Door Erik van Straten: 30-11-2014, 03:54 door Anoniem: Gewoon met je DigiD account unieke codes aanmaken voor iedere dienst waarbij je je moet identificeren.
Hoe meer diensten er aan een DigiD gekoppeld worden, hoe interessanter het voor criminelen wordt om accounts te kapen. En, hoe meer websites er komen die je via DigiD laten authenticeren, hoe groter de kans dat er sites bij zitten die gekaapt kunnen worden. Waarmee de DigiD credentials van gebruikers kunnen worden ontvreemd, al dan niet via social engineering (
http://i.imgur.com/IALiSn7.png).
Dat is juist de reden dat ik vierkant tegen een (verplichte) digitale ID ben. 2 factor authenticatie (SMS) is daarbij niet veel meer dan een lapmiddel, me dunkt.
Toegegeven, het is een Salomonsoordeel:
Aan de ene kant staan veiligheid en traceerbaarheid hand in hand, aan de andere kant staan privacy (en dus veiligheid!) en persoonlijke vrijheid.
Ik ben persoonlijk dan ook van mening, dat een digitale identificatie nooit dezelfde waarde zou mogen hebben, als een fysiek ID-bewijs.
Dat neemt natuurlijk niet weg dat een fysiek ID-bewijs net zo goed (wellicht makkelijker zelfs) vervalst kan worden.
Echter, een vervalst paspoort is relatief makkelijk forensisch te onderzoeken, waar een digitale ID-vervalsing, mits uitgevoerd door een 'professional,' zo goed als ontraceerbaar is, vooral vanwege het gebrek aan locatie-gegevens (proxy).
Het gevolg is, zoals je indirect zelf al aangaf, dat de Burger (lees: "het slachtoffer"), vrijwel onmogelijk digitaal misbruik kan aantonen, tegenover het gemak waarmee onschuld t.a.v. fysiek ID-misbruik te bewijzen valt.
Ik kan namelijk niet op 2 plaatsen tegelijk aanwezig zijn (werk en Gemeentehuis bijvoorbeeld), waar ik vanaf iedere locatie, op ieder moment, wel zou kunnen inloggen via DigiD. Mocht de overheid een systeem willen invoeren waarbij fysieke locatiegegevens automatisch worden gekoppeld aan het gebruik van een digitale ID, is het hek van de dam natuurlijk, buiten het feit dat dat technisch niet haalbaar is (proxy).
Over vangnet gesproken... :(
Door Erik van Straten: 01-12-2014, 11:27 door Mij: Ik ben veel in Noorwegen geweest en heb afgelopen zomer toevallig 10 dagen doorgebracht in Letland voor m'n job. Ik kan dus uit ervaring zeggen dat de situatie daar in niets te vergelijken is met de situatie in Nederland. [...]
Interessante vergelijking! Qua inkomen zal de gemiddelde Noor wellicht boven de gemiddelde Nederlander zitten, maar er zijn zoveel meer Nederlanders dat onze "markt" vermoedelijk veel interessanter is voor cybercriminelen.
Merci, maar de situatie in andere landen is maar zeer beperkt relevant tot die in Nederland.
Als er één staat is, waar wij een voorbeeld aan zouden kunnen nemen, is het Duitsland. En laat het nu net de gemiddelde Duitser zijn, die extreem wantrouwig staat tegenover inmenging vanuit de overheid.
De reden daarvoor mag duidelijk zijn, daarom ben ik ook zo teleurgesteld in ons collectieve geheugen :(
Door Erik van Straten: 01-12-2014, 11:27 door Mij: En wat betreft je insteek m.b.t. MitM (op bijv WiFi); VOORLICHTING!!!
De vraag is hoe. Met een filmpje kom je er niet (vooral niet als je de getoonde MitM software bestaat uit vallende groene letters en cijfers). Mijn ervaring is dat mensen niet geloven dat het zo eenvoudig is, totdat je laat zien dat je
hun eigen data voorbij ziet komen.
Nb. de meeste mensen denken dat je phishing mails herkent aan spelfouten, dat het afzenderafdres in e-mail niet of moeilijk te vervalsen is, en dat je PC pas besmet kan raken als je een echt foute website bezoekt -
pas nadat je ergens op klikt. Er is nog veel werk te doen.
Helemaal mee eens, daarom hamer ik ook zo op voorlichting.
De vraag is of iedere digibeet een ICT'er moet worden, of dat de techniek afgestemd moet gaan worden op de minder ICT-goden. Dat de overheid zelf voor iedere onbenulligheid een aap de wereld in knalt, draagt, mijns inziens, niet bepaald bij aan het kennisniveau van de gemiddelde gebruiker.
Vanuit dat oogpunt vind ik dan ook dat, in den beginne, de Staat aansprakelijk moet worden gehouden bij ID-fraude.
Zij ontwerpen het systeem, en pas als bewezen (rechtszaak dus) is, dat een gebruiker nalatig is geweest, zou deze zelf op moeten draaien voor de schade die is ontstaan door de fraude.
Hetzelfde geldt, naar mijn mening, voor de beheerders van gekraakte DB's.
Natuurlijk is insluipen, inbraak, diefstal en misbruik fout (strafbaar), maar het niet op orde hebben van je eigen zaakjes is minimaal net zo erg. In de huidige situatie is de beheerder zeer lastig aan te klagen wegens nalatigheid, vooral omdat het, in de praktijk, voor een Burger / slachtoffer onmogelijk is, om solide bewijs te verzamelen.
Dat een gemiddelde Rechter weinig weet heeft van ICT, draagt ook niet echt bij aan de essentie van de "sociale Rechtstaat."
Ik zie ook wel in, dat mijn voorstel rechtstreeks ingaat tegen het Rechtsbeginsel dat iemand onschuldig is, tot het tegendeel bewezen is. Daar staat tegenover dat datzelfde beginsel, nu ook niet van toepassing is op de Burger die slachtoffer wordt van fraude, of het nu gaat om banking-trojans of digitale ID-fraude.
Aangezien een beherende organisatie over veel meer middelen beschikt dan een gemiddelde Burger, lijkt het mij niet meer dan redelijk & billijk, om een dusdanige wijziging door te voeren.
Door Erik van Straten: 01-12-2014, 14:22 door Anoniem: Goed stuk. Het bericht heeft zeker merites, maar je preekt voor de verkeerde doelgroep op security.nl.
Politici en andere beleidsmakers laten zich zelden door eenlingen overtuigen (we moeten dit samen doen dus), en bovendien doe ik nogal boude uitspraken die ik graag door lezers van security.nl getoetst zien worden. Daar leer ik veel van!
+1
Daarbij wil ik toevoegen, dat ik niet denk dat een dergelijk opiniestuk, echt gewaardeerd wordt op een site geenstijl bijvoorbeeld... Ik kan me vergissen natuurlijk :p
NB: "Preken?" Zo komt het, op mij althans, niet over.