Vandaag DigiD app gebruikt, maar die vraagt niet om biometrie. Wel de pincode.

Dit lijkt me toch niet voldoende veilig?
Zou iemand met een foto kunnen inloggen als die persoon die van je heeft?

vraag me af, of een smoelherkenning bezeikt kan worden met een correct gevouwen foto....

Dus een verzwakking van de security: er komst immers een methode bij naast dat de PIN ook blijft werken (groter aanvalsoppervlak).
Als je je aanvalsoppervlak vergroot ipv verkelind, dan staat veiligheid zeker niet voorop.

Dat is juist minder veilig: iets wat je bent mag door de overheidsdiensten worden gebruikt om je te dwingen je toestel en/of (digid) App te ontgrendelem, dat mag niet met iest wat je weet (password, pin, etc)

Het vereist _ook_ een DigiD-app die gekoppeld is aan jouw DigiD . Het is niet zomaar een offline aanval .
Vergelijkbaar met de bankier-apps - die kun je ook niet zomaar op jouw telefoon zetten, en dan alleen je maat z'n vinger erop leggen en daarna ZIJN rekening zien.


Het gebruikt de OS functie van authenticatie.

Die is (op iPhone) echt wel goed en niet simpelweg met een foto te faken.

Op Androids is het (soms) wat flexibeler.

je zou je natuurlijk kunnen inlezen op die foto/vingerafdruk authenticatie van smartphones, want dat deel is niet DigiD specifiek.

Als je je afvraagt welk risico groter is :
nabije aanvaller ziet/gokt/weet pincode, kan bij de telefoon of nabije aanvaller gaat aan de slag met vingerafdruk-mallen dan wel foto prints , welke denk je dan dat een groter risico is ?

Doe je afvragen in een search engine, want het onderwerp face recognition door de diverse smartphone opties is vaak genoeg onderzocht.

Gezichtsherkenning... Die kunnen ze dan lekker vergelijken met onder andere social media online en surveillance camera's op straat.
En er is absoluut geen garantie dat het gezicht wordt opgeslagen in een beschermde API omgeving of watbdan ook, het is een kwestie van je overheid "vertrouwen"... Doet me denken aan je vingerafduk in ID kaarten die " toevallig" was gelekt naar de politiedatabank, met een "sorry" achteraf.
Ik vertrouw die overheid voor geen meter, met die sleepwet van ze, dat heeft bij mij veel vertrouwen kapotgemaakt.

Biometrie is voor identificatie, niet voor authenticatie. Geen goede ontwikkeling dit.

Het doet me hieraan denken:
https://www.security.nl/posting/766548/Symantec%3A+mobiel+bankieren-apps+lekken+vingerafdruk+van+klanten

Bij mij werkt het gewoon, ik heb wel even de app geüpdated via de Store. Misschien pushen ze dat nog niet.

Zo werkt het niet helemaal. De kans dat bv. een huisgenoot je pincode kan afkijken bij inloggen op DigiD is relatief groot. Door nu biometrie te ondersteunen zullen de meeste gebruikers dat toepassen. Daarmee verklein je dit het risico van DigiD misbruik voor een kwaadwillende huisgenoot die bij je smartphone kan.
Er zijn andere scenario's waarin een pincode onveiliger is. Bijvoorbeeld bij het passeren van de Douane in de USA. In dat geval kan je gedwongen worden om je smartphone te unlocken via biometrie. In dat geval is een pincode weer veiliger, omdat ze niet kunnen dwingen dat je de pincode afgeeft. Dat is ook een reden dat je op bv. een iPhone biometrie ontgrendeling uit kan zetten door 5x snel de powerknop te gebruiken. Overigens kan die Douane je nog wel de toegang tot het land ontzeggen als je niet meewerkt, maar in ieder geval heb je dan nog een keuze.

Mogelijk heb ik ook wel eens zoiets beweerd, maar dat in onjuist. Identificatie is het noemen van een door mensen bedacht labeltje (zoals een naam). Hoewel niet 100% betrouwbaar: jonge kinderen herkennen hun ouders aan hun gezicht.

