Door community (initieel Profeet), Op vri 26 nov 2010 19:38, 2 reacties,    

Vingerafdrukken: Overheid negeert eigen advies



Veilig internetten heb je zelf in de hand.
Onder deze titel, lanceerde de overheid, een campagne over veiligheid en identiteit. Nou weten we, deze campagnes worden slecht bekeken door burgers, maar dat de overheid ze zelf ook niet leest, erg jammer. Anders was het misschien nooit zo ver gekomen.

Tip 1
Verander regelmatig van wachtwoord
Dit is één van de adviezen, en terecht. Geen enkele beveiliging is namelijk 100% veilig, zeker niet op de lange termijn. Veiligheid word gemeten in tijd die het kost om iets te kraken. Als deze tijd lang genoeg is, noemt men het veilig, of praktisch veilig. Tegen de tijd dat de database gekraakt is, heb jij, als het goed is, je wachtwoord allang weer gewijzigd. Intelligent als je bent, (wat doe je anders hier?), zie jij de bui natuurlijk al hangen. Want hoe wijzig jij ooit je vingerafdruk? Niet! Stel je voor: je pinpas word gescimd, en jij kan geen nieuwe pas en pincode krijgen. Jij kunt alleen de bank bellen, om het misbruik te melden. Iedere week weer!


Tip 2
Laat uw wachtwoord niet rondslingeren in de buurt van uw computer, op uw bureau of in uw agenda.
Nog een goed advies. Eigenlijk moet je wachtwoorden nooit opschrijven, maar zeker niet op een plek, waar de AIVD het zoekt. Toch is de overheid zelf van plan een enorme database aan te leggen. Deze database slaat de vingerafdrukken bovendien in zijn geheel op.
Een traditionele wachtwoord database, slaat alleen een hash van het wachtwoord op. Dit betekent: het wachtwoord wat jij invoert, word via allerlei rekentruckjes, tot een hash omgezet. Deze hash word opgeslagen, en nooit het echte wachtwoord. Als "het gajes" z'n database in handen krijgen, hebben ze nog steeds een hele klus, om de werkelijke wachtwoorden te achterhalen. Onze vingerafdrukken database, slaat geen hashes op, maar complete vingerafdrukken. Dit betekent dat "het gajes", met deze database, meteen alle vingerafdrukken hebben.

Biometrische gegevens zijn niet geschikt als identificatie, het feit dat ze nooit te wijzigen zijn, maakt ze op de lange termijn onbruikbaar. Elk lek/inbraak van gegevens, is nooit meer te herstellen. Het is dus niet de vraag of, maar wanneer, criminelen onze vingerafdrukken in handen krijgen. Nou ja ..., uw vingerafdrukken, want die van mij krijgen ze niet!


PS Vanavond, zo dus, op nederland 2, uitgesproken over biometrisch paspoort.
Annotaties:
| #118246 | 28-11-2010 12:45 | merethan
Van een vingerafdruk zijn geen hashes te maken. Elke camera registreert de afdruk namelijk net ietsje anders, gezien de technologie/constructie altijd iets verschilt en jij je vinger nooit precies hetzelfde op die scanner duwt. Een exacte vergelijking is dus niet te maken.
Wanneer een vingerafdruk goedgekeurd wordt door een systeem betekent dat dus dat de opgeslagen data voor xx% overeen komt met de gelezen data.

Het idee van een hash is dat deze niet terug te herleiden is naar de oorspronkelijke data. Een kleine verandering in de data die gehashed wordt levert al een totaal andere hash op. Een soort butterfly effect in het algoritme. Kleine verandering, grote gevolgen voor de uitkomst.

Je kunt daarom nooit twee hashes vergelijken met elkaar om te kijken of de gelijkenis tussen de twee stukken bron data groot genoeg is.

Wat betekent dat dit systeem by design onveilig is en nooit gebouwd had mogen worden.
merethan's avatar
| #118256 | 28-11-2010 14:09 | Profeet
@merethan
priv-id zegt het voor elkaar te hebben. Alleen deze zijn niet voor opsporing te gebruiken, dus die zullen we in dit land wel nooit krijgen ;).
Profeet's avatar
aanmelden / inloggen