Leuk, maar alweer technogefap met als doel dat de bank zich kan beschermen tegen de eigen klant met een "de kaart heeft uw vingerafdruk toch gelezen en de techniek liegt niet dus moet u het gewoon zelf geweest zijn", veel meer dan werkelijke veiligheid voor de klant. Want biometrie is slechts bruikbaar als gebruikersnaam, niet als wachtwoord.

Kletskoek dat biometrie slechts als gebruikersnaam zou kunnen dienen.
Ik ben benieuwd waar je die onzin en fud vandaan hebt gehaald. Het zou toch niet uit een privacy bolwerk vandaan komen?

De hele forensische wetenschap is er met het bewijs dat het de beste aanpak is om vaste te stellen dat het om de juiste persoon gaat (verificatie ofwel authenticatie. Veel beter dan iets wat je weet, uitlenen en even meekijken helpt niet.

Bepaalde vormen van fraude, zoals over de schouder meekijken wanneer iemand een pincode intoetst, kan hiermee worden voorkomen. Bovendien hoef je je pincode ook niet meer de onthouden. Dus dit lijkt zeker een gebruiksvriendelijke oplossing. Vraag is, hoe de uitgifte van de bankpassen in z'n werk gaat. Moet je daarvoor naar een bankfiliaal? Dat zou het hele proces weer een stuk minder klantvriendelijk maken. Ook ben ik benieuwd of die bankpassen niet heel erg duur zullen zijn.

Neen, Karma, Neen, nogmaals: authenticatie is GEEN indentificatie, Biometrie kan prima gebruikt worden voor identificatie niet voor authenticatie. De hele forensische wetenschap, zoals jij het noemt, identificeerd aan de hand van biometrische gegevens, niet authenticeren.


Je blijft hierover zelf verwarring zaaien.

Maar bepaalde vormen van misdaad worden hier echter juist makkelijker door.
Er is geen pincode meer nodig, alleen nog maar een vinger(afdruk).

Bv door persoon te kidnappen en ermee langs een paar pinautomaten te rijden. (Laatst in de buurt van Nijmegen nog)
Persoon kan nu niet meer zeggen dat hij/zij zijn code niet meer weet, want vingerafdruk werkt altijd.
En wel zo gemakkelijk (ook voor de kidnapper). Vooral als de opname-limiet (van pinloos betalen) hiermee verdwijnt.

Dat iets klantvriendelijker is, dan wel gemakkelijker, betekent nog niet dat het ook veiliger is.
Zelfs al zou het apparaatje fraude of misbruik totaal onmogelijk maken (op zich al een zeer grote onvoorzichtige aanname), dan nog moet het door een persoon gebruikt worden. Die loopt nu meer risico.
\

Dus vingerafdrukken worden nergens achtergelaten. Kunnen niet gelicht worden. En dus ook niet misbruikt worden voor bv authenticatie doeleinden.
Van glazen, deurknoppen, tafels, etc kunnen geen vingerfadrukken gelicht worden?
Of denk jij dat de hele mensheid alles wat zij aanraakt meteen daarna met een doekje afvveegt of continue handschoenen draagt?

Forensische wetenschap gebruikt vingerafdrukken alleen maar ter identificatie. Wie iemand zou kunnen zijn.
En zelfs dan bestaat de kans nog op een false-positive.
Bv Alleen een vingerafdruk vinden op een plaats delict, is geen sluitend bewijs dat dit de dader is.
Laat staan dat iemand zich op deze manier meteen ook geauthenticeerd heeft.

Als je even nadenkt weet je dat biometrische gevens, zoals de vingerafdrukken die je overal achterlaat, slecht bruikbaar zijn als "geheim". En een publiek wachtwoord is geen wachtwoord.

Oh ga toch weg met je stokpaardje.

Het is je al vaker verteld dat identificatie ("gebruikersnaam") en authenticatie ("wachtwoord") twee verschillende dingen zijn. Forensisch vingerafdrukken bekijken is een identificatietaak, geen authenticatietaak. Dan weet je welke verdachte je eens even goed aan de tand kan proberen te voelen. Voor betaling autoriseren ligt het andersom: Het interesseert je geen drol wie je voor je hebt zolang z'n geld maar goed is.

