45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

ID-Plicht - Paspoort

Paspoortchip: Wat staat erop? En is hij te hacken?

Ons EU-paspoort is sinds de gebeurtenissen op 11 september 2001 uitgerust met een flinterdun RFID-chipje. Je vindt dit draadloze chipje in de houderpagina in je paspoort – de pagina met je foto en persoonsgegevens. Dit zijn de gegevens die erop staan:

  • Je foto in kleur
  • Je geslacht
  • Je voorvoegsel(s)
  • Je naam en voornamen
  • Je geboortedatum
  • Je nationaliteit
  • Je Burgerservicenummer (BSN)
  • Je gelaatsscan
  • Je vingerafdrukken
  • Het documenttype
  • Het documentnummer
  • De geldigheid van het document
  • Het land van uitgifte

De chip bevat dus alle gegevens van de houderpagina, aangevuld met biometrische kenmerken: je gelaatsscan en je vingerafdrukken. Deze gegevens gaan look-alike fraude – iemand die met een paspoort reist van iemand die op hem lijkt – tegen. Als bovenstaande informatie eenmaal erop is geladen, wordt de chip als het ware gesloten. Er kan dan géén nieuwe informatie meer bij worden gezet en de chip kan alleen nog maar uitgelezen worden aan de hand van zijn elektronische handtekening. 

Nu we weten wat er op onze paspoortchip staat, rijst de vraag: Zijn onze gegevens te hacken? Voor het antwoord wenden we ons tot een AFAR-verslaggever, die in contact wist te komen met een Amerikaanse hacker, genaamd Tinker. Volgens Tinker is onze RFID-chip relatief gemakkelijk te hacken, ware het niet dat de benodigde technologie om dit te doen zwaar en lomp is. Alleen als een hacker zich mét zijn apparaten op zéér korte afstand van je weet te verschuilen, lukt het hem om je paspoortchip uit te lezen. 

En feitelijk is je informatie voor een hacker niet bijster interessant. Alleen de steeds wisselende elektronische handtekening van je chip zou van enige waarde kunnen zijn. Het klinkt dus misschien een beetje gek, maar onder de huidige omstandigheden zijn je paspoortgegevens voor hackers simpelweg niet waardevol genoeg.

Alles bij de bron; ColumbusMagazine


 

Camera op ingang politiebureau R'dam inzet tot privacy-rel

De beveiligingscamera bij de ingang van het politiebureau naast het stadhuis mag alleen worden gefotografeerd als de maker van de foto zich kan legitimeren. De Partij voor de Dieren vindt dit schending van privacy en heeft schriftelijke vragen gesteld aan het stadsbestuur.

‘’Een staandehouding wil zoveel zeggen dat je je op bevel moet legitimeren en dat er een registratie wordt gemaakt. Dit kan best intimiderend overkomen, maar bovenal betekent het dat er zomaar om je legitimatiebewijs kan worden gevraagd als je op straat een foto maakt. Wij vinden dit zorgelijk’’, aldus de PvD, die duidelijkheid wenst over het beleid omtrent staandehoudingen. ‘’Hoe kunnen Rotterdammers weten dat zij hun legitimatiebewijs moeten tonen als zij fotograferen in de buitenruimte? En waartoe dient de registratie van een staandehouding? Wat gebeurt er met die gegevens?’’

Alles bij de bron; dagblad010


 

Staatssecr. Knops : Opslag vingerafdruk kan voor veiliger paspoort zorgen

Staatssecretaris Knops reageerde op Kamervragen van de Partij voor de Dieren. PvdD-Kamerlid Arissen stelde die naar aanleiding van het nieuws dat vingerafdrukken in het paspoort niet door de overheid worden gecontroleerd.

Knops bevestigt dat vingerafdrukken in Nederlandse paspoorten op dit moment niet op (inter)nationale luchthavens worden gecontroleerd. Omdat elke staat de vingerafdrukken in het paspoort beveiligd opslaat, en er van elk land een certificaat nodig is om de vingerafdrukken uit te lezen, neemt het proces om dit te realiseren veel tijd in beslag.

Knops werd ook gevraagd of hij vindt dat de Europese verplichting om vingerafdrukken op te nemen in het paspoort, het recht op privacy van Nederlandse burgers schendt en dat noodzaak en proportionaliteit ontbreken. De staatssecretaris wijst naar een uitspraak van het Hof van Justitie van de Europese Unie dat de opname van vingerafdrukken de privacy van burgers raakt, maar wordt gerechtvaardigd door het doel om fraude met paspoorten te voorkomen.

Op de vraag of hij zelf voor- of tegenstander van de opslag van vingerafdrukken in het paspoort is antwoordt Knops dat het gebruik van vingerafdrukken kan bijdragen aan het beter beveiligen van het paspoort tegen fraude. "Met het oog daarop wil de Koninklijke Marechaussee de vingerafdrukvergelijking dan ook aan de grens toepassen." Onlangs werd bekend dat er weinig look-alike-fraude met Nederlandse paspoorten plaatsvindt.

