Franse overheid gaat wachtwoorden afschaffen
De Franse Staatssecretaris van Ontwikkeling van de digitale economie heeft vandaag het einde van wachtwoorden op het internet beloofd. Het plan van Nathalie Kosciusko-Morizet bestaat uit het verstrekken van digitale certificaten, waarmee gebruikers hun identiteit bij online diensten kunnen bewijzen. De diensten moeten dan wel met het plan van Kosciusko-Morizet meewerken.
Inmiddels zouden al twintig organisaties zich hebben aangemeld om een technologisch prototype te ontwerpen en ontwikkelen. Als alles meezit kunnen gebruikers zich volgend jaar al via de certificaten identificeren. Onder andere de Franse Vereniging van Banken en Verbond van Verzekeraars doen mee. Het gaat met name om gevoelige online diensten, zoals internetbankieren. Via een digitaal certificaat is het mogelijk om een lening af te sluiten, aankopen te doen, maar ook kinderbijslag aan te vragen. Kosciusko-Morizet voorziet zelfs de geboorte van een nieuw soort sociaal netwerk, gebaseerd op echte identiteiten.
Aantrekkingskracht
De technologie achter het plan is nog in ontwikkeling. "Maar ik hoop dat beveiliging centraal staat", zegt Rik Ferguson van Trend Micro. "Een enkele manier om de identiteit van tientallen miljoen individuen te bewijzen, met ernstige financiële gevolgen, zal een sterke aantrekkingskracht op criminelen hebben."
Volgens Ferguson is beveiliging meer dan alleen het controleren van de identiteit. "Het gaat ook om het certificeren van de integriteit." Multi-factor authenticatie kent ook verschillende problemen, zo kan malware het al geruime tijd omzeilen. "Bij de meeste implementaties is het probleem dat slechts één onderdeel van de de transactie wordt geauthenticeerd en dat is de identiteit van de klant."
Malware kan de geauthenticeerde sessie kapen om vervolgens valse opdrachten te versturen en op te vragen. Daarom is het zo belangrijk dat het Franse plan individuele transacties verifieert, in plaats van alleen de gebruiker, zo merkt Ferguson op.
Lijkt me nou niet echt een veilig systeem dit maarja, het zal allemaal toch wel weer door de strot geduwd worden.
Of op zijn minst, dat een certificaat aangevraagd kon worden door een wild vreemde op naam een bekende organisatie.
Dus, hoe veilig zal deze oplossing nu echt zijn?
Nederland is al JAREN bezig met de eNIK. Daarop zouden ook Certs komen.
Zodat die gebruikers nog beter in het oog kunnen gehouden worden? Heeft volgens mij niet veel te maken met wachtwoorden.
En in België elke inwoner een certificaat? Moet je eerst en vooral een eID hebben (krijg je pas van 12 jaar), een eID-lezer (12-jarigen die voor de eerste maal hun eID ontvangen krijgen dat ding in sommige (alle?) gemeenten als cadeau) én je moet toegang hebben tot het internet, software installeren en instellen.Dan heb je als Belg pas een "echt" certificaat... En geloof me, veel ben je er niet mee. Je rijksregister raadplegen, belastingen invullen via TaxWeb, gegevens van je ziekenkas raadplegen, een verhuis aan de gemeente melden via het eLoket, ... zijn volgens mij de belangrijkste dingen. Plus, vooral voor twaalfjarigen, je kan inloggen op bepaalde chatsites waar de leeftijd gecontroleerd wordt. Dat laatste is trouwens lek, want als een pedofiel met de eID van zijn kinderen inlogt, dan zijn die andere kinderen dus wél met een pedo aan het chatten.
Maar toen in de header zag, dacht ik ,sure, net zoals de DE overheid firewalls wil verbieden zodat men overheidsspyware kan instaleren,, uit naam van de staatsveilheid..
Ik hoop het ook maar dat ze niet een jaar gaan ontwikkelen en de eerste de beste digitale crimineel kopieert je certificaat en kan gewoon legaal transacties maken, dat wordt nog leuk. Naar mijn mening wordt dit nog wel teruggedraaid. Een ander element is dat hiermee "GROTE" problemen zoals Man-in-the-Browser niet wordt tegen gehouden, ik hoop dat ze in Frankrijk wel (sterke) Two-Factor authenticatie gebruiken, want anders kunnen ze straks echt hun lol op.
Of op zijn minst, dat een certificaat aangevraagd kon worden door een wild vreemde op naam een bekende organisatie.
Of op zijn minst, dat een certificaat aangevraagd kon worden door een wild vreemde op naam een bekende organisatie.
Ja? Wanneer het gaat om het identificeren van een persoon, dan kan dat alleen met zijn/haar eigen certificaat. Het certificaat van iemand die een bewindvoerder nodig heeft, zou juist alles moeten blokkeren. Zou dit niet zo zijn, dan kan iedereen dat certificaat kopieren (de persoon in kwestie snapt het waarschijnlijk toch niet) en doen alsof ze gemachtigd zijn. Deze machtiging zou echter moeten hangen aan het certificaat van de bevoegde persoon.
Tenzij je computer helemaal up-to-date is gaat dit werken.
En als je software moet installeren?
Wordt die dan wel ondersteund voor Linux, BSD, Mac, etc... of worden ze dan ook verplicht om maar over te stappen op Windows 7 zodat de overheid korting krijgt op de troep van MS.
Het enige wat goed werkt is een combinatie van meerdere lagen van veiligheid zoals we dat nu hebben met DigiID.
Je hebt een gebruikersnaam, wachtwoord en SMS authcode. Dat werkt net zo veilig.
Een certificaat kan hier iets aan toevoegen, maar 'alleen' is gewoon dom en onveilig.
Dat niet alleen, het kan zelfs heel valide zijn als iemand b.v. bewindvoerder is voor iemand anders (b.v. je oude moedertje).
In hoeverre dat ook in de praktijk zal gebeuren? Het impliceert een hele keten van procedures vanaf het moment van toewijzing bewindsvoering, waar b.v. ook banken, zorginstituten, e.d. aan gekoppeld dienen te zijn.
Je id zijn code ofzo, en je wachtwoord ?
Dat is veiliger dan die rommel met die certificaten ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.