image

Nederlandse identificatie-app PiM gekoppeld met betaaldienst Buckaroo

donderdag 4 maart 2021, 10:46 door Redactie, 18 reacties

De Nederlandse identificatie-app PiM van KPN, waarmee gebruikers zich bij bedrijven, winkels en webshops kunnen aanmelden, inloggen en betalen, is gekoppeld met betaaldienst Buckaroo. De app moet voor een "wachtwoordloos Nederland" zorgen, zo laat KPN weten.

Gebruikers installeren de app en maken vervolgens een persoonsgebonden account aan met basisgegevens. Het gaat dan in eerste instantie om gebruikersnaam, e-mailadres en telefoonnummer. Extra gegevens zoals bankrekeningnummer en adres kunnen later worden toegevoegd. Vervolgens kunnen gebruikers zich via de app bij een bedrijf, winkel of webshop identificeren.

Door de koppeling met Buckaroo kunnen gebruikers zich via PiM aanmelden en identificeren bij bijvoorbeeld webwinkels en online diensten. Hierdoor is het mogelijk om via de app bij verschillende websites in te loggen, waarbij gebruikers niet meer meerdere wachtwoorden hoeven te onthouden. Verder hebben gebruikers controle over welke gegevens ze via PiM met bedrijven delen.

Om zich bij een bedrijf aan te melden moet eerst de PiM-app via Face-id, vingerafdruk of een pincode worden geopend. Vervolgens scant de gebruiker de PiM qr-code van de webshop of bedrijf. Na goedkeuring van de gebruiker worden zijn of haar gegevens direct door PiM met het bedrijf gedeeld. De identificatie-app kan zowel online als fysieke identificatiemethode worden ingezet, als in het online betaalproces en het digitaal ondertekenen van documenten. "PiM maakt een wachtwoordloos Nederland mogelijk, waarbij veiligheid en gebruiksvriendelijkheid voorop staan", aldus KPN. De app is zowel voor Android als iOS beschikbaar.

Reacties (18)
04-03-2021, 10:49 door majortom
Hadden we al niet zoiets, dat FIDO2 heet en hetzelfde doel heeft? https://fidoalliance.org/fido2/
04-03-2021, 11:24 door Anoniem
Wordt toch weer het aloude Kermit telefoon project met die betaaldiensten als "vervanger" / alternatief voor het pinpas verkeer wederom van opgepoetst.....
Terwijl de meerwaarde - zelfs door de beste marketing mensen die KPN bij bijeenkomsten wist in te zetten - niet inzichtelijk was.
Dan gaan ze nu vervolgens ook nog eens in de overdrive met face-id, bang dat ze zijn dat Facebook eerder met een bril of helm mensen in weet te klemmen / in te bedden in hun diensten pakket.
Meldt ik er volledigheidshalve maar bij dat KPN als staatsbedrijf al sinds de jaren 80 het Echelon station voor verwerking van telefoon verkeer met een juridische omzeiling van Nederlands recht omzeild en dus bepaald geen enkel schone tent is.
Waarbij u moet weten dat Nederland daardoor wereldwijd koploper afluisteren en aftappen van telefoonverkeer werd.

Als je beseft dat face-id zelfs door Amerikaanse overheidsdiensten ten behoeve van authenticatie voor high-security perimter toegang clearance werd geschrapt wegens hun statement - onvoldoende security waarborgen - dan moet KPN, Facebook en andere bedrijven toch wel snappen dat ze een onheilzaam pad met gezicht identicatie inslaan.
Waarbij aangetekend dient te worden dat die gezichtsherkenning bij die diensten met bijkomende andere middelen in bedrijf was, tegen heel heel veel investeringen.
De hele operatie daarvoor hebben ze ontmanteld.
Een enorme adelating lijkt me dat.
Oftewel, single entry-points bieden in combinatie met meerdere aanvullende checks duidelijk onvoldoende waarborgen om op te bouwen.
04-03-2021, 11:32 door Anoniem
waarom moet je je identificeren als je iets koopt? zodat je in deze situatie terecht kan komen?

https://www.youtube.com/watch?v=INLyfPPwtPY

koop nooit online met je echte naam.
04-03-2021, 11:50 door Anoniem
Door majortom: Hadden we al niet zoiets, dat FIDO2 heet en hetzelfde doel heeft? https://fidoalliance.org/fido2/
Ja, maar FIDO2 is ontwikkeld met privacy in het achterhoofd. Dan krijgt KPN geen inzage meer in alle websites waar jij je aanmeld. Dus de term passwordless wordt wel overgenomen, maar de privacy eigenschappen niet. Anders valt er weinig geld mee te verdienen.
04-03-2021, 11:55 door Erik van Straten - Bijgewerkt: 04-03-2021, 11:56
Uit https://pim.app/:
Wat gebeurt er als ik een valse QR-code scan?
[...]
Zonder dat jij het ziet voegt het echte bedrijf namelijk een officiële handtekening en certificaat toe aan de QR-code. De zorgen over phishing zijn verleden tijd want je kunt dus nooit inloggen met een valse QR-code.
Als ik goed begrijp hoe het werkt (na kort lezen op die site) geloof ik niets van deze claim.

Stel ik klik op een link (in mail of sms) naar een fake site zoals https://veilig-inloggen-bol.com/ die mij de de QR-code van de echte inlogpagina van bol.com laat zien. Die scan ik met die PiM app, en geef toestemming om in te loggen. Tenzij ik iets over het hoofd zie, kan de eigenaar van veilig-inloggen-bol.com dan als mij inloggen op bol.com.

Is pim.app net zo onbetrouwbaar als de Australische MyGovID app, of zie ik iets over het hoofd?
04-03-2021, 12:23 door majortom - Bijgewerkt: 04-03-2021, 12:30
Door Erik van Straten: Uit https://pim.app/:
Wat gebeurt er als ik een valse QR-code scan?
[...]
Zonder dat jij het ziet voegt het echte bedrijf namelijk een officiële handtekening en certificaat toe aan de QR-code. De zorgen over phishing zijn verleden tijd want je kunt dus nooit inloggen met een valse QR-code.
Als ik goed begrijp hoe het werkt (na kort lezen op die site) geloof ik niets van deze claim.

Stel ik klik op een link (in mail of sms) naar een fake site zoals https://veilig-inloggen-bol.com/ die mij de de QR-code van de echte inlogpagina van bol.com laat zien. Die scan ik met die PiM app, en geef toestemming om in te loggen. Tenzij ik iets over het hoofd zie, kan de eigenaar van veilig-inloggen-bol.com dan als mij inloggen op bol.com.

Is pim.app net zo onbetrouwbaar als de Australische MyGovID app, of zie ik iets over het hoofd?
Als je een QR code in handen krijgt die van het legitieme bedrijf afkomt, en presenteert op een phishing web site, dan verstrek je volgens mij inderdaad je credentials van de echte web site aan de fake web site. Misschien dat ze een timestamp in de QR code verwerken (waarbij de app checkt of die niet meer dan x seconden afwijkt tov de systeemtijd), zodat je in ieder geval een replay attack minimaliseert.

Ook zou de QR code gepresenteerd aan de ene persoon niet bruikbaar moeten zijn voor de andere; ook oplosbaar (verwerk account in de QR code).

Of dit allemaal zo is weet ik niet; misschien een keer een check doen bij een site die dit ondersteund door de QR code uit te lezen met een andere app, maar 100% waterdicht is het niet (wat het natuurlijk nooit is).

Overigens zorgt het verwerken van een certificaat en signature in een QR code wel voor behoorlijk grote QR code. Die zul je echt op een groot scherm moeten zetten en vergroten om die met de gemiddelde telefoon te kunnen scannen. Die QR codes op de site als voorbeeld, kunnen nooit een signature en certificaat bevatten. Dit gaat, met een 2048 bits RSA key, als snel rond de 1K bytes kosten.
04-03-2021, 14:04 door Anoniem
Hoe serieus kun je een bedrijf qua privacy nog nemen dat een tracker gebruikt van Google?

Zou zelfs sowieso dan ook nooit PiM gebruiken.
04-03-2021, 14:06 door Erik van Straten
Door majortom: Misschien dat ze een timestamp in de QR code verwerken (waarbij de app checkt of die niet meer dan x seconden afwijkt tov de systeemtijd), zodat je in ieder geval een replay attack minimaliseert.
Als de eigenaar van veilig-inloggen-bol.com dit automatiseert (indien tools als Modlishka, Muraena, Evilgenx2 of CredSniper het doorzetten van QR-codes niet out-of-the-box ondersteunen, zouden zij hiervoor aangepast kunnen worden) is de vertraging een fractie van een seconde, verwaarloosbaar met de afwijking die systeemklokken kunnen hebben en de tijd dat het duurt voordat omalief haar smartphone op de juiste manier voor het scherm heeft gehouden en de OK knop heeft gevonden.

Door majortom: Ook zou de QR code gepresenteerd aan de ene persoon niet bruikbaar moeten zijn voor de andere; ook oplosbaar (verwerk account in de QR code).
Dat user-ID heeft omalief of ik even daarvoor ingevoerd op veilig-inloggen-bol.com, die dat namens omalief of mij heeft ingevoerd op bol.com - waarna bol.com de QR-code met user-ID, timestamp etc. heeft gegenereerd en getoond aan de eigenaar van veilig-inloggen-bol.com, waarna diezelfde QR-code op laatstgenoemde website verschijnt.

Het probleem hier is dat de gebruiker de domeinnaam niet checkt, niet weet dat de getoonde domeinnaam niet van de bedoelde organisatie is of niet weet dat de domeinnaam in verkeerde handen gevallen is (zoals recentelijk perl.com). Ik zie niet hoe je dat probleem oplost met een app.

P.S. fijn dat je meedenkt! Op snake oil oplossingen zit niemand te wachten, maar als ik iets slims over het hoofd zie zou ik zo'n oplossing onterecht kunnen afkraken.
04-03-2021, 14:36 door Anoniem
https://demo.pim.app
04-03-2021, 14:39 door majortom - Bijgewerkt: 04-03-2021, 14:56
Door Erik van Straten:
Het probleem hier is dat de gebruiker de domeinnaam niet checkt, niet weet dat de getoonde domeinnaam niet van de bedoelde organisatie is of niet weet dat de domeinnaam in verkeerde handen gevallen is (zoals recentelijk perl.com). Ik zie niet hoe je dat probleem oplost met een app.
Ik denk dat je gelijk hebt dat hier het probleem ligt. De nep website die als een reverse proxy fungeert, kan nooit het goede certificaat en URL bieden, maar de gemiddelde gebruiker ziet dit inderdaad niet (die URLs lijken vaak ook als 2 druppels water op de echte site op het eerste gezicht). De app ziet het ook niet, want die ziet alleen een QR code en niet de bijbehorende URL (met certificaat).

Ik ben het dan ook met je eens dat de app een soort van schijnveiligheid biedt. Kwaadwillenden kunnen hier gewoon misbruik van maken.

Ik snap dan ook niet waarom zo'n app gelanceerd wordt, zeker niet als er FIDO2 oplossingen zijn (zoals ik in mijn eerste post al aangaf) .

EDIT: nu ik erover nadenk. De app kan natuurlijk wel direct een connectie maken met de echte web site en niet met de fake web site om in te loggen. Dan kom je niet meer door de nep-website en wordt de fakesite omzeilt. Wellicht zie ik hier weer wat over het hoofd.
04-03-2021, 15:10 door majortom - Bijgewerkt: 04-03-2021, 15:12
Door Anoniem: https://demo.pim.app

De QR code die op die site wordt getoond levert de volgende data op:

https://m.pim.app/?m=Te7NCm3&k=GO87ZFP5TNF1DBKCCOV4&a=AA&t=Inloggen+bij+TestMerchant&d=Wilt+u+inloggen+bij+TestMerchant%3F&r=EN&u=1&s=1kvYNKX6P33AFl6rU6siS9IystjenE-6rViClbsgsC9t8

Een certificaat zie ik niet terug in de QR code. Wel een signature zo te zien (parameter s vermoed ik).
Dan zal de PIM app denk ik alleen het certificaat van PIM vertrouwen, en zal de signature met de private key behorend bij dat certificaat zijn gemaakt. Dat betekent dat er een of andere service zal moeten zijn (van PIM) die de QR codes verstrekt aan de web-winkel om te presenteren. Of dat de winkels dat zelf doen met een eigen key-pair, maar dat zou betekenen dat al die certificaten dan op een of andere manier bij de app bekend gemaakt moeten worden.

