Security Professionals
- ipfw add deny all from eindgebruikers to any
Keuze 1-factor of 2-factor bij inloggen DigiD
Je kunt bij het inloggen op DigiD kiezen uit:
- Ik wil inloggen met alleen gebruikersnaam en wachtwoord
- Ik wil inloggen met een extra controle via sms
Dit is toch een rare vraag of zie ik dit nou verkeerd? DigiD behoort toch altijd te vragen om een sms na het inloggen met username/password (indien je sms hebt geactiveerd)?
zie: https://digid.nl/inloggen
- Ik wil inloggen met alleen gebruikersnaam en wachtwoord
- Ik wil inloggen met een extra controle via sms
Dit is toch een rare vraag of zie ik dit nou verkeerd? DigiD behoort toch altijd te vragen om een sms na het inloggen met username/password (indien je sms hebt geactiveerd)?
zie: https://digid.nl/inloggen
Reacties (16)
Je kiest voor "inloggen met alleen gebruikersnaam en wachtwoord" als je controle via sms niet hebt geactiveerd.
Je kiest voor "inloggen met een extra controle via sms" als je dit wel hebt geactiveerd.
En ik vermoed dat als je probeert in te loggen met alleen gebruikersnaam en wachtwoord, terwijl je de controle via sms hebt ingesteld, je een foutmelding krijgt.
Wel eens uitgeprobeerd?
Je kiest voor "inloggen met een extra controle via sms" als je dit wel hebt geactiveerd.
En ik vermoed dat als je probeert in te loggen met alleen gebruikersnaam en wachtwoord, terwijl je de controle via sms hebt ingesteld, je een foutmelding krijgt.
Wel eens uitgeprobeerd?
Als je de optie geactiveerd hebt dat er altijd voor een extra sms verificatie moet worden gevraagd ook te kunnen heb ik tot nu toe ervaren dat dit ook gebeurd ook als je "Ik wil inloggen met alleen gebruikersnaam en wachtwoord" kiest. Als ik meen mij te herinneren (ik weet het niet zeker) is het zo dat wanneer je niet hebt ingesteld dat er altijd op een sms code gevraagd moet worden, en je vervolgens bij het inloggen voor de optie gaat "Ik wil inloggen met een extra controle via sms" je meer opties beschikbaar hebt op de website dan wanneer je alleen inlogt met een gebruikersnaam en wachtwoord. Mogelijk kan iemand dit verifiëren.
Wat betreft het veilig en logisch overzicht van deze site een paar extra quizz-vragen voor je :
1) Hoeveel inlogpunten (links/buttons) heeft die site alleen al op de frontpage en op welke plaatsen?
2) Hoeveel soorten inloglinks zijn er te vinden op die website?
Verspreid over hoeveel aparte pagina's *
3) Is dat een slimme en logische indeling?
Om het overzichtelijk en veilig te houden?
* We kunnen het ook omdraaien, dan zoek je de links bij de plek.
- /inloggen
- /activeren
- /herstellen/persoonsgegevens
- //machtigen.digid.nl/LOGIN?3
.... zie je er nog meer??...
1) Hoeveel inlogpunten (links/buttons) heeft die site alleen al op de frontpage en op welke plaatsen?
2) Hoeveel soorten inloglinks zijn er te vinden op die website?
Verspreid over hoeveel aparte pagina's *
3) Is dat een slimme en logische indeling?
Om het overzichtelijk en veilig te houden?
* We kunnen het ook omdraaien, dan zoek je de links bij de plek.
- /inloggen
- /activeren
- /herstellen/persoonsgegevens
- //machtigen.digid.nl/LOGIN?3
.... zie je er nog meer??...
Door _kraai__: Als je de optie geactiveerd hebt dat er altijd voor een extra sms verificatie moet worden gevraagd ook te kunnen heb ik tot nu toe ervaren dat dit ook gebeurd ook als je "Ik wil inloggen met alleen gebruikersnaam en wachtwoord" kiest. Als ik meen mij te herinneren (ik weet het niet zeker) is het zo dat wanneer je niet hebt ingesteld dat er altijd op een sms code gevraagd moet worden, en je vervolgens bij het inloggen voor de optie gaat "Ik wil inloggen met een extra controle via sms" je meer opties beschikbaar hebt op de website dan wanneer je alleen inlogt met een gebruikersnaam en wachtwoord. Mogelijk kan iemand dit verifiëren.
Hele verhaal klopt.Reden waarom niet altijd sms: Kosten.
Extra, keuze 3 factor (Oracle Java factor) : "Ik wil inloggen met een kaartlezer"
Het zou er best wel eens op kunnen uitdraaien dat de eerste optie het meest veilig gaat worden, geen gebruik geen gebruik van Java en ook geen gebruik van sms.
