Ik vond deze post terug in mijn drafts. Omdat deze slechte beslissing wetgevende realiteit aan het worden is (zelfs voor kinderen vanaf 12 jaar!), en de post actueel blijft besloot ik deze toch te publiceren. Dit werd oorspronkelijk geschreven op 3 november 2018.
Als je iets goed wil beveiligen, werk je tegenwoordig met tweefactorauthenticatie.
Je zorgt er voor dat er twee factoren zijn die bewijzen dat jij bent wie je zegt. Die twee factoren kunnen verschillende vormen aannemen. Vaak is het de smartphone met een authenticatiemechanisme via een app en een wachtwoord (time based authentication o.a. Google, de meeste banken). Het kan ook een sleutel op je computer zijn in combinatie met een sleutel op de server, gecombineerd met een wachtwoord (key based authentication o.a. Github).
Vele smartphones hebben ook een implementatie van de vingerafdruk om je aan te melden (bv. Touch ID van Apple). Je vingerafdrukdata wordt opgeslagen in een beveiligde laag.
Hoe veilig die data effectief is, is natuurlijk relatief. Vanaf iets beveiligd kan worden kan het ook gehackt worden. De ene implementatie is de andere ook niet. Er wordt wel eens gegrapt of je graag je informatie hackbaar wil maken op Russische, Amerikaanse of Chinese servers.
Of dit hacken dan effectief gebeurt is ook een functie van een aantal zaken. Is er iemand gebaat met de data in kwestie? Hoe moeilijk is het om iets te hacken?
De Belgische overheid is van plan om vanaf mei 2019 voor de identiteitskaarten het verplicht te maken om je vingerafdrukken mee te geven.
Dit is al zo met de reispas (voor 2 vingers, met een nogal crummy scanmethode, voor zover ik weet).
Eenieder die al eens gereisd heeft naar een land als de VS of Japan zal ook zijn vingerafdruk hebben moeten tonen bij de grenscontrole.
Ik vind dit niet onlogisch. Als land moet je weten wie je land binnenkomt. Voor de veiligheid, maar ook om illegale immigratie tegen te gaan. Maar als je de Belgisch identiteit hebt en naar je eigen land reist, moet je deze grotere controle in mijn ogen niet ondergaan.
Ik ben dus altijd blij om in Zaventem af te zwaaien naar de rij “EU onderdanen” en mijn gewone Belgische identiteitskaart te tonen aan de grenscontrole. Als ik in Japan of de VS aan de grenscontrole kom voel ik me dan weer niet echt welkom.
De stellingname van Jan Jambon (Zevende dag, 28 oktober 2017) is dat het plaatsen van de vingerafdrukken op de eID dient om identiteitsfraude aan te pakken. Als je identiteitsfraude pleegt, en je dus voor doet als iemand anders, is de kans veel groter dat je criminele feiten wil plegen.
Ik volg deze logica, maar moeten we daarom 11,5 miljoen Belgen hun vingerafdrukken gaan opslaan in een database?
Aangezien biometrische data een factor is in ieders persoonlijke beveiliging vind ik het gevaarlijk om die data in een externe database te stoppen die gehackt kan worden. Biometrische data verander je ook niet zomaar – je vingerafdrukken blijven hetzelfde. Eén lek ooit en deze “factor” is niet meer veilig.
Anderzijds is het ook maar 1 van de 2 factoren die een “hacker” nodig heeft als iets goed beveiligd is. Als we grenscontrole beschouwen heb je naast je legitieme documenten ook nog je foto, dus op zich zijn er al meerdere factoren.
In India kan je de database met vingerafdrukken van meer dan 1 miljard Indiërs volgens Vice kopen voor tien dollar.
Als je in een hypothetische situatie identiteitsfraude wil plegen, en dus een Belgische eID wil vervalsen, zou je dan in de toekomst op de zwarte markt ook zo’n database kunnen kopen?
Dan zou je nog toegang moeten hebben tot de software om zo’n eID te maken (wellicht verkrijgbaar bij elk gemeentebestuur op oudere, hackbare computers) Dan zou je de vingerafdruk-gegevens van jou moeten omwisselen met die van iemand anders.
En dan zou je nog genoeg op de pasfoto moeten lijken om een (grens)controle te doorstaan.
Eén probleem met overal zulke data te gaan opslaan is dat het gebruik ervan een hellend vlak is. Als de data er is, kan die gebruikt worden. Voor positieve en negatieve doeleinden.
We weten totaal niet welke regering we gaan hebben binnen 5 jaar, 10 jaar, 20 jaar. Wat als er een opmars is van extremisme? Stel dat de PVDA aan de macht komt. Willen we dan elke dag met het overheidsequivalent van Touch ID “badgen” om te bewijzen dat we aan het werk zijn voor de Grote Leider?
Michaël van Peel zegt het goed – uit “Van Peel Overleeft 2013” volgende clip:
Naar wat ik lees zijn ze in Nederland zijn ze al eens door dit debat gegaan, met eerst een goedkeuring en er na een afschaffing.
De laatste maanden wordt technologie telkens opgehouden als een schild. Ik vind dat er soms te veel geloofd wordt in technologie als oplossing van problemen (zie ook mijn vorige blogpost).
Een technologisch idee wordt uiteindelijk software. Als je een feature implementeert moet je ze ook kunnen ondersteunen.
Ik zie er weinig in om elke dienst bevolking in Vlaanderen te leren hoe ze vingerafdrukken moeten opslaan, om die dan via slechte software te beheren. Dit kost ook handenvol geld, terwijl we net moeten besparen in de overheidsuitgaven.
Is dit allemaal echt wel nodig? Kan de overheid zich niet iets afzijdiger houden in plaats van technologie op te houden als heilige graal? Kunnen we niet beter mínder doen, in plaats van elk probleem op te lossen met een overdaad aan technologie die toch niet ondersteund kan worden?