Niet helemaal zoals ze melden dus, aangezien er geen certicaat in de QR code zit, alleen de signature.
04-03-2021, 15:40 door Anoniem
Enkele maanden geleden heb ik als proef een implementatie mogen maken met pim. Ik moet zeggen dat producten van KPN die niets te maken hebben met belminuten, MB's of televisie vaak weinig toekomstbestendig zijn, maar in dit geval geef ik ze het voordeel van de twijfel. Zoals majortom al een beetje inschat is pim een gesloten systeem. Ze kennen zowel de consument als het bedrijf. Het bedrijf maakt een qr-code aan die ondertekend is met een signature, waarschijnlijk om de qr-code enigzins "klein" te houden. De verdere communicatie die tussen pim en bedrijf plaatsvindt wordt in een directe lijn met certificaten geregeld. Dus een qr-code stelen heeft geen zin. Bovendien krijgt de consument ook te zien met wie de gegevens gedeeld worden (na toestemming).

Ik denk dat er meerdere technieken te vinden zijn die (technisch) concurrerend zijn. De kunst is echter om de consument (en bedrijven) zover te krijgen het te gaan gebruiken. Ik ben benieuwd of KPN dit voor elkaar gaat krijgen.
04-03-2021, 17:41 door majortom
Door Anoniem: Het bedrijf maakt een qr-code aan die ondertekend is met een signature, waarschijnlijk om de qr-code enigzins "klein" te houden.
Ik neem aan dat dit gedaan is om de integriteit en de afzender van de QR code te waarborgen (non-repudiation).
Maar ik denk dat je eigenlijk bedoelde dat enkel de signature in de QR code zit en niet ook het certificaat om de QR code klein te houden
05-03-2021, 09:21 door Erik van Straten - Bijgewerkt: 05-03-2021, 09:40
Door majortom: De app kan natuurlijk wel direct een connectie maken met de echte web site en niet met de fake web site om in te loggen. Dan kom je niet meer door de nep-website en wordt de fakesite omzeilt.
De app maakt inderdaad verbinding met de echte website, maar dat is precies het probleem: noch de echte website, noch de app, noch KPN, weet dat niet jij inlogt, maar dat de eigenaar van veilig-inloggen-bol.com dit namens jou doet.

Als je die MitM-site ziet als een verlengstuk van jouw browser, begrijp je misschien dat je dit probleem niet simpelweg oplost met een app die losstaat van de gebruikte browser.

Door majortom: De QR code die op die site wordt getoond levert de volgende data op:

https://m.pim.app/?m=Te7NCm3&k=GO87ZFP5TNF1DBKCCOV4&a=AA&t=Inloggen+bij+TestMerchant&d=Wilt+u+inloggen+bij+TestMerchant%3F&r=EN&u=1&s=1kvYNKX6P33AFl6rU6siS9IystjenE-6rViClbsgsC9t8
Op https://demo.pim.app/ zie ik (met Firefox op iPhone en Android) geen QR-code, maar als ik op de knop "Klik hier voor PiM inlog" druk, krijg ik ook zo'n soort URL:
https://m.pim.app/?m=Te7NCm3&k=GO88D9HOV2EAR5ZJQGED&a=AA&t=Inloggen+bij+TestMerchant&d=Wilt+u+inloggen+bij+TestMerchant%3F&r=EN&u=1&s=1kJ8xr4EW_OTc3Bp2bseZWeyZy_-XTjla7h6bLpw0lP20

Nb. als de app in plaats van -kennelijk- "Wilt u inloggen bij TestMerchant?" iets zou laten zien als "Verzeker u ervan dat de domeinnaam in de URL exact testmerchant.nl luidt en dat uw webbrowser, naast die URL, een slotje toont zonder streep erdoor (klik hier voor uitleg)", dan zou dat een deel van de gangbare phishing attacks kunnen helpen voorkomen.

Door majortom: Een certificaat zie ik niet terug in de QR code.
Dat hoeft ook niet, het certificaat (of een losse public key) zal wel in de app zitten, of "verderop" in de API op een server van KPN. Vervalsingen kun je daarmee uitsluiten, maar replay attacks natuurlijk niet. Waarom zou je als aanvaller geldige QR-codes proberen te maken als je correcte QR-codes zo vanaf webshops kunt kopiëren?