- Welk percentage van de Nederlandse gebruikers heeft haar Java installatie niet up to date denk je?
- Welk percentage van de Nederlandse gebruikers weet überhaupt niet wat Java is en dat het op hun computer staat geïnstalleerd?
- Als boeven in de gaten krijgen dat met bepaalde crossplatform software toegang verkregen kan worden tot alle belangrijke persoonsdata die je je maar kan wensen.
Zou het dan zo kunnen zijn dat die sms functie niet zozeer misbruikt gaat worden maar de crossplatform software (die in het verleden al voor heel veel problemen heeft gezorgd en elk kwartaal weer een enorme gatenkaas blijkt te zijn) weer helemaal terug is van misbruikweggeweest?
Hoeveel Java based gemeenteportals heeft Nederland?
Worden dat er nog steeds meer of minder?
Security staat niet voorop lijkt het, eerder de (lage) prijs met de bijbehorende (tunnel) ervaring van een vaste club bijbehorende programmeurs waardoor je altijd automatisch uitkomt bij .. OJ
(ojeee!).
Het zou er best wel eens op kunnen uitdraaien dat de eerste optie het meest veilig gaat worden, geen gebruik geen gebruik van Java en ook geen gebruik van sms.
- Welk percentage van de Nederlandse gebruikers heeft haar Java installatie niet up to date denk je?
- Welk percentage van de Nederlandse gebruikers weet überhaupt niet wat Java is en dat het op hun computer staat geïnstalleerd?
- Als boeven in de gaten krijgen dat met bepaalde crossplatform software toegang verkregen kan worden tot alle belangrijke persoonsdata die je je maar kan wensen.
Zou het dan zo kunnen zijn dat die sms functie niet zozeer misbruikt gaat worden maar de crossplatform software (die in het verleden al voor heel veel problemen heeft gezorgd en elk kwartaal weer een enorme gatenkaas blijkt te zijn) weer helemaal terug is van misbruikweggeweest?
Hoeveel Java based gemeenteportals heeft Nederland?
Worden dat er nog steeds meer of minder?
Security staat niet voorop lijkt het, eerder de (lage) prijs met de bijbehorende (tunnel) ervaring van een vaste club bijbehorende programmeurs waardoor je altijd automatisch uitkomt bij .. OJ
(ojeee!).
Als je kiest voor SMS wordt er een extra code naar de instantie gestuurd dat deze validatie grondiger geweest is dan
alleen een wachtwoord, en het kan zijn dat die instantie een bepaalde toegang alleen maar geeft als je dat ook inderdaad
gedaan hebt. Bijvoorbeeld met alleen wachtwoord mag je alleen gegevens lezen en met SMS erbij mag je ook iets
aanpassen of indienen.
alleen een wachtwoord, en het kan zijn dat die instantie een bepaalde toegang alleen maar geeft als je dat ook inderdaad
gedaan hebt. Bijvoorbeeld met alleen wachtwoord mag je alleen gegevens lezen en met SMS erbij mag je ook iets
aanpassen of indienen.
Bedoel je misschien: als ik zo'n inlogscherm krijg voorgeschoteld, dan begin ik er aan te twijfelen
of ik de optie "verplicht altijd een extra SMS-code sturen" wel goed had begrepen en goed had ingesteld?
Dit lijkt mij namelijk een hele terechte vraag. Ik heb me dit destijds ook even afgevraagd.
Volgens mij heb ik het toen getest door een keertje te proberen om in te loggen "zonder SMS".
Maar kreeg ik wél een SMS, dus had alles gelukkig goed begrepen en goed gedaan.
Maar was dus wel enige ergernis/inspanning/kosten die vermeden kan worden.
Je zou zeggen: laat ze er op zijn minst even een commentaar-regel bijzetten dat deze keuze er niet meer toe doet
in geval dat je "altijd verplicht extra SMS ontvangen" had ingesteld.
MAARRRRRR..... door dit probleem bij security.nl forum neer te leggen, zal dit heus niet worden verbeterd hoor.
Ga daarom naar https://www.digid.nl/contact/ en formuleer daar zo duidelijk mogelijk wat precies je probleem is.
Als maar genoeg mensen dit doen, zal de inlogpagina op den duur misschien worden aangepast.
Forums als uitlaatklep gebruiken over dergelijke zaken heeft in dit geval nauwelijks zin,
aangezien DigiD zelf al goede hulplijnen biedt, en bovendien bij uitstek het kanaal is dat in kennis moet worden gesteld
van alle eventuele DigiD-problemen, klachten en ergernis.
of ik de optie "verplicht altijd een extra SMS-code sturen" wel goed had begrepen en goed had ingesteld?
Dit lijkt mij namelijk een hele terechte vraag. Ik heb me dit destijds ook even afgevraagd.
Volgens mij heb ik het toen getest door een keertje te proberen om in te loggen "zonder SMS".
Maar kreeg ik wél een SMS, dus had alles gelukkig goed begrepen en goed gedaan.
Maar was dus wel enige ergernis/inspanning/kosten die vermeden kan worden.
Je zou zeggen: laat ze er op zijn minst even een commentaar-regel bijzetten dat deze keuze er niet meer toe doet
in geval dat je "altijd verplicht extra SMS ontvangen" had ingesteld.
MAARRRRRR..... door dit probleem bij security.nl forum neer te leggen, zal dit heus niet worden verbeterd hoor.
Ga daarom naar https://www.digid.nl/contact/ en formuleer daar zo duidelijk mogelijk wat precies je probleem is.
Als maar genoeg mensen dit doen, zal de inlogpagina op den duur misschien worden aangepast.
Forums als uitlaatklep gebruiken over dergelijke zaken heeft in dit geval nauwelijks zin,
aangezien DigiD zelf al goede hulplijnen biedt, en bovendien bij uitstek het kanaal is dat in kennis moet worden gesteld
van alle eventuele DigiD-problemen, klachten en ergernis.
Door Anoniem: Extra, keuze 3 factor (Oracle Java factor) : "Ik wil inloggen met een kaartlezer"
Het zou er best wel eens op kunnen uitdraaien dat de eerste optie het meest veilig gaat worden, geen gebruik geen gebruik van Java en ook geen gebruik van sms.
Het zou er best wel eens op kunnen uitdraaien dat de eerste optie het meest veilig gaat worden, geen gebruik geen gebruik van Java en ook geen gebruik van sms.
Wat heeft Java hier mee te maken?
Je hebt geen Java nodig om op DigiD in te loggen.
Door Anoniem: Je kiest voor "inloggen met alleen gebruikersnaam en wachtwoord" als je controle via sms niet hebt geactiveerd.
Je kiest voor "inloggen met een extra controle via sms" als je dit wel hebt geactiveerd.
En ik vermoed dat als je probeert in te loggen met alleen gebruikersnaam en wachtwoord, terwijl je de controle via sms hebt ingesteld, je een foutmelding krijgt.
Wel eens uitgeprobeerd?
Je kiest voor "inloggen met een extra controle via sms" als je dit wel hebt geactiveerd.
En ik vermoed dat als je probeert in te loggen met alleen gebruikersnaam en wachtwoord, terwijl je de controle via sms hebt ingesteld, je een foutmelding krijgt.
Wel eens uitgeprobeerd?
Niet waar.
Wat wel waar is:
Je krijgt een hogere 'vertrouwelijkheid' categorie als je met SMS inlogt.
Soms heeft dat geen enkele meerwaarde, maar soms krijg je daardoor meer te zien in de omgeving waar je inlogt.
Overigens kan b.v. een zorgverzekeraar de optie om zonder SMS in te loggen uitschakelen.
Door root: - Ik wil inloggen met alleen gebruikersnaam en wachtwoord
- Ik wil inloggen met een extra controle via sms
Dit is toch een rare vraag of zie ik dit nou verkeerd? DigiD behoort toch altijd te vragen om een sms na het inloggen met username/password (indien je sms hebt geactiveerd)?
Begrijp ik goed dat je het raar vindt dat je de optie voorgeschoteld krijgt om zonder sms in te loggen als je hebt ingesteld dat je alleen met sms in wilt loggen?- Ik wil inloggen met een extra controle via sms
Dit is toch een rare vraag of zie ik dit nou verkeerd? DigiD behoort toch altijd te vragen om een sms na het inloggen met username/password (indien je sms hebt geactiveerd)?
Simpel. Op die pagina moet je je gebruikersnaam nog invullen. DigiD weet bij het opbouwen van die pagina dus nog niet wie je bent en dus ook nog niet welke voorkeuren je hebt ingesteld. Ze kunnen de optie om geen sms te gebruiken daarom moeilijk weglaten. Als je hebt ingesteld dat je de extra controle via sms altijd wilt dan zal die instelling de keuze op het inlogscherm overrulen (hebben we daar een goed Nederlands woord voor eigenlijk?).
...overrulen (hebben we daar een goed Nederlands woord voor eigenlijk?)
Overheersen?Of misschien in wat gebruikelijker Nederlands:
"Dan heeft die instelling voorrang"
"dan heeft (of "krijgt") die instelling voorrang boven (of "op") de andere instelling"
Volgens mij heb je in digid twee opties namelijk altijd inloggen met sms, of alleen voor belangrijke zaken.
