En wat is de meerwaarde van de QR code dan?

Hoe vaak worden niet beide kanten van een ID gekopieerd.

Als je je BSN niet afplakt is dat niet slim. Dus dadelijk BSN en QR code afplakken.

Het is niet slim om het bsn te gebruiken al vrijwaring voor de verwerker dat die niets fout doet. De verwerker moet gewoon zijn wettelijke plicht doen. Vaststellen dat het om de juiste persoon gaat. Een bsn is een nietszeggend nummertje.

Ik ben benieuwd hoe goed die scanners afgeschermd gaan zijn voor "foute" qr codes.
b.v. sql injectie enzo.

zeg karma, mag ik je bsn hebben? ,ik wil nog een nieuwe auto kopen......

Iets wat machine en human readable was (BSN in OCR vriendelijk lettertype)
wordt vervangen door iets dat machine readable is (QR Code) en iets wat human readable is (BSN nummer)

Waarschijnlijk een compromis voor iets. En een manier voor het kabinet om te laten zien hoe kundig ze zijn met computers. (Wat is een QR Code, wat is bitcoin, wat is the cloud, etc. Allemaal dingen die een moderne politicus moet weten om niet uitgelachen te worden door journalisten).

Alles goed en wel, maar erg veel ondersteuning krijgt diezelfde burger daarin niet. De AP heeft een belangrijke stap gezet door klip en klaar te zeggen dat een beschreven kopie niet geweigerd mag worden (ook niet in het kader van WWFT), maar als je in conflict komt met een organisatie die daar niet aan wil en vervolgens een klacht indient bij diezelfde AP, krijg je na de 3 maanden waarbinnen ze moeten reageren een standaardbrieffie dat ze er nog mee bezig zijn. Nog eens drie maanden verder verwacht ik een kluitje in het riet... En intussen maar kosten maken omdat je een financiële dienst niet hebt...

Dan hoeven luie ambtenaren niet het hele nummer over te tikken. Als bescherming tegen tikfouten is het niet nodig want het BSN kent al een interne checksum.

Niet vaak.

Vaak bij grotere bedrijven/instellingen wordt gewoon geëist dat beide kanten zichtbaar zijn voordat je naar binnen kunt.
Op je strepen staan = geen werk op locatie of zeg maar klant kwijt. Dus zeg het maar. De overheid doet hier niets aan btw.

Ze hebben het BSN nummer naar de achterkant verplaatst, maar ze zijn vergeten dat het ook nog op de voorkant staat in de twee regels met codes onderaan. Nutteloze actie dus, geeft schijnveiligheid.

Ze gaan de BSN in een QR code zetten. Nog nooit gehoord van QR scanner apps zeker. Kan ik het als mens ook lezen. Weer schijnveiligheid.

Als je iets niet direct ziet, wil niet zeggen dat je het eenvoudig wel kan zien of zichtbaar kan maken, simpele zielen.

Die wordt ook verwijderd, zie de originele brief..

Vergelijk het standaard "beveiligingsadvies": "Hier, we geven je een computer die aan malware ten onder gaat als je op de verkeerde email klikt, dus niet op de verkeerde email klikken. Eigen verantwoordelijkheid hoor!"

Nu kun je als privepersoon nog wel zonder computer (met moeite), maar zonder identiteitskaart mag je niet eens de straat op. En toch bestaat de stassert het om het jouw eigen schuld te noemen als iemand misbruik maakt van de informatie op die kaart die je toch wel op zak hebt en die steeds vaker gewoon dus maar even gescand wordt. Een situatie die de overheid geschapen heeft en jou opgedrongen heeft. Maar je moet wel zelf "zorgvuldig omgaan" in deze onzorgvuldige situatie.

En nu dus met QR-code, zodat even de smartphone erop en klaar! Ja, echt een doordachte toevoeging!

Het illustreert maar weer eens dat de afdeling burgerhaatkaarten gewoon echt alleen maar een speeltuin voor nieuwe snufjes is die volstrekt geen respect heeft voor de burger die ze eigenlijk zouden moeten dienen. Dat is al een ruim tijdje zo.

