Ik ga voor: H , À, B in die volgorde in de zwarte visie als B, A, H in de meer positieve opvatting. Die eerste had ik liever als HAL.

B (en dus ook E). De rest is in meer of mindere mate onzin en niet gerelateerd aan authenticatiemechanismen.

Bij inloggen dient een wachtwoord altijd als bewijs dat iemand is wie hij/zij zegt te zijn. Dat is zowel in het belang van de eigenaar van het systeem (B) als van degene die aanlogt (E). Ik vind het onzinnig om een van de partijen daarbij belangrijker te maken dan de ander, de belangen versterken elkaar. B en E zijn wat mij betreft samen het antwoord.

Het kán voorkomen dat het wachtwoord ook gebruikt wordt voor het ontsluiten ven een encryptiesleutel voor data (versleutelde home-directory, cloud storage). Dat kan van doorslaggevend belang zijn voor de gebruiker, maar dat zijn specifieke toepassingen en in het algemeen gaat D dus niet op.

De andere opties zijn onzin.

Welk systeem heb jij ooitmeegemaakt waar userid's niet uniek waren en wachtwoorden nodig waren om users van elkaar te onderscheiden?

B en E. Wachtwoorden zijn middelen voor toegangsbeveiliging, niet een middel van versleuteling. Achterliggende gegevens/database hoeven niet versleuteld te zijn.

B en E

Daarnaast, wat als de gebruikers bij toeval hetzelfde wachtwoord hebben gekozen? Dat zou mooi zijn, een RBAC systeem gebaseerd op de hashes van unieke gebruikerswachtwoorden :). Geeft ook mooie situaties voor een helpdesk wanneer iemand belt. "Meneer Jansen? Moment, ik zoek uw gegevens even op in het systeem. Wat is de hashwaarde van uw wachtwoord? Wat zegt u? U heeft uw wachtwoord vanmorgen veranderd? Nou, dan klopt 2486f392ab642ed78cf9d1efdf44a9f0 helaas niet meer."

Inloggegevens zijn voor Authenticatie.
Daarnaast is dit een nutteloze sturende poll.

Ik zie geen wachtwoord bij de poll.

E: 'Omdat ik niet wil dat iemand anders zich kan voordoen als mij!'

UnixLinux wereld ldap en dan meerdere beheerders. Vervolgens de local (service) en remote (gebruikers) op dd wildste manieren gecrunched. Erger nog met cached versie in doorlopende services er doorheen.

Als je de humor van die afkortingen niet ziet, tja...

Binnen LDAP moeten de attributen waarmee users aanloggen een unieke identificatie vormen. De wachtwoordhash waarmee een login wordt gecontroleerd is geen onderdeel van die identificatie maar wordt ermee opgezocht.

Als de systeembeheerders die jij beweert mee te maken er zo'n getructe puinhoop van weten te maken dat ze een systeem zo opzetten dat het wachtwoord of de wachtwoordhash onderdeel wordt van de identificatie van de user slaan ze ongelofelijk door in hun incompetentie. Het is een opzet die het nooit lang vol kan houden omdat bij de eerste de beste wijziging van een wachtwoord effectief een nieuwe user ontstaat en iemand toegang tot zijn gegevens verliest. En als dat niet is wat in het door jou aangehaalde voorbeeld gebeurt is dat geen voorbeeld van keuze A maar een ander probleem.

Je noemde keuze A in je twee varianten als op een na belangrijkste reden waarom gebruikers wachtwoorden moeten invoeren. Ik zou voorbeelden waar de bedoeling van een wachtwoord zo grondig wordt verkracht niet in het rijtje van belangrijkste redenen voor het gebruik van een wachtwoord opnemen, net zomin als ik het doden van medemensen zou noemen als een van de belangrijkste redenen voor mensen om auto te rijden.

Totaal onzinnig.

Helaas zijn deze systemen er, YMLP (Your mailinglist provider) bv.

Zo te zien moet je daar een e-mailadres gebruiken om een account mee aan te maken. Levert dat geen unieke usernamen op?