Ik heb dit op " altijd met sms ingesteld,"ik moet dan ook altijd met sms inloggen ook als ik kies voor "inloggen met alleen gebruikersnaam en wachtwoord"
Maar ik weet dit niet voor 100% .
Kan zijjn maar het kan ook voor het gemak.
Ik heb dit op " altijd met sms ingesteld,"ik moet dan ook altijd met sms inloggen ook als ik kies voor "inloggen met alleen gebruikersnaam en wachtwoord"
Maar ik weet dit niet voor 100% .
Reden waarom niet altijd sms: Kosten.
Kan zijjn maar het kan ook voor het gemak.
Inloggen bij DigiD is volgens het College Bescherming Persoonsgegevens (CBP) niet veilig genoeg en daarom zijn extra maatregelen nodig.
'Stel een tweetrapsautenticatie in', luidt het advies van het CBP. (Bij tweetrapsautenticatie wordt niet alleen om je gebruikersnaam en wachtwoord gevraagd, maar moet je ook een sms-code invullen. Deze code wordt naar je mobiele telefoon verstuurd.)
Inloggen met alleen gebruikersnaam en wachtwoord is dus eigenlijk geen optie.
'Stel een tweetrapsautenticatie in', luidt het advies van het CBP. (Bij tweetrapsautenticatie wordt niet alleen om je gebruikersnaam en wachtwoord gevraagd, maar moet je ook een sms-code invullen. Deze code wordt naar je mobiele telefoon verstuurd.)
Inloggen met alleen gebruikersnaam en wachtwoord is dus eigenlijk geen optie.
.... overrulen (hebben we daar een goed Nederlands woord voor eigenlijk?).
een half minuutje werk in Google Translate toont weer aan dat het Nederlands oneindig veel rijker is dan het Engels. Een keuze uit de gevonden mogelijkheden:
verwerpen, overstemmen, afstemmen, afwimpelen, terugsturen, terugwijzen, wegstemmen, vetoën, veteren, van de hand wijzen, van de hand slaan.
Dit is minder dan de helft van de mogelijkheden.
Hebben we in Nederland nog mensen die de moeite willen/kunnen nemen om zich correct in hun eigen taal uit te drukken?
Door Anoniem:
een half minuutje werk in Google Translate toont weer aan dat het Nederlands oneindig veel rijker is dan het Engels. Een keuze uit de gevonden mogelijkheden:
verwerpen, overstemmen, afstemmen, afwimpelen, terugsturen, terugwijzen, wegstemmen, vetoën, veteren, van de hand wijzen, van de hand slaan.
Dit is minder dan de helft van de mogelijkheden.
Hebben we in Nederland nog mensen die de moeite willen/kunnen nemen om zich correct in hun eigen taal uit te drukken?
.... overrulen (hebben we daar een goed Nederlands woord voor eigenlijk?).
een half minuutje werk in Google Translate toont weer aan dat het Nederlands oneindig veel rijker is dan het Engels. Een keuze uit de gevonden mogelijkheden:
verwerpen, overstemmen, afstemmen, afwimpelen, terugsturen, terugwijzen, wegstemmen, vetoën, veteren, van de hand wijzen, van de hand slaan.
Dit is minder dan de helft van de mogelijkheden.
Hebben we in Nederland nog mensen die de moeite willen/kunnen nemen om zich correct in hun eigen taal uit te drukken?
Hebben we op security.nl nog mensen die de moeite willen/kunnen nemen om ontopic te willen blijven en niet alleen maar op de laatste reactie, een deelquootje of slechts een titel willen reageren?
28-02-2016, 19:15 door
karma4
Dit is toch een rare vraag of zie ik dit nou verkeerd? DigiD behoort toch altijd te vragen om een sms na het inloggen met username/password (indien je sms hebt geactiveerd)?
Niet iedereen heeft de skills en toegang tot internet en SMS-Phones. Als je digid toepassing beperkt blijft tot "ja"klikken op de jaarlijkse belastingaangifte. Wat is dan het risico?.Het belangrijkste hierbij is altijd de vraag beantwoorden: risico / impact
Zodra het wachtwoord is ingesteld (liefst moeilijk) ga dan niet een 3 maandelijkse wijziging eisen voor dat jaarlijks "ja" klikken. Verlies je niet meteen in de techniek met wat "regeltjes" dat het zo hoort.
Als de digid eenmaal staat wordt hij gebruikt via andere diensten, jij bent niet meer die contact met digid maakt het is die dienst. Dan wordt de risico / impact analyse ook anders.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.