Door majortom: Dat betekent dat er een of andere service zal moeten zijn (van PIM) die de QR codes verstrekt aan de web-winkel ...
Klopt, uit https://developer.kpn.com/apis/kpn-pim-id-api:
Create company-specific QR-codes: The PiM ID API makes it easy to create secure QR-codes. Your customer scans the company specific QR-code with the PiM application on his own phone.
Het voordeel hiervan is dat de private key voor signing bij KPN blijft.

Aanvulling: het viel niet mee om deze bijdrage geplaatst te krijgen; kennelijk zat er in de laatste 2 regels in de aangehaalde tekst hierboven een non-ASCII streepje (in "QR-code") waardoor security.nl mijn post weigerde (preview werkt dan wel). Na een paar pogingen gisteravond moest ik ook nog eens captcha's gaan invullen, na even proberen heb ik het toen maar opgegeven...
05-03-2021, 10:58 door majortom - Bijgewerkt: 05-03-2021, 10:58
Door Erik van Straten:
Door majortom: De app kan natuurlijk wel direct een connectie maken met de echte web site en niet met de fake web site om in te loggen. Dan kom je niet meer door de nep-website en wordt de fakesite omzeilt.
De app maakt inderdaad verbinding met de echte website, maar dat is precies het probleem: noch de echte website, noch de app, noch KPN, weet dat niet jij inlogt, maar dat de eigenaar van veilig-inloggen-bol.com dit namens jou doet.

Als je die MitM-site ziet als een verlengstuk van jouw browser, begrijp je misschien dat je dit probleem niet simpelweg oplost met een app die losstaat van de gebruikte browser.
Je hebt inderdaad gelijk. De app kan dan wel direct naar de echte site gaan, maar die logt je gewoon in (want die vertrouwt de app) en de MiTM site presenteert dit vervolgens weer aan de user. De MiTM heeft dan niet de credentials, maar is wel "baas" van de sessie.

Door Erik van Straten: Nb. als de app in plaats van -kennelijk- "Wilt u inloggen bij TestMerchant?" iets zou laten zien als "Verzeker u ervan dat de domeinnaam in de URL exact testmerchant.nl luidt en dat uw webbrowser, naast die URL, een slotje toont zonder streep erdoor (klik hier voor uitleg)", dan zou dat een deel van de gangbare phishing attacks kunnen helpen voorkomen.
Ja dat kan natuurlijk (dat zal wel instelbaar zijn), maar de gemiddelde gebruiker of ziet het niet of vertrouwt de app dusdanig dat dit geignored wordt.

Door majortom: Dat betekent dat er een of andere service zal moeten zijn (van PIM) die de QR codes verstrekt aan de web-winkel ...
Klopt, uit https://developer.kpn.com/apis/kpn-pim-id-api:
Create company-specific QR-codes: The PiM ID API makes it easy to create secure QR-codes. Your customer scans the company specific QR-code with the PiM application on his own phone.
Het voordeel hiervan is dat de private key voor signing bij KPN blijft.
Elk voordeel heeft ook weer zijn nadeel. Nadeel is de afhankelijkheid van de PIM API en beschikbaarheid daarvan. Nadeel is ook dat wanneer de KPN key gecompromitteerd is, alle webwinkels die hiervan gebruik maken gecompromitteerd zijn. Persoonlijk hou ik niet zo van een systeem met slechts 1 key voor alle gebruikers. Maar dit is een keuze en risico afweging.
05-03-2021, 13:26 door Anoniem
Is dit niet gewoon een eigen IRMA?
07-03-2021, 17:21 door Anoniem
Die QR codes op de site als voorbeeld, kunnen nooit een signature en certificaat bevatten. Dit gaat, met een 2048 bits RSA key, als snel rond de 1K bytes kosten.
Misschien gebruiken ze Elliptic Curve i.p.v. RSA, dan is je key veel kleiner. Als nieuw concept, moet dat toch kunnen, want geen compatability met legacy crypto nodig.
09-03-2021, 16:05 door Anoniem
Door Anoniem: Is dit niet gewoon een eigen IRMA?
Door Anoniem: Is dit niet gewoon een eigen IRMA?
Door Anoniem: Is dit niet gewoon een eigen IRMA?
Door Anoniem: Is dit niet gewoon een eigen IRMA?
Zie wel overeenkomst ik vind pim wel een stuk gebruikersvriendelijker en zit grote telecom provider(s) achter?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.