Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 155 reacties
Submitter: Foamy

De Franse overheid wil het gebruik van wachtwoorden op het internet overbodig maken, door gebruikers hun identiteit te laten bevestigen met een certificaat in de vorm van een smartcard of usb-stick. Beveiligingsbedrijf Trend Micro is kritisch.

Door internetters hun identiteit te laten bevestigen met een fysiek apparaat, zou het moeilijker worden om identiteitsfraude te plegen. Bovendien hoeven gebruikers niet meer 'duizend verschillende wachtwoorden te onthouden', stelt Nathalie Kosciusko-Morizet, de Franse minister voor Digitalisering, aldus het Franse 20Minutes. Met het digitale certificaat zouden gebruikers zonder in te loggen bijvoorbeeld bankzaken kunnen doen, kunnen winkelen en bepaalde overheidsdiensten kunnen gebruiken. Ook zouden bepaalde digitale formulieren automatisch ingevuld kunnen worden.

Twintig organisaties, waaronder de Franse vereniging van banken, die van verzekeringsbedrijven en het postbedrijf, hebben toegezegd deel te willen nemen in het project. Het is op dit moment echter nog niet bekend hoe het certificaat, IdéNum geheten, precies zal worden uitgevoerd. Zo is nog onduidelijk op wat voor medium het certificaat zal worden opgeslagen, of het de gebruikers geld gaat kosten en hoe het precies zal worden beveiligd. In de tweede helft van dit jaar moet er een prototype zijn ontwikkeld, gevolgd door een uitrol in 2011.

Het beveiligingsbedrijf Trend Micro reageert op zijn weblog kritisch over het IdéNum-project. Woordvoerder Rik Ferguson van Trend Micro schrijft dat de beveiliging van een dergelijk apparaat erg ingewikkeld kan worden. Zelfs als het certificaat wordt beveiligd met een pin-code, blijven hackers in staat om een sessie te kapen, aldus Ferguson. Ook diefstal is een risico. De Trend Micro-woordvoerder vindt dat elke belangrijke actie door de gebruiker moet worden bevestigd, bijvoorbeeld door een aan de actie gerelateerde veiligheidscode op het IdéNum-apparaat in te voeren.

Geen wachtwoorden meer?

Moderatie-faq Wijzig weergave

Reacties (155)

1 2 3 ... 9
Slecht initiatief. Waarschijnlijk een gesloten platform. Daarbij heb ik geen vertrouwen in een overheid die denkt dat ie alles wel kan beheren. Daarbij bestaat een dergelijk systeem al, het heet OpenID. Met OpenID kan iedereen zelf een 'openid-provider' bepalen die hij vertrouwt. Daarbij kan iedereen zelf een provider opzetten als ie niemand vertrouwt. En voor websites is het echt heel makkelijk om OpenID te implementeren. Ik hoop dat die twintig organisaties snel hun steun voor dit plan intrekken.
Nee open software is goed.
Iedereen kan dan in de broncode kijken en de zwakheden eruit filteren en (mis)(ge)bruiken. :X
Iedereen kan dan in de broncode kijken en er voor zorgen dat het gefixd wordt.

[Reactie gewijzigd door Jurgen1982 op 3 februari 2010 21:21]

OpenId is een open standaard en geen open software. Als jij denkt dat 'security trough obscurity' goed is, dan zoek je een openid provider uit die dat bied. Dat is nu net het leuke aan OpenId, je kan echt een provider kiezen die volledig op je wensen aansluit om die vervolgens bij allemaal ondersteunde websites te gebruiken (en dat zijn er steeds meer).

Overigens zijn de experts het wel met elkaar eens dat als je beveiliging geheim moet blijven omdat ie anders gekraakt zou worden dat ie dan bijzonder slecht is, en uberhaupt nooit gebruikt had moeten worden.

Mocht je het trouwens willen weten, al het beveiligde internetverkeer, je https verbinding dus, gaat ook over een standaard die iedere gek in kan lezen, dus als ik jou was zou ik geen gebruik maken van je bankwebsite, want die maken geen gebruik van een gesloten systeem, iedereen kan nu de zwakheden eruit filteren en (mis)(ge)bruiken. :X

[Reactie gewijzigd door Toolskyn op 4 februari 2010 10:11]

Ik ben het helemaal met jou eens en OpenID kan je ook met een yubikey gebruiken.
Een betere beveiliging is er niet.
Alle Europese samenwerking ten spijt, misschien zou iemand ze moeten bellen om eens naar ons systeem van internetbankieren te kijken (en dan bedoel ik dus de systemen van Rabobank/ABN-Amro)

RFID lezend apparaatje, paspoort ernaast en dan een code invoeren om alles te checken. Wellicht wat omslachtig voor het inloggen bij je mailbox, maar ťťn systeem voor overheid/banken/online winkelen lijkt me toch niet verkeerd.
Alle Europese samenwerking ten spijt, misschien zou iemand ze moeten bellen om eens naar ons systeem van internetbankieren te kijken (en dan bedoel ik dus de systemen van Rabobank/ABN-Amro)
Wat is er mis met het systeem? Je hebt iets (PIN-pas) en je weet iets (PIN-code) en het maakt gebruik van iets dat vertrouwd is (Random Reader).
RFID lezend apparaatje, paspoort ernaast en dan een code invoeren om alles te checken. Wellicht wat omslachtig voor het inloggen bij je mailbox, maar ťťn systeem voor overheid/banken/online winkelen lijkt me toch niet verkeerd.
Nutteloze omslachtigheid, inderdaad. Vooral als je een credit card op de balie kan leggen en meteen kan betalen.

Het huidige betaalsysteem in fysieke winkels ('pinnen') werkt door een combinatie van vertrouwdheid, gebruiksvriendelijkheid en veiligheid. Het huidige betaalsysteem voor virtuele winkels (iDEAL) werkt door een combinatie van vertrouwdheid (zelfde manier als inloggen bij de bank), gebruiksvriendelijkheid (iedereen die kan telebankieren kan het gebruiken) en veiligheid.

Je kan al veel meer veiligheid uit de huidige systemen halen door gebruikers beter op te voeden. Geef bijvoorbeeld nooit je PIN-code aan iemand anders. Al moet iemand perse van jouw rekening gebruik maken, haal dan een andere pas (een soort niet gebruikt kan worden voor internetbankieren) en een andere PIN-code welke je dan kan uitlenen.

En voordat iemand over 'skimmen' begint: daar zijn we in de nabije toekomst ook al vanaf door de chip op de pas aan te spreken in plaats van de magneetstrip.

[Reactie gewijzigd door The Zep Man op 3 februari 2010 18:09]

Ook het systeem dat de betreffende banken gebruiken heeft de nodige nadelen. Zo worden voor het inloggen codes gegenereerd die niet tijd gebonden zijn, maar alleen sequentieel te verifieren zijn (dus het is na te gaan dat code X later is gegenereerd dan code Y). Ik zou dus via iemands bankpas codes aan kunnen maken, en later zonder de kaart in handen te hebben in kunnen loggen. Alleen als de gebruiker zelf inlogd met een nieuwere code, zijn mijn codes onbruikbaar.

Een ander groot probleem aan deze vorm van authenticatie is dat men zonder moeite kan testen of de pincode juist is. Ik zou iemand kunnen bedreigen hun pincode af te geven, en kan deze code moeiteloos op alle apparaatjes testen. Voor criminelen is dit handig te gebruiken voordat ze naar een pin automaat of winkel gaan.

Uiteindelijk gaat elke vorm van beveiliging ten koste van de gebruikers vriendelijkheid, en omdat bedrijven zoals banken hun diensten toegankelijk willen houden worden er (te) grote consessies gedaan op de veiligheid. Ook dit plan van de franse overheid is daar weer een duidelijk voorbeeld van, de veiligheid wordt ondergeschikt geacht aan de eenvoud voor gebruikers.
2X wrong
1) Die codes, zeker bij de rabobank, zijn wel tijdsgebonden. Na een aantal minuten werkt de code niet meer
2) Als je 3X de foute pin in tikt wordt de chip fisiek vernield. Zelfs de bank kan er niks meer mee en heb je een nieuw pasje nodig. Dit is mij al eens gebeurd.
Misschien kan je deze nogal rare claims enigzins onderbouwen?

Om te beginnen met de kaart deactivatie (die idd standaard in alle kaarten verwerkt zit), geef jij met een mes op de keel de verkeerde pincode af? Het gevaar zit erin dat ik bij jou in kan breken en daar de codes kan controleren. Vroeger moest een crimineel met het slachtoffer naar de pinautomaat, wat een hoop meer aandacht trekt van eventuele omstanders.

Ik weet niet exact hoe de rabobank te werk gaat, maar er zijn ruwweg 2 manieren om in te loggen via een cardreader. Het CAP protocol schrijft voor dat er een manier is waarbij de klant een code moet invoeren van de website, en die wordt dan cryptografisch omgezet naar een nieuwe hash die de authentiteit bevestigd. Aangezien de code bij de bank wordt gegenereerd weet men op welk tijdstip dit gebeurd en kan er dus controle plaatsvinden. Dit systeem is uitermate onveilig voor het inloggen.

Het andere CAP protocol produceerd nieuwe hashes op basis van de secret key in de chip, die alleen benaderbaar is met de juiste pincode. Omdat dit maar 8 cijfers zijn, is het onmogelijk om accurate tijdsindicaties toe te voegen hierin. Dit zou wel kunnen als een langere sleutel gebruikt wordt, maar dat gaat weer ten koste van de gebruikersvriendelijkheid.

Voordat je dergelijke ongefundeerde claims maakt zou ik je aanraden eens te lezen over hoe de techniek werkt. Dit is een leuk artikel om te beginnen.

[Reactie gewijzigd door merlijn85 op 4 februari 2010 11:40]

Een ander groot probleem aan deze vorm van authenticatie is dat men zonder moeite kan testen of de pincode juist is. Ik zou iemand kunnen bedreigen hun pincode af te geven, en kan deze code moeiteloos op alle apparaatjes testen. Voor criminelen is dit handig te gebruiken voordat ze naar een pin automaat of winkel gaan.
Geen idee of het bij andere banken ook zo is, maar bij Fortis is het zo dat de chip blokkeert als je 3 maal de verkeerde pincode ingeeft, hetzij op een random reader of equivalent hetzij in een chipkniplader/-betaalautomaat.

Niettemin heb je een punt, ik betwijfel of mensen onder bedreiging 3 maal de verkeerde zouden geven.

[Reactie gewijzigd door Zion667 op 3 februari 2010 22:20]

Ook het systeem dat de betreffende banken gebruiken heeft de nodige nadelen. Zo worden voor het inloggen codes gegenereerd die niet tijd gebonden zijn, maar alleen sequentieel te verifieren zijn (dus het is na te gaan dat code X later is gegenereerd dan code Y). Ik zou dus via iemands bankpas codes aan kunnen maken, en later zonder de kaart in handen te hebben in kunnen loggen. Alleen als de gebruiker zelf inlogd met een nieuwere code, zijn mijn codes onbruikbaar.
Dat is inderdaad wel een nadeel dat ik niet kende, maar in ieder geval bij de Rabobank moet je bij het overboeken van geld ook nog weer een extra code invoeren die niet bekend is voor je de transactie start. Bij grote bedragen (boven de 500 euro oid) moet je ook nog het bedrag invoeren voor je de definitieve code van het apparaatje terugkrijgt. Als je dan de bankpas niet meer hebt kun je dus hooguit iemands rekeningoverzicht bekijken, voor zover ik het begrijp.
Volgens mij was dat ook precies wat "Kyokushin" bedoelde...

ontopic: Het lijkt mij makkelijk om alle wachtwoorden kwijt te zijn, maar eerlijk gezegd voel ik er weinig voor om alles in een usb-stick of iets dergelijks te bewaren. USB sticks laat je in je broek zitten als hij in de was gaat (gebeurde mij gister) of laat je in je computer zitten als je weggaat van huis, met alle risico's van dien.

Inderdaad lijkt me de "randomreader" oplossing wel erg fijn, maar dat zal er wel voor zorgen dat er of nieuwe legitimatiebewijzen moeten komen of dat iedereen een aparte kaart moet aanschaffen inclusief reader.
Is dit niet het doel van de DIGID, maar dan wťl goed uitgevoerd? Of haal ik nu zaken door elkaar?
Mijn school bijvoorbeeld wil al dat ik voor bepaalde dingen inlog met DIGID (in-en uitschrijving). Als me dat 5 brieven van DUO (dienst uitvoering onderwijs, voorheen IB groep) bespaart vind ik dat prima.
Wat jij aankaart maar dan in 1 universele reader. Dus bv: bankpasje erin. reader vraagt toets pin... daarna ziet de reader aan de hand van de bankpas welke codering er overheen moet. En geeft response terug.
Stop later bv een id-kaart erin. Dan eventueel pincode invoeren en zo inloggen bij de overheid. etc.
Dus een intelligente reader die zelf kan zien wat er gevraagd moet worden aan de gebruiker. Want anders blijf je slepen met een stel reader.
Zodat iedereen nog meer persoonlijk aansprakelijk kan worden gesteld voor de daden die men verricht op het Internet :/

Einde aan de anonimiteit, einde aan het vrije spreken!
Ik mag toch aannemen dat iedereen intelligent genoeg is om te begrijpen dat dit niet gedaan is zodat de gebruikers niet meer "duizenden wachtwoorden hoeven te onthouden".

Dat is namelijk net zo ongeloofwaardig als het argument voor de euro, "dan hoeven de mensen geen geld meer om te wisselen als ze op vakantie gaan".

[Reactie gewijzigd door DenniZ op 3 februari 2010 17:50]

Juist, en dat is dus waar dit om gaat. Het gaat er echt niet om dat je niet langer moeilijk hoeft te doen voor wachtwoorden, het gaat erom dat je illegale downloads traceerbaar zijn naar een individu - namelijk de eigenaar van de key waarmee je het internet opging.