Leer eerst eens om een artikel tot het eind te lezen voordat je reageert op de eerste paar regels.

1 vakje van de QR code zwartkleuren en klaar is kees, het BSN gaat ook uit de chip dus ik zie alleen maar voordelen. :)

Alleen onder de voorwaarde dat eerst de verwerkers die verplichte controle eens gaan doen.
Als je geld naar me wilt overmaken .... tikkie.

Zal niet gaan omdat het bsn de verplichte sleutel is waar alle overheidsrwgistratie het mee moeten doen. Naw is te fraude gevoelig.

Wil je niet liever een eigen auto?

Waaruit je af kan leiden dat men het BSN weliswaar niet meer op de voorkant wil hebben staan vanwege de kopietjes die daarvan gemaakt worden maar wel degelijk een scanbaar BSN op dat ding wil houden.

Ik zie het compromis niet, een QR-code is heel geschikt voor dit doel. Het is betrouwbaar en wordt breed ondersteund waardoor het eenvoudig en goedkoop in te zetten is waar het nodig is. Kan je een reden bedenken om het niet te gebruiken?

Ik denk dat je "storingsgevoelig" bedoelt, want zodra je BSN weet is fraude makkelijker zelfs: Je hebt maar één gegeven nodig, niet de hele rest ook nog.

Maargoed, dat is nog steeds geen excuus om een enkel uniek nummer voor alles te gebruiken. Het zou triviaal zijn, mits de overheid de automatisering op orde had, om iedere instantie z'n eigen unieke nummer per burger te geven, en die koppel je dan aanelkaar met bijvoorbeeld het documentnummer van de pas. Verlies je je pas, raakt dat nummer ongeldig. Haal je nieuwe pas, moet dus die koppeling opnieuw gelegd worden. Wat dus wel even zorgvuldig moet gebeuren. Maar het betekent vooral dat de overheid niet den burger aan een enkel nummer ophangt dat bij lekken enorme schade kan veroorzaken.

Omdat je liever geen ondoorzichtige rommel op zo'n kaart plakt. Liever een stuk OCR-B dan een QR-code, want dan weet ik tenminste gelijk waar ik tegenaankijk. (En OCR is verdomde goed geworden, kijk naar de posterijen.)

In die trant ben ik ook de chip liever kwijt dan rijk. Geen idee wat daar allemaal opstaat, en je moet maar geloven dat wat eropstaat ook veilig is (is het niet, weten we al sinds 2005, overheid doet weer eens niets).

Wat mij betreft is die QR-code dan ook met de muziek meelopen van de kaartknutselende ambtenaren, niet direct nuttig. Zeker niet omdat het net zelfs eindelijk onder de haagse stolp duidelijk geworden is dat zo'n BSN op de kaart helemaal niet handig is voor de burger, want onveilig. Dan datzelfde stukje data "verstoppen" in een (2D-)streepjescode is gewoon behoorlijk achterbaks.

En nog steeds fraudegevoelig... <zucht>waneer leren die eikels op dat ministerie nou eens dat alles wat je open en bloot op een paspoort zet dat dat te makkelijk afgelezen, gekopieerd en misbruikt kan worden...</zucht>

Je bsn is niet veel meer dan het naw gegeven met dat verschil dat een bsn uniek per persoon is om administratieve verwisselingen te voorkomen. Lees even het mvt voor de wet gebruik bsn 2007 te vinden bij het rvig bzk.
Juist al die losse administraties met elk hun eigen klantnummer was een onoplosbaar probleem.

Het weten van een bsn en daarmee fraude kunnen plegen is onwettelijk. Het ap zou actie tegen verwerkers die dat doen moeten nemen. De Stand van de techniek artikel 32 is niet op orde en de dpia klopt niet.

Zij we terug naar de vraag wie dat foute geldverslindende idee van een qr code heeft verzonnen. Wie gaat er met geld vandoor bij dat project.

Zijn ze dit vergeten te lezen?
Re: https://resources.infosecinstitute.com/security-attacks-via-malicious-qr-codes/

PHISHING is het grootste probleem bij het gebruik van QR-codes.

