image

Australië verbiedt Touch ID voor beveiligen beschermde overheidsdata

dinsdag 8 oktober 2019, 16:15 door Redactie, 5 reacties

Australische ambtenaren en overheidsinstanties mogen geen Touch ID of Face ID gebruiken om "beschermde overheidsdata" te beveiligen, zo heeft het Australische Cyber Security Centre (ACSC) bepaald. Het ACSC publiceerde onlangs een beveiligingsconfiguratiehandleiding voor iOS-toestellen.

Met de handleiding wil het ACSC overheidsinstanties op de risico's van iOS-toestellen wijzen voordat ze binnen instanties in gebruik worden genomen. De informatie is echter ook te gebruiken door bedrijven en organisaties. In de handleiding staan aanbevolen configuraties vermeld voor onder andere beheerdersrechten, applicatiewhitelisting, back-ups, patches en macro-instellingen voor Microsoft Office.

Daarnaast gaat de handleiding in op het omgaan met vertrouwelijke data. Voor vertrouwelijke gegevens kent de Australische overheid vijf niveaus, waarbij top secret en secret de hoogste twee zijn. Hierna volgt informatie met het label "Protected". Het gaat dan om informatie die wanneer gelekt schade aan nationale belangen, organisaties en individuen kan toebrengen.

Deze informatie mag niet worden beveiligd met de Touch ID- en Face ID-functies van de iPhone. De biometrische authenticatie van iOS is namelijk niet door de Australische geheime dienst geëvalueerd. "En de beveiligingsclaims van de feature zijn lastig te beoordelen", aldus het ACSC. Het gebruik van Touch ID en Face ID om beschermde overheidsdata te beveiligen is dan ook niet toegestaan. In plaats daarvan moet er een voldoende lange en complexe passcode worden gebruikt. Data die als "Official: sensitive" is bestempeld, waarvan het lekken een veel kleinere impact heeft, mag wel met biometrische authenticatie worden beveiligd.

Reacties (5)
08-10-2019, 16:47 door User2048
De ACSC zegt dus niet dat Touch ID en Face ID niet veilig zijn. Ze zeggen alleen dat de geheime dienst het niet geëvalueerd heeft.

Overigens denk ik dat dergelijke gevoelige informatie helemaal niet op smartphones aanwezig moet zijn.
08-10-2019, 17:21 door Anoniem
Door User2048: De ACSC zegt dus niet dat Touch ID en Face ID niet veilig zijn. Ze zeggen alleen dat de geheime dienst het niet geëvalueerd heeft.
Ja, en lastig te beoordelen ook, omdat "alle ins en outs" van wat er binnenin precies gebeurt niet bekend zijn,
want Apple zal deze propriety-knowledge wel niet vrijgeven.
08-10-2019, 20:40 door Anoniem
Closed source obscurity.

Veel belangrijker: identificatie is niet geschikt al identificatie.
09-10-2019, 07:29 door karma4
Door Anoniem: Closed source obscurity.

Veel belangrijker: identificatie is niet geschikt al identificatie.
Je moet wel bij de juiste betekenis blijven..
Identificatie bij forensische wetenschap is het bewijs leveren over welke voorheen onbekende persoon het gaat.

In cyberveiligeid iam hebben we identificatie ofwel de bewering over welke persoon het gaat met authenticatie waarbij het bewijs geleverd moet worden dat het de juiste persoon bij die bewering is.
Je hebt de false positives en de false negatives om de betrouwbaarheid weer te geven.
Als je de betekenis in dd context niet begrijpt zal het nooit wat worden. Apple is toch gewoon open source....tenminste hier in nl met het paspoort via nfc Android of Ios gaan lopen.
09-10-2019, 11:12 door Korund
Door User2048:Overigens denk ik dat dergelijke gevoelige informatie helemaal niet op smartphones aanwezig moet zijn.
Ik denk dat dat ook niet het geval is. Maar met de smartphone geeft wel toegang tot de gevoelige informatie.

En voor de nitpickers: ja, ik weet dat wanneer je de informatie op je smartphone ziet/waarneemt, dan is de informatie ook op je smartphone aanwezig. Maar die aanwezigheid is van voorbijgaande aard (transient). Uit het oog, uit het hart, zeg maar.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.