De belangrijkste reden voor wie, bijvoorbeeld de bank ? Of de klant van de bank ? Voor de bank B, voor mij E.

Wat is de belangrijkste reden achter het ontbreken van 2FA bij veel diensten anno 2017 ? ;)

Nope als front end zijn eigen implementatie heeft die doorsluist naar een Backend die met shared accounts en persoonlijke accounts werkt.
Je kunt ook gaan eisen (vrij normasl) dat een ieder zijn eigen kopietje van data moet zien te maken. Dan krijg je vanzelf dat het ondoorgrondelijk wordt wie welke informatie en uit welke bron gebruikt.

B (met als reden E)
B = authenticatie = verificatie van de opgegeven identificatie

Ik heb ook een mening, en nu ga ik uitroeptekens gebruiken omdat ik boos ben omdat ik nooit weet hoe ik mijn meningen moet onderbouwen!!!

Ik ben nog altijd op zoek naar voorbeelden waarbij het wachtwoord nodig is om verschillende accounts met dezelfde naam uit elkaar te houden. YLMP is door iemand als een voorbeeld daarvan aangevoerd, en daar wordt een e-mailadres als accountnaam aangevoerd. Kan jij beschrijven hoe je voor elkaar krijgt dat twee users hetzelfde e-mailadres op kunnen geven en uit elkaar gehouden worden met verschillende wachtwoorden? En dan ook nog elk afzonderlijk e-mail op datzelfde adres ontvangen vermoedelijk? Ik zie het niet voor me, ook niet als je met kreten als shared accounts en persoonlijke accounts gooit. Kan je in gewonemensentaal aangeven hoe dat allemaal op elkaar afgebeeld wordt om het te laten werken?
Als ondoorgrondelijkheid je doel is zal het wel de bedoeling zijn dat het niet werkt. Ik probeer hier die keuze A die jij kennelijk als belangrijk ziet voor me te zien. Maak het eens doorgrondelijk?

Ik wacht rustig op Bitwiper totdat hij het werkelijk doel van deze poll vertelt. Ik denk dat ik het al weet.

Je moet de LAMP stack is enige benaderingswijze even niet als de enige werkelijkheid zien.
Mijn wereld is BI Analytics big data. Dat is het werkveld waar de informatie zelf belangrijk is de techniek is onderschikt een hulpmiddel. Wat je dan kan verwachten is een systeem met:
- front end access. De identificatie en authenticatie wordt daar in de front end opgelost een eigen user/password systeem.
- Middleware / tool directe toegang tot tussenresultaten en achterliggende data
De identificatie en authenticatie wordt daar in de middleware opgelost het kan gekoppeld worden met de daar achterliggend infra of niet.
- Backend ofwel meerdere centrale databases. Nee niet die vele extra-s als hulpje voor bijvoorbeeld specifieke monitoring aan een log4j configuratie. De koppeling naar die achterliggende databases vraagt weer om een user/password.

Heel aardig als bepaalde onderdelen als server en als desktop interface mee komen.
Als techneut die dat beheert heb je iets voor je met vele machines identificatie / authenticatie mechanismes. Het uid ofwel account wordt door beheerders nog wel eens exact-gelijk gemaakt makkelijk want het was de zelfde persoon in de zelfde rol. Het wachtwoord er achter zit in verschillende authenticatie systemen. Wil je weten welke dan doe je dat door een ander wachtwoord per authenticatie systeem. Het is systeemintegratie in de wonderlijke wereld der silos en gescheiden machten.

De ondoorgrondelijkheid is gevolg van de silos en gescheiden machten. Hij wordt door die specialisten uiteindelijk zo goed mogelijk verborgen met instructies dan wel procedures. Denk aan Kerberos SSO op laag systeemniveau indien mogelijk. Indien de eis is dat die koppeling niet mag (andere risico-klassen via b.v. DMZ) dan blijft dat spelen.

