Privacy - Wat niemand over je mag weten

Biometrische data als backdoor

06-12-2015, 22:59 door Anoniem, 4 reacties
We lezen steeds meer over de wens van overheden zonder toestemming en eventueel zelfs ongezien toegang te kunnen krijgen tot data van gebruikers.
Onder andere het kunnen ontsleutelen van versleutelde (encrypted) data op je device of data onderweg.
Heet hangijzer is het verplicht moeten kunnen afstaan van je wachtwoord wat op veel tegenstand stuit.

Data discussie gemist

Het vreemde is het volgende, wellicht een achterdeurtje dat anderen allang als mogelijkheid hadden zien openstaan, waaronder niet in de laatste plaats fabrikanten en overheden zelf.
De tech markt beweegt zich al dan niet half op de achtergrond hard richting authenticatie waarbij het gebruiken van wachtwoorden niet meer hoeft.
Biometrische authenticatie mogelijkheden.
Handig toch?

Nou, inderdaad, wel tien keer zo handig.
Op smartphones en tablets is het al mogelijk om in te loggen met 1 van die 10 vingers van je.
Wellicht ben je zelf(s) via je werk al verplicht op deze wijze ergens 'in te loggen'.
Super handig en veilig en vooral heel comfortabel!
Maar voor wie?
Alleen voor jou?

Heel comfortabel, behalve als anderen ook over jouw vingerafdrukken kunnen beschikken.
Daar is dan ook wel discussie over, met af en toe een opmerkelijke hack-presentatie.
Discussie over allerlei listige en ludieke manieren om aan vingerafdrukken te komen en deze om te zetten naar werkende 'inlog-rubbertjes' met geslaagde resultaten tot gevolg.
Met vrolijke fascinatie kunnen we er nog naar kijken en erom lachen.

Het vreemde, wat me verbaast is het volgende.
Het gebrek aan evenzoveel discussie rondom een toepassing die ook heel denkbaar en vooral dichtbij is.
In stapjes daarnaartoe :

1) Wanneer een overheid beschikt over vingerafdrukken van burgers.
2) En burgers steeds meer vingerafdrukken gebruiken om in te loggen.
Omdat de industrie ze onvermijdelijk die richting dwingt in te slaan door haar steeds meer van producten met biometrische authenticatie mogelijkheid te voorzien.
3) Is het dan niet een heel logisch idee dat een overheid op enig moment die biometrische data ook gaat toepassen uit een zelfbepaald eigenbelang?
Om in te loggen opdat zij bij jouw privé data kunnen?


Zijn biometrische authentiecatiedata dan eigenlijk niet de backdoor van de toekomst?
Wie die hoogst denkbare persoonsdata van burgers heeft heeft zal toegang hebben tot datgene wat nou juist alleen aan jou voorbehouden was, tenminste dat is het idee waarmee biometrische authenticatie aan de man wordt gebracht en de reden waarom jij het misschien ook gaat gebruiken.

Hoe doe jij dat nou (niet) ?

a) Ben jij bereid je vingerafdrukken af te staan omdat je op vakantie wil of voor zaken op reis moet?

Welke landen mogen die data dan wel hebben en welke niet?
Weet je wel zeker dat die data dan bij dat land blijven?
Wordt je verteld hoe secure er met die gegevens worden omgegaan?


b) Gebruik jij als je die persoonlijke data hebt afgestaan desondanks tegelijkertijd toch ook nog jouw vingertoppen om in te loggen om bij data te kunnen die je wilde beschermen?

Concreet, als je je vingerafdrukken verplicht hebt afgegeven, blijf je dan inloggen met je vingertje, een ander vingertje (als die op zijn een teen naar keuze) of stap je toch weer over naar het oude vertrouwde wel veranderbare password?
Hoe moet dat met een scan van je iris? Daar heb je er maar twee van (als het meezit).