Wat was tot nu toe het probleem met rechtzaken tegen downloaders? Het feit dat je domweg niet kon bewijzen dat een specifiek individu iets gedownload had (het had ook zijn 8-jarig zoontje kunnen zijn, tenslotte). Maar met een inlogkey voor het hele internet, i.e. voor je zelfs maar een enkele packet hebt kunnen verzenden, ben je mooi van dat probleem af.

En zeg nou niet dat dat niet is wat hier bedoeld wordt. Het wordt wel mooi als "wachtwoorden voor websites" gebracht, maar daar geloof ik helemaal niets van. Dit gaat puur om traceerbaarheid van individuen op het internet. Hadopi, three strikes and you're out (makkelijk, de overheid maakt je code ongeldig en je bent inderdaad definitief "out"), en bewijslast wordt automatisch geleverd.
En leuker nog: iedere corrupte ambtenaar die er opeens zin in krijgt om jouw leventje zuur te maken gebruikt gewoon die sleutel om wat rare fratsen op jouw naam te zetten.
Voor grote websites is dit mss een goed idee maar voor kleinere websites is dit niet gemakkelijk
OpenID... zeer makkelijk te implementeren, en de wachtwoorden en persoonsgegevens kunnen bij een specifieke dienstverlener worden opgeslagen. Als ze nou eens zorgen dat alle sites deze methode voor authenticatie gebruiken kan je altijd zeggen dat de fransen als OpenID provider de Franse Overheid moeten gebruiken en dat die de mensen authenticatie geeft via zo'n pas of whatever.

Voor website bouwers is het dan eenvoudig. Gewoon OpenID supporten. Er zijn voor elke programmeertaal handige libs te vinden.
Laten we niet te snel oordelen. Het is een project waarin verschillende partijen deelnemen. De uitkomst is nog onduidelijk. Pin het hele verhaal nou niet vast op de uitspraak over een USB stick. Je moet nu eenmaal iets zeggen om het verhaal wat concreets te geven.

Zoals het nu is, is het ook niet echt handig/veilig. Het is een lovenswaardig streven, en misschien moet er iets nieuws worden ontwikkeld om dit te realiseren. Ik ben benieuwd waar ze mee komen. Banken zijn natuurlijk ook niet achterlijk; die gaan niet iets invoeren dat de zaak onveilig(er) maakt. In feite is elk apparaat dat buiten de controle van de bank valt niet te vertrouwen. Iedereen kan wel denken dat zijn of haar PC veilig is met de nieuwste firewall en AV software, maar niets is gegarandeerd. Ik heb van een beveiligingsexpert al genoeg dingen gehoord waardoor je eigenlijk niet eens meer durft te pinnen. Telebankieren is in feite inherent onveilig omdat je nooit zekerheid hebt over je verbinding of je eigen machine. Werk je nog wel via je eigen AP? Weet je dat zeker?
Telebankieren helpt dit niet echt mee. De USB key authenticeert je systeem, niet dat jij de input voor het systeem levert. Dingen als de rabonank reader zorgen ook al voor afdoende authenticatie. De USB key kan zelfs iets gevaarlijker zijn, als deze gebruikt kan worden zelfs als je niet achter de PC zit (wat Trend Micro voorstelt om dat te voorkomen is feitelijk wat de rabobank reader nu al doet, dit stopt trojans niet ... maar betekent wel dat ze in realtime de sessie aan moeten passen).

Wat nodig is voor veiliger telebankieren is een USB apparaatje met LCD waar de transactie gegevens op komen te staan, met ook de toets voor het bevestigen van die transactie op dat apparaat. Dan kunnen de trojans er niet tussen komen.

[Reactie gewijzigd door Pinkys Brain op 3 februari 2010 19:55]

Dingen als de rabonank reader zorgen ook al voor afdoende authenticatie.
Dat denk jij. Ik heb een demo gezien van een soort virus/trojan die (onontdekt door whatever AV dan ook) 'ontwaakt' als jij inlogt bij Barclays bank. Wat ik ervan meekreeg is dat hij jouw input in een andere sessie nadoet of doorstuurt, waarne men met de juiste codes (van dat moment) kan inloggen.
Dat was een echte trojan, geen verzinsel van iemand die AV probeert te verkopen. Bankiers zeggen het ook al: een PC is gewoon onveilig. Het is onmogelijk een PC veilig te krijgen. Ook een VM helpt niet, want je bent niet zeker van de integriteit van het onderliggende OS. Dus in feite moet je een afgesloten systeem hebben, waaraan niets te updaten of te vervangen valt. En dan met een combinatie van zware encryptie en beveiligingstechnieken werken om de verbinding en het inlog/autenticatieproces te beveiligen.