Pas als er iets mis is met je betalingssysteem (en het was toch "veilig", ja toch niet dan) wordt het zaak uit te zoeken wie er probeert de zaak te flessen. Maar meestal is dat niet de houder van de rekening, maar een vlotte babbelaar die een pas gejat heeft ofzo. Dus die ga je niet vangen met een vingerafdruklezer die maar één vingerafdruk kan onderscheiden.

Kopietjes trekken kan prima, alleen lijkt het voor de volstrekte leek van niet. Die ondertussen ook echt beter zou moeten weten.

Precies waarom dit initiatief geschikt is voor de bank om te "bewijzen" dat het de klant was ongeacht de werkelijkheid dus als de klant praatjes heeft is het zijn eigen schuld, want de techniek "bewijst" het. En precies ook waarom dit initiatief niet dient ter beveiliging van de klant, want mocht er iemand (anders) met succes een impersonatie-aanval uitvoeren dan wordt de schuld en de bewijsvraag naar de klant doorgeschoven. Oftewel, de bank schuift de bewijslast af naar de klant. Waardoor problemen op het bordje van de klant neerkomen, en niet meer bij de bank.

Het is dus een moeite- en dus kostenbesparingsmiddel voor de bank. Ten nadele van de klant, zoals al eerder te lezen.

Ik las een stuk van een privacy professor (20017) en daar klopt geen hout van, vol met aannames en veronderstellingen en tegenspraken.
Hoofdstuk 4 identificatie en authenticatie conform de IAM en Enisa en Nist en vervolgens in hoofdstuk 13 Biometrische verificatie, ander woord waar duidelijk in de context het eerdere authenticatie aan hangt en een ander betekenis voor de biometrische identificatie (forensisch) waar het om de vaststelling van de juiste persoon gaat. (ander context andere vraag)

Als die verwarring niet doorhebt en op het gelijk willen hebben van wat gebruikte woorden doorgaat dan schep je pas echt verwarring. Volgens mij ben een product van die situatie. Ik weet nog wat daar de verdere achtergronden van zijn.
Ik ben nu met een ander stuk bezig andere naam en opvallende onderlinge beïnvloeding (dus bias).
Een aantal meningen die geopperd worden tonen een geblokkeerde mindset. In ieder geval mist het beeld empathie voor slachtoffers van misdaden.

En ook dit is weer eens onleesbaar. Wat bedoel je?

WIE moet die verwarring niet doorhebben? K4 of iemand anders
WIE wil gelijk hebben? K4 of iemand anders
Is K4 onder een andere naam bezig met een ander stuk? Tekst of artikel of een lekker ding.
Wie heeft geen empathie voor slachtoffers? Een aantal personen die hierboven gereageerd hebben in ieder geval wel. Zij geven aan dat de bank de verantwoordelijkheid naar de klanten probeert af te schuiven. De toekomstige slachtoffers. Dus hoezo een empathie?

@karma4 & karma5,

Niet vergeten dat het betaalkarton in de UK altijd al onveiliger was als het Nederlandse.

Vergeet niet dat er mensen bestaan die geen duidelijke vingerafdruk kunnen produceren.
Dan moet je dit niet willen.

Aan de ene kant een vingerafdruk verplicht stellen, maar aan de andere kant weer
"Bog, Honor, Ojczyzna" (God, Eer, Vaderland) als stempel ter viering van
100 jaar Onafhankelijkheid van de Poolse natie willen weren uit het Poolse paspoort.

Uiteindelijk wil men op weg naar een cashless society en die maatschappij is a priori empathieloos
of liever gezegd ingericht door een dergelijk systeem,

Nog verder in de pijplijn en de nabije toekomst zullen we allen uitkomen
bij het omgekeerde negen-proef systeem.....3+3 3+3 3+3 = 666, de 33 graden reeks.
als we lezen in de Apocalypse a.k.a. Openbaringen

Aan de ene kant dit en elders weer zwakkere methoden gebruiken dan SHA256 BCrypt
https://httpd.apache.org/docs/current/programs/htpasswd.html
zie aldaar bij security considerations.

We kunnen er niets tegen doen, wat staat te gebeuren, gebeurt gewoon.
Ik zeg identificeren aan de hand van je DNA sequentie zal ook nog wel overwogen worden.

#sockpuppet

Volgens wie? Volgens het orakel van security.nl zeker?


