Monday, June 16, 2008

eID en de privacy

Daarnet de video gezien over de "onveiligheid" van de eID vanop http://belsec.skynetblogs.be/post/5870586/belgian-eid--the-video-that-shows-how-good-ou
OK, de privacywall is niet echt zoals het moet. Maar het probleem is wel groter dan wat de video beweert. Om de data uit te lezen moet de gebruiker een programma opstarten, dus dit via e-mail binnenkrijgen of downloaden. Dit wordt op een bedrijfsnetwerk toch al beter tegengehouden dan 5 jaar geleden.

Ik herinner mij mijn presentatie op het seminarie van IT Works in 2005 over eID security waar ik duidelijk aangaf dat iedereen die op een web site kwam met daarin een hidden Java applet al zijn eID data kon worden uitgelezen (naam, adres, ...) omdat Internet Explorer en Firefox standaard de toelating geven.

En dat is pas een goede versie van Google Analytics :)

De enige pop-up die je krijgt in de browser is voor de PIN-code, wat ook kan worden gespoofed. Maar ja, van zodra je op de verkeerde website komt kunnen er veel ergere dingen gebeuren dan je familie naam en adres stelen.

Dus zoals SOS Piet zou zeggen: Wat hebben we vandaag geleerd?
1. Gebruik alleen de e-ID als de website HTTPS vereist en gebruikt (heel belangrijk want dit wordt veel vergetenà
2. Geef de PIN-code alleen in op een website die je vertrouwt (opnieuw, enkel als stap 1 bestaat)
3. Van zodra de authenticatie is gelukt verwijder de kaart uit de kaartlezer en laat die niet de ganse dag insteken

Stap 3 is natuurlijk moeilijk als je heel veel de e-ID moet gebruiken, maar ik denk dat we mogen stellen dat 80% van de gebruikers die de e-ID al hebben dit maar een paar keer per maand nodig hebben.

No comments: