image

Schneier: Technologie kan identiteitsdiefstal niet oplossen

donderdag 15 januari 2009, 12:12 door Redactie, 2 reacties

Het imiteren van mensen is al zou oud als de weg naar Rome. De hackers die wisten in te breken op het Twitter account van Barack Obama deden dan ook niks nieuws, aldus beveiligingsgoeroe Bruce Schneier. Voor mensen is het vanwege drie redenen lastig om imitatie te herkennen. Als eerste moeten we de identiteit van mensen verifieren die we niet kennen, communiceren we met mensen via beperkte kanalen zoals de telefoon en het internet, en willen we dat geautomatiseerde systemen de verificatie voor ons doen.

Het misleiden van mensen via imitatie is eenvoudig, omdat we dagelijks met mensen in contact komen die we niet kennen. "Niemand kan je broer, je beste vriend of je baas imiteren. Maar hoe zit het met een politieagent of parkeerwachter?" gaat Schneier verder. Hij merkt op dat dit gewoon iemand in uniform is en dat helpt alleen als je ze kunt verifieren. "Weet jij hoe een politie ID eruit ziet? Of ken je het verschil tussen de echte of vervalste badge van een reparateur?"

Vertrouwen
Toch vertrouwen mensen uniformen, ook al weten we dat iedereen er eentje kan dragen. In het geval van websites kijkt men naar het uiterlijk, terwijl iedereen een website kan kopiëren. De meeste mensen controleren niet eens de pasjes en identiteitspapieren die ze getoond worden. Het internet en de telefoon maken het imiteren van mensen alleen maar eenvoudiger. Want hoe weet je dat degene die je belt bij je creditcardmaatschappij werkt en niet je gegevens probeert te stelen.

Vandaag de dag zijn het voornamelijk computers die de verificatie doen, met alle gevolgen van dien. Scanners zijn met foto's en plakbandjes te misleiden en wat te denken van valse kentekens. "Daarom is identiteitsdiefstal zo'n groot probleem. Veel van de authenticatie vindt plaats online en met een beperkte hoeveelheid informatie: gebruikers ID, wachtwoord, geboortedata en social security nummer, etc. Iedereen die die informatie bemachtigd, kan zich bij een computer voor jou uitgeven, aangezien de machine gewoon niet beter weet."

Balans
Toch noemt Schneier het gebrek aan perfectie prima. "Security is een afweging, een goed ontworpen authenticatie systeem is een balans tussen veiligheid, gebruiksgemak, acceptatie door gebruikers, kosten, etc." Daarbij geeft hij wel de voorkeur aan gedecentraliseerde authenticatie systemen. Veel mensen vinden alle pasjes in hun portemonnee vervelend. Dit is veel veiliger dan een enkele, gecentraliseerde identiteitskaart, aangezien elk systeem apart gehackt moet worden. "Dat is een van de redenen waarom een gecentraliseerd systeem zoals REAL-ID ons minder veilig maakt."

Tot besluit beschikt een goed authenticatie systeem over "defense in depth", meerdere lagen en andere beveiligingsmaatregelen die misbruik voorkomen als de authenticatie faalt. Daarom zijn bedrijfsgegevens niet beschikbaar voor mensen die zich bij een bedrijf naar binnen weten te bluffen, maar is het ook de reden waarom identiteitsdiefstal niet wordt opgelost door het lastiger te maken om persoonlijke informatie te stelen. "We kunnen het risico van imitatie beperken, maar het zal altijd aanwezig zijn; en technologie kan dat in absolute zin niet oplossen. Zoals met alle security moet je de de afwegingen balanceren. Te weinig security en criminelen plunderen je rekening, te veel en je gelooft het niet als Barack Obama je belt om je met je herverkiezing te feliciteren."

Reacties (2)
15-01-2009, 12:35 door [Account Verwijderd]
[Verwijderd]
16-01-2009, 11:31 door Anoniem
Fantastisch, dat artikeltje over Barack Obama. Normaal zeg je, "if it sounds too good to be true, it probably is...". Maar zelfs daar kun je dus mis zitten...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.