Door karma4: Jammer van die Grimes. Zijn ongelijk wordt bewezen door de juridische praktijk waarbij biometrie de enige onderbouwde en geaccepteerde praktijk voor authenticatie is ofwel het bewijs leveren van de juiste persoon. Het vakgebied [ur]https://en.wikipedia.org/wiki/Forensic_identification[/url]. Let op het woord identified wordt gebruikt als het bewijs leveren van de juiste persoon, dat is wat bij de ICT IAM invullen met het woord authenticatie.
Jammer van die karma4. Zijn ongelijk wordt bewezen door de juridische praktijk waarbij biometrische sporen een van de aanwijzingen voor de dader van een misdrijf kunnen zijn waar een rechter rekening mee houdt, wetende dat biometrische sporen op een ander moment dan het misdrijf kunnen zijn aangebracht, door een derde kunnen zijn geplaatst, of kunnen zijn verwisseld. Bovendien houdt een goede rechter rekening met
de kans dat een identificerend gegeven daadwerkelijk toebehoort aan de verdachte.
Uit het artikel dat karma4 aanhaalt,
https://en.wikipedia.org/wiki/Forensic_identification:
Downfalls
The two basic conceptual foundations of forensic identification is that everyone is individualized and unique.[2] This individualization belief was invented by a police records clerk, Alphonse Bertillon, based on the idea that "nature never repeats," originating from the father of social statistics, Lambert Adolphe Jacques Quetelet. The belief was passed down through generations being generally accepted, but it was never scientifically proven.[11] There was a study done intending to show that no two fingerprints were the same, but the results were inconclusive.[12] Many modern forensic and evidentiary scholars collectively agree that individualization to one object, such as a fingerprint, bite mark, handwriting, or ear mark is not possible.
Een stukje uit één van de vele indicaties op Internet dat zelfs DNA-sporen niet altijd geschikt zijn als bewijs,
https://www.nist.gov/news-events/news/2017/10/nist-assess-reliability-forensic-methods-analyzing-dna-mixtures:
Many police agencies now routinely swab doorknobs and other surfaces for touch DNA when investigating property crimes. But if many people have touched those surfaces, the result may be a complex, low-level DNA mixture that is difficult, or impossible, to interpret reliably.
“Some labs won’t do anything with that kind of evidence,” said Butler. “Other labs will go too far in trying to interpret it.”
Als biometrische gegevens de laatste strohalm zijn om iemand achter de tralies te krijgen, is de kans op een rechterlijke dwaling groot. Verklaringen van niet beïnvloede getuigen van een misdrijf zijn vaak een veel betere graadmeter, maar hoe weet je zeker dat die getuigen objectief zijn, niet beïnvloed en geen dingen door elkaar halen?
Net zoals biometrie is rechtspraak zelden een absolute wetenschap, maar -op basis van zoveel mogelijk gegevens- een vermoeden met een zo groot mogelijke kans vaststellen. Immers, je kunt nooit voor 100% uitsluiten dat een verkrachter een condoom heeft gebruikt en daarna het sperma van een ander in de plaats delict heeft achtergelaten, of dat door een fout in een lab samples zijn verwisseld. Hoewel aan de hand van DNA sporen vaak met enorme zekerheid kan worden vastgesteld van wie dat DNA is, betekent niet in alle gevallen dat je dan ook de dader te pakken hebt.
Door karma4: Let op het woord identified wordt gebruikt als het bewijs leveren van de juiste persoon, dat is wat bij de ICT IAM invullen met het woord authenticatie.
Kul. Zowel bij een gevonden vingerafdruk, schoenafdruk of een foto van een auto met een leesbare kentekenplaat, kan het om een vervalsing gaan. Ja, de verdachte heeft die vingerafdruk, die schoenen en dat kenteken, maar dat bewijst niet dat zij de dader is.
Bij authenticatie in de ICT is het, in tegenstelling tot in het strafrecht, meestal (zo niet altijd) in het belang van de betrokkene dat identiteitsfraude wordt uitgesloten (zoals ik in mijn vorige bijdrage beargumenteerde).
Het zal de eigenaar van een webshop een biet zijn of jij bent wie jij zegt dat jij bent, als er maar geen gezeik komt dat jij een rekening niet wilt betalen van een verzonden object waarvan jij zegt dat nooit besteld te hebben. Ook de belastingdienst ligt er vermoedelijk niet wakker van dat ik met de DigiD van mijn moeder haar belastingopgave indien. Zelfs bazen hebben er zelden problemen mee als iemand inlogt op het account van een afwezige collega om het werk doorgang te kunnen laten vinden, zolang er maar geen gedonder van komt.
Dat gedonder komr er wel als een derde, gebruikmakend van jouw rechten en/of privileges, dingen doet in jouw nadeel. En precies zoals Grimes aangeeft, is het enorm lastig om personen bijv. op basis van een vingerafdruk uit elkaar te houden. Als een foute collega weet dat hij, aan de hand van zijn vingerafdruk, wel eens herkend wordt als jou, kan hij daar misbruik van maken.
Het probleem bij biometrische identificatie, in elk geval in de ICT, is dat het zo weinig mogelijk moet kosten. Er worden eenvoudig te foppen sensoren gebruikt en er staat geen dure gewapende man bij die jou neerknalt als jij de boel belazert.
Precies zoals het NCSC adviseert in hun recente uodate van "Gebruik tweefactorauthenticatie:
Wachtwoorden alleen zijn niet altijd voldoende [1]: gebruik niet te raden en niet te brute-forcen wachtwoorden, en omdat je daar maar weinig van kunt onthouden: gebruik een wachtwoordmanager. Alleen voor het geval daar iets grondig mee mis gaat,
kan het zinvol zijn om daarnaast andere authenticatiemethodes in te zetten.
Mijn toevoeging daar aan: maar zorg er dan wel voor dat die tweede factor niet eenvoudig te foppen valt door aanvallers, want dan voegt deze niets toe - integendeel, het slachtoffer moet dan nog meer moeite doen om te bewijzen dat zij het niet was.
WANT OOK HET NCSC VERGEET BIJ ELK VAN DE VOLGENDE FACTOREN::
- iets dat hij weet (een wachtwoord of een pincode);
- iets dat hij heeft (een telefoon of een zogenaamde token);
- iets dat hij is (een biometrisch gegeven).
de essentiële toevoeging:
DAT NIET EENVOUDIG DOOR DERDEN ONTVREEMD, GEKOPIEERD EN INGEZET KAN WORDEN.
[1] zie de factsheet te vinden via
https://www.ncsc.nl/actueel/nieuwsberichten/update-factsheet-gebruik-tweefactorauthenticatie.html