9-11-2017, 16:08 door Anoniem: Door Bitwiper: 8-11-2017, 07:00 door Anoniem: Een fraudeur moet dus én inloggegevens bemachtigen, én een identitetsbewijs scannen, én een brief onderscheppen.
Brievenbushengelen zou, in veel gevallen, wel eens de makkelijkste aanvalstechniek in dit rijtje kunnen zijn
Het punt is dat elke handeling de kans op succes verkleint
In dit kader vind ik "kans" een rotwoord: die is namelijk 100% als de identiteit van minstens 1 Nederlander gespoofd wordt - gebruikmakend van genoemde 3 factoren. Je bedoelt, neem ik aan, dat het voor een aanvaller
lastiger is om aan alle drie de voorwaarden te voldoen.
9-11-2017, 16:08 door Anoniem: en de pakkans vergroot.
a) Ik vermoed dat veel criminelen stom zijn en de pakkans verwaarlozen (vooral inkomsten en moeilijkheidsgraad afwegen), terwijl sluwere criminelen hun uiterste best zullen doen om "bewijs" achter te laten dat het slachtoffer de dader is (zie volgende punt);
b) Als de politie (net als jij) denkt dat de "kans op succes" voor een crimineel
klein is vanwege de
aanname dat door al die factoren (en hetgene gesteld wordt in
https://www.digid.nl/nl/vraag-en-antwoord/is-de-app-veilig/), identiteitsfraude in de praktijk ondenkbaar is, zal als eerste en vooral
het slachtoffer ervan worden verdacht de zaak te hebben geënsceneerd, en neemt de pakkans voor
de dader dus juist af.
9-11-2017, 16:08 door Anoniem: Beveiligingsmaatregelen voegen niet pas wat toe als ze 100% effectief zijn
In de basis heb je gelijk (sterker, ik betwijfel of 100% effectieve maatregelen bestaan). Mijn zorg is echter dat een
additionele halve maatregel, naast bestaande halve maatregelen (zie de samenvatting onderaan deze bijdrage) een veel grotere betrouwbaarheid suggereren dan zij werkelijk opleveren. En dat is in het nadeel van die burgers die hier het kwetsbaarst voor zijn.
9-11-2017, 16:08 door Anoniem: de logische conclusie is niet dat ze hun beveiliging zo slecht mogelijk voor elkaar hebben en ons zoveel mogelijk proberen te naaien (daar ontbreekt helaas informatie), wel dat hun communicatie een heel stuk beter kan, maar weer niet dat dat uit kwaadaardigheid is.
Met alle respect, maar dat is
jouw conclusie. Ik denk niet dat Logius ofwel naïef is, ofwel de risico's voor ons burgers
wel inziet, maar de oplossing mooier voorspiegelt dan zij is omdat anders de acceptatie tegen zou kunnen vallen. Is Logius kwaadaardig als zij identiteitsfraude in bijvoorbeeld 1% van de gevallen acceptabel vindt, en op basis daarvan de checks voldoende vindt, maar dat niet publiceert?
Uit
https://opgelicht.avrotros.nl/nieuws/item/5643/:
18-02-2014, door Opgelicht?!: [...]
In 2015 moet er een veiligere opvolger van het DigiD komen.
Het is nu eind 2017, de overheid en marktpartijen digitaliseren hun communicatie met burgers in rap tempo, maar de bedoelde "veiliger opvolger" van DigiD is nog niet eens in zicht.
Dus heeft Logius de opdracht gekregen om DigiD veiliger te maken. Dit in een wereld waarin iedereen -ook mensen die in phishing trappen- steeds meer gedwongen wordt gebruik te maken van DigiD, smartphones en PC hardware/software steeds meer lekken lijken te vertonen, beveiligingssoftware kansloos is tegen verse malware, cybercrime welig tiert en gebruiksgemak door bijna iedereen belangrijker gevonden wordt dan security.
In die context wordt een identiteitsbewijs, waarvan het gebruikelijk is dat we dit tijdelijk uit handen geven zodat onze identiteit kan worden gecontroleerd (o.a. via de pasfoto), ingezet voor multi-factor authenticatie. Echter op een manier waarbij mijn haren overeind gaan staan:
1) Er vindt
geen enkele controle plaats of degene die het identiteitsbewijs tegen een smartphone aanhoudt, dezelfde persoon is als op de pasfoto;
2) Deze check is
éénmalig (de app onthoudt dat het de chip "gezien" heeft, vergelijkbaar met een "kopietje paspoort").
Het risico van deze halve maatregel is dat bijv. uitkeringsinstanties ervan overtuigd zijn dat jij jij bent (B) omdat een identiteitsbewijs in het spel is, terwijl
jij identiteitsfraude daarmee moeilijk of niet kunt aantonen (E). De gedrevenheid waarmee jij en andere reageerders aanvoeren dat DigiD en de DigiD app veilig zouden zijn, sterkt mij alleen maar in mijn gedachte dat uitkeringsinstanties en de politie ook zo denken, en je dus kansloos bent als er met jouw DigiD wordt gefraudeerd.
SamenvattingHet probleem wat ik ermee heb is dat zowel de inloggegevens verkrijgen als de brief onderscheppen
aantoonbaar zwakke factoren zijn, want er zijn meerdere gevallen van misbruik gepubliceerd. Daar wordt nu
een derde factor aan toegevoegd die
ook aantoonbaar zwak is: een aanvaller hoeft een paspoort slechts in handen te hebben gehad.
Als je reageert op deze bijdrage, graag op z'n minst uitleggen met welk deel van deze samenvatting je het niet eens bent, anders blijven we in kringetjes draaien.