Niet alleen "je overheid" maar vooral de makers van de hardware en besturingssysteem van jouw smartphone. Daarom maak ik mij meer zorgen om wat ik in mijn volgende reactie schrijf.

Als je op een iPhone of iPad met Touch ID (vingerafdrukscanner):

• Ofwel géén vingerafdruk hebt opgeslagen;

• Ofwel wél een vingerafdruk hebt opgeslagen, maar onder "Instellingen" > "Touch ID en toegangscode" de instelling "Autom. invullen wachtw." hebt uitgeschakeld,

dan kun je, in veel gevallen, in de "iCloud sleutelhanger" opgeslagen credentials (wachtwoorden en private keys van passkeys) opvragen en gebruiken om op websites in te loggen zónder daarvoor te moeten authenticeren.

Ik vermoed dat dit ook geldt voor iDevices met Face ID, maar dat heb ik niet getest. Deze kwetsbaarheid heb ik in juni 2023 (via responsible disclosure) aan Apple gemeld, maar Apple blijft stellen dat het niet om een kwetsbaarheid gaat.

Iemand die toegang heeft tot jouw iDevice met ontgrendeld scherm (*) kan, met jouw (automatisch aangemaakte) Apple passkey inloggen op "jouw" https://appleid.apple.com en https://icloud.com - zonder biometrie, pincode of wachtwoord in te hoeven voeren.

(*) Een kind, een vreemde die jouw smartphone leent om te bellen, of een dief diie jouw pincode heeft afgekeken toen je deze invoerde, of jouw iPhone in ontgrendelde toestand uit jouw handen heeft gegrisd.

Dat kan als volgt:
1) Open een van de bovengenoemde Apple websites en klik op "Log in";

2) Er verschijnt een witte popup aan de onderkant van het scherm: "Wil je inloggen bij...": druk op ( X ) rechtsboven in die popup;

3) Er verschijnt een scherm waarin gevraagd wordt om "E-mail adres if telefoonnummer": druk in dat veld;

4) Er verschijnt een grijze popup aan de onderkant van het scherm: "Inloggen bij apple.com met je bewaarde passkey?" met daaronder een blauwe knop met witte tekst: "Gebruik '<jouwnaam>@icloud.com'". Druk daarop.

Tadaa... ingelogd.

M.b.t. passkeys werkt dit niet op elke site, maar wel voor elk in iCloud Sleutelhanger (Engels: KeyChain) opgeslagen wachtwoord voor webaccounts.

Ik hoop dat DigiD heeft vastgesteld dat je niet ook op deze manier jouw DigiD app kunt ontgrendelen.

Workaround: stel Touch ID in, scan desnoods je kleine teen.

Fix: klaag bij Apple. Daarbij kun je verwijzen naar bug "OE19476493072" of https://security.apple.com/reports/OE19476493072 (ook als je een AppleID hebt, kun je die pagina waarschijnlijk niet openen omdat je daar geen autorisatie voor hebt). Ook laatstgenoemde link kun je overigens openen zonder lokale authenticatie (op de door nij beschreven wijze, indien aan de voorwaarden wordt voldaan).

Dan heb je geen biometrie ingesteld op je toestel

Je kunt gedwongen worden je apparaat/digid te ontsluiten met je biometrie.
Die heb je namelijk altijd bij je. Dat ben je namelijk zelf.
Dus inherent onveilig.
Het is alleen makkelijker voor mensen die (onbegrijpelijkerwijs) moeite hebben om een 5 cijferige pincode te onthouden.

Zoals je zelf ook zegt, een pincode kun je door de spanning "vergeten".
Afkijken en schoudersurfen kun je verhinderen.
Dus iets veiliger dan biometrie.

Nog veiliger zou een steeds veranderende MFA zijn. Via een token of zo iets.

Makkelijk, dan kun je nog snel even inloggen als iemand niet echt meewerkt. Gewoon telefoon voor de geboeide persoon houden dan wel even de vinger lenen, kun je evt ook meenemen.
En vingerafdrukken liften en hergebruiken werkt ook al jaren mythbusters heeft hier een paar afleveringen aan geweid.

Graag bron!

Of gebruik de Apple iCloud KeyChain niet (mijn voorkeur).