Door beaukey: Door Anoniem: Door beaukey: Door Anoniem: Het enige juiste advies is scan gewoon nooit QR codes via telefoons.
Het is niet veilig het is niet standaard te controleren en het heeft werkelijk geen enkel nut.
Dus scannen met een tablet is OK?
- Het is niet veilig
- het is niet standaard te controleren
- en het heeft werkelijk geen enkel nut.
Misschien kan deze 3 stellingen toelichten? Geldt dat dan alleen voor jou, of is dat voor meerdere (alle?) mensen die nu al QR codes scannen met hun smartphone?
Nee gewoon het hele concept van QR moet de prullenbak in.
Waar wij QR vroeger voor gebruikte was de vervanging van barcodes voor de interne inventarisatie van spullen in bijvoorbeeld topdesk of ander facility management suite.
Dit had nooit iets als een tool moeten worden gepresenteerd voor recreatief gebruik.
Het is niet veilig:
Dat is al tig keer gebleken je hoeft maar een zeroclick malware er te hebben en je bent de sjaak zelfs al heb je goede beveiliging en ben je security bewust. En voor het reguliere gros die klikt op elk willekeurige pop-up die ze in beeld krijgen.
Het is niet standaard te controleren op de meeste apparaten:
Je bent afhankelijk van een derde partij en quess what het is ook mogelijk om de preview van QR te spoofen.
Maar in tegenstelling tot een normale url kan ik niet even gauw extern een check doen op bijvoorbeeld certificate chain of trust.
Het heeft geen nut:
Het is een alternatief op shortlinks die ook onveilig zijn en men ook echt mee met kappen.
Er is een reden waarom we altijd volledig urls willen tonen omdat het de meeste standaard phising tegenhoudt.
Je mag me 1 toepassing noemen die voor consumenten noodzakelijk via een QR zou moeten en niet op conventionele veiligere methode kan. Gelet op dat je ook OCR kan toepassen voor minder validen. Voor je die route gaat bewandelen als argument maar even alvast genoemd.
1. Het versturen van een lange sessiesleutel in een multifactor authenticatie (bijv. Veridium, Transmit, etc.)
2. Of de tweede factor in multifactor authenticatie (bijv. zoals met DigID)
Een opdracht: laat eens een willekeurig persoon, in dit geval je oma, een shorlink URL intoetsen in een browser, en tel het aantal keer dat er een correctie op de URL moet plaatsvinden voordat de website getoond wordt.
De QR code kan veel meer data bevatten dan een streepjescode. Dat levert een heel scala aan nieuwe mogelijkheden op. Die mogelijkheden worden niet weggegooid om (computertechnisch) middeleeuwse methodes voor terug te halen.
Je bent een roepende in de woestijn...
Ah ja gemackzucht boven veiligheid dus.
1. Wat dacht je van een MFA, OTP combo instead?
En ja er kan meer info in een QR code (Dat is mede waarom het niet veilig is)
Ben ik eentje van roepend in de woestijn? Zijn we dat bijna allemaal niet als je in cyersecurity zit? Hoe vaak is advies zelfs aan branchegenoten wel niet aan dovenmans oren gericht?
Enig idee hoeveel pentesten op locatie gelukt zijn door slimme gasten die een QR code hebben gescanned die over een originele zijn geplakt of random in een hoekje zijn geplakt op een snack automaat? Het is de nieuwe vorm van de USB dongle taktiek. Nieuwsgierigheid is de beste wapen tegen beveiliging. Hier een infiltratie voorbeeld die we jaren geleden deden. Wachten tot er een presentatie ergens gegeven zou worden prepareer blad tussen de prints leggen voorzien van QR code met payload. Koste 2 uur en we zaten in directie systemen.
Ik zou een ouder persoon nooit een advies geven om een link shortner of qr te gebruiken. Wat ik zou doen is hem haar assisteren met een lijstje websites daar pictogrammen van maken en aangeven dat ze die het veiligst kunnen gebruiken voor basis zaken zoals bank.
Gewerkt voor onder andere zorg centra kan je zeggen de meeste sht die ik tegenkwam kwam niet door fout intypen maar door dat ze moetwillig dingen gingen zoeken die ze niet moesten op spullen die niet van hun zijn. Ga maar eens naar een zorgcentra en vraag aan de IT daar hoevaak ze porno hebben moeten verwijderen van de bibliotheek PC's omdat opa harold alles had aangeklikt en opengelaten vlak voor bezoek uur met de kids.
Nog niet te hebben over de shit die leraren en onder andere artsten uitvreten op bedrijfsnetwerken.
Het hebben van een onveilige standaard die niet controleerbare informatie overdracht bemoedig helpt daar 0,0 bij.