Hoofdstuk 9, lid 4, sub 5: Identificatie (het vast stellen van iemands identiteit) moet niet verward worden met authenticatie (het verkrijgen van toegang tot iemands gegevens). Ook Authorisatie (Bevoegd zijn tot een daad) heeft een andere betekenis dan voorgaande.

Aha, daar heb je het P-woord weer. Privacy heeft niks met identificatie of authenticatie te maken.

De banken zijn van hun fraude met betaalpassen af,
maar voor de klant.

Criminelen roepen dan hey: kom hier met je vinger
je gaat even pinnen voor mij

Ik betaal altijd contactloos: gewoon cash.
Gaat prima zonder vingerafdruk hoor!

Ik vindt het gesprek wel interessant vooral met het gegeven in mijn achterhoofd dat bijna iedereen zijn telefoon met toegang tot mail, whatsapp, sociale media etc. ontgrendeld met vingerafdruk. Mij lijkt dat dit heftig onderzocht is voordat de mogelijkheid is gemaakt om in te loggen met je vinger?

Oja daarbij kan ik nu ook al geld overmaken met mn vingerafdrukken door met mn vingerafdruk in te loggen op mn telefoon, te autoriseren dat de abn app geopend mag worden, in te loggen op de app(nogsteeds met mn vinger) en een betaling vervolgens te autoriseren(ja,nogsteeds met mn vinger) en neem aan dat heel veel mensen dit met 1 tap minder ook kunnen door de handigheid

En daarom zitten de privacy professoren te sleutelen aan iets wat voor hun het beste de juisten identiteit met een smartphone al authenticatie hulpmiddel. https://privacybydesign.foundation/irma/


Je hebt gelijk sockpuppet, ik zou ook voorstellen om oorflap afdrukken te gaan gebruiken ipv van vingerafdrukken.
Die smartphone hou je er toch al vaak tegen aan. Je kan ze goed verbergen als je dat wil en afdrukken laat je niet zo maar rondslingeren. Nog wat met anders combineren (3d temperatuur beweging etc). Zou dat aanraakscherm voldoende zijn?

Gaarne bronvermelding, ik vind:

https://www.nen.nl/Standardization/Bijdragen-aan-normcommissie-Biometrie.htm{/url] "Wat is biometrie? Volgens de website van het CBP (College Bescherming Persoonsgegevens)* is biometrie:'... een verzameling van technieken gebaseerd op het meten en vaststellen van lichaamskenmerken van een individu. Deze lichaamskenmerken zijn uniek en maken het daarom mogelijk ze te gebruiken voor identificatie (het vaststellen van iemands identiteit) en authenticatie (het vaststellen dat iemand is wie hij claimt te zijn). De meest gangbare en toegepaste vormen van biometrie zijn op dit moment de vingerafdruk, de iris- of netvliesscan, stemherkenning en de gelaatsscan.'https://autoriteitpersoonsgegevens.nl/sites/default/files/downloads/av_sv/av15_sv.pdf[/url"Biometrie is een verzameling van technieken gebaseerd op het meten van kenmerken die uniek kunnen worden toegeschreven aan de drager daarvan. Het unieke van deze kenmerken maakt deze geschikt voor identificatie, het vaststellen van iemands identiteit, en authenticatie, het vaststellen dat iemand is wie hij of zij claimt te zijn." Zoals het er staat toch letterlijk zeer geschikt voor authenticatie."Hoofdstuk 4 Identificatie en authenticatie Traditioneel woonden mensen in kleine gemeenschappen waarin iedereen elkaar persoonlijk kende, het bestuur beperkt en sterk locaal georganiseerd was, en men weinig reisde. Gaandeweg is dat gaan veranderen. Moderne samenlevingen hebben veel verschillende deelnemers, die bovendien zeer mobiel zijn, en hebben complexe vormen van bestuur. Identificatie van individuen is daarbij tegelijkertijd belangrijker en ook moeilijker geworden.…..De begrippen identificatie en authenticatie worden niet altijd helder onderscheiden. Hier zullen we ze als volgt gebruiken: identificatie is zeggen wie je bent, en authenticatie is bewijzen wie je bent. Een agent die wil weten wie je bent kan je eerst vragen om je te identificeren (je zegt je naam), en vervolgens vragen om je te authenticeren (je toont je paspoort).….. Binnen deze begripsopvatting stelt identificatie niet zo veel voor. Iedereen kan zichzelf immers zo noemen als hij of zij wil. Inderdaad, een naam op MSN heeft geen enkele betekenis of bewijskracht. Authenticatie daarentegen heeft veel meer gewicht. Een fundamentele vraag bij iedere transactie is altijd: wie authenticeert zich eerst? Diegene die dat doet geeft immers informatie over zichzelf weg, en maakt zich daarmee mogelijk kwetsbaar.…. "Als je nu het verband niet kan vinden en niet herleiden waar ik het over heb, ben je niet geschikt voor onderzoek in het security gebeuren.

@karma4: zou je je bericht van 13:31 even kunnen editen zodat de tags kloppen en het leesbaar is?

En over bronvermelding gesproken, het "stuk van een privacy professor (20017)" dat je gisteren om 16:44 noemde, kan je daar de bron bij vermelden?

Het CPB spreek over LICHAAMskenmerken.

Als je ergens komt, en jij (het levende wezen dat daar staat) laat zijn lichaamskenmerk (de vingerafdruk die aan de vinger zit) controleren (liefst door een ander mens), dan kun je nog van authenticatie spreken.

Op het moment dat een vingerafdruk (zonder dat lichaam) gebruikt kan worden (bv omdat het systeem niet controleert of er een mens aan vast zit), dan heb je een kwetsbaarheid van zeer grote orde gevonden. (1)
Op het moment dat het computer-systeem dat e.e.a. moet controleren, andere informatie heeft dan op jouw vinger zit, maar het wel over dezelfde persoon zou moeten gaan, dan heb je ook een probleem te pakken. (2)


Nu nog even terug naar de context van het artikel (de werkelijkheid ipv de theorie):

Wat wordt er eigenlijk bewezen bij de vingerscan van de betaalpas?
Dat er een vingerafdruk gebruikt is. Meer niet.

Zat daar een mens aan vast? Dat weet de vingerscanner niet. (3)
Stond er iemand achter die mens met een pistool tegen zijn hoofd? Dat weet de vingerscanner ook niet. (4)

Allemaal (punten 1-4) is dit in de boze mensenwereld mogelijk, en maken een betaalpas met vingerscan kwetsbaarder voor misbruik dan een pinpas met pincode. (IMHO)

Wat tags gecorrigeerd...

Gaarne bronvermelding, ik vind:

https://www.nen.nl/Standardization/Bijdragen-aan-normcommissie-Biometrie.htm
"Wat is biometrie? Volgens de website van het CBP (College Bescherming Persoonsgegevens)* is biometrie:
'... een verzameling van technieken gebaseerd op het meten en vaststellen van lichaamskenmerken van een individu. Deze lichaamskenmerken zijn uniek en maken het daarom mogelijk ze te gebruiken voor identificatie (het vaststellen van iemands identiteit) en authenticatie (het vaststellen dat iemand is wie hij claimt te zijn). De meest gangbare en toegepaste vormen van biometrie zijn op dit moment de vingerafdruk, de iris- of netvliesscan, stemherkenning en de gelaatsscan.'

https://autoriteitpersoonsgegevens.nl/sites/default/files/downloads/av_sv/av15_sv.pdf
"Biometrie is een verzameling van technieken gebaseerd op het meten van kenmerken die uniek kunnen worden toegeschreven aan de drager daarvan. Het unieke van deze kenmerken maakt deze geschikt voor identificatie, het vaststellen van iemands identiteit, en authenticatie, het vaststellen dat iemand is wie hij of zij claimt te zijn."

Zoals het er staat toch letterlijk zeer geschikt voor authenticatie.


"Hoofdstuk 4
Identificatie en authenticatie

Traditioneel woonden mensen in kleine gemeenschappen waarin iedereen elkaar persoonlijk kende, het bestuur beperkt en sterk locaal georganiseerd was, en men weinig reisde. Gaandeweg is dat gaan veranderen. Moderne samenlevingen hebben veel verschillende deelnemers, die bovendien zeer mobiel zijn, en hebben complexe vormen van bestuur. Identificatie van individuen is daarbij tegelijkertijd belangrijker en ook moeilijker geworden.
…..
De begrippen identificatie en authenticatie worden niet altijd helder onderscheiden. Hier zullen we ze als volgt gebruiken: identificatie is zeggen wie je bent, en authenticatie is bewijzen wie je bent. Een agent die wil weten wie je bent kan je eerst vragen om je te identificeren (je zegt je naam), en vervolgens vragen om je te authenticeren (je toont je paspoort).
…..

