Vandaag DigiD app gebruikt, maar die vraagt niet om biometrie. Wel de pincode.

Dit lijkt me toch niet voldoende veilig?
Zou iemand met een foto kunnen inloggen als die persoon die van je heeft?

vraag me af, of een smoelherkenning bezeikt kan worden met een correct gevouwen foto....

Dus een verzwakking van de security: er komst immers een methode bij naast dat de PIN ook blijft werken (groter aanvalsoppervlak).
Als je je aanvalsoppervlak vergroot ipv verkelind, dan staat veiligheid zeker niet voorop.

Dat is juist minder veilig: iets wat je bent mag door de overheidsdiensten worden gebruikt om je te dwingen je toestel en/of (digid) App te ontgrendelem, dat mag niet met iest wat je weet (password, pin, etc)

Het vereist _ook_ een DigiD-app die gekoppeld is aan jouw DigiD . Het is niet zomaar een offline aanval .
Vergelijkbaar met de bankier-apps - die kun je ook niet zomaar op jouw telefoon zetten, en dan alleen je maat z'n vinger erop leggen en daarna ZIJN rekening zien.


Het gebruikt de OS functie van authenticatie.

Die is (op iPhone) echt wel goed en niet simpelweg met een foto te faken.

Op Androids is het (soms) wat flexibeler.

je zou je natuurlijk kunnen inlezen op die foto/vingerafdruk authenticatie van smartphones, want dat deel is niet DigiD specifiek.

Als je je afvraagt welk risico groter is :
nabije aanvaller ziet/gokt/weet pincode, kan bij de telefoon of nabije aanvaller gaat aan de slag met vingerafdruk-mallen dan wel foto prints , welke denk je dan dat een groter risico is ?

Doe je afvragen in een search engine, want het onderwerp face recognition door de diverse smartphone opties is vaak genoeg onderzocht.

Gezichtsherkenning... Die kunnen ze dan lekker vergelijken met onder andere social media online en surveillance camera's op straat.
En er is absoluut geen garantie dat het gezicht wordt opgeslagen in een beschermde API omgeving of watbdan ook, het is een kwestie van je overheid "vertrouwen"... Doet me denken aan je vingerafduk in ID kaarten die " toevallig" was gelekt naar de politiedatabank, met een "sorry" achteraf.
Ik vertrouw die overheid voor geen meter, met die sleepwet van ze, dat heeft bij mij veel vertrouwen kapotgemaakt.

Biometrie is voor identificatie, niet voor authenticatie. Geen goede ontwikkeling dit.

Het doet me hieraan denken:
https://www.security.nl/posting/766548/Symantec%3A+mobiel+bankieren-apps+lekken+vingerafdruk+van+klanten

Bij mij werkt het gewoon, ik heb wel even de app geüpdated via de Store. Misschien pushen ze dat nog niet.

Zo werkt het niet helemaal. De kans dat bv. een huisgenoot je pincode kan afkijken bij inloggen op DigiD is relatief groot. Door nu biometrie te ondersteunen zullen de meeste gebruikers dat toepassen. Daarmee verklein je dit het risico van DigiD misbruik voor een kwaadwillende huisgenoot die bij je smartphone kan.
Er zijn andere scenario's waarin een pincode onveiliger is. Bijvoorbeeld bij het passeren van de Douane in de USA. In dat geval kan je gedwongen worden om je smartphone te unlocken via biometrie. In dat geval is een pincode weer veiliger, omdat ze niet kunnen dwingen dat je de pincode afgeeft. Dat is ook een reden dat je op bv. een iPhone biometrie ontgrendeling uit kan zetten door 5x snel de powerknop te gebruiken. Overigens kan die Douane je nog wel de toegang tot het land ontzeggen als je niet meewerkt, maar in ieder geval heb je dan nog een keuze.

Mogelijk heb ik ook wel eens zoiets beweerd, maar dat in onjuist. Identificatie is het noemen van een door mensen bedacht labeltje (zoals een naam). Hoewel niet 100% betrouwbaar: jonge kinderen herkennen hun ouders aan hun gezicht.

Niet alleen "je overheid" maar vooral de makers van de hardware en besturingssysteem van jouw smartphone. Daarom maak ik mij meer zorgen om wat ik in mijn volgende reactie schrijf.

Als je op een iPhone of iPad met Touch ID (vingerafdrukscanner):

• Ofwel géén vingerafdruk hebt opgeslagen;

• Ofwel wél een vingerafdruk hebt opgeslagen, maar onder "Instellingen" > "Touch ID en toegangscode" de instelling "Autom. invullen wachtw." hebt uitgeschakeld,

dan kun je, in veel gevallen, in de "iCloud sleutelhanger" opgeslagen credentials (wachtwoorden en private keys van passkeys) opvragen en gebruiken om op websites in te loggen zónder daarvoor te moeten authenticeren.

Ik vermoed dat dit ook geldt voor iDevices met Face ID, maar dat heb ik niet getest. Deze kwetsbaarheid heb ik in juni 2023 (via responsible disclosure) aan Apple gemeld, maar Apple blijft stellen dat het niet om een kwetsbaarheid gaat.

