image

Duitse overheid pleit voor groter gebruik biometrische 2FA bij online diensten

maandag 15 april 2024, 11:29 door Redactie, 11 reacties

Meer bedrijven en organisaties moeten hun gebruikers biometrische tweefactorauthenticatie (2FA) aanbieden, zoals een scan van het gezicht of vingerafdruk, zo vindt de Duitse overheid. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, deed onderzoek naar het 2FA-gebruik van Duitse burgers.

Dan blijkt dat 82 procent van de respondenten het gebruik van een vingerafdruk eenvoudig vindt en tachtig procent het als veilig beschouwt. Als er wordt gekeken naar digitale diensten die biometrische 2FA aanbieden blijkt dit echter vrij beperkt te zijn. Van de 121 onderzochte digitale diensten in dertien verschillende sectoren, bleken er 73 procent 2FA aan te bieden. Biometrische 2FA was in 46 procent van de gevallen beschikbaar.

Volgens het BSI zou een breder gebruik van biometrische 2FA de cybersecurity van gebruikers kunnen verbeteren, omdat dan meer mensen er gebruik van zouden maken. Wanneer bedrijven of websites 2FA aanbieden, blijkt uit het onderzoek dat zestig procent het geregeld gebruikt. Wordt er gekeken naar de gebruikte 2FA-methode, dan staat sms met zestig procent bovenaan, gevolgd door het gebruik van de vingerafdruk (34 procent) en gezichtsscan (22 procent).

Image

Reacties (11)
15-04-2024, 11:38 door Anoniem
Tot biometrische gegevens misbruikt gaan worden.
Biometrische gegevens kan je niet veranderen en dat is een goudmijn voor de cybermaffia.
15-04-2024, 11:59 door Anoniem
Als die biometrische data lekt (waarom niet, dan gebeurt nu al met andere persoonsgegevens), en er een manier gevonden wordt om die te misbruiken (de vraag is "wanneer", niet "of"), dan ontstaat er een groot probleem.

Hoe gaat de overheid de (gelekte) biometrie bij een persoon dan wijzigen/resetten?

Hoeveel biometrie laten we nu al niet dagelijks overal achter in de boze buitenwereld?
Denk aan vingerafdrukken. DNA. Opnames van gezicht en ogen.


Trek nog maar een blik AI open om te helpen bij de fraude.
15-04-2024, 12:08 door Anoniem
Hoe zoo is dit veiliger? Een wachtwoord kun je resetten. Een fysieke token kun je omwisselen.

Je ogen of vingers niet. (misschien vingers nog wel). Maar je wilt juist GEEN biometrische gegeven gebruiken, gezien wat er vandaag de dag allemaal gelekt wordt.

En ja, als je alles veilig hasht, dan zou het redelijk kunnen. Maar ook daar zien we al jaren dat men dit verkeer doet.

En luister vooral naar de consument die geen flauw idee heeft van de impact....

TheYOSH
15-04-2024, 12:39 door Erik van Straten
Meer bedrijven en organisaties moeten hun gebruikers biometrische tweefactorauthenticatie (2FA) aanbieden, zoals een scan van het gezicht of vingerafdruk [...]
Wat een onzinnige larie weer.

Bedrijven en organisaties, anders dan (*), kunnen dat hooguit op absurd onveilige wijze - namelijk doordat elk van hen (een "eenweg" afgeleide van) biometrische informatie zou gaan opslaan. Te zot voor woorden.

(*) Leveranciers van besturingssystemen voor consumentenapparaten, apparaten die zijn voorzien van biometrische sensoren met veilige verbindingen naar extreem lastig direct uit te lezen "secure hardware enclaves".

Je komt, linksom of rechtsom, uit op passkeys (met al hun nadelen, zie [1], [2], [3]), óf op een (vergelijkbare) wachtwoordmanager met een lokale database die je, naast met een "beresterk" wachtwoord, tevens met behulp van (lokale) biometrie kunt ontgrendelen. En vooral die tweede optie werkt prima op mijn iPhone en op mijn Google Pixel smartphone.

Waarom zulke ingewikkelde bla?

[1] "Passkeys voor leken": https://security.nl/posting/798699

[2] "Don't use Android passkeys!" (rest in NL): https://security.nl/posting/831554

[3] Use Apple passkeys without authentication" (EN): https://infosec.exchange/@ErikvanStraten/112015305786620807
15-04-2024, 16:03 door Anoniem
Goede informatieve video van The Hated One op YouTube over de gevaren van biometrische beveiliging;
Biometric "Security" Is NOT Secure
https://youtu.be/tJw2Kf1khlA&t=0
15-04-2024, 16:11 door Anoniem
Gezichtscan / vinger afdruk zijn ook handig bij misbruik toegang na overlijden...
Pincodes uit een doodbrein pulken is nog lastig.
15-04-2024, 18:11 door karma4
Door Anoniem: Tot biometrische gegevens misbruikt gaan worden. Biometrische gegevens kan je niet veranderen en dat is een goudmijn voor de cybermaffia.
Net zo min als je DNA kan veranderen, je vingerafdruk. De maffia heeft daar grote problemen mee omdat ze na vele jaren daarmee als nog voor de bijl gaan. Het is een voordeel voor echte veiiligheid.

De larie dat het op een of andere manier buitgemaakt zou kunnen worden toont onbegrip en desinteresse in de stand van de techniek.

Het willen blijven vasthouden aan enkel verouderde benaderingen zoals een passwoord of opgeslagen key is stuitend.
Het eenvoudige SMS is niet zo verkeerd.
De verhalen dat een hack daar zo eenvoudig ziu zijn is te ver gezocht
15-04-2024, 18:49 door Erik van Straten
Door karma4: Het willen blijven vasthouden aan enkel verouderde benaderingen zoals een passwoord of opgeslagen key is stuitend.
Huh? Ik ken slechts twee mogelijkheden voor authenticatie van (gebruikers van) clients op servers:

1) Shared secret. In een deel van de gevallen kan daarvan, op de server, een éénweg-afgeleide zijn opgeslagen (dit geldt bijv. niet voor TOTP-secrets, en heeft nauwelijks zin bij korte cijfercodes);

2) Asymmetrische cryptografie. Een public key (evt. in een X.509 certificaat) op de server; de client bewijst tijdens het inloggen over de bijpassende private key te beschikken.

Mocht jij alternatieven kennen: ik leer heel graag!

Door karma4: Het eenvoudige SMS is niet zo verkeerd. De verhalen dat een hack daar zo eenvoudig ziu zijn is te ver gezocht
Definieer "zo eenvoudig". Ben je ondertussen zo oud dat je vergeet om rekening te houden met de lucrativiteit van aanvallen en de potentiële (menselijke) kwetsbaarheden, en/of de daarvan afgeleide kans en impact voor slachtoffers?
15-04-2024, 21:00 door Anoniem
Door Anoniem: Gezichtscan / vinger afdruk zijn ook handig bij misbruik toegang na overlijden...
Pincodes uit een doodbrein pulken is nog lastig.

Ook tijdens leven. Politie of criminelen die je telefoon ontgrendelt om even rond te neuzen in je telefoon, en zo hun eigen malware erop zetten.
Interessante keuze van de BSI. Dit helemaal omdat al die diensten dan een DPIA moeten doen, moeten kijken welke uitzondering er nodig is (art. 9.2 AVG) omdat biometrische gegevens voor het uniek identificeren van een natuurlijk persoon als bijzondere persoonsgegevens worden aangemerkt door de AVG (art. 9.1) en daarmee de verwerking ervan per definitie verboden is. Mits er dus een uitzondering gevonden kan worden, waarbij toestemming een lastig verhaal gaat worden.
16-04-2024, 13:48 door Anoniem
Door karma4:
Door Anoniem: Tot biometrische gegevens misbruikt gaan worden. Biometrische gegevens kan je niet veranderen en dat is een goudmijn voor de cybermaffia.
Net zo min als je DNA kan veranderen, je vingerafdruk. [..] De larie dat het op een of andere manier buitgemaakt zou kunnen worden toont onbegrip en desinteresse in de stand van de techniek.

DNA laat je dagelijks massaal achter via haren, huidschilfers, en excrementen (bv sperma).
Die zijn dus te verzamelen. En andersom,ook te planten.

Vingerafdrukken laat je de hele dag overal achter. Op kopjes, deuren, je telefoonscherm, alles wat je aanraakt.
Ook dat kan verzameld worden.

Simpel gezegd: biometrie is niet veilig omdat je het de hele dag overal achter laat of publiekelijk ten toon spreidt (gezicht en ogen).
Datzelfde doe je (hopelijk) niet met een wachtwoord, sms-berichtje, token, etc.


Dit is geen onbegrip in de ontwikkeling van de techniek. Eerder het tegengestelde. Een vrees dat die techniek ons nu wel heel snel inhaalt, en dat deze "oplossing" dan voor een heel groot probleem gaat zorgen.
Want deze biometrische data kan niet zomaar aangepast worden als het fout gaat. Zoals je zelf zo mooi opmerkt.
Dat is de zwakke plek van deze oplossing.

Deze biometrische data zal gaan lekken en misbruikt worden. Dat is een gegeven.
Het is namelijk een walhalla voor identiteitsdieven. De nieuwe maffia.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.