Binnen deze begripsopvatting stelt identificatie niet zo veel voor. Iedereen kan zichzelf immers zo noemen als hij of zij wil. Inderdaad, een naam op MSN heeft geen enkele betekenis of bewijskracht. Authenticatie daarentegen heeft veel meer gewicht. Een fundamentele vraag bij iedere transactie is altijd: wie authenticeert zich eerst? Diegene die dat doet geeft immers informatie over zichzelf weg, en maakt zich daarmee mogelijk kwetsbaar.
…. "
Als je nu het verband niet kan vinden en niet herleiden waar ik het over heb, ben je niet geschikt voor onderzoek in het security gebeuren.

Dat zijn de vragen over hoe de lichaamskenmerken bij gebruik van biometrie vastgesteld worden.
De techniek daarvoor veranderd constant, het maakt inhoud van voorgaande implementaties vaak meteen nutteloos.
In de beschreven situatie heb ik minder zorgen in het gebruik.
Een pin van 4 cijfers die je niet kan veranderen en geheim moet zien te houden moet je vergelijken met een reeks van cijfers die magisch ter plekke uit je eigen duim komen en waarvan de ontvanger je handelingen met card en duim kan zien.

En ja inbrekers criminelen kunnen je in je luxe villa opzoeken en met geweld alles van je afnemen, zelfs je leven.
Dat veranderd niet pin of vingerscan.

We hebben het hier over de betalingen bij de grootgrutten kledingwinkel etc in de openbare ruimte waar je mag hopen dat er voldoende wettelijke handhavers zijn die dat soort figuren weg houden. Blijft over de oplichting van een gekopieerde verloren gestolen emv-card. Je ken vast de verhalen over meekijk camera's bij de flappentap en kassa.
Dat ben je als probleem kwijt.

Wat ik niet zie is hoe die scanner op je duim getraind wordt. Het achterliggende proces genereerd een reeks vaste nummers en er worden geen plaatjes bij gebuikt. Daar liggen nog wel zaken om op te lossen.
Een herkenbare persoonlijke afbeelding verplicht stellen op een emv zou ook wel wat zijn.

Een pin onthoudt je in je hoofd. Het zijn maar 4 cijfers. dat moet nog kunnen.
Als je onder druk staat (bv dreiging met een pistool) dan kun je 3 verkeerde codes geven, of zelfs zeggen (met bibberende stem) dat je hem vergeten bent. Uiteindelijk kan je een crimineel daarmee aan het lijntje houden. En ja, dat kan je een afstraffing kosten.
Met een pinpas met vingerscan heb je die optie niet. Dan ding herkent je altijd. Ook als jij dat misschien niet zou willen, in zo'n situatie. Dag geld, dag bankrekening.

En wat ziet zo'n camera als jij voor een flappentab staat. De eigenaar van de pas (vanwege de vingerscan) en een crimineel die zijn gelaat bedekt heeft. (als hij al te zien is). En hoe snel zijn ze dan bij je, als ze de situatie al herkennen voor wat het is. Of is dit voor achteraf, bij Opsporing Verzocht?

Zo'n pin is gewoon afgekeken via de schouder of de camera naast die geskimde ingang. Kun je ook met warmte doen.
Vervolgens dupliceren en even massaal gebruiken met wat inzet van ezels. Het gaat om de camera van de oplichter.

De camera van de beveiliging wordt ter discussie gesteld als inbreuk van privacy ... van de criminelen.
Met dat pin-pas apparaat heb je daarachter nog steeds de aansprakelijk en controle op dat circuit.
Als je daar de problemen zoekt... Hoeveel van die fraudes met kaarten nfc - apparaat zijn er nu bekend?
Ja als je die kaart kwijt bent (verliest zoals je een portemonnee verliest) is dat die 50€ max met een risico voor de misbruiker. Nu veranderd dat NFC in een vingerscan gekoppeld aan de kaart.

Jij gaat er vanuit dat op elke plek winkelgebieden overal criminelen staan die iedereen molesteren en gewapend zijn.
Misschien Brazilië bepaalde gebieden Venezula Eritrea . Dan heb je een veel groter veiligheidsprobleem, moet je eerst daarmee aan de slag. Laten we blij zijn dat er voldoende handhaving is dat het hier niet zo is.