Iemand die toegang heeft tot jouw iDevice met ontgrendeld scherm (*) kan, met jouw (automatisch aangemaakte) Apple passkey inloggen op "jouw" https://appleid.apple.com en https://icloud.com - zonder biometrie, pincode of wachtwoord in te hoeven voeren.

(*) Een kind, een vreemde die jouw smartphone leent om te bellen, of een dief diie jouw pincode heeft afgekeken toen je deze invoerde, of jouw iPhone in ontgrendelde toestand uit jouw handen heeft gegrisd.

Dat kan als volgt:
1) Open een van de bovengenoemde Apple websites en klik op "Log in";

2) Er verschijnt een witte popup aan de onderkant van het scherm: "Wil je inloggen bij...": druk op ( X ) rechtsboven in die popup;

3) Er verschijnt een scherm waarin gevraagd wordt om "E-mail adres if telefoonnummer": druk in dat veld;

4) Er verschijnt een grijze popup aan de onderkant van het scherm: "Inloggen bij apple.com met je bewaarde passkey?" met daaronder een blauwe knop met witte tekst: "Gebruik '<jouwnaam>@icloud.com'". Druk daarop.

Tadaa... ingelogd.

M.b.t. passkeys werkt dit niet op elke site, maar wel voor elk in iCloud Sleutelhanger (Engels: KeyChain) opgeslagen wachtwoord voor webaccounts.

Ik hoop dat DigiD heeft vastgesteld dat je niet ook op deze manier jouw DigiD app kunt ontgrendelen.

Workaround: stel Touch ID in, scan desnoods je kleine teen.

Fix: klaag bij Apple. Daarbij kun je verwijzen naar bug "OE19476493072" of https://security.apple.com/reports/OE19476493072 (ook als je een AppleID hebt, kun je die pagina waarschijnlijk niet openen omdat je daar geen autorisatie voor hebt). Ook laatstgenoemde link kun je overigens openen zonder lokale authenticatie (op de door nij beschreven wijze, indien aan de voorwaarden wordt voldaan).

Dan heb je geen biometrie ingesteld op je toestel

Je kunt gedwongen worden je apparaat/digid te ontsluiten met je biometrie.
Die heb je namelijk altijd bij je. Dat ben je namelijk zelf.
Dus inherent onveilig.
Het is alleen makkelijker voor mensen die (onbegrijpelijkerwijs) moeite hebben om een 5 cijferige pincode te onthouden.

Zoals je zelf ook zegt, een pincode kun je door de spanning "vergeten".
Afkijken en schoudersurfen kun je verhinderen.
Dus iets veiliger dan biometrie.

Nog veiliger zou een steeds veranderende MFA zijn. Via een token of zo iets.

Makkelijk, dan kun je nog snel even inloggen als iemand niet echt meewerkt. Gewoon telefoon voor de geboeide persoon houden dan wel even de vinger lenen, kun je evt ook meenemen.
En vingerafdrukken liften en hergebruiken werkt ook al jaren mythbusters heeft hier een paar afleveringen aan geweid.

Graag bron!

Zie onder andere
https://cybercrimeadvocaten.nl/blog/2022/02/21/mag-de-politie-mijn-smartphone-onderzoeken

Of gebruik de Apple iCloud KeyChain niet (mijn voorkeur).

De preview-functie heeft een functie.

Op iOS is dat al zo, als de biometrische herkenning niet werkt, is de unlock code van het device altijd de fallback optie en dat is vanuit een gebruiker gezien volstrekt logisch.
net zoals de pincode de fallback is voor de biometrische ontgrendeling.
Als je veiliger wil, moet je eigenlijk beide verplicht stellen (2FA).
Overigens, zal voor Android ook gelden, un je pas biometrisch unlock instellen als het toestel ook een code heeft. Feitelijk moet je dan als die gezichtsherkenning of vingerafdruk niet werkt, 2 unlock codes hebben: die voor het toestel en de 5-cijfers voor de DiGiD app (2-stap, niet 2-factor).
Als je biometrie gebruikt moet je hem dus ook twee keer om de tuin weten te leiden.

Die garantie is er dus wel, tenzij je ook de hardware boeren niet vertrouwd.
Precies waarom voor Android toestellen een minimale eis is gesteld omdat alles wat daar niet aan voldoet dit soort garanties en andere veiligheidseisen niet heeft.
Ik zou zeggen: set je smartphone op vliegtuig modus, kun je nochsteeds unlocken met je gezicht? Dan blijft alles lokaal.

Amerikaans grenscontrole, en bij heel veel anderen landen, telefoon uitzetten als je er doorheen gaat.
Bij iOS moet je dan altijd eerst je wachtwoord invoeren voor dat je met touchID of faceID erin kan.
Overigens is er ook een noodprocedure, 5 keer op de unlock knop drukken in snelle actie, dan wordt ook de biometrische unlock geblokkeerd.
(ogen dicht knijpen als ze het proberen werkt mogelijk ook, 2-3 keer fout en de poging faalt).