Het maken van dat eigen kopietje. https://en.wikipedia.org/wiki/Single_version_of_the_truth

En jij moet eens ophouden aan te nemen dat je met mensen praat die niets groters dan een standalone Linux-servertje hebben meegemaakt. Ik heb nooit met LAMP gewerkt (wel met Linux en Apache, niet met MySQL of PHP). Mijn referentiekader bevat onder meer mainframesystemen die via middleware van web-frontends werden voorzien, en dat zit dichter bij wat jij beschrijft dan LAMP.
Het beeld dat ik nu krijg is dat de accountnaam (e-mail adres in dat YLMP-voorbeeld waar je op reageerde) wordt vertaald naar een UID dat in de achterliggende systemen overal gelijk is. Die hebben wel eigen authenticatiesystemen. En dan schrijf je:
Dus je hebt één frontend en meerdere backends, en je hebt verschillende frontend-users die dezelfde accountnaam hebben, en via trial&error gaat die frontend uitvinden welk backendsysteem aangesproken moet worden? Als dan één zo'n duplicaatuser zijn wachtwoord onverhoopt gelijk maakt aan dat van een ander ziet een van die twee opeens de applicatie en de gegevens van de ander. Je hebt datalekken in je systeem ingebouwd zo. En waarom zou je bij duidelijk gescheiden backend-systemen een gedeelde login maken? Dat heeft alleen zin als je die scheiding wilt afbouwen, is mijn eerste gedachte, als je gebruikers toegang tot functies uit meerdere backendsystemen wilt geven. Zodra je dat doet loop je alsnog tegen de conflicterende userid's aan die je met een trucje dacht te kunnen omzeilen. Je denkt de consequenties van keuzes toch wel door voor je eraan begint? Is dit dan niet iets wat je duidelijk wilt mijden als de pest? Ik zou zeggen van wel.

Goed, ontwerpen die alarmbellen bij me doen afgaan zie ik helaas vaker, dus dit zal ook wel ergens bestaan. Ik snap nog steeds niet waarom je een voorbeeld van hoe het vooral niet moet bij de belangrijkste redenen dat je wachtwoorden in moet voeren zou noemen.

Het primaire doel van authenticatie met een wachtwoord is, volgens mij, het voorkomen van misbruik van het account door een derde (identiteitsfraude dus).

Zolang er geen sprake is van misbruik, vinden systeemeigenaren het in de meeste gevallen geen probleem als jij een ander toegang geeft tot jouw account (denk bijvoorbeeld aan een managementassistente met toegang tot e-mail van een leidinggevende, of internetbankieren namens een familielid die in het ziekenhuis ligt). M.i. alleen omdat systeemeigenaren vrezen dat het voor een accounteigenaar niet altijd duidelijk is dat zij/hij voor 100% verantwoordelijk is (en blijft) en mogelijk de risico's te laag inschat als zij/hij het wachtwoord bewust met anderen deelt, zijn systeemeigenaren hier geen fan van. Maar omdat het vaak ook voordelen biedt (denk aan beheeraccounts waar meerdere personen op inloggen, of willekeurige accounts die door collega's worden overgenomen bij ziekte etc), gedogen systeemeigenaren dit meestal.

Aangezien alles behalve E en B flauwe kul is, en B niet altijd geldt (zeker niet accounts voor e-mail en internetbankieren), moet het antwoord m.i. E zijn.

Ik vermoed dat veel te weinig eindgebruikers, maar ook security professionals, dit inzien. Doordat onze samenleving steeds verder digitaliseert, gaat het allang niet meer slechts om vertrouwelijkheid van informatie ("ik heb toch niks te verbergen") maar ook om diefstal of andere vormen van schade, vaak met financiële consequenties voor de betrokkene.

Het artikel [1] van vandaag is een mooi voorbeeld (maar denk ook aan de toenemde diefstal van valuta als bitcoins). Hoe zeker weet jij dat, als personeelszaken van jouw werkgever een e-mail ontvangt daadwerkelijk verzonden vanuit jouw e-mail account, met de mededeling dat jij (zogenaamd) een nieuw bankrekeningnummer hebt voