Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 82 reacties
Bron: eWeek

Microsoft-topman Bill Gates heeft tijdens de RSA-beveiligingsconferentie in Californië het gevaar van het traditionele wachtwoordensysteem aangesneden. Volgens hem wordt dit type authenticatiesysteem een steeds zwakkere schakel binnen het geheel van computerveiligheid. Hij refereerde daarbij onder meer aan de groeiende frequentie van phishingaanvallen, waarbij er geprobeerd wordt om het slachtoffer zijn gebruikersnaam en wachtwoord afhandig te maken. Volgens Microsoft is het mede daarom noodzakelijk dat elektronische authenticatiemiddelen hun intrede maken, zoals persoonsgebonden usb-sticks. Hierdoor zou het gebruik van wachtwoorden tot het verleden behoren. Volgens Gates is het van belang dat de ondersteuning voor digitale identificatie een vast onderdeel van besturingssystemen en browsers wordt.

Bill Gates met authentificatiesleutel tijdens de RSA 2006-conferentieMicrosofts software voor identificatie heet InfoCard, een digitaal certificaat dat gebruikers in staat stelt om hun identiteit kenbaar te maken aan een website. Internet Explorer 7 zal standaard ondersteuning bieden voor InfoCard, en ook Active Directory en Microsofts programmeergereedschap zullen aangepast worden om overweg te kunnen met dit authenticatiesysteem. InfoCard wordt ondersteund door de technologie van VeriSign, VeriSign Identity Protection (VIP) genaamd. Dit systeem voor de veilige uitwisseling van gebruikersgegevens zal onder meer door eBay, PayPal en Yahoo toegepast worden. Bezoekers van een VIP-website kunnen met bijvoorbeeld een usb-stick hun identiteit door een website laten bepalen. Niettemin zijn daarmee alle problemen niet opgelost, aangezien een verloren identiteitssleutel in verkeerde handen alsnog een gevaar vormt.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (82)

Camera's kunnen al 10x digitaal inzoomen en hebben al zoveel megapixels dat je ieder haartje op een gezicht kan tellen, is het dan nog zo moeilijk om een iris-scanner te maken? dat lijkt mij veel veiliger dan "weer" een sleutelhanger erbij.
Probleem met een iris is, dat als iemand weet hoe hij jouw iris 'na kan maken', jij geen andere iris kan nemen. Dit geld ook voor vingerafdrukken en gezichtsherkenning.
Als daarentegen iemand je stickje heeft gejat, kan je dat vast aanmelden, de oude laten blokkeren, en een nieuwe vragen. Dit laatste geld dan ook weer voor paswoorden, paspoorten en pincodes.
Kortom, biometrische identificatie is leuk, maar alleen bruikbaar in combinatie met hernieuwbare identiteitsbevestigende middelen, die veranderd kunnen worden zodra de 'identiteit gestolen' is.
Wat ze wel kunnen doen is een combinatie van beiden. In plaats van een vingerafdruk of een USB-stickje kun je een USBstick met scanner voor je vingerafdruk maken, deze bestaan volgens mij zelfs al.

Ook zou het standaard kunnen worden om een scanner voor je vingerafdruk in toetsenborden te plaatsen, omdat USBsticks vaak nog ergens aan de achterkant van een PC geprikt worden, en het dan onhandig is om "even" je vinger er op te gaan leggen. Ook deze toetsenborden bestaan al, Microsoft maakt deze zelf al een poosje.
Maar je laat toch overal je vingerafdruk achter? Een wachtwoord moet je tenminste nog geniepig ontfrutselen, jouw vingerafdruk kan ik in het eerste beste café waar je komt meejatten.
@kidde: Ze kunnen de iris dan misschien niet vervangen, wel kunnen ze de sensor verbeteren/veranderen, waardoor je iris wél weer uniek wordt. Een perfecte copie bestaat niet..
Het verbeteren van de sensor en de daaraan gekoppelde opgeslagen informatie van je iris/vingerafdruk is een kostbare aangelegenheid. Het is dus vele malen goedkoper om een mogelijkheid te hebben om kopien ook op andere manieren uit te sluiten dan enkel het upgraden van het hele systeem.
Je iris wordt dan uniek, ook per tijd... Zodat je eigen paspoort niet meer werkt.

Iriscopie is nonsens, maar er is wel een fundament: elke storing aan je lever, bvb, heeft een grote invloed op je iris. \[Geelzucht: leverdisfunctie, waardoor er afval in je bloed zit, waardoor je lichaamskleur veranderd --- maar je oogkleur nog meer].

Buiten het feit dat als je verzekeringsfirma je irisscan ziet dat die dan kunnen besluiten dat je meer mag betalen want je hebt een aantal afwijkingen, is een `betere' scanner gewoom misschien niet mogelijk:
iedereen `weet' dat 2vingerafdrukken altijd verschillen want uniek, maar NIEMAND heeft het ooit uitgezocht, er is geen enkel wetenschappelijk paper terzake dat dit onderschrijft.
Geen zever, het is gewoon word-of-mouth dat die identificeren.
Marvin: een iris-scan werkt niet door naar de kleur van je oog te kijken; er wordt gekeken naar de miniscule bloedvaatjes die in je oog zitten. Deze zijn voor ieder mens uniek, veranderen niet met de tijd en zijn niet na te maken.
@Kidde: Goed punt! Nooit bij stil gestaan.

[off topic]
Maar eh... Ik kan iemand wel zo een blauwe iris geven hoor ;-)
[/off topic]
Een irisscanner lijkt mij ernstig ongewenst. Biometrische identificatie vind ik ernstige schending van de privacy, zelfs als het voor een bank of zo is.

Wanneer het om financiele zaken gaat, vind ik een usb stickie op zich wel een goed idee, maar daar blijft het ook bij. Voor passport.net of forumregistratie ga ik me niet koppelen aan een kaartje.
Ik snap het niet, gebruiksgemak en veiligheid opofferen voor een 'gevoel', een mening?

Zo'n systeem als in Minority Report lijkt me perfect, oogballen omwisselen is (nog) niet mogelijk. Dit in combo met een USB stick is gewoon zeer veilig en gemakkelijk.
Als je zo redeneert dan moeten er geen privacywetten meer zijn. Hang dan maar een camera in je slaapkamer.
1) Waarom zou het ze interesseren hoe je naakt eruit ziet/ dat je gisteren sex hebt gehad?
2) Waarom zouden ze het niet mogen weten?
1) waarom zou het ze interesseren dat je een biertje gedronken hebt?
2) waarom zouden ze het niet mogen weten?
Mag ik dat misschien zelf beslissen, dank u wel?
en dan overal waar je komt geregistreerd te worden en dood gespamt te worden met 'persoonlijke' reclame zoals in MR? nee dank je zeg
ookal heb ik niets te verbergen de overheid hoeft absoluut niet te weten dat ik gister 2 pakjes sigaretten en een playboy heb gekocht bij de plaatselijke tabakshop, en daarna een biertje heb gedronken op een terrasje
@RJ:
1) waarom zou het ze interesseren dat je een biertje gedronken hebt?
Overheid niet eens zozeer, maar verzekeraars bijvoorbeeld weer wel.
Zeker met de huidige zorgverzekeringen, er wordt nu al behoorlijk voorgeselecteerd en dat gaat alleen maar meer worden.
1) waarom zou het ze interesseren dat je een biertje gedronken hebt?
2) waarom zouden ze het niet mogen weten?
Omdat je dan overspoeld wordt met bierreclames bv.? Voorbeelden genoeg van irritante reclames: iemand koopt een zwangerschapstest, wanneer de id bekend is wordt er zommaar een maand of 9 later allerlei reclame gestuurd over baby kleertje, speeltjes etc.

Heel erg leuk als je bv. een miskraam hebt gehad of geen kinderen kan krijgen. Maar ja, daar heeft de reclamemaker geen boodschap aan... die verdient goed aan dit soort grappen.

En waar bemoeit ie zich mee? Als aankomend ouder/bierdrinker/etc. kun je zelf toch wel bepalen wat je aanschaft? Ik denk dat er genoeg mensen zijn die het niet waarderen.... helaas zijn er nog meer mensen die zich wel laten verleiden tot aanschaf ("het is een amazing discovery Mike!").
Deze reactie is al door de gebruiker verwijderd
Ik zie de schending van privacy niet hoor.
Dat is het ook niet. Biometrische identificatie is een *medium* voor o.a. schending van privacy. Een heel efficiënt medium.
is het dan nog zo moeilijk om een iris-scanner te maken?
Wat de meeste mensen over irisscanners vergeten is dat ze niet voor iedereen gebruikt worden. Sommige mensen bewegen constant met hun ogen (zonder dat ze het zelf beseffen, het zijn zeer kleine reflexbewegingen), waardoor de scanner nooit een profiel van het iris kan maken. Hierdoor is deze technologie onbetrouwbaar.

Eigenlijk is geen enkele vorm van biometrie een goede beveiliging. Een betere beveiliging bestaat uit iets dat je hebt (een sleutel) en iets dat je weet (een wachtwoord). Eventueel vul je dit aan met plausible deniability.

Een mooi voorbeeld hiervan is het open-source TrueCrypt.
En dan? Kunnen mensen die een oog missen of een andere afwijking hebben geen computers meer gebruiken?

Als er iets nieuws komt, moet dat uiteraard lichaamsonafhankelijk zijn, zoals een passcard of usb-stick.
is het dan nog zo moeilijk om een iris-scanner te maken?
Zo'n scanner is niet geschikt voor dit type authenticatie.
Een website kan er namelijk niet op vertrouwen dat jij de scanner niet hebt gemodificeerd.

Bovendien hoeft (de beheerder van) website A niet te weten wie ik op website B ben.
10x optisch zoomen kan veel uitmaken, maar de term "digitale zoom" is toch door de marketingjongens uitgevonden: je neemt enkel wat pixels in het centrum, en - ja joor - als je dat fotofragment vervolgens tot normaal formaat uitrekt wordt alles groter |:(
Is een iris scanner wel de oplossing? Zo'n ding is toch ook wel te kraken? Een "man-in-the-middle" attack is nog steeds mogelijk. Als ik het resultaat van de iris-scan kan aftappen, dan kan ik dat ook weer opnieuw injecteren. En voor remote applicaties, zoals web vaak is, kun je dan probleemloos het signaal nog een keer sturen.

Ik zie meer in een challange response systeem met een wachtwoord, zoals dat gebruikelijk is bij de bank. Daar zit ook nog wel een wachtwoord op.
zoals persoonsgebonden usb-sticks
Dat is niet echt veilig, zo merkten we bij de verschillende defensie/AIVD affaires...

Dit helpt wat mij betreft alleen als extra: usb/chipcard identificatie+wachtwoord oid.
Dat is niet gebruiksvriendelijk, maar gewoon een extra schakel en extra hindernis voor phishers.
In ieder geval veiliger dan post-its op de monitor met username en wachtwoord erop ;)

Grappig :? Was het maar grappig. Dit is pure ernst. Te vaak kom je mensen tegen die zo met hun wachtwoord omgaan.
Hoevaak raak jij je monitor kwijt dan?
ik heb tot nu toe 2 systeembeheerder (of die er voor door moeten gaan) gezien die het administrator password van het netwerk op zo'n manier bewaren, eentje onder z'n toetsenbord en eentje achter z'n monitor. (ik ken ongeveer 15 systeembeheerders)
Een persoonsgebonden USB stick kan ook betekenen dat je iets biometrisch als passphrase-alternatief gebruikt om bij je vernieuwbare certificaat (private key eigenlijk) te kunnen komen.
Aan iedere computer die je USB stick raakt zal dan nooit je biometrische info aan los gelaten worden en je private key zal gegarandeerd nooit uit je USB stick komen ivm de crypto processors die er in zitten.

Als je het goed doet is het wel redelijk veilig te maken... met bestaande open technieken en standaarden.

Mijn menig is dat die inforcard van MS dus nogal overbodig is of ze hebben de bestaande standaarden niet begrepen.
Vorige week op de GGF is me iig duidelijk geworden dat Microsoft qua beveiligingstechnieken nog zeer veel in de R&D sfeer hangt, maar dat er nog niet zo veel is als in de sneller groeiende en flexibelere ontwikkelingen in de rest van de IT wereld.
MS heeft ondersteuning voor alle bekende en veelal onbekende standaarden.
Ik begrijp niet waar je heen wilt. Wat kreten PKI, Kerberos Certificaten, alles kun je activeren. Daarnaast zijn er tientallen 3e party progrsels die daarop voortbouwen. Wat wil je nu eigenliojk zeggen?
MS is daarnaast ook druk bezig met noodzakelijke verbeteringen aan beveiliging en inlog dus ook daar veel otnwikkeling, goed toch?
Precies, zo heb ik bij een klant waar ik zit voor vpn authenticatie ingesteld dat er zowel een token als een wachtwoord nodig is. Dat is denk ik een erg veilige methode.
En dan is dat InfoCard alleen van Microsoft en geven ze de specificaties niet vrij. Vervolgens kan je beveiligde sites alleen nog maar met Internet Explorer 7 bezoeken. Iedereen moet upgraden naar Vista. 2 punten voor Microsoft, 0 voor alle concurrentie.
is het ook niet zo dat microsoft al eerder zo'n id heeft geprobeert door te voegen en daar gigantisch in faalde. waarom zou het nu wel werken
Passport was inderdaad het identificatie systeem van Microsoft (is het nog altijd), alleen was het de bedoeling dat ook andere site er gebruik van zoude maken...daar is niet veel van terecht gekomen.

Volgens mij is die InfoCard ook weer gelinked aan passport trouwens.
Wie wil z'n doelpubliek nu beperken tot mensen die in het bezit zijn van zo'n kaart? Serieus. Het is niet omdat microsoft weeral iets dergelijks introduceert dat iedereen mee op de kar zal springen.
Naast dat moet er toch ook ergens op het internet een verificatieserver staan welke weer hackbaar is.....
Microsoft is met Firefox en Safari ontwikkelaars aan het praten over implatatie van Infocard in andere browsers. plus dat IE7 ook gewoon op Windows XP te installeren is (SP2 + geldige key that is).
Dit soort verhalen uit de mond van Microsoft komt op mij tot nu toe alleen nog over als afleiding.
Hun eigen producten zijn tot nu toe alles behalve veilig te noemen, dus zorgen we er maar voor dat de aandacht op andere vlakken komt te liggen.
Sorry, maar MS en veiligheid zijn bij mij twee verschillende dingen, verbeteringen op dit punt zie ik dan ook liever van wat meer betrouwbare partijen. Ondertussen kan Microsoft zich dan eens gaan richten op het fatsoenlijk implementeren van dergelijke methodes.
Uiteindelijk zal hoe-dan-ook de eindgebruiker de zwakke schakel zijn in (toegangs)beveiliging.... heb zelf nog nooit een phishing attempt meegemaakt (of nog niet gemerkt ;) ) maar ik zal dus nooit zomaar me inlog+pass ergens invullen als ik het niet vetrouw.

Feit blijft natuurlijk ook dat de meeste gebruikers vanwege de grote hoeveelheid usernames en bijbehorende passwords meestal voor één password kiest en als die eenmaal achterhaald/gekraakt is meteen alles potentieel op straat komt te liggen....niet-wenselijk maar wel menselijk om gemakzuchtig maar één password te hebben (en het liefst ook nog één username)...

