Duitse overheid pleit voor groter gebruik biometrische 2FA bij online diensten
Meer bedrijven en organisaties moeten hun gebruikers biometrische tweefactorauthenticatie (2FA) aanbieden, zoals een scan van het gezicht of vingerafdruk, zo vindt de Duitse overheid. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, deed onderzoek naar het 2FA-gebruik van Duitse burgers.
Dan blijkt dat 82 procent van de respondenten het gebruik van een vingerafdruk eenvoudig vindt en tachtig procent het als veilig beschouwt. Als er wordt gekeken naar digitale diensten die biometrische 2FA aanbieden blijkt dit echter vrij beperkt te zijn. Van de 121 onderzochte digitale diensten in dertien verschillende sectoren, bleken er 73 procent 2FA aan te bieden. Biometrische 2FA was in 46 procent van de gevallen beschikbaar.
Volgens het BSI zou een breder gebruik van biometrische 2FA de cybersecurity van gebruikers kunnen verbeteren, omdat dan meer mensen er gebruik van zouden maken. Wanneer bedrijven of websites 2FA aanbieden, blijkt uit het onderzoek dat zestig procent het geregeld gebruikt. Wordt er gekeken naar de gebruikte 2FA-methode, dan staat sms met zestig procent bovenaan, gevolgd door het gebruik van de vingerafdruk (34 procent) en gezichtsscan (22 procent).
Biometrische gegevens kan je niet veranderen en dat is een goudmijn voor de cybermaffia.
Hoe gaat de overheid de (gelekte) biometrie bij een persoon dan wijzigen/resetten?
Hoeveel biometrie laten we nu al niet dagelijks overal achter in de boze buitenwereld?
Denk aan vingerafdrukken. DNA. Opnames van gezicht en ogen.
Trek nog maar een blik AI open om te helpen bij de fraude.
Je ogen of vingers niet. (misschien vingers nog wel). Maar je wilt juist GEEN biometrische gegeven gebruiken, gezien wat er vandaag de dag allemaal gelekt wordt.
En ja, als je alles veilig hasht, dan zou het redelijk kunnen. Maar ook daar zien we al jaren dat men dit verkeer doet.
En luister vooral naar de consument die geen flauw idee heeft van de impact....
TheYOSH
Bedrijven en organisaties, anders dan (*), kunnen dat hooguit op absurd onveilige wijze - namelijk doordat elk van hen (een "eenweg" afgeleide van) biometrische informatie zou gaan opslaan. Te zot voor woorden.
(*) Leveranciers van besturingssystemen voor consumentenapparaten, apparaten die zijn voorzien van biometrische sensoren met veilige verbindingen naar extreem lastig direct uit te lezen "secure hardware enclaves".
Je komt, linksom of rechtsom, uit op passkeys (met al hun nadelen, zie [1], [2], [3]), óf op een (vergelijkbare) wachtwoordmanager met een lokale database die je, naast met een "beresterk" wachtwoord, tevens met behulp van (lokale) biometrie kunt ontgrendelen. En vooral die tweede optie werkt prima op mijn iPhone en op mijn Google Pixel smartphone.
Waarom zulke ingewikkelde bla?
[1] "Passkeys voor leken": https://security.nl/posting/798699
[2] "Don't use Android passkeys!" (rest in NL): https://security.nl/posting/831554
[3] Use Apple passkeys without authentication" (EN): https://infosec.exchange/@ErikvanStraten/112015305786620807
Biometric "Security" Is NOT Secure
https://youtu.be/tJw2Kf1khlA&t=0
Pincodes uit een doodbrein pulken is nog lastig.
De larie dat het op een of andere manier buitgemaakt zou kunnen worden toont onbegrip en desinteresse in de stand van de techniek.
Het willen blijven vasthouden aan enkel verouderde benaderingen zoals een passwoord of opgeslagen key is stuitend.
Het eenvoudige SMS is niet zo verkeerd.
De verhalen dat een hack daar zo eenvoudig ziu zijn is te ver gezocht
1) Shared secret. In een deel van de gevallen kan daarvan, op de server, een éénweg-afgeleide zijn opgeslagen (dit geldt bijv. niet voor TOTP-secrets, en heeft nauwelijks zin bij korte cijfercodes);
2) Asymmetrische cryptografie. Een public key (evt. in een X.509 certificaat) op de server; de client bewijst tijdens het inloggen over de bijpassende private key te beschikken.
Mocht jij alternatieven kennen: ik leer heel graag!
Pincodes uit een doodbrein pulken is nog lastig.
Ook tijdens leven. Politie of criminelen die je telefoon ontgrendelt om even rond te neuzen in je telefoon, en zo hun eigen malware erop zetten.
DNA laat je dagelijks massaal achter via haren, huidschilfers, en excrementen (bv sperma).
Die zijn dus te verzamelen. En andersom,ook te planten.
Vingerafdrukken laat je de hele dag overal achter. Op kopjes, deuren, je telefoonscherm, alles wat je aanraakt.
Ook dat kan verzameld worden.
Simpel gezegd: biometrie is niet veilig omdat je het de hele dag overal achter laat of publiekelijk ten toon spreidt (gezicht en ogen).
Datzelfde doe je (hopelijk) niet met een wachtwoord, sms-berichtje, token, etc.
Dit is geen onbegrip in de ontwikkeling van de techniek. Eerder het tegengestelde. Een vrees dat die techniek ons nu wel heel snel inhaalt, en dat deze "oplossing" dan voor een heel groot probleem gaat zorgen.
Want deze biometrische data kan niet zomaar aangepast worden als het fout gaat. Zoals je zelf zo mooi opmerkt.
Dat is de zwakke plek van deze oplossing.
Deze biometrische data zal gaan lekken en misbruikt worden. Dat is een gegeven.
Het is namelijk een walhalla voor identiteitsdieven. De nieuwe maffia.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