Overigens, kun je ook voor DiGiD hoog kiezen.
met een nieuw rijbewijs of ID kaart (paspoort werkt het niet mee) kan je dat document + een code als echte 2-factor authenticatie gebruiken.
Of je het zo kan instellen dat die methode dan de enigste methode is, durf ik je niet te zeggen.
buiten dat, moet iemand die daar misbruik van wil maken, ook nog je DiGiD gebruikersnaam weten.

Dat een app gemachtigd is om te kijken wat jouw methode is om je mobiel te locken vind ik al te ver gaan!

Is dat heel veel anders dan oudere kinderen?

Hoewel, misschien doen pubers hun autorisatie-verificatie a.d.h.v. andere biometrische kenmerken: stemherkenning, zonder een blik te wisselen, alvorens ze toch nog steeds niet de vaatwasser inruimen.

Waarna bij een controle je er niet door heen mag.


url]https://www.cbp.gov/travel/cbp-search-authority/border-search-electronic-devices#:~:text=All%20travelers%20crossing%20the%20United,devices%20during%20the%20inspection%20process.[/url]

Hoe maak jezelf extra verdacht?

Ook lastig als je het thuisfront even moet bellen, dat je geweigerd bent en op de eerst volgende lucht weer terug komt.

Alleen kun je dit beter niet gebruiken. Het is een kwestie van tijd dat dit verplicht wordt, wanneer het maar genoeg mensen gebruiken. Het is namelijk een kwestie van tijd dat je deze handeling moet doen voordat jij het internet op kunt. Met een beetje geluk heeft het kabinet Schoof overeenkomsten met een Kalkoen, anders verwacht ik dit binnen nu en vijf jaar.

Maar dan kun je, op iDevices, geen passkeys gebruiken (op mijn iPhone sla ik wachtwoorden op in KeePassium).

Overigens heeft Apple gisteren een losse app "Passwords" geïntroduceerd (heb ik nog niet gezien, ik ben benieuwd - tip @Redactie): https://www.wired.com/story/apple-password-app-ios-18/.

Als ik een staatsapp naast het woord "biometrie" zie staan doe ik niet mee, of het nou veilig is of niet, lol.

Ging security niet over CIA? Een 'verzwakking' van enkel de vertrouwelijkheid is nog niet per definitie een 'verzwakking' van de security.

Huh? Bedoel je dat als ergens persoonsgegevens gelekt zijn er niets aan de hand is zolang de integriteit en beschikbaarheid maar niet aangetast zijn? Dat is dan ongeveer zoals een driepotig krukje stabiel blijft staan als je maar één van de poten hebt weggezaagd en de andere twee nog intact zijn. Hint: dan is er wél wat mis.

https://en.wikipedia.org/wiki/Attack_surface

Ik ben geen Apple gebruiker, maar moet je bij Apple altijd de iCloud gebruiken? Ik host mijn eigen "cloud" en gebruik geen cloud omgevingen van derden. En als ik bij Keepassium kijk zie ik dat er wel mogelijkheden lijken te zijn om naar andere cloud oplossingen te syncen https://support.keepassium.com/kb/sync/#sources, dus zou je toch gewoon passkeys kunnen gebruiken zonder de iCloud KeyChain?

Als je belangrijke gegevens hebt, gewoon een dummy phone meer op reis of een goedkope lege , waar dus niets op staat. je moet gewoon slimmer zijn. In de cloud kun je dan overal weer bij
Belangrijke apps even deinstalleren en in buitenland er weer op.

KeePassium ondersteunt geen passkeys omdat het een app is die op geen enkele wijze zelf met browsers integreert. Wel ondersteunen KeePassium voor iOS/iPadOS (en bijv. KeePassXC voor Android) "Autofill" in de zin van:

• Als geconstateerd wordt (door browser en/of OS, de verdeling ken ik niet precies) dat er om een user-ID en/of wachtwoord gevraagd wordt, maakt het OS de wachtwoordmanager naar keuze (er kunnen er meerdere tegelijk actief zijn) "wakker" door er de URL (of de domeinnaam) van de huidige website naar toe te sturen, zodat de wachtwoordmanager een popup kan tonen met de vraag of je autofill wilt gebruiken;

• Als je "ja" kiest zal de wachtwoordmanager je vragen naar een wachtwoord (of biometrie waarmee dat wachtwoord wordt ontsloten) om de wachtwoorddatabase te ontsleutelen;

• Vervolgens zoekt de wachtwoordmanager naar de domeinnaam in de database;

• Indien gevonden moet je "autofill" bevestigen waarna de credentials worden ingevuld.

Voor passkeys is een veel nauwere samenwerking tussen browser en passkeymanager vereist. Zo stuurt de browser een blob met data naar de passkeymanager die laatstgenoemde aanvult, digitaal ondertekent en retourneert aan de browser.

In principe kan het OS ook best dat verzorgen, maar dan zouden Apple en Android geen vendor lock-in meer hebben. En dat kan natuurlijk niet de (lees: hun) bedoeling zijn...

Als je een kruk hebt met een hele dikke poot en een met een hele dunne poot, dan kun je best wel wat hout van de dikke poot halen om de dunne poot mee te versterken. Heb je uiteindelijk toch een stabieler krukje.