image

Duitsland en Frankrijk waarschuwen voor risico's videogebaseerde identificatie

donderdag 21 december 2023, 16:11 door Redactie, 3 reacties

De Duitse en Franse overheid waarschuwen voor de risico's van videogebaseerde identificatie, aangezien het eenvoudiger is voor aanvallers om hierbij te frauderen dan het geval is bij 'face-to-face' fysieke afspraken en contacten. Steeds meer diensten en bedrijven voeren online identificatie uit. Vaak wordt daarbij voor een videogebaseerde aanpak gekozen om mensen te identificeren.

Het is echter belangrijk dat zowel het getoonde identiteitsdocument echt is als overeenkomt met de eigenschappen van de persoon die zich laat identificeren, zoals zijn gezicht en vingerafdrukken. "Dit soort identificatie is erg complex en kan worden misbruikt door aanvallers voor identiteitsdiefstal. Gestolen identiteiten zijn te gebruiken van spionage of sabotage, of voor financieel gewin door criminelen", aldus het Duitse BSI en Franse ANSSI. De cyberagentschappen hebben een document gepubliceerd met informatie en adviezen voor het toepassen van 'Remote Identity Proofing'.

Daarin staat dat er bijvoorbeeld minimaal een 720p-videokwaliteit moet worden gebruikt voor het opnemen van gezichten. Om er zeker van te zijn dat er niet met het beeldmateriaal is geknoeid moet de persoon in kwestie willekeurige opdrachten uitvoeren. Verder merken de overheidsdiensten op dat identiteitsdocumenten geen visuele beveiligingsfeatures hebben. Het gebruik van foto of videogebaseerde methodes om de authenticiteit van id-documenten te verifiëren zijn dan ook niet effectief.

Volgens het Bundesamt für Sicherheit in der Informationstechnik (BSI) en het Franse nationale bureau voor beveiliging van informatiesystemen (ANSSI) is een grensoverschrijdende methodologie voor het testen van remote identity proofing procedures wenselijk en kan dit via standaarden en certificering onder de Europese Cybersecurity Act geïmplementeerd worden.

Reacties (3)
21-12-2023, 16:39 door Anoniem
Dat maakt toch niet uit dat het niet kan werken? Het is wel lekker makkelijk!
21-12-2023, 17:00 door Erik van Straten - Bijgewerkt: 21-12-2023, 17:50
Dit wordt een kat-en-muisspel tussen identiteitsfraudeurs die (vooral minder digitaalvaardige) mensen in phishing laten trappen {*} en/of van AI gebruikmaken, en verifieerders die alle mogelijke fraude met AI proberen af te vangen.

Let the AI-battles begin!

Helaas ontbreken vangnetten voor slachtoffers met wiens identiteit wordt gefraudeerd. Wellicht kunnen we het KifiD ook inschakelen voor klachten op dit vlak, zij weten er vast wel raad mee.

{*} Hoe weet je als leek dat de verifieerder niet is wie zij/hij zegt te zijn, maar een AitM? Die vervolgens jouw (digitaal ondertekende, dus "echte") identificerende gegevens op haar/zijn smartphone zet?

Aanvulling 17:50: ik heb het "risico-document" nog eens goed gelezen, maar zie nergens iets terug over AitM-aanvallen. Bizar, want juist de reden om QWAC's te introduceren is, dat je als burger, verifiërende partijen erop moet kunnen vertrouwen dat zij niet, als een AitM, jouw identiteit stelen. Hoe denken BSI en ANSSI dit soort slachtoffers te voorkómen, die juist op het moment van de enrollment kwetsbaar zijn?
21-12-2023, 17:20 door Anoniem
Er is ook geen grondslag voor het opslaan van de beelden. Een identificatie is immers gedaan of niet.

Banken proberen biometrie te verplichten, maar dat mag natuurlijk niet. De normale werkwijze van controleren van identiteit is het tonen van de identiteitspapieren aan een functionaris. Die methode bestond al en is veel minder invasief. Gelet op het gebrek aan noodzaak kunnen banken dus niet -zoals ze nu doen- e.e.a. verplichten. Er zijn overigens ook nog veel mensen zonder smartphone of webcam die zodoende worden gediscrimineerd.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.