Als privacy je wat waard is lijkt het me dat je niet alleen probeert te voorkomen dat anderen aan jouw biometrische data komen maar als dat niet meer haalbaar is dan toch zeker niet data probeert te beschermen met biometrische data.

Biometrie als opmaat voor een brede overheidsbackdoor?

Het was 'maar' een (verlate) gedachte naar aanleiding van een bericht over gewenste biometrische controle op zekere reisbestemmingen en ik alsnog op het forum wilde delen:
Biometrische data zijn/lijken de perfecte gewenste toekomstige backdoor tot datatoegang voor iedereen die jou kan dwingen je biometrische data als bijvoorbeeld vingerafdrukken af te staan.

Iets dat je wel of niet moet willen, maar vooral eerst moet voorzien om tijdig een afgewogen keuze te maken bij het gebruik van biometrische authenticatie.
Opdat je de juiste beslissing neem op het moment dat je er op andere wijze mee overvallen wordt.
Een moment dat zoals het er naar uitziet vast van gaat komen.
Jij wil immers graag op vakantie en anderen willen immers graag jouw onvervangbare data.

Dag met de handjes?
Zeg het maar..
Reacties (4)
09-12-2015, 22:48 door Anoniem
Nav bericht
https://www.security.nl/posting/452818/VS+wil+biometrische+controles+op+Schiphol+uitvoeren

Later gevonden bevestiging van het principe als idee voor een werkbare praktijk
http://www.nu.nl/gadgets/3917241/politie-vs-mag-vingerafdruk-gebruiken-ontgrendelen-smartphone.html
(eerst met een 'relevant excuus, de meer discutabele uitbreiding komt altijd later)

Ts
03-12-2016, 19:10 door Anoniem
04-12-2016, 09:05 door karma4
Biometrie in zijn ultieme eindsituatie van detectie meting en betrouwbaarheid is enkel het bewijs dat je de persoon bent die je beweert te zijn. Daarmee is identiteitsdiefstal uitgesloten. Het is niet meer en minder dan dat.

Security met data moet je op een ander gezichtsveld andere dimensie inzoomen. Als we weten wie je bent mag je nog niet zo maar alles gaan uitvoeren wat je zou kunnen. Daar kunnen veel meer beperkende voorwaarden aan vast zitten.
Een procesmatige zoals dat meerdere personen moeten tekenen.
Een tijdsafhankelijke zoals dat het alleen op bepaalde tijdstippen geopend is.
Een locatiefafhankelijke alleen op een bepaalde plek
Een extra factor met iets weten of bezitten.

Heel basic voor security en toegang die je ook in de fysieke wereld terug vind.
Er is niet alleen een voordeur en achterdeur maar ook een kamer kast en kluis die dicht kunnen. De toilet alleen van binnen uit. Niet elke deur heeft de zelfde vereiste beveiligingsklasse.

Ook heel handig in de fysieke wereld de herkenning wie je bent en dat daarmee poortjes open gaan. Je moet er toch niet aan denken dat iedere fouilleren bij zo'n dagbegin hoort.

Komt altijd weer uit op risico/impact. Een vingerscan op een gedeeld administratief apparaat (geen tijdsverlies) bijvoorbeeld in de medisch wereld lijkt me veel beter dan een gedeeld account met de sticker daarvoor op de terminal.
Voor het werk is de data van het bedrijf niet van jou persoonlijk, daar maakt het minder uit.

Ben je tegen het oppakken van criminelen omdat die er eenvoudig uitgehaald kunnen worden? Ja daar kan ik me iets bij voorstellen want het is te koppelen aan het verfoeide sleepnet data vergaren. Anderzijds is dat bij vliegen wel prettig dat het gebeurt. Zo'n ding is nogal kwetsbaar en sommigen zijn er op uit om alleen maar schade te berokkenen.
04-12-2016, 17:03 door Anoniem
mja , een wachtwoord kan je nog veranderen als het fout gaat .
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.