Arissen wilde verder weten hoeveel de invoering van de vingerafdruk in het Nederlandse paspoort de samenleving heeft gekost. "In de media is het beeld ontstaan dat de invoering van de vingerafdrukken 32 miljoen euro heeft gekost. Dat is niet juist. Dit bedrag is in 2006 eenmalig gereserveerd voor de invoering van de chip op het paspoort, waarop ook andere gegevens staan, zoals de digitale pasfoto", schrijft Knops (pdf). De invoering van deze chip leidde in 2006 tot een verhoging van het maximumtarief voor het paspoort met 8,05 euro.

Alles bij de bron; Security


 

Vingerafdruk in paspoort nutteloos en peperduur

Vingerafdrukken zijn sinds 2009 verplicht in paspoorten, maar er wordt eigenlijk nooit op gecontroleerd. Zo kan de marechaussee op Schiphol niet eens controleren op vingerafdrukken omdat de dienst daar geen werkende apparatuur voor heeft.

In het buitenland worden ook geen Nederlandse vingerafdrukken gecontroleerd. Het ministerie van Justitie geeft toe aan de NOS dat Nederland de sleutel om de vingerafdrukken te ontcijferen nog met geen enkel ander land heeft gedeeld. 

Het idee van de vingerafdruk in het paspoort is dat kwaadwillenden niet meer het paspoort kunnen gebruiken van iemand die op hen lijkt. Dit als een reactie op de aanslagen van 11 september 2001 in de VS.

De invoering van de vingerafdruk in het paspoort kostte tientallen miljoenen euro's, berekent de NOS. Alleen al de scanners die de gemeenten moesten hebben, zouden meer dan 30 miljoen euro hebben gekost.

Alles bij de bron; RTL


 

Geen paspoort nodig voor vluchten binnen EU

Iedereen die dat wil, ook criminelen en terroristen, kunnen gemakkelijk anoniem door Europa vliegen. Als er geen bagage wordt ingecheckt hoef je bij bepaalde luchtvaartmaatschappijen nooit een identiteitsbewijs te laten zien.

Diverse medewerkers van BNR Nieuwsradio gingen afgelopen periode binnen Europa op vakantie met enkel handbagage en hoefden nergens hun identiteitsbewijs te laten zien. De tickets waren online geboekt, en om in te checken hoefden alleen de boarding passes te worden gescand. In de praktijk kun je dus op andermans naam in een vliegtuig stappen. 

Vliegtuigmaatschappijen zijn niet verplicht een identificatieplicht te doen. Ze moeten de veiligheid garanderen, maar dat doen ze door middel van fouilleren en scans. In het Schengenverdrag is vrij verkeer van goederen en mensen gewaarborgd.

Alles bij de bron; BNR


 

Legitimatieplicht voor jong uitgaanspubliek in Castricum

Wie 21 jaar of jonger is en komend weekend wil stappen in Castricum, moet zich vooraf melden op een centrale plaats om zich te legitimeren.

Met behulp van een ID-scanner stelt een horecaportier de leeftijd van de bezoeker vast. De ’scanpost’ wordt gevestigd in een unit op het Horecaplein. Wie boven de achttien jaar is krijgt een stempel die toegang geeft tot de horeca en waarmee alcohol mag worden besteld. Wie geen achttien is, krijgt een andere stempel en kan geen alcohol bestellen. ID-bewijzen waarmee wordt gefraudeerd en valse ID-bewijzen worden direct ingenomen en vernietigd. Het systeem is afgekeken van Texel, waar het in uitgaansdorp De Koog is ingevoerd.

In de proefperiode worden ook jassen die worden verstopt in het horecagebied in beslag genomen en wordt het verboden om te parkeren in de Dorpsstraat recht voor de horeca. Daarnaast stelt de burgemeester gebiedsontzeggingen in. Wie zich misdraagt mag niet meer in het horecagebied aanwezig zijn. Dat gaat verder dan de horecaontzeggingen (per kroeg) die nu al van kracht zijn. Na een zware mishandeling op het station in februari, is al besloten tot live cameratoezicht, extra politie (met bodycams) en extra beveiligers. Burgemeester Mans onderzoekt verder of ’preventief blazen’ haalbaar is.

Alles bij de bron; NHD


 

Alle luchtvaart­maatschappijen moeten in België identiteitscontrole doen

Vanaf het einde van het jaar zullen alle luchtvaartmaatschappijen bij een vertrek vanop een Belgische luchthaven moeten controleren of de naam op de identiteitskaart overeenstemt met die op het vliegtuigticket. De controle van de identiteitskaarten op de luchthavens is een van de maatregelen die gisteren goedgekeurd zijn op de superministerraad. 

Alles bij de bron; deRedactie


 

Veilig inloggen, hoe doe je dat?

