Computerbeveiliging - Hoe je bad guys buiten de deur houdt

OV-chipkaart als toegangsmedium

22-07-2011, 09:30 door roze_olifant, 13 reacties
Kan een bedrijf de persoonlijke OV Chipkaart als Toegangs-pas gaan gebruiken of is dat een inbreuk op de privacy?
Reacties (13)
22-07-2011, 09:49 door Anoniem
Ja dat kan. De OV-Chipkaart heeft een uniek nummer (de UID) die verder niet aan de persoon is gekoppeld, waarmee je toegang kunt geven. Ik zie niet in hoe je hiermee de privacy schaadt van iemand, maar het is natuurlijk niet handig om daarmee al je werknemers te verplichten een persoonlijke ov-chipkaart te kopen. Bovendien kan dit nummer redelijk eenvoudig worden nagemaakt dus daarmee realiseer je bovendien geen goede beveiliging. Dus het het kan maar verstandig is het niet.
22-07-2011, 10:18 door Mysterio
De techniek is te gebruiken, de kaart zou technisch gezien dus gebruikt kunnen worden, maar dit mag niet. Ik kan het zo snel niet terugvinden, maar er zijn regels over welke bedrijven de OV-chipkaart mogen gebruiken.
22-07-2011, 11:30 door Anoniem
"Kan een bedrijf de persoonlijke OV Chipkaart als Toegangs-pas gaan gebruiken of is dat een inbreuk op de privicy?"

Leuk indien een medewerker zijn of haar kaart verliest. Je bent dan als werkgever afhankelijk van derde partijen om ervoor te zorgen dat de medewerker weer het gebouw in kan. Ik hoop toch niet dat er bedrijven zijn die werkelijk dit soort cheapo oplossingen overwegen.

Overigens kan je een medewerker lastig dwingen om een persoonlijke OV-chipkaart aan te schaffen, en tenslotte moet je je ook afvragen of TLS wijzigingen kan doorvoeren op kaarten die impact zouden kunnen hebben op de werking van je access control systeem.
22-07-2011, 13:29 door martijno
Je kunt toch een MIFARE-classic toegangssysteem hebben dat toevallig zo ingesteld is dat dezelfde sleutels gebruikt worden als op de OV-chipkaarten van de medewerkers.
of is dat een inbreuk op de privicy?
Ik denk dat het eerder een inbreuk op de beveiliging van het bedrijf is om je toegangssysteem anno 2011 nog op MF-classic te baseren.
22-07-2011, 14:43 door SirDice
Door Mysterio: De techniek is te gebruiken, de kaart zou technisch gezien dus gebruikt kunnen worden, maar dit mag niet. Ik kan het zo snel niet terugvinden, maar er zijn regels over welke bedrijven de OV-chipkaart mogen gebruiken.
Tenzij ik er overheen gelezen heb staat dat niet in de algemene voorwaarden. Er staat wel dit:
Acceptant: een onderneming die deelneemt aan het OV-chipkaartsysteem en die Producten en Diensten verkoopt en daarbij betaling door middel van de OV-chipkaart accepteert. De website www.ov-chipkaart.nl geeft een actuele lijst van deelnemende ondernemingen.
Bron: http://www.ov-chipkaart.nl/pdf/22246/pdfalgemenevoorwaarden

Wat suggereert dat het wel mogelijk zou moeten zijn. Of dat verstandig is is een andere discussie ;)
22-07-2011, 16:06 door Mysterio
Door SirDice: Wat suggereert dat het wel mogelijk zou moeten zijn. Of dat verstandig is is een andere discussie ;)
Als je zou moeten betalen voor de toegang tot je bedrijf, dan wel ja. De toepassing als toegangskaart, als legitimatie middel, is niet mogelijk aangezien het een betaalkaart is. Voor het gebruik in het OV is het dan ook niet zozeer een bewijs van het hebben van toegang, maar een bewijs van het (kunnen) betalen.

