Door Anoniem: Door Erik van Straten: Terwijl phishing (nepwebsites) mogelijk het grootse probleem is waar we de afgelopen jaren mee te maken hebben, hoor/lees ik nog steeds niets over het risico op AitM-aanvallen tijdens het authenticeren met EDIW. Bizar. Bizar vind ik het ook, maar heb je een idee van de reden dat de discussie helemaal niet gaat over die risico's? Deels. Betrouwbare authenticatie vereist dat je, als authenticeerder, de verifiërende partij kunt vertrouwen op in elk geval de volgende punten: 1) Dat zij niet méér identificerende of andere vertrouwelijke gegevens vereist dan strikt noodzakelijk; 2) Dat zij identificerende of andere vertrouwelijke gegevens niet langer bewaart dan noodzakelijk, en zeker niet langer dan toegestaan; 3) Dat zij identificerende gegevens onlosmakelijk koppelt aan het identificatiedoel en transactiedatum/tijd, en dat beide klip en klaar zijn voor de authenticeerder; 4) Dat zij zich niet voordoen (nepwebsite) als een andere partij (de echte website) met als ...