Elke beveiliging of encryptie kan natuurlijk gekraakt worden als je de tijd hebt. Maar je kunt het effectief onmogelijk maken door het kraken te lang te laten duren. Bijvoorbeeld de Irdeto2 smartcards van Ziggo. Elke 20 seconden moet de smartcard een nieuwe key decrypten en er zelf een genereren voor de decoder. Daar heeft ie minder dan een seconde de tijd voor. Dat lukt dus niet. Voorlopig zijn er alleen maar geruchten (elk jaar weer) dat Irdeto2 gekraakt is. Maar niemand heeft het nog echt gezien. Een goede beveiliging is dus wel mogelijk.
Goh, best wel knap dat je dat zinnetje uit het midden van mijn post pikt en het je toch lukt bijna geen woord te lezen van wat ik zei ... nog een keertje proberen ...

"wat Trend Micro voorstelt om dat te voorkomen is feitelijk wat de rabobank reader nu al doet, dit stopt trojans niet ... maar betekent wel dat ze in realtime de sessie aan moeten passen"

en

"Wat nodig is voor veiliger telebankieren is een USB apparaatje met LCD waar de transactie gegevens op komen te staan, met ook de toets voor het bevestigen van die transactie op dat apparaat. Dan kunnen de trojans er niet tussen komen."

Een beetje redundant om me dan te vertellen dat trojans je sessie kunnen hijacken en dat je een gesloten systeem nodig hebt :)
En ik wil dat juist niet. Met een username en een wachtwoord hoef ik mij niet als mijzelf voor te doen. Dit is puur voor mensen te kunnen traceren.
Toch zou ik op bepaalde fora die ik beheer dit best wel willen. Wel anoniem voor de gebruikers / webmaster, niet voor de overheid.

Scheelt me een hoop tokkie geschreeuw en gedonder.

En de gebruikers die dat niet willen posten maar niet op dat bewuste forum.
Als ik af en toe wat gescheld en getier moet ondergaan om anonimiteit en daarmee vrijheid van meningsuiting op het Internet mogelijk te maken, dan doe ik dat graag. Comfort en gemakzucht moeten nooit boven de vrijheid van meningsuiting komen.
Dat is dus ook het eerste wat ik dacht. Zo kan de overheid je nog makkelijker traceren.
'Kom, laten we nog een nutteloze kreet uiten. We hebben de Fransen al een wet door de strot heen gedouwd, laten we het nog eens doen!'

Kom op zeg, wat is dit? Tot nu toe is elke vorm van beveiliging gekraakt, dit gaat het niet moeilijker maken.
Ja dat sowieso, maar wat daar nog bij komt is dat het nu nůg makkelijker wordt gemaakt. Het enige wat ik hoef te doen is een usb stick bemachtigen (fysiek inbreken) met t certificaat erop en klaar is kees!!

Dus het is misschien veiliger tegen de huis tuin en keuken hacker, maar voor de echte criminelen wordt het alleen maar makkelijekr gemaakt omdat er maar "point of weakness" is.

[Reactie gewijzigd door Data-base op 3 februari 2010 17:49]

Gelukkig is de vorm van beveiliging al bekend en kun je op dit moment al zeggen of het gaat falen of niet. Zoals Trend Micro al ongeveer aangeeft is een certificaat + pincode (dus een Token) 1 van de beste manieren om te beveiligen, alleen zou je hierbij de sessie alsnog kunnen kapen.

Echter bij het vervolgens uitvoeren van dingen kan je dan net als bij de Rabobank weer om een Token key vragen waardoor het allemaal dus wel een stuk veiliger is. Deze token moet dan namelijk door de gebruiker weer worden ingevuld en het maken van die tokens (genereren hiervan) is in ieder geval bij de banken nog niet gekraakt.

Verder is ongeveer alles met certificaten sowieso al beter dan nu. Een simpele keylogger kan een wachtwoord al achterhalen, en 9 van de 10 simpele mensen hebben toch echt voor elke website dezelfde login.

Misschien moet ik je anders helpen herinneren aan DigID, waarbij ook nog eens de GSM van de persoon in kwestie in het bezit moet zijn van de hacker.

Edit @hieronder: Je stelt net dat het "nog makkelijker" wordt gemaakt, het enige wat je hoeft te doen is de usbstick te bemachtigen. Hierboven staat dat men nog geen idee heeft hoe het gaat werken. Met een certificaat kun je specifieke dingen ondertekenen zonder je private key weg te geven...