Mocht het bedrijf ik kwestie deze toepassing willen, dan zal dat even met TLS besproken moeten worden. De ruimte in de Algemene Voorwaarden is er om het niet al te moeilijk te maken wanneer andere vervoerders of winkels willen aansluiten (zoals de KIOSK). Technisch gezien is het mogelijk, net als dat je een bankpas zou kunnen gebruiken om een ID aan te koppelen.

Met het oog op de privacy... tja... het zou in theorie mogelijk zijn om de kaart als toegangskaart te gebruiken en die gegevens zouden dan aan je persoonsgegevens gekoppeld kunnen worden. Dan zou men kunnen zien wanneer je in welk gebouw bent geweest. Dat lijkt me niet zo spannend.
22-07-2011, 20:45 door Anoniem
artikel 19 van de algemene voorwaarden stelt:
19. Kaarthouder zal goed zorgdragen voor de OV-chipkaart en zal deze slechts gebruiken in overeenstemming met deze Algemene Voorwaarden en voor het doel waartoe deze is verstrekt.
----
Het doel van de verstrekking van een persoonlijke OV-chipkaart is volgens mij het aantonen van betaling voor vervoer en niet het ontsluiten van toegang tot een bedrijfspand.

Bron: http://www.ov-chipkaart.nl/pdf/22246/pdfalgemenevoorwaarden
23-07-2011, 10:37 door Anoniem
Dat vindt ik niet wenselijk. Je hebt ook in de tijd van sleutels, een verschillende sleutel voor je voordeur en je fiets/auto. Gecombineerd met nog meer persoonlijke (gevoelige?) gegevens moet je dat NIET willen en ook NIET doen. vanuit het perspectief terrorisme werkt het ook niet (en zelfs tegen), hoewel dat er vaak voor misbruikt wordt.
25-07-2011, 13:43 door Mysterio
Door Anoniem: artikel 19 van de algemene voorwaarden stelt:
19. Kaarthouder zal goed zorgdragen voor de OV-chipkaart en zal deze slechts gebruiken in overeenstemming met deze Algemene Voorwaarden en voor het doel waartoe deze is verstrekt.
----
Het doel van de verstrekking van een persoonlijke OV-chipkaart is volgens mij het aantonen van betaling voor vervoer en niet het ontsluiten van toegang tot een bedrijfspand.

Bron: http://www.ov-chipkaart.nl/pdf/22246/pdfalgemenevoorwaarden
Artikel 3.e bouwt extra ruimte in voor andere toepassingen.
25-07-2011, 15:47 door Arno Nimus
Kan een bedrijf de persoonlijke OV Chipkaart als Toegangs-pas gaan gebruiken of is dat een inbreuk op de privacy?
Volgens mij is het technisch gezien mogelijk om dit te doen, mits het gebruikte toegangssysteem overweg kan met de chip die in de OV-chipkaart wordt gebruikt. Als ik dit als bedrijf zou willen aanbieden dan zou ik het strikt optioneel doen. Dus in principe krijg je een toegangspas van het bedrijf, maar als je een OV-chipkaart hebt kun je die ook gebruiken i.p.v. de toegangspas van het bedrijf. (deze lever je dan uiteraard weer in) Ik kan me zo voorstellen dat er werknemers zijn die zullen zeggen: "Ik heb al een OV-chipkaart, waarom dan ook nog een losse toegangspas voor het bedrijfspand?"

Of het de privacy van een medewerker aantast betwijfel ik. Privacyschending vindt niet plaats op de pas zelf. Ook is aan de pas niet te zien of deze ook als toegangspas wordt gebruikt. Privacyschending vindt plaats bij de bedrijven die informatie koppelen aan de kaart, in dit geval (voornamelijk) TLS. Het bedrijf die evt. de OV-chipkaart als toegangspas zou gaan gebruiken kan, normaliter, niet bij de gegevens komen die TLS verzamelt.

Of het echter wenselijk is om zo'n kreupele chip te gebruiken, is natuurlijk een andere. Ik zou er mijn bedrijfsgeheimen in elk geval niet aan willen toevertrouwen.

