het bij je sollicitatie wordt verteld, wordt er ook verteld wat voor problemen je kan verwachten als je vertrouwelijke informatie naar buiten brengt (lekken dus).

Dus....... zomaar binnen ben je niet!

NightOwlNL @capedro • 14 december 2001 12:15

en vervolgens neemt een bedrijf als bijvoorbeeld de technische dienst in het pand een nieuwe werknemer aan, die de eerste dagen met een geleende pas rondloopt.....

weg beveiliging...

capedro @NightOwlNL • 14 december 2001 13:58

Dacht het niet... zeker na 11 september moet men de badges in alle gebouwen zichtbaar dragen.

Personeel zelf is ook veel allerter. Men kan ook elkaar naar de badges vragen!

Was vroeger ook zo... maar nu na 11 september is het weer verscherpt!

zomertje @capedro • 14 december 2001 10:39

Dat klopt, dat wordt je bij je sollicitatie ook verteld. Ik heb echter niets hoeven invullen.

Het ontvangen van bezoekers ging hetzelfde bij justitie.

mvt @henk jansen • 14 december 2001 12:15

Volgens mij heeft Henk de laatste jaren iets te veel met zwaar vuurwerk gespeelt of is geboren met maar 1 vinger. Als ze dit doen zul je waarschijnlijk van meerdere vingers een afdruk kunnen laten opslaan. Alleen als je met je hand in het verband zit wordt het dan moeilijk. Ik neem aan dat er dan van typen toch weinig terecht komt, dus dat probleem is ook opgelost

Randal Peelen 14 december 2001 09:53

Het is natuurijk mooi dat de mogelijkheden op dit gebied steeds meer worden ingezet, maar ik denk dat het meer een teken is om te bewijzen dat wij ver zijn met de techniek, justitie is ook niet de eerste plek waarvan ik had gezegd "die hebben dat echt nodig", want er valt natuurlijk altijd van buitenaf in te breken, via Internet, je hoeft maar een plaatje van iemands vingerafdruk weten te krijgen en je kunt van buitenaf acces krijgen. Maarja, het is nu wel een heeeel stuk moeilijker

Verwijderd @Randal Peelen • 14 december 2001 10:59

je hoeft maar een plaatje van iemands vingerafdruk weten te krijgen en je kunt van buitenaf acces krijgen.

Volgens mij snap jij niet hoe de identificatie gaat. Er wordt dus niet zomaar een plaatje naar een server gestuurd die vergeleken wordt met een plaatje in de database.
Er zit dus al een systeem tussen dat via session keys eerst vaststeld of de gebruiker op een werkplek zit die geregisteerd staat en dan zal de software die lokaal op de machine staat uit dat plaatje biometrische gegevens halen en deze gegevens worden dan pas op de server vergeleken met het profile in de database.
Dus als je aan aanval van buitenaf wilt doen dan moet je eerst in staat zijn om je eigen machine als geregistreerde werkplek in het systeem te krijgen, en bovendien moet je ook nog eens exact dezelfde software weten te installeren op je PC om precies de juiste biometrische gegevens te kunnen extracten van het plaatje. Om nog maar te zwijgen van de registratiekeys die nodig zijn om zowel de software te kunnen installeren als de sessiekeys.

* 786562 plok

PolarWolf @Randal Peelen • 14 december 2001 11:32

Ga je er wel vanuit dat justitie direct aan het internet hangt...niet, dus.
Het is heus niet zo gemakkelijk om als buitenstaander bij justitie op het netwerk te komen.

capedro @PolarWolf • 14 december 2001 11:42

Ga je er wel vanuit dat justitie direct aan het internet hangt...niet, dus.
Het is heus niet zo gemakkelijk om als buitenstaander bij justitie op het netwerk te komen.

Ik ken afdelingen van Politie EN Justitie, waarbij men 2 workstations hebben.

Workstation 1 Gekoppeld aan Justitie/Politienetwerk.
Workstation 2 Gekoppeld aan Internet.