Misschien dat deze techniek uitkomst kan bieden? nieuws: Wetenschappers stellen grafische wachtwoorden voor
Ik heb zo'n vermoeden dat Infocard niks anders is dan het mislukte Microsoft Passport in een nieuw jasje ...
Microsoft doet niets zonder er zelf wijzer van te worden. Dus het zal mij niet verbazen als de volgende stap er een is die deze persoonsgebondebeveileging aan een licensie te knopen dan wel een web/net dienst. Zodat er weer meer verdient kan worden.
Dat niemand daar aan denkt ja.
Dit past helemaal in het plaatje van Trusted Computing of welke naam ze er ook voor hebben bedacht.
Weer een stapje in de richting van hardware en software die elkaar controleert en al dan niet uitsluit. Bah!
Hoezo zonder er zelf iets wijzer van te worden? Authenticatie is toch gewoon onderdeel van het OS, en als dat verbetering behoeft dan kunnen ze dat beter snel zelf doen, en niet wachten tot OSX of Linux ze voor is. Gewoon onderdeel van het verbeteren van hun producten dus.
Hier in België hebben ze al een goede oplossing gevonden. De digitale identiteitskaart.
Het is echter spijtig dat er nog maar weinig toepassingen hiervan gebruik maken. Dit is al een hele stap voorwaarts.
Zoiets hebben wij hier in Nederland sindskort ook... ;)

Echter lijkt dit me niet zo veilig, want eenmaal de webstie gehackt, heb je de gegevens van álle gebruikers, dus kan je zelfs nog meer doen... ;)

Dat is eigenlijk ook dé reden waarom ik twijfel om het te nemen ja of nee...

Ik zit er niet op te wachten, dat NL ook mijn gegevens 'op straat gooit' (zijn ze al zo goed in tegenwoordig :+)
Nee, helaas hebben wij dat in Nederland niet. DigiD is geen identiteitskaart maar een unified login voor overheids websites. Een van de redenen dat deze niet aan een paspoort of ander indentiteitsbewijs is gekoppeld, is dat ook mensen zonder nederlandse nationaliteit van deze sites gebruik moeten kunnen maken. Een tweede reden is geld, DigiD is qua implementatie erg goedkoop in relatie tot smartcards of OTP keys.

Overigens vind ik one time passwords een mooiere oplossing dan een certificaat op een smartcard zoals Microsoft die suggereert. Het voordeel van OTP is dat clients er helemaal niet voor aangepast hoeven te worden. Wat ik van bpere begrijp is dat je in Belgie een reader voor je identiteitsbewijs kan krijgen waar mee deze als OTP key fungeert, net zoals veel banken met hun bankpassen doen. Klinkt erg goed.
DigiD is gekoppeld aan het SOFI nummer.
Ik vind die elektronische id-kaart hier in België echt een supergoed initiatief. Alle kinderen van 12 jaar kunnen bij hun ID-kaart een gratis kaartlezer krijgen. Daarmee kunnen ze dan veilig chatten op o.a kidcity.be. Mensen die ouder zijn dan 16 geraken niet op de chatserver( ik heb het al uitgetest :P ). Het is de bedoeling dat er in de toekomst e-mails, worddocumenten en noem maar op mee ondertekend kunnen worden.( er is al een samenwerking met microsoft denk ik)

Natuurlijk is het nooit 100% veilig, iedereen kan je ID-kaart en pincode gebruiken als hij ze kent, maar het is een goed begin vind ik.
Ze mogen mij vandaag nog chippen als dat betekent dat ik nooit meet hoef te denken aan wachtwoorden, pincodes, sleutels en portomonnee's..
Ik heb nog een paar mooie gele koe oormerken liggen, zal ik ze even komen aanbrengen?
Ik had het over inbrengen van een chip en niet dat ik bestio-travestiet ben.
De privacy issues is iets waar je over na kan denken maar de voordelen lijken mij al snel groter dan de nadelen.
Ja, handig. Kunnen ze fijn monitoren overal waar jij gaat of staat.

Nee, een wachtwoord blijft de beste beveiliging áls je hem goed toepast. Tot nu toe lezen ze nog niet op afstand de inhoud van je brein uit.
Hoezo helpt dit tegen phishing? Als je hiermee naar een phishing site gaat en die kaart gebruikt ontvangt die site toch de data van die kaart. Als de phisher die data dan stuurt naar de echte site dan kan hij toch ook als het slachtoffer inloggen??
Hoezo helpt dit tegen phishing? Als je hiermee naar een phishing site gaat en die kaart gebruikt ontvangt die site toch de data van die kaart. Als de phisher die data dan stuurt naar de echte site dan kan hij toch ook als het slachtoffer inloggen??
nee, dergelijke systemen zullen zeer waarschijnlijk ook als soort van 'token' systemen werken zoals bijvoorbeeld de random-reader van de rabobank en dat ding van ABN.

Doordat de code daardoor iedere zoveel seconden verandert, op basis van een ingebouwde code / algoritme wat alleen de centrale servers en je infocard kennen zit je dan enigzinds veilig. Behalve als je een worm hebt die in staat is om je infocard te hacken en effectief kan omzeilen daardoor. Nou zijn de eisen aan dergelijke systemen erg hoog, en ik ken nog geen gevallen waarbij dergelijke beveiligingen echt gekraakt zijn (anders dan een post-it op de onderkant van een random-reader met daarop de pincode), maar helemaal uitsluiten kun je het nooit.

Daarnaast verdom ik het om privacy-gevoelige data aan een door Microsoft gecontrolleerde dienst te geven.
Alles is te achterhalen, ook dit systeem, het moet ergens opgeslagen worden, dus phishing sites kunnen hier evenzeer misbruik van maken. Het probleem ligt bij de gebruiker en niet bij de beveiliginsmiddelen, alleen heeft MS dit niet graag gezegd, want het zo makkelijk installeren van third party software geeft hen een 'gebruiksvriendelijkheid' voordeel. Heel hun manier van werken is zo lek als een zeef, dus vinden ze lapmiddelen uit.
persoonsgebonden usb-stick lijkt me een drama die dinge worden net zo makkelijk gejat ... zakkenrollers enzo...

en idd de beveileging is gewoon keihard 't zwakst bij de eindgebruiker, 1 mogelijke oplosing is iris scan maar ook die is met contact lenzen redelijk eenvoudig te faken.. optische wachwoorden zie ik ook nog niet zo snel veel mensen nemen dan gewoon een veel te gemakkelijk vormpje als een gewoon recht lijntje ofzo..

DNA is dan wellicht een iets veiligere oplossing.. alleen zoek maar 's een manier om, snel en efficent een dna patron op te halen uit bijv speeksel...

en privacy??? sorrry hoor mensen maar das natuurlijk grote BULL - A we hebbe geen privacy - en B we hebbe geen privacy nodig.. zolang ik vrij ben om te gaan en staan waar ik wil, en er grondwettelijk geregeld is dat ik recht heb op een mening (mits ik die op een menselijke manier uit) - heb ik er geen bezwaar tegen dat men weet waar ik ben en wat ik aan het doen ben...

en als er dan echt zo'n idioote freek er geil van wordt dat ik met m'n vriedin leg te vozen, dan moet ie dat helemaal zelf weten, zolang ik er geen last van heb, gaat ie z'n gang maar..

ik doe nix waar ik me voor schaam, dus zou ook nie weten waar ik privacy voor nodig heb...
ik doe nix waar ik me voor schaam, dus zou ook nie weten waar ik privacy voor nodig heb...
Je geeft het antwoord zelf al:
zolang ik vrij ben om te gaan en staan waar ik wil, en er grondwettelijk geregeld is dat ik recht heb op een mening
Wie verzekert jou dat dit altijd zo zal blijven? Als er een regering komt die vindt dat jij vrijheden niet meer mag hebben, dan ligt er al een prachtig systeem om iedereen te controleren.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True