Verder weet ik ook niet in hoeverre de algemene voorwaarden van TLS dit toelaten. Maar persoonlijk zou me dat aan mijn bips oxideren.
26-07-2011, 10:10 door Anoniem
"Als je zou moeten betalen voor de toegang tot je bedrijf, dan wel ja. De toepassing als toegangskaart, als legitimatie middel, is niet mogelijk aangezien het een betaalkaart is."

Volstrekte onzin. In theorie zou je een toegangscontrole systeem zo op basis van het registratienummer van je OV-chipkaart toegang kunnen laten verlenen. Daarbij kan je het betaalsysteem van de chipkaart volstrekt negeren; je hoeft niet dezelfde software te gebruiken als TLS, en saldo check e.d. kan je dus gewoon achterwege laten.

"Of het echter wenselijk is om zo'n kreupele chip te gebruiken, is natuurlijk een andere. Ik zou er mijn bedrijfsgeheimen in elk geval niet aan willen toevertrouwen."

Wat is het verschil met een niet-OV RFID toegangspas ? Overigens vertrouw je bedrijfsgeheimen niet toe aan RFID chips, maar aan mensen (je medewerkers). Wat dat betreft volg ik je niet helemaal.

"Verder weet ik ook niet in hoeverre de algemene voorwaarden van TLS dit toelaten."

Het lijkt mij niet, en als ze het wel toelaten is het nog steeds een stompzinnig idee. Je wilt niet afhankelijk zijn als bedrijf van passen die door derden worden verstrekt en waar je geen controle over hebt.
26-07-2011, 14:52 door Arno Nimus
Wat is het verschil met een niet-OV RFID toegangspas ?
Niet alle RFID-toegangspassen zijn voorzien van een brakke chip zoals de Mifare Classic. Er zijn passen met een sterkere encryptie die daardoor minder eenvoudig te kraken c.q. kopiëren zijn.

Overigens vertrouw je bedrijfsgeheimen niet toe aan RFID chips, maar aan mensen (je medewerkers). Wat dat betreft volg ik je niet helemaal.
Een toegangspas geeft, zoals de naam het al zegt, toegang tot resources. Dat kan een bedrijfspand zijn, dat kan een computer zijn, dat kan een printer zijn. Als je een pas hebt die eenvoudig na te maken is, is de kans op misbruik dus ook groter. Ongeacht of een pashouder netjes met zijn pas omgaat of niet.

Het lijkt mij niet, en als ze het wel toelaten is het nog steeds een stompzinnig idee. Je wilt niet afhankelijk zijn als bedrijf van passen die door derden worden verstrekt en waar je geen controle over hebt.
Ik zie niet in waarom je, als je het optioneel invoert zoals ik in mijn vorige post heb beschreven, afhankelijk bent van een derde partij.
26-07-2011, 16:18 door Mysterio
Door Anoniem: "Als je zou moeten betalen voor de toegang tot je bedrijf, dan wel ja. De toepassing als toegangskaart, als legitimatie middel, is niet mogelijk aangezien het een betaalkaart is."

Volstrekte onzin. In theorie zou je een toegangscontrole systeem zo op basis van het registratienummer van je OV-chipkaart toegang kunnen laten verlenen. Daarbij kan je het betaalsysteem van de chipkaart volstrekt negeren; je hoeft niet dezelfde software te gebruiken als TLS, en saldo check e.d. kan je dus gewoon achterwege laten.
Dude, dat het technisch mogelijk is is allang de vraag niet meer. Een bedrijf kan dit echter niet zo toepassen omdat dit in strijd is met een aantal regels rondom de OV-chipkaart. Het verschil tussen kunnen en kunnen. Je kan ook vingerafrukken, irisscans, bloedprikken, pinpassen, verzin het maar, technisch gezien gebruiken, maar een bedrijf kan dit niet omdat niet allemaal zomaar mag.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.