Tevens zijn die systemen die gekoppeld zijn aan internet niet te herkennen als zijnde van Politie/Justitie!

Fysiek is er nergens een koppeling van Justitie/Politie naar Internet.

Alles is mega-beveiligd... van buiten (internet) kom je er niet eens in.

zomertje @capedro • 14 december 2001 12:28

Delen van justitie(dit zeg ik zo omdat ik niet heel justitie ken) zitten ook achter een flinke firewall, dezelfde als die waar defensie achter zit. Een aantal werknemers hebben wel gewoon internet op de werkplek, dit wordt gewoon aan het userid of ip-adres gekoppeld.

Verwijderd 14 december 2001 09:59

Hmm..

Meeste mensen met enige kennis op dit gebied weten dat dit relatief makkelijk te omzeilen is.

Even kort door de bocht:
Wacht tot de medewerker koffie heeft gehaald (ja, uit zo'n zwarte glazen Maas automaat waar je een goede vingerafdruk af kan halen) spuit er siliconengel overheen, knip/snij het in de vorm van je vingertop en voila je hebt de vingerafdruk van degene die het laats koffie heeft gehaald.
Jat z'n pas en door Single Sign On kun je het hele systeem hacken.

Essentie van het verhaal: Biometrische lees-apparatuur kan geen onderscheid maken tussen de afdruk van een levende vinger (van de echte eigenaar) en een 100% gelijkende (siliconen)kopie daarvan door een onbevoegde.

Oplossing: het moet niet alleen iets zijn wat je bent en wat je hebt (lees: een vingerafdruk en een pas) maar ook iets wat je weet (lees: een goed paswoord)

en daarmee zijn we terug bij de zwakste schakel.
Mensen willen/kunnen niet goede paswoorden onthouden en/of gebruiken.

Tjark @Verwijderd • 14 december 2001 10:22

Goede aparatuur kan _wel_ onderscheid maken! De geavanceerdere modellen kunnen namelijk ook 'zien' dat er bloed stroom door de vinger.

Ik betwijfel of dit systeem dat wel zou kunnen.

Een jaar of 2 (3?) geleden was er tijdens HIP ofzo een wedstrijd wie zulke dingen om de tuin kon leiden. D'r was 1 vent die is dat gelukt (anderen maar enkele).
Oh... wat kreeg hij als prijs? Zo'n pc beveiliging die die zojuist gekraakt had

Verwijderd @Verwijderd • 14 december 2001 10:33

Dan ga je er al vannuit dat ze hun systeem `locken' als ze koffie gaan halen. Ik denk dat deze menselijke factor ook behoorlijk meeweegd. Je kunt je screensaver hier wel voor gebruiken om het automatisch te doen, maar medewerkers die niet iedere 10 minuten iets met hun PC doen zullen het erg irritant vinden zich steeds the authenticeren voor ze ff de PC kunnen gebruiken.

Feit is nog wel dat je ook fysiek binnen moet komen.

Dan moet je of daar werken of een begeleider hebben.

KeeZ 14 december 2001 09:52

hmm € 2.5 miljoen is wel een erg groot bedrag voor slechts 12000 werknemers ?? verder natuurlijk een goeie zaak

* 786562 KeeZ.TIëren

Verwijderd @KeeZ • 14 december 2001 10:34

hmm € 2.5 miljoen is wel een erg groot bedrag voor slechts 12000 werknemers ?? verder natuurlijk een goeie zaak

Vind je? Het is maar 460 piek per werkplek. Lijkt mij een heel redelijke prijs voor een biometrische scanner plus de bijbehorende infrastructuur (zoals een directory server, en lokale software voor gegevens uitwisseling)

Netman768

@KeeZ • 14 december 2001 10:05

In (ik geloof) 'freedom' hadden ze al van die kapjes die je over je vingers deed waarmee je een andere vingerafdruk kreeg.

