SAS krever fingeravtrykk

[RolfL]

Quote:

Originally posted by Trety

SAS har fått klarsignal av det svenske datatilsynet til å kreve fingeravtrykk ved innsjekking av passasjerer.

Fick uppfattningen att det i Sverige till att börja med var på försök och på frivillig basis.

[dc-8-63]

Quote:

Originally posted by nutcase


korttidslagring er ikke noe problem å få til, det er bare data-analfabeter som tror det er umulig og at alt som engang har vært lagret er der for evigtid. men nok om det.

skal SAS gjøre dette systemet trygt så MÅ dem være koplet opp mot en database med VERIFISERTE fingeravtrykk for sammenligning. hvis ikke vil dette systemet til SAS være en gavepakke for de med urent mel i posen. hvis det bare skal sjekkes mot fingeravtrykket til den som sjekket inn ved boarding (uten noen annen krysssjeking med et VERIFISERT fingeravtrykk) så kan mye rart skje.

en med urent mel i posen tar et falskt navn (eventuelt navnet til en annen person ), får laget seg et flott falskt pass, kjøper billett i navnet på passet og sjekker inn. fingeravtrykk leses og lagres, personen boarder (fingeravtrykk leses og finnes OK). hvis dette da lagres permanent, og den virkelige personen med det navnet skal ut og reise, så vil jo han oppleve noe veldig gøy når hans fingeravtrykk (som er det ekte), ikke vil stemme med det SAS har på denne personen fra før.

Det er slikt jeg mener er årsaken til at SAS aldri kan ha fått tillatelse til å lagre permanent database over fingeravtrykk. for skal en slik lagring gjøres sikker krever det oppkopling og kryssreferanse til en database med VERIFISERTE fingeravtrykk (politiets registre/passregistre (biometriske pass har jo fingeravtrykk). En slik tillatelse til krysssjekking/oppkopling har neppe SAS fått lov til.

Jan Roar Rød

Det er ikke noe datateknisk problem aa faa til korttidslagring, men dessverre er det faa eksempler paa at de som er paalagt aa korttidslagre data gjoer det!. Mitt Mastercard var er et av 24 Millioner kort som maatte slettes fordi en betalings sentral oppbevarte dataene (som skulle slettes) og dette ble stjaalet.... Og akkurat naa er det avdekket at 2 kjeder (Best Buy og Office Max) har lagret PIN kodene for betalingskort, og disse er igjen blitt stjaalet......kilde www.sans.org

Jeg er overrasket over at SAS gaar denne veien, finger avtrykk teknologien er langt fra banebrytende....med vesentlig strengere krav til data sikkerhet enn SAS vurderer vi teknolgioen fortloepende, og saa langt er jeg langt i fra imponert over kvaliteten og ikke minst stabiliteteten....og det er foer vi har sett paa de juridiske implikasjoene

[LN-KOG]

Jeg hadde en passiar med din gamle mentor, Jon Bing, i ettermiddag (på vår stamkafé) og vi er begge enige om at dette kanskje ikke er veien å gå. Han nevnte et eksempel fra Bornholmfergen der de hadde gitt opp fordi folk ikke husket hvilken finger man hadde brukt...

[Utflyttet]

Mens vi er inne på det, dette er de obligatoriske skremmekommentarene om at det bare er politiet som har register over dømtes fingre, flytter grenser for innsikten i privatlivet, etc. Det som dc-8'ern nevnte over er et langt mer reelt scenario. Det som gjør dette et langt mer skremmende scenario, er at hvis man nå begir seg utpå den glattisen det er å begynne å la private selskap lagre biometirkse data om deg, så er det jo spennende å se hvor lenge det går før man har et selskap som får sin database kopiert, og hvor lenge det tar før disse data kan konbineres med andre mekanismer som man har klokkeklar tro på som sikre id-kilder, og ender i falske pass.

En annen fin vinkel på dette er at det prates om jo om dette i sikkerhetens navn. Men hvem er det som vinkler det slik? De private selskapene? Neppe, det er i utgangspunktet den samme gjengen som i dag står bak "profiling" av de reisende i USA, det er myndigheter som lar "sikkerhet" være et magisk ord for å la myndighetene gradvis bryte ned personvern. Kombinerer du dette perspektivet med private selskap som ikke har sikkerhet som primær-behov, og rett som det er blir tatt med buksen nede i forhold til sikring av data, da har du et skremmende gryte å røre i.

Skal du gjør dette effektivt og sikkert, og samtidig ivareta personvernet så finnes det adskillige bedre metoder, men passasjeren sine behov og rettigheter representeres sjeldent når slikt diskuteres.

For de som er kjent med PKI og "public key"-kryptering så er det i dag fullt mulig å implementere løsninger som er tilfredsstiller både flyselskapet sitt behov til å forsikre seg om at du som billetten er kjøpt for er den som reiser, og for den reisende at du ikke gir fra deg noe som griper så langt inn i hvem du er som ditt fingeravtrykk. Jeg vil gå så langt å si at nok kansje så mange som halvparten her på forumet i dag bruker en slik løsning, noen til og med aktivt, uten å tenke over det, men en av nettbankene anvender dette prinsippet. Og de har samme kostnadsbilde som en slik løsning ville hatt i flyverden, billigere, enklere og kjappere.