Door Anoniem (Ed): Ik ben het met je eens dat authenicatie tools (DigID, IRMA) niet direct een probleem zijn, maar hebben we geen omgeving waar we het veilig kunnen gebruiken.
Een voordeel van DigiD is wel dat de website waar je uiteindelijk aanmeldt, aan strenge eisen moet voldoen. Bovendien mogen alleen websites van eigenaren die BSN's mogen verwerken je met DigiD laten inloggen. Dat maakt de mogelijkheden om op een nepwebsite met DigiD in te loggen een stuk kleiner dan met de "NL Wallet".
Als je met via een overheidswebsite zoals digid.nl op willekeurige sites zou kunnen inloggen, zou het risico op authenticeren op nepwebsites en/of gehackte websites een stuk groter zijn. Bovendien zou de overheid dan, ook van niet-BSN-verwerkende sites, kunnen weten wanneer jij daarop inlogt, en daar zal een deel van de bevolking bezwaren tegen hebben.
Betrouwbare "absolute" authenticatieBetrouwbare authenticatie
kost veel geld. Daar enorm op besparen door dat iedereen online (op afstand) met een app te laten doen klinkt handig, maar levert geen betrouwbare authenticatie op. Het probleem is dat kennelijk gezaghebbende personen liegen dat dit toch mogelijk is, en dat veel te veel mensen dat als waarheid aannemen.
Nb. het gaat hier om "absolute" authenticatie bij een partij waar je nog geen account hebt ("absoluut" in de zin van dat je bewijst dat jij degene bent die jouw identiteitsbewijs beschrijft). Dat is een andere vorm van authenticatie dan inloggen op bijvoorbeeld security.nl, waarop je met een "naam" en e-mailadres naar keuze een account kunt aanmaken, met als voorwaarde dat je toegang moet hebben tot dat e-mailadres.
Het belang van de identiteitsbewijzerBij "absolute" authenticatie speelt nog een probleem: hoewel het vaak in het belang van de "identiteitsbewijzer" is dat identiteitsfraude zo moeilijk mogelijk is, speelt dat niet altijd. Bijvoorbeed als je te jong bent voor drank of specifieke beelden, of als of je bijvoorbeeld ingezetene van een specifiek land of woonplaats moet zijn voor een bepaalde dienst (maar daar niet woont).
Liegen over jouw identiteit is identiteitsfraude en strafbaar. Uit
https://www.omnius.nl/strafrecht-advocaat/fraude/identiteitsfraude/:
De maximale straf voor identiteitsfraude is 5 jaar gevangenisstraf of een geldboete van € 82.000. Wanneer u fraude pleegt met biometrische persoonsgegevens, bijvoorbeeld vingerafdrukken van iemand anders achterlaten op een plaats delict, dan wordt er zwaarder gestraft. De straf is zwaarder omdat dat iemand anders onterecht verdacht kan worden van het delict.
De vraag is of iedereen dit weet, of dat gedacht wordt dat je voordoen als 18+ met de ID van een ander net zo iets is als een filmkeuring negeren (met coronacheck werd ook stevig gefraudeerd; dat iets niet mag hoeft niets te zeggen over het aantal overschrijdingen - kijk maar eens naar 30km/u zones). Ook kan de pakkans (al dan niet terecht) als verwaarloosbaar worden ingeschat.
"Live" authenticatieNatuurlijk zou het kunnen werken als een kroegbaas of casinoportier een door jouw "NL Wallet" gegenereerde QR-code scant en daarna op
zijn smartphone jouw pasfoto te zien krijgt. Ogenschijnlijk klein probleem: ik wil helemaal niet dat
mijn pasfoto op de smartphones van willekeurige controleurs kan worden getoond, want dat vergroot mijn risico op misbruik van die foto.
Dat probleem kan al een stuk groter worden als een crimineel het systeem zo kan manipuleren (bijv. door omkoping) dat
zijn foto getoond wordt en deze gekoppeld blijkt aan
mijn identificerende gegevens (NAW, BSN, geboortedatum en plaats, ID-nummer).
Toegegeven, ook met tastbare paspoorten wordt gefraudeerd. Een probleem van digitalisering is echter zeer vaak de
grotere schaal waarop fraude mogelijk is; vaak hebben
veel meer mensen toegang tot dergelijke systemen, mensen die "stuk voor stuk" betrouwbaar moeten zijn, geen (zwakke) wachtwoorden (her)gebruiken en niet in phishing trappen etcetera.