Burgers kunnen sms niet meer vertrouwen om extra veilig mee in te loggen.

Inloggen met een tijdelijke code via sms is de meestgebruikte tweede beveiligingsmethode. Het toont aan dat je in bezit bent van je mobiele telefoon – je bent die je bent. Dertien miljoen Nederlanders gebruiken DigiD om in te loggen bij 600 overheidsdiensten. Bij een deel van die diensten kun je alleen inloggen met een tijdelijke code die je via sms ontvangt, zoals bij het regelen van studiefinanciering of op Politie.nl voor het melden van een diefstal. Het is belangrijk dat die diensten goed beveiligd worden, om te voorkomen dat iemand je belastingaangifte of medisch dossier kan inzien. Ook banken gebruiken dubbele authenticatie. Zo kunnen meer dan acht miljoen ING-klanten via een sms’je hun betalingen accorderen. 

Sms raakt echter uit de gratie. Het Amerikaanse National Institute of Standards and Technology (NIST) wees vorig jaar in een rapport op de kwetsbaarheden van deze transportmethode. Hackers kunnen een telefoonnummer nabootsen en op die manier toegang krijgen tot de tijdelijke code. Zo kunnen ze – als ze je wachtwoord ook buitgemaakt hebben – toch inloggen. Het kost hackers steeds minder tijd en moeite om de sms’jes te achterhalen. NIST raadt het gebruik van sms als extra beveiligingslaag af en vindt dat bedrijven alternatieve inlogmethodes moeten aanbieden. NIST benadrukt wel dat inloggen met een tijdelijke code via sms nog altijd veel veiliger is dan met alleen een wachtwoord.

DigiD heeft als alternatief voor de sms-controle begin april de DigiD-app gelanceerd om veilig te kunnen inloggen. De overheid wil nog meer inlogmethodes toevoegen, de banken bouwen hun eigen digitale identiteit en techbedrijven als Apple en Google ontwikkelen eigen manieren om apparaten en data te beveiligen. Ingewikkeld? Ja. Onoverzichtelijk? Ja. Vandaar: zes vragen over veilig inloggen.

2. Waarom is sms onveilig? Nu we ook sms-berichten kunnen ontvangen via chatdiensten (zoals Apple iMessage) kan een hacker de tijdelijke code meelezen zonder dat hij je telefoon in bezit heeft. Wie weet heb je die chatdienst slechts met een wachtwoord beveiligd; een hacker heeft dan aan twee gestolen wachtwoorden (niet zelden dezelfde) genoeg om je identiteit na te bootsen. Er is nog een reden dat NIST sms als beveiliingslaag afwijst: het kost hackers minder moeite om op grote schaal sms-verkeer af te luisteren of te manipuleren.

4. Op welke andere manier kunnen we inloggen? DigiD is straks niet meer de enige methode om in te loggen bij overheidsdiensten. De Wet Generieke Digitale Infrastructuur (GID), die nog door de Tweede Kamer geloodst moet worden, regelt ruimte voor commerciële initiatieven, waarbij de burger zijn ‘favoriete’ inlogmethode mag kiezen. Die verdeel-en-heersstrategie levert wel een stapel nieuwe afkortingen en technieken waarop menig burger de tanden zal stukbijten. De kortst mogelijke samenvatting: je kunt bij overheden en zorginstellingen straks veiliger inloggen met DigiD. Dat kan ook met iDIN, een methode die de Nederlandse banken ontwikkelden om je bij webwinkels te identificeren. De andere methode is Idensys, een afsprakenstelsel waarmee je bij overheidsdiensten én bedrijven kunt inloggen. Je zult DigiD niet kunnen gebruiken voor webwinkels.

6. Hoe bescherm ik mijn webaccounts? Denk aan het elfde gebod: activeer altijd dubbele verificatie. Sms is niet de enige manier om je webaccount te beschermen met een extra identiteitscheck. De QR-code is een goed alternatief. Bijvoorbeeld: als je chatdiensten als WhatsApp en Signal in een webbrowser wilt gebruiken kan dat zodra je een QR-code gescand hebt met de mobiele app op je telefoon.

Google heeft een eigen Authenticator-app, die tijdelijke codes kan genereren voor Dropbox, Evernote en talloze andere webdiensten. Authenticator is gekoppeld aan je Google-account en aan je telefoon (iOS en Android). De link met je telefoon wordt gelegd via een QR–code.

Apple ontwierp een methode waarbij het ene Apple-apparaat het andere kan verifiëren via je Apple ID, in combinatie met een viercijferige code. Je moet bij Apple nog wel één mobiel telefoonnummer via sms verifiëren. Wie deze methode gebruikt, hoeft geen persoonlijke vragen (favoriete kleur, merk van je eerste auto) meer te verzinnen voor de Apple-helpdesk. Zulke beveiligingsvragen kunnen makkelijk geraden worden en zijn geen veilige manier om je te identificeren.

Alles bij de bron; NRC