Verschillende generatoren voor verschillende toepassingen
en de gegenereerde QR werkt altijd en onder alle omstandigheden:

-https://www.the-qrcode-generator.com/
-http://goqr.me/
-http://www.qr-code-generator.com/
-http://www.qrstuff.com/
-https://scan.me/qr-code-generator

Waarom een techniek gaan gebruiken, die een aanvaarde toegevoegde aanvalsvector gaat opleveren?

#sockpuppet

Om jouw argument te snappen moet ik eerst eventjes wetsgeleerde worden? Ik denk dat dat mijn indruk alleen maar zal versterken: Je sleetse argument is sleets. En oh ja, is geen weerwoord op bovenstaande.

Incompetente overheid. Zo moeilijk is het niet, en het door jou zo vakkundig weggeknipte voorstel had dat netjes aanelkaar geknoopt.

Het probleem hier is vooral dat het invoeren van dat unieke nummertje voor elke burger de meest voor de hand liggende oplossing van de database-tovenaarsleerling is. Heel populair in allerlei landen, maar uiteindelijk niet erg goed voor de burger. Dat kan en moet beter. Kun je dat niet, dan ben je als overheid dus gewoon niet opgewassen tegen je taak. Ook geen zeldzaamheid in de wereld, daar niet van.

Je had me al bij 'fraude' maar nu met 'onwettelijk' ben ik helemaal overtuigd van dat het niet mag, hoor!

Nu de wetsovertreders nog. Mischien ook nog even vertellen dat fraude illegaal is en daarom maar verboden moet worden?

Buiten dat het daar niet om ging. Het SoFi/latere BSN is ingevoerd om de administratie te verhelderen cq. administratieve fouten (dus door ambtenaren) te verminderen. Dat automatisch maar herklasseren als zou het helpen tegen fraude (dus door kennelijk niet-heel-erg-wetsgetrouwe burgers) is bon ton binnen het ambtelijke maar niet eerlijk en niet waarheidsgetrouw. De praktijk laat eerder het tegenovergestelde zien: Met BSN is het makkelijker van andermans persoonsgegevens misbruik te maken. Zeggens: BSN blijkt fraude in de hand te werken.

En ja, fraude mag niet. Maar fraude eerst heel erg makkelijk maken en daarna zeggen dat het echt niet mag, heur, blijkt in de praktijk geen recept om fraude te verminderen. Aan dat heel erg makkelijk maken is de overheid gewoon zelf schuldig, dus dat boetekleed moet ze maar eens een keertje aantrekken.

Ik heb geen idee wat je hier zegt maar voorheen-CBP-nu-AP is vrij tandeloos en de makke zit ingebouwd in de wet op een manier waardoor vingertjezwaaien weinig nut heeft. Dit is dus niet eenvoudig op te lossen met een extra verbodje of zelfs een extra agentje om z'n vingertje te zwaaien. De organisatie moet anders, het SoFi/BSN moet er gewoon uit. Rotten met die rommel.

Een QR-code klussen is relatief goedkoop. Je ziet ze tegenwoordig op zowat elke papieren ambtelijke scheet. Oh nee, dat zijn datamatrix 2D-barcodes. Geen idee wat daar het nut van moet zijn trouwens.

Ik denk dan ook niet zozeer dat het om het geld gaat, maar om het bedenkelijke prestige van dat geopperd en ingevoerd hebben gekregen. Leuk voor het CV binnen het ambtelijke. Minder leuk voor de rest van Nederland.


Ik denk dat zelfs als ze dat gelezen hebben dat ze dan ervanuitgegaan zijn dat dat nooooooit zou kunnen gebeuren want ze zetten die QR-codes toch zelf, ja toch niet dan, en ze zijn toch ambtelijk en daarom qq te vertrouwen, ja toch niet dan? Nou moet je niet het ambtelijke in een kwaad daglicht willen zetten, burger! Dat kan natuurlijk niet, de idee!

Het idee dat iemand er een stickertje overheenplakt met een "alternatieve" ("Bobby Tables"-geinspireerde) QR-code is mischien wel nog helemaal nooit bij ze opgekomen. Daar bij de afdeling "beveiligde documenten".

Of nog makkelijker, de QR-code in een scan even aanpast. Want scans zijn niet het echte document, ookal worden ze wel grif heen en weer gemaild tegenwoordig. Op zich wel een aardig idee natuurlijk, het SoFi/BSN in die QR-code in je scan vervangen door een tracker-URL zodat je kan zien wie er allemaal de QR-code in de scan decodeert.

Het BSN staat ook leesbaar op de kaart en QR-codelezers zijn zo algemeen beschikbaar (waaronder smartphone-apps en open source software) dat afwijkingen in die "ondoorzichtige rommel" van wat wel direct door mensen gelezen kan worden een mediarel en vervolgens kamervragen opleveren zodra de eerste kaarten met een QR-code zijn uitgegeven. Het is in de verste verte niet oncontroleerbaar.

Voor de duidelijkheid: ik ben geen voorstander van specifiek QR-codes, ik had OCR ook prima gevonden, ik ben er alleen ook geen tegenstander van omdat ik het bezwaar ertegen niet zie, het is gewoon heel geschikt voor het doel om een machine-leesbaar BSN ergens op te zetten en het heeft een open specificatie waarvan kant en klare implementaties volop voorhanden zijn zodat het makkelijk controleerbaar is wat erin staat. Niet met het blote oog, dat is waar, maar meer dan makkelijk genoeg om alles wat er eventueel niet klopt aan deze keuze direct aan het licht te brengen.

Ik zie de eerste babbel truks nu al voor me. "Het is een QR Code van de overheid, die zijn veilig" "Klik er op om te controleren of het paspoort veilig is en je komt op een pagina van DigiD" "Echt waar!"

En toch is zo'n code minder doorzichtig dan een regeltje OCR-bare tekst. Natuurlijk kun je je smartphone ertegenaanhouden, en in principe kan dat ook met de nfc-functionaliteit zodat je de chip kan uitlezen.

Maar het is een barriere, het is niet makkelijk voor iedereen. Zie ook de QR-code-gebaseerde babbeltruuks om je hele rekening over te nemen nadat je hulpvaardig iemand z'n parkeerkaartje betaald hebt die je er wat muntjes voor gegeven heeft. (Een parkeerautomaat die muntjes lust had hier ook het gras voor de voeten van de babbelaars weggemaaid, overigens. Nog een illustratie dat toegevoegde complexiteit lang niet altijd een betere situatie oplevert.) Dit is niet iets dat alleen voor de "tech savvy" moet werken, maar voor iedereen. En daarmee, net als dat je liever op papier stemt dan met een machine, is iets dat voor mensen direct leesbaar is te preferen boven iets dat dat niet direct is. Ook al kun je met een 'app' het alsnog wel lezen.

Niet direct, pas als je specifiek gaat kijken en de daartoe benodigde kennis op zak hebt.

En in casu, een smartphone met een google- of apple play store account, of nog veel meer kennis om die vereisten te omzeilen.

Ik begrijp wel dat je zegt van "het is toch maar inkt en zo te lezen", ja nou, bijna, maar net niet helemaal. En de ervaring leert dat "net niet helemaal" bij het grote publiek reeds voldoende is om bijvoorbeeld babbeltruuks mogelijk te maken. In dit geval volstrekt nodeloos want een OCR-baar nummer doet het ook.

Voorzover je dat nummer sowieso op je pas wil hebben, wat mij betreft ook al niet. (1 okt 17:23)

In de zin liever een QR-code dan een draadloze chip, ja. In de zin liever een QR-code dan een OCR-baar nummer, nee. De inwisseling lijkt dat laatste te zijn, niet dat eerste. En dat is precies waarom dit technofapperij is van de invoerende ambtenaren.

Je kan helemaal niet op een QR-code klikken, de QR-code zelf is niet meer dan wat ASCII-tekst die in een plaatje is gecodeerd. Als je ergens op kan klikken is dat omdat een app die mogelijkheid toevoegt. Al die QR-codes die je naar een website leiden bevatten gewoon de URL. De QR-code die de redactie als illustratie bij het artikel heeft geplaatst bevat deze tekst:
Niets meer, niets minder, gewoon de URL van de website als ASCII-tekst. Een QR-app kan herkennen dat het een URL is (hij begint met http:// of https://) en daar een actie aan verbinden, maar de QR-code zelf bevat alleen tekst die op zich helemaal niets doet. De QR-code is passief, het is een app die iets doet. Als de overheid een BSN in een QR-code stopt ("111222333" of bijvoorbeeld "NL-BSN:111222333") dan wordt dat niet als URL herkend en wordt er door een bonafide QR-scanner geen donder mee gedaan.

Besefte je dat?

Die babbeltruc moet dus in een malafide app worden gestopt om te werken, of worden gebruikt om die malfide app aan de man te brengen. Dat kan nu ook al: iemand kan claimen dat een app je paspoort of identiteitskaart op echtheidskenmerken controleert. In plaats van dat te doen wordt de scan naar een server gestuurd en vervolgens misbruikt voor identiteitsdiefstal. Helemaal zonder QR-code.

Wat is precies het extra risico dat een QR-code toevoegt?

Of topic, maarre...
Kun jij tikkie even bellen of mailen dat mijn Bunq account al een jaar niet meer bestaat?
Mijn postzegels zijn op.

Dat is een QR-code die dient om een smartphone aan een bankrekening te koppelen. Die bevat specifieke informatie om precies dat te doen. Hier is de situatie niet dat een slachtoffer een QR-code die door de dader wordt bepaald scant, hier moet de dader de QR-code van het slachtoffer scannen om het BSN te bemachtigen. Als iemand nu je paspoort of ID-kaart scant kan die ook aan het BSN en andere privacygevoelige gegevens komen als die niet met een hoesje worden afgeschermd. Ik zie nog steeds niet in hoe een QR-code een boef in staat stelt iets te doen dat zonder die QR-code niet kan. Als het BSN in OCR-B op de achterkant zou staan of alleen in een lettertype waar OCR niet maar een mens wel mee overweg kan, dan zou een scan van de achterkant nog steeds het BSN prijsgeven. Dan zou je het geen QR-babbeltruc maar een OCR-babbeltruc noemen, misschien. Ik denk dat het risico in de babbeltruc zit, niet QR of OCR.

Helaas geen contacten in die hoek.
Ik noemde tikkie omdat het idee is dat het raar is om van een bekende waar je een schuld hebt niet het rekeningnummer mag weten om je schuld te voldoen. Je zou eens pesoon lijk verhaal kunnen gaan halen tijdens het volgende uitje.

De grap is, dat kan dus wel. Stel, je hebt die kaart cq. een scan van die kaart (al dan niet van jezelf; dat is ook een bekende marktplaats-truuk om eerst om iemand anders zijn IDkaart te vragen en vervolgens die scan elders in te zetten) je kan de QR-code manipuleren. Je kan dus op dezelfde wijze als met die babbeltruuk zeggen dat de QR-code is om één ding te doen en stiekem doet'ie wat anders. Daar ging het over, en het plaatsen van een stuk niet-direct-door-mensen-leesbare-data op die kaart laat dat toe. Een nummer als OCR-B oid neerzetten maakt misbruik maken een stuk lastiger, want het valt op dat het nummer niet meer op de verwachte invoer lijkt.

Dat risico heb je, maar QR is opaak waar OCR dat niet is, en dat is (dan) een (extra) handvat om dit soort truukerij uit te voeren. En daarom niet handig.

Oké, de situatie die je bedoelt is dus dat de oplichter het slachtoffer zo ver krijgt de QR-code op de ID-kaart van de oplichter (of wat daarvoor door moet gaan) te scannen, met een QR-coder waarin URL naar een misleidende webpagina is gecodeerd. Ik zat me af te vragen wat mensen toch voor risico zagen in de BSN in een QR-code, vanuit iets dat op me overkwam als magisch denken over QR-codes.
Die manier van formuleren versterkt het beeld van magisch denken. Een QR-code zelf doet niets, het is software die de gescande QR-code verwerkt die eventueel iets doet.
Het muntje is gevallen. Dat wil nog niet zeggen dat ik ervan overtuigd ben dat dit zo riskant is als jij denkt, maar ik snap nu over welk scenario je het hebt.

Strikt genomen heb je gelijk maar het gaat uiteindelijk om wat er gebeurt als er gescand wordt. En dat is lang niet altijd wat je verwacht, bijvoorbeeld omdat er iets heel anders in de QR-code staat dan je verwacht. En dat zie je er niet zomaar aan af.

Dit is ook wat mij stoort aan *kuch* zekere QR-"apps" die scannen en maar gewoon vanalles doen, wat bij mij dan meestal resulteert in de klacht dat er geen dataverbinding te vinden is (duh), en mischien daarna, maar vaak ook helemaal niet, eens een keertje vertellen wat ze nou helemaal in die QR-code gelezen hebben. Voor mij is een apparaat geen magisch iets dat mij een "ervaring" voorschotelt aan de hand van zo'n QR-code, maar een stuk technologisch gereedschap dat me inzicht kan geven in de inhoud. Wat onder andere redelijk vitaal is om veilig te blijven. Dat er nogal wat QR-lezende "apps" er een handje van hebben voor de "ervaring" te gaan zonder dat inzicht te bieden spreekt ook niet ten faveure van de QR-code in dit scenario.

Ook al staat er op deze kaart (normaliter) echt alleen maar een dom nummertje en niets anders in. Voor je het weet heeft er bijvoorbeeld een "app"-bouwer een programmabibliotheek gepakt (of een online dienst ingezet, of weetikhet) die niet alleen een nummertje geeft als er een nummertje te zien is, maar ook een url ophaalt, uitpakt, nog een keer ophaalt, weetikhetwatnogmeer, omdat dat wel makkelijk was als standaardbouwsteen en we gingen er toch vanuit dat in deze QR-codes alleen maar nummertjes te zien waren. Dat gebeurt verdomde vaak, en is dus ook een risico waar nogal eens overheen gekeken wordt.

Ik begrijp wel dat je de QR-code als pure data-encoding ziet, maar dat pakt nogal eens anders uit in de dagelijkse praktijk, en dat telt ook mee.

Dit is nog voor we het hebben over 2D-barcodes met extra "verborgen" data, die heb je ook nog.

Over dit soort dingen vallen is precies wat de professionele paranoia van de security professional ingeeft, en precies niet wat je als gewone gebruiker of zelfs ontwikkelaar gefocust op functie gelijk zal opvallen. Maar ik denk dat het wel terecht is om ook de security kant te bekijken.

Okee. Nouja het punt is natuurlijk dat zo'n QR-code meer mogelijkheden biedt voor zulke slinksigheden dan een stukje OCR-bare tekst, want daar zie je als mens beter en makkelijker wat er ingevoerd gaat worden als je er een apparaat op loslaat. Dus tekst inwisselen voor een QR-code maakt dat stukje "zien wat er gebeurt" lastiger, en dat is dus geen veiligheidsverbetering, maar het tegenovergestelde.

En alleen daarom al laakbaar, nog voor je gaat kijken hoe groot het risico op creatief misbruiken nou eigenlijk is. Het is gewoon nergens voor nodig die opening te geven. Dan ligt het voor de hand om te zeggen: Doe dat dan dus ook maar niet.

Waarom het BSN überhaupt op een ID kaart zetten als je ook een hash hiervan op de kaart kan zetten. Zo kan het BSN gecontroleerd worden door iedereen die het al weet, maar kan het niet overgenomen worden door iemand die het niet weet. Politie, Douane, etc beschikken vast wel over een database waarin BSN is opgenomen; zij kunnen de hash genereren en vergelijken met die op het paspoort/id.

Die acht cijfertjes plus checksum zijn vrij eenvoudig te brute-forcen als je het hashalgoritme weet. Best kans dat het niet eens de moeite van een regenboogtabel waard is.

Meestal staat de QR code sanner op een smartphone en gebruikt die de camera om die code te kunnen scannen

Dus hoe ga ik nu om met het feit dat niemand mijn ID bewijs met een camera op een smartphone mag bekijken vanwege de klik-foto-auto-sync-naar-cloud optie?