Online authenticatie en leeftijdverificatieMaar hoe dit online betrouwbaar zou kunnen werken, ontgaat mij volledig. Onderin
https://www.theregister.com/2023/01/08/in_brief_security/ kun je lezen:
ID now required to access online smut in Louisiana
A bill signed into law in Louisiana last year has taken effect requiring anyone in the state looking to peruse pornographic content on websites like Pornhub or OnlyFans to verify their age first.
Daar heb je dus een "LA Wallet" (
https://lawallet.com/) voor nodig. Maar hoe gaat dit systeem voorkomen dat zoonlief van 15 de smartphone van pa, ma of oudere zus/broer "leent"? Of daar zelfs malware op installeert waardoor hij de authenticatieslag, als attacker in the middle, kan relayen via zijn eigen smartphone?
En wat voor ellende geeft dit als zo'n site (of grinder, second love, etc.) gehacked wordt en de gegevens op straat belanden, waarna
mensen die er niets mee te maken hebben zo'n site zouden bezoeken?
Te hoog ingeschatte betrouwbaarheidAls de betrouwbaarheid van authenticatie hoger wordt geadverteerd en ingeschat dan zij is, levert dat vroeger of later ellende op. En hoe kleiner het aantal slachtoffers, hoe ongeloofwaardiger dat jij het
niet was.
Schijnveilige authenticatieVoorbeeld: er zijn steeds meer online banken (bunq, knab, n26, ...) waar je met een paspoortscan en foto of filmpje een account kunt openen. In bijvoorbeeld
https://www.knab.nl/veiligheid/identiteitsfraude kun je lezen wat
jij moet doen om te voorkomen dat een ander een rekening opent
op jouw naam en rood gaat staan.
Zo'n foto of filmpje zeggen, vooral met de opkomst van AI, elke dag minder. Uit
https://support.n26.com/en-eu/account-and-personal-details/verifying-my-identity/why-isnt-my-photo-verification-working:
Why isn’t my photo verification working?
(i) Applies to all regions except Germany
First, geolocation must be enabled.
[...]
Hierdoor weten criminelen dat ze de EXIF-data wellicht zullen moeten aanpassen; wow wat een hindernis.
We
weten dat dit waardeloze authenticatie is. Er worden paspoortscans verhandeld op internet (bijvoorbeeld buitgemaakt direct voorafgaand aan een ransomwareaanval op gemeentes of een hack van de personeelsadministratie van jouw werkgever) en (manipuleerbare) foto's en filmpjes staan er genoeg op internet. Hopelijk is het niet heel moeilijk om een rechter ervan te overtuigen dat niet jij maar de bank voor dergelijke schade op gaat draaien. Ik vrees en vermoed dat banken tot de lobbyisten horen die ID-Wallets een goed idee vinden.
Authenticatie met Wallet-appDan nu de situatie dat jij een NL-Wallet hebt en cybercriminelen,
gebruikmakend van die NL-Wallet -
zonder dat jij dit merkt, een rekening op jouw naam openen en zo rood mogelijk gaan staan. Wiens schuld (risico) is dat dan? En welke bevolkingsgroep(en) lopen de grootste risico's hierop?
Door Anoniem (Ed): Ik zie het internet hetzelfde als op straat, meestal gaat het goed, soms fout.
Ik zie dat anders. Op straat zie ik de omgeving en wie er bij in mij buurt (kunnen) komen. Louche uitziende zaken kan ik voorbij lopen. En de slager (die mij herkent) hoeft niet te weten hoe ik heet en waar ik woon, en als hij gegevens van mij zou achterhalen via pinbetalingen, schat ik de kans dat hij daar misbruik van gaat maken in als zeer klein; hij heeft een reputatie hoog te houden.
Op internet heb ik meestal geen idee in welk land een server staat, wie daar allemaal bij kunnen en welke derde partijen er allemaal meekijken, en hoe mijn gegevens door die site worden beveiligd en of deze niet worden verhandeld.
Ik bekeek zojuist de gedetailleerde cookie-toestemmingen die gevraagd worden voor derde partijen door
https://techcrunch.com/2018/10/17/n26-faces-criticism-regarding-its-identification-processes/ en
https://www.wiwo.de/unternehmen/banken/sicherheitsmaengel-bei-n26-bafin-leitet-wegen-gefaelschter-ausweise-pruefung-ein/23175098.html: bizar hoeveel derde partijen zij over hun schouder laten meekijken naar elke stap die je zet op die websites.
Ik zie internet eerder als Russisch roulette; ellende is onvoorspelbaar. Als je voorzichtig doet is de kans op schade waarschijnlijk klein, maar
als het fout gaat, kan de impact enorm zijn. En in steeds meer gevallen sta je er dan alleen voor (forget KifiD en doortastende politie).