Telegram Passport maakt je identiteitspapieren digitaal

Echt veilig is het niet
Het komt regelmatig voor dat je een foto van je paspoort, rijbewijs of ander ID moet sturen. Met Telegram Passport kun je dat nu digitaal regelen. Maar hoe veilig is het?
Gonny van der Zwaag | iCulture.nl - · Laatst bijgewerkt:

Update 3 augustus: Beveiligingsonderzoekers waarschuwen dat Telegram Passport onveilig is. Het is gevoelig voor brute force-aanvallen, zegt Virgil Security. Telegram gebruikt namelijk SHA-512, een hashing algoritme die niet bedoeld is voor het bashen van wachtwoorden. Misschien herinner je de datalekken van LinkedIn (2012) en LivingSocial (2013) nog: die bedrijven raakten miljoenen wachtwoorden kwijt die met SHA-1 waren gehasht. Vandaag de dag is SHA-512 nog steeds kwetsbaar voor brute force-aanvallen.

Telegram Passport

Er zijn steeds meer bedrijven die digitaal werken. Zo kun je bijvoorbeeld een bankrekening openen via een app of lid worden van een fietsen-deeldienst, zonder dat je nog naar een fysiek loket hoeft. Maar al die bedrijven willen wel zeker weten dat jij het bent en niet een robot (of erger nog: een hacker die zich als jou voordoet). Vandaar dat het nog regelmatig voorkomt dat je je persoonlijk moet identificeren, bijvoorbeeld met een recent bankafschrift, een rijbewijs of iets anders. Voorheen moest je hetzelfde document steeds uploaden, maar met Telegram Passport hoeft dat niet meer.


Volgens de makers is het een unieke autorisatiemethode voor persoonlijke identificatie. Je uploadt de documenten eenmalig en kunt het daarna meteen delen met partners. Alle scans van je documenten worden in de cloud bewaard. Gelukkig gebruikt Telegram daar wel end-to-end encryptie voor. Volgens de makers hebben ze geen toegang tot je data. Informatie wordt meteen naar de ontvanger verstuurd, zonder dat er een Telegram-medewerker zit mee te kijken. Of dat echt zo is, is uiteraard een kwestie van vertrouwen. What could possibly go wrong?

Click here to display content from s3-storage.textopus.nl

In de toekomst zal alle data van Telegram Password naar de gedecentraliseerde cloud worden gestuurd. Dat klinkt ingewikkeld, maar het is eigenlijk de volgende stap na datacenters en cloudplatforms (hier meer info). Een gedecentraliseerde cloud heeft niet één eigenaar en er is dus ook geen beheerder. Het wordt bijvoorbeeld gebruikt voor blockchain-toepassingen.

Telegram wil graag dat ontwikkelaars eraan meedoen en heeft daarom een handleiding geschreven. Binnenkort zal er ook third party-verificatie voor Telegram Passport aan worden toegevoegd. Daarbij dient Telegram als poortwachter: je hoeft dan niet meer een scan van je paspoort naar allerlei bedrijven rond te sturen, maar krijgen alleen een seintje dat jouw data al is gecontroleerd en dat je Telegram-account geverifieerd is.

Zoek je een andere oplossing, kijk dan eens naar KopieID van de Nederlandse overheid.

Revisiegeschiedenis:

  • 2018 - 03 augustus: Waarschuwing beveiligingsonderzoekers toegevoegd.
  • 2018 - 27 juli: KopieID toegevoegd als Nederlands alternatief.

Informatie

Laatst bijgewerkt
3 augustus 2018 om 7:18
Onderwerp
Categorie
Apps

Reacties: 16 reacties

Reacties zijn gesloten voor dit artikel.