En met je DoS op telefoonnetwerken geef je al helemaal aan dat het niet makkelijker is om te hacken dan gewoon het installeren van een keylogger, bankzaken kun je ook nog fysiek doen... Idem voor bijna alle online dingen (gemeentes kun je ook gewoon bezoeken (ja in sommige steden kun je met je Digid vanalles aanvragen)).

[Reactie gewijzigd door XiniX88 op 3 februari 2010 19:13]

Ja maar ik gebruik mijn raboreader niet in het zich van anderen vanwege de pincode (dus alleen thuis en alleen op vaste lijn of laptop met etherape aan in linux)

Hetzelfde als een raboreader zou niet werken want de pincode moet je dan ook in een internetcafe geven waar iedereen het ziet.

Eeen vinger afdruk is te vervalsen (ja dat kan! ;) ) Iristechnologie is te duur en waarschijnlijk ook nog niet ver genoeg.

Spraak is op te nemen een combi kan maar ik zou zeggen die honderdwachtwoorden kunnen alleen met een pistool tegen je hoofd gegeven worden. Daarnaast zal een inbreker ze ook snel door de war halen als hij er veel heeft en de mens die onder schot wordt gehouden ook vanwege angst.

Daarnaast alles wordt centraal gehouden in dit plan van de franse regering wat ik nogal eng vindt.
Ik vindt het een beetje boel paranoia, raboreader alleen thuis gebruiken omdat iemand je pin kan zien en via een vate lijn en ook nog etherape op om je netwerk verkeer te monitoren.

Haal jij wel eens geld uit de muur? dan ben je ook niet thuis. Je kan prima je code invullen op je raboreader met je hand ervoor, in je broekzak (met 1 hand) enz enz.

Met een vaste lijn wil je een man in the middle attack voorkomen, ik wens de hacker veel succes met je goed beveiligde wpa2-aes verbinding waarop vervolgens een SSL verbinding loopt naar de rabobank en waar alleen tokens over verstuurd worden.
Mocht het al voorkomen dat de man in the middle attack succesvol verloopt, kan hij alleen je data inzien, mutaties zijn uitgesloten. Maar goed het inzien zal ook absoluut onmogelijk zijn gezien de al aanwezige beveiligingen.

En je netwerk verkeer monitoren. Geen idee wat je daar denkt te zien, maar het gaat hierom een SSL verbinding, ken jij de ip nummers van de rabo uit je hoofd, mocht daar al wat in mis gaan, dan zou je het niets eens zien. En als je het dan ziet ben je al te laat.

Sorry, het is niet bedoeld als rant, een beetje opletten is goed, maar dit is echt paranoia!

Overigens ben ik absoluut tegen biometrische verificatie. Die technieken zijn lang nog niet goed genoeg, maar veel belangrijker is dat als die data eenmaal gestolen is (vingerafdrukken laat je overal achter, en 'skimmen' op een iris scanner kan ook gewoon) kan je daar dus nooit meer gebruik van maken.

Certificaten, pincodes, wachtwoorden etc zijn allemaal vervangbaar indien blootgesteld, maar biometrische gegevens zijn dat niet.
Biometrische gegevens moet je ook niet gebruiken als vervanging van een password maar als vervanging van de username. Je username veranderd nooit. Enige nadeel, meerdere accounts op 1 system hebben wordt lastig (user en admin account)

Iets wat je bent (vingerafdruk)
Iets waat je weet (password)
Iets wat je hebt (token)
Enige nadeel, meerdere accounts op 1 system hebben wordt lastig
Je hebt 10 vingers.
"Even een nieuw programma installeren, dat was de linkerringvinger toch?"
Dat is het punt niet. Het gaat erom dat er uiteindelijk een punt moet zijn waarbij de machine (raboreader=tokengenerator, webserver, etc) een mens moet authenticeren. En dat kan op 3 manieren (of een combinatie van deze 3 manieren).

- De gebruiker weet iets (wachtwoord)
- De gebruiker heeft iets (smartcard)
- De gebruiker heeft een eigenschap (vingerafdruk, stem, iris)

De raboreader gebruikt een combinatie van de eerste (pincode) en tweede (bankpas) om de gebruiker te authenticeren en geeft een token. Dit token wordt dan gebruikt door de webserver (ook voor authenticatie, maar indirecte authenticatie).

Een certificaat is een voorbeeld van iets hebben, een getekend certificaat namelijk. Maar voordat je zo'n certificaat blootgeeft moet je je als mens nog altijd authenticeren om toegang te krijgen tot je certificaat. Wat mij het meest voor de hand liggend lijkt op dit moment is een usb stick met vingerafdruk.

