Door Anoniem: Door Erik van Straten: Dilemma: hoe "sterker" [*] het bewijs van identiteit, hoe groter de potentiële schade voor slachtoffers van identiteitsfraude.
Onjuist.
Waarom onjuist?
Door Anoniem: En goed "bewijs van identiteit" is niet te copieren naar een andere omgeving om daar dan vervolgens weer als bewijs van identiteit te dienen.
Dan zou online authenticatie (digitaal op afstand) ook niet mogelijk zijn. Daarbij gaat het m.i. immers altijd om
potentieel kopieerbare bytes die worden verzonden of uitgewisseld.
In een deel van die gevallen gaat het om
eenmalig gebruik (zoals een "one time password" uit bijv. Authy), maar ook dan kan elke aanvaller met toegang tot de route tussen de verifiërende en authenticerende partij zich voordoen als die laatste en de verbinding overnemen of er op meeliften. Bovendien wordt vervolgens meestal een "sessie token", een shared secret (zoals een session cookie of een Kerberos ticket) verstrekt dat vervolgens als
tijdelijke authenticator wordt gebruikt, en door aanvallers met toegang tot zo'n token kan worden misbruikt. Tevens zijn de meeste (zo niet alle) online authenticatiemethodes gebaseerd op langdurig opgeslagen "secrets" (bijv. private keys of OTP shared secrets) of afgeleiden van "secrets" (bijv. wachtwoordhashes), die in de praktijk regelmatig door criminelen worden "gestolen" (in de zin van illegaal gekopieerd) en waar vervolgens identiteitsfraude mee wordt gepleegd.
Ook dit is dus
"bewijs van identiteit" dat soms wél kan worden gekopieerd "
naar een andere omgeving om daar dan vervolgens weer als bewijs van identiteit te dienen".
Ten slotte zijn de meeste "account reset" (wachtwoord vergeten, hardware key verloren of defect, certificaat verlopen, ...) gebaseerd op
zwakkere technieken dan de authenticatiemethode zelf, waardoor dit alles mij aan kaartenhuizen en drijfzand doet denken (denk bijv. aan SIM-swapping en certificaatuitgevers die identiteiten nauwelijks of niet verifiëren). Ik ken maar weinig mensen die beseffen hoe groot de risico's zijn die zij lopen zodra een cybercrimineel toegang krijgt tot hun e-mail account...
Ik vrees echter dat we, voor veel toepassingen, niet meer zonder online authenticatie kunnen (al was het maar dat ik het heel vervelend zou vinden als iemand anders onder mijn naam op deze site teksten zou kunnen schrijven waar ik niet achter sta).
Voor toepassingen met grote risico's vind ik online authenticatie
plus de daaropvolgende uitwisseling van vertrouwelijke en noodzakelijkerwijs betrouwbare gegevens echter ongeschikt,
alleen al omdat de computers en draagbare devices die we daar
zelf voor gebruiken, in veel te veel gevallen (vooral in handen van de zwakkeren in onze samenleving) onvoldoende veilig voor zijn.
Door Anoniem: Dat is nou net wat er fout is met "weet BSN" en "kopietje paspoort" als bewijs van identiteit.
Je hebt gelijk dat hierbij gebruik wordt gemaakt van informatie die niet geheim is. We doen meer moeite om eerdergenoemde bytes
geheim te houden, maar in de praktijk slagen we ook daar maar matig in. Online authenticatie is dus vooral gebaseerd op
vertrouwelijkheid, waarbij een BSN en een kopietje paspoort helemaal niet vertrouwelijk zijn (en een kopietje paspoort het ook nog eens zonder de meeste echtheidskenmerken moet stellen,
en dat is maar goed ook). Helaas lukt het ons (nog steeds) niet om onze overheid, banken etc. ervan te overtuigen dat kennis van BSN, een kopietje paspoort te kunnen overleggen en de geboortdatum van je moeder weten, totaal niet bewijzen dat iemand is wie zij/hij zegt te zijn. Kennelijk zijn er veel te veel naïevelingen die lijken te denken dat alle mensen deugen; zoals ik zo vaak schrijf, de essentie is meestal niet dat jij kunt bewijzen dat jij jij bent, maar dat
een kwaadwillende niet kan "bewijzen" dat hij/zij jij is.
Door Anoniem: Bij een goed systeem moet je dat bewijs live leveren en is het resultaat alleen dat identiteit bewezen is en niet en copietje wat iemand anders ook weer kan gebruiken.
Of dat systeem "goed" is hangt vooral af van de bekwaamheid en integriteit van de verifieerder alsmede de manipuleerbaarheid en kopieerbaarheid van "identiteitsbewijzen" (inclusief biometrische kenmerken waaronder vingerafdrukken).
Als Tim Coronel verneemt dat broer Tom de hoofdprijs in een loterij heeft gewonnen, maar deze vandaag niet gaat cashen, en Tim het paspoort van Tom stiekem mee kan nemen, dan schat ik de kans groot dat Tim die hoofdprijs meekrijgt. Mensen die op elkaar lijken, het gebruik van maskers/vermommingen en vervalste (soms gestolen) identiteitsbewijzen (Mark Rutte:
https://static.standaard.be/Assets/Images_Upload/2015/09/16/b5bfdae8-5c83-11e5-8c16-41efac056b90_original.jpg) vormen een probleem, en als de verifieerder chantabel is of diens taak niet goed uitoefent, houdt ook alles op.
En net als bij online authenticatie: als jouw rijbewijs en paspoort (daadwerkelijk of naar verluidt) gestolen zijn, hoe betrouwbaar kun jij dan nog bewijzen dat jij jij bent? En vooral: hoe moeilijk is het voor een kwaadwillende om te bewijzen dat zij/hij jij is?
Authenticatie is fundamenteel lastig. Vooral als de betrouwbaarheid van een authenticatiemethode wordt overschat (bijv. omdat de verkoper van de methode wordt geloofd) kan dat dramatische gevolgen hebben voor slachtoffers van identiteitsfraude - zowel bij online als bij live authenticatie.