Wel handig zo'n systeem, en ik denk ook veiliger dan een password. maar, als je nou b.v. een snee in je vinger krijgt, kan je dan niet meer inloggen? Dat zou natuurlijk niet zo slim zijn.

DennisBoom @Netman768 • 14 december 2001 10:16

Snee(tje) in je vinger maakt niet zoveel uit hoor, die vingerafdrukherkenners testen op meerdere plaatsen kleine stukjes van je afdruk. En als je vinger zo stuk is dat er teveel beschadigd is, mag je vast in de ziektewet

lybrium @DennisBoom • 14 december 2001 11:20

Het werkt nog anders;

Bij het aanmaken van jouw useraccount worden van alle tien de vingers een afdruk ingelezen en getest. Mocht je dus aan een van je vingers een beschadiging hebben hoef je alleen maar aan te geven welke vinger je dan wel gebruikt voor het inloggen.

Dit systeem werkt al zeker ruim een jaar vrij (waarschijnlijk langer) goed binnen het GWK. En met een lullig sneetje gaat een politieagent als het goed is echt niet de ziektewet in...

KeeZ @Netman768 • 14 december 2001 11:10

de vingerafdrukken zijn op alle vingers hetzelfde, dus je kan in principe ook gewoon een andere vinger nemen...

lybrium @KeeZ • 14 december 2001 11:23

Kijk jij eens op je vingertoppen en begin dan hard jezelf uit te lachen

Scalle-- @KeeZ • 14 december 2001 11:39

daarom ook dat ze van al je vingers een afdruk nemen en niet gewoon van je wijsvinger ofzo hè

SirBlade @Netman768 • 14 december 2001 10:14

"beschadigde vingeräfdruk = niet meer inloggen = niet meer werken.

Ik voorspel dat die ambtenaren zich heel vaak in de vingers gaan snijden.

-=bas=- @KeeZ • 14 december 2001 10:05

He! We hebben het wel over de overheid, daar moet alles 2 keer zoveel kosten.

patmcglone @-=bas=- • 14 december 2001 10:22

First rule in Government spending:

Why have one when you can have two for twice the price.

capedro @-=bas=- • 14 december 2001 10:50

Ik weet ook een opdracht bij de overheid waar men uitsluitend met sluitende budgetten werkt... dus niet hier-en-daar nog wat geld vandaan mag trekken.

Verwijderd 14 december 2001 10:03

Ik weet niet hoe goed die vingerafdruk-herkenning bestand is tegen valse vingerafdrukken. Ik weet wel hoe makkelijk het is om een vingerafdruk na te maken. Iedere persoon met toegang tot het maken van een simpele printplaat kan een kopie van een vingerafdruk maken.

Verwijderd @Verwijderd • 14 december 2001 10:07

Ja, of met een poedertje en wat breed plakband

Verwijderd @Verwijderd • 14 december 2001 10:17

Dat is stap 1.

Daarna ga je (2) naar de lichtbak met de lichtgevoelige printplaat en de kopie van de vingerafdruk. Zorgen dat die met de niet-plakkende zijde op de printplaat ligt. Belichten.

(4) Printplaat etsen, zodat de vingerafdruk uit het koper wordt verwijderd.

(5) Siliconen-kit over de vingerafdruk smeren,(of dat goedje in de grime-zaak) en na het drogen op maat snijden.

Als je het met pastice (grimeurs-lijm) op je vinger plakt, valt het niet op dat je niet met je eigen vingerafdruk werkt.

Is het plakje dun genoeg, zal de hartslag en de temperatuur erdoorheen te meten zijn.

Fatamorgana 14 december 2001 09:53

Het kan natuurlijk heel veilig zijn dit systeem. Maar wat als je gewond raakt en je vinger in verband zit? Kun je dan toch met password het systeem in of heb je dan gewoon pech?

Natuurlijk is de kans dat zoiets voorkomt niet zo heel erg groot, maar hoe meer gebruikers hoe groter de kans. Ach ja, we zien wel hoe het uitpakt, het zal wel meevallen.