Wat betreft digid, daar hebben ze nog altijd een wachtwoord, gsm dient als tweede authenticatiemethode. Bovendien, je wil niet de toegang kwijtraken tot ALLE sites als je sim geblokkeerd is of als je je telefoon kwijtraakt. Dan heb je daar gelijk je Denial Of Service aanval te pakken. Leg het telefoonverkeer plat en ligt opeens een hoop meer communicatie plat (email, bank, etc).

[Reactie gewijzigd door Data-base op 3 februari 2010 18:35]

Maar voordat je zo'n certificaat blootgeeft moet je je als mens nog altijd authenticeren om toegang te krijgen tot je certificaat.
Dat werkt behoorlijk anders. Een certificaat is een set eigenschappen (naam, woonplaats, email adres,...) en een public key. Dit samenstel wordt getekend door een Certification Authority (CA) om de echtheid te garanderen. Voorbeelden van CA's zijn Verisign en Thawte.

Om te bewijzen dat je de eigenaar van het certificaat bent heb je de private key nodig, en het is die private key die door de pincode/passphrase van de smartcard beschermd wordt.

Degene die jouw identiteit wil vaststellen stuurt jou een stukje random data dat hij heeft versleuteld met de public key uit je certificaat. Als je dat succesvol weet te ontsleutelen (waar de private key voor nodig is) dan ben je kennelijk de eigenaar want je hebt toegang tot de private key (voor de puristen, dit is een sterk versimpelde weergave).

Je certificaat kun je dus gewoon aan iedereen geven, dat is zelfs de bedoeling.
Dit soort voorstellen krijg je dus als mensen die niet gehinderd worden door enige vorm van kennis voorstellen gaan doen
@XiniX88
Ik heb wel een DigID en geen gsm/mobieltje. En nu.? Waarom zou ik een mobieltje moeten hebben om belastingaangifte te doen ?

Ik vraag trouwens jaarlijks een nieuwe ID aan en gebruik m alleen voor de belasting.
Nog eenvoudiger. Niet eens de stick nodig, alleen dat certificaat. Single point of failure is een zeer aanlokkelijk iets voor hackers. Zie ook OV kaart.
Kom op zeg, wat is dit? Tot nu toe is elke vorm van beveiliging gekraakt, dit gaat het niet moeilijker maken.

dat is een kul argument, jij zet tijdens jouw vakantie ook niet alle deuren wagenwijd open omdat elke vorm van beveiliging al gekraakt is
Waar ik meer mee zit (Frankrijk kennende met zijn internet wetten) er moet zeker wel een achterdeurtje ingeprogrammeerd worden door degene die de boel gaat ontwerpen cq maken zodat de Franse regering ten aller tijden in je spullen kan snuffelen als ze het nodig of niet nodig vinden :(
Dit zou niet mogen, want dat is een inbreuk op de grondwet...
Maarja, het gebeurt vaak genoeg (geheime dienst), uiteindelijk kun je zoiets toch niet tegenhouden denk ik...
er moet zeker wel een achterdeurtje ingeprogrammeerd worden
Ik ben eerder bang dat het voor fabrikanten verplicht wordt om de overheid een kopietje te geven van alle sleutels. Zoiets heeft de VS in '93 ook geprobeerd met de Clipper chip. De overheid kan immers eenvoudig produceren / importeren verbieden aan fabrikanten die daar niet aan mee (willen) werken. Welkom in 1984... :(
offtopic:
> Frankrijk kennende met zijn internet wetten
Toen ik "Franse overheid wil einde aan wachtwoorden op internet" las was ik al even bang dat ze het gebruik van wachtwoorden wilden verbieden. Niet dat het echte voorstel zo heel veel beter is.
Zelfs als zo een systeem er zou komen dan zal het wss nooit wettelijk verplicht worden. Hier in BelgiŽ zou het systeem perfect te realiseren zijn met behulp van de eID bijvoorbeeld.
Is niet mogelijk. Omdat niet elke belgische inwoner een eID heeft. Buitenlanders zijn bijvoorbeeld niet verplicht er een te nemen.
Ik denk dat ondertussen elke Belgische inwoner al wel een eID heeft. Ten laatste in 2009 moest elke Belg ouder dan 12 jaar er 1 hebben. Ondertussen zijn ze ook bezig met het invoeren van de Kids-ID, waardoor uiteindelijk elke Belg een soort van eID gaat hebben.
Voor de niet Belgen zijn ze ondertussen ook bezig met het invoeren van de vreemdelingenkaarten.
Voor meer info: http://eid.belgium.be/nl/Welke_kaarten_/

Als de rest van Europa zou willen meegaan met dit initiatief, is dit perfect realiseerbaar en veel veiliger dan username/password invullen of een usb stick in de pc te steken.

[Reactie gewijzigd door Mortis__Rigor op 4 februari 2010 11:43]

Helaas, i'm living proof. Ik heb bewust geen electronische aangevraagd ook al werd dit nogal manisch aangedrongen. Ik heb dus nog altijd enkel een verblijfsvergunning.
Een verblijfsvergunning kan dan ook afgenomen worden. Belgisch staatsburgerschap niet. Jij bent geen Belg. Als je echt Belg wil zijn, moet je een elektronische identiteitskaart.

Zonder ben je een buitenlander die in BelgiŽ mag verblijven en BelgiŽ ook uitgezet kan worden.
Niet helemaal waar.

Ik ben zelf ook een Nederlander die al diverse jaren in Belgie woont. En als Nederlander heb ik net zoals ieder andere EU onderdaan vrij vestigingsrecht in alle landen van de EU.

Dit houdt in dat ik in Belgie kan wonen zonder dat ik expliciet een verblijfsvergunning hoef aan te vragen. Als EU onderdaan heb ik deze vergunning impliciet.

Het enige wat ik verplicht ben aan te vragen is een identiteitskaart voor een EU onderdaan, die woonachtig is te Belgie. Althans, dat was de omschrijving op mijn vorige ID kaart. De nieuwe (een elektronische overigens, heb ik sinds afgelopen September) heet trouwens "Document ter staving van duurzaam verblijf". Maar dit is dus nog al degelijk een ID kaart en geen verblijfsvergunning.
Eerlijk gezegd moest ik eerst naar de datum kijken of het misschien een 1 April grap is
Is er iets mis met de Airbus vliegtuigen dan? Zijn zowat de veiligste commerciŽle vliegtuigen ter wereld. [bron met average fatalities per aircraft]
Ondanks dat de Airbus grotendeels in Toulouse wordt geassembleerd (lees: aan elkaar gelijmd) worden de onderdelen elders is Europa geproduceerd. Daarbij doelde ik natuurlijk op de Concorde ;)
De concorde is inderdaad debatable :-)
Voor toen nochtans wel een prachtig staaltje technologie.
Identiteitsfraude wordt hierdoor toch juist makkelijker? Je maakt ťťn goeduitziende phising-website en je hebt gegevens van onzettend veel mensen om direct hun gehele rekening te plunderen..
Dit kan je vast wel zo maken dat je met een fishing website er niet komt.

Het erge van dit is niet dat je identiteit wordt gejat maar het feit dat je straks niet meer anoniem over internet kunt!

Ergo geen vrijheid van meningsuiting of democratie etc...
Dat was ook meteen het eerste waar ik aan dacht. Maar tot nu toe lijkt het alleen bedoeld om diensten makkelijker te maken waar anonimiteit niet de prioriteit heeft, zoals bankzaken. Daar zou het inderdaad voor meer gemak kunnen zorgen. Alleen als het verplicht wordt gesteld voor alle sites (forums e.d.) is er iets goed mis, en eerlijk gezegd zie ik die Fransen er nog toe in staat ook om het te proberen.

[Reactie gewijzigd door Bonez0r op 4 februari 2010 00:45]

Lekker veilig. Moet je altijd je USB stick bij je hebben met je certificaat, dat is handig. En als je stick gejat wordt? Oh, je kan natuurlijk je stick beveiligen met een wachtwoord 8)7 !
En om dat overbodig te maken, doen we gewoon een tweede certificaat-stick :+
Aan de ene kant denk ik van JA dat heeft toekomst, maar is het wel zo gebruikersvriendelijk voor wat 'oudere' en niet technische mensen..
Het is complete onzin om te gaan verwachte dat mensen die grote problemen hebben om te gaan met een digitaal medium... wťl dit moeten kunnen gebruiken om allerhande zaken met een hoog risico te gaan afhandelen.
Ook niet als je ze daarvoor 'nůg een extra apparaatje' geeft, dat hen moet 'helpen'.

Dat die mensen daarvoor gewoon een ouderwets 'loket' hebben is veiliger voor die mensen en dat moet je niet veranderen...

Het probleem is echter vaak dat grote commerciele instellingen of zelfs de overheid zelf graag denkt geld te kunnen besparen en door hun diensten in zn geheel om te zetten naar Internet of 'digitale loketten', en ze ook mensen kunnen gaan dwingen dit te gebruiken, die er gewoon slecht mee kunnen omgaan.

Het 'probleem' is dan echter eerder die 'bespaar-houding bij grote bedrijven of instellingen, en niet de 'natuurlijke moeite die bepaalde bevolkingsgroepen hebben met computers of digitale toepassingen...
Lat zulke bedrijven wat meer de 'loket-functionaliteit' in ere houden en iig moeite doien die minstens beschikbaar te houden.

[Reactie gewijzigd door RM-rf op 3 februari 2010 18:08]

1 2 3 ... 9

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True