Toch leuk dat ons kleine landje hierin de wereldprimeur heeft

Randal Peelen @Fatamorgana • 14 december 2001 09:56

Als je een vinger of erger nog een hand mist zal het werken met computers in zijn algemeenheid wel wat moeilijker gaan. En werknemenden zijn geen gevangenen, het zijn mensen waar heus wel rekening mee gehouden wordt, bv: Als je met je rechter duim in zou loggen en je verliesd die, doe je het toch met je linker duim, die kunnen ze ook inscannen hoor.

]Byte[ 14 december 2001 10:24

Wacht tot de medewerker koffie heeft gehaald (ja, uit zo'n zwarte glazen Maas automaat waar je een goede vingerafdruk af kan halen) spuit er siliconengel overheen, knip/snij het in de vorm van je vingertop en voila je hebt de vingerafdruk van degene die het laats koffie heeft gehaald.

Kort door de bocht ja.... Praktijk: NEE, dat gaat niet werken.
Daar is het systeem al op getest.

Essentie van het verhaal: Biometrische lees-apparatuur kan geen onderscheid maken tussen de afdruk van een levende vinger (van de echte eigenaar) en een 100% gelijkende (siliconen)kopie daarvan door een onbevoegde

Nee, en ook afgehakte vingers werken niet!!

je hoeft maar een plaatje van iemands vingerafdruk weten te krijgen en je kunt van buitenaf acces krijgen.

Nee, dat kan nu al niet en in de toekomst ook niet!
De enige mogelijkheid die ze nu hebben om van buitenaf binnen te kunnen komen is een dail-back verbinding. (en dus in de toekomst dail-back + vingerafdruk + smartcard)<div class=r>[Reaktie gewijzigd door ]Byte[]</div>

Verwijderd @]Byte[ • 14 december 2001 13:18

Nee, en ook afgehakte vingers werken niet!!

Verkoop je die dingen ofzow?

Inderdaad als je gewoon een siliconenkopie op de sensor legt werkt het niet. Wel als je er met je warme vinger hem er tegen aan drukt en wat heen-en-weer wiebelt. De sensor ziet zo dat het "levend" materiaal is.

De enige biometrische meting die tot mijn weten nog niet gehacked is, is een retinal scan (oog herkenning), maar ook dan kan je iemand nog een mes in de rug duwen.

Geen één beveiliging is waterdicht, dus probeer dat andere mensen ook niet wijs te maken.

Verwijderd 14 december 2001 10:42

Hier: http://www.utimaco.com/eng/content_products/sg_biome trics.html

kun je wat meer info vinden over het product wat gebruikt gaat worden.

Verwijderd @Verwijderd • 14 december 2001 13:28

En voor achtergrond over biometrics kun je kijken naar:

- Biometric Consortium
http://www.biometrics.org/
- Biometric Digest
http://www.biodigest.com/index.asp
- International Biometric Group
http://www.biometricgroup.com/

roelio 14 december 2001 12:19

waarom vingerafdruk + smartcard? lijkt me een beetje teveel van het goede, een smartcard is relatief "fraude"gevoelig, een vingerafdruk totaal niet (als je het goed implementeert) en zou dus genoeg moeten zijn... wordt het niet nodeloos ingewikkeld door deze twee zaken te combineren (hoewel ik niet zal betwisten dat het ietsje veiliger is dan alleen een vingerafdruk) ?

Stemband @roelio • 14 december 2001 12:52

Ze plaatsen de checksum die berekend wordt over de ingescande beelden op de smart card. Vervolgens hoef je dan niet steeds een online verbinding te hebben met een of andere dedicated server. Je scant het image, bepaalt de waarden en berekent de checksum( uiteraard d.m.v. software) en vergelijkt het met de waarde op de smart card. Afhankelijk van de gestelde foutenmarge krijg je dan wel of geen toegang.
Het is dus een combi, niet 2 verschillende middelen naast elkaar.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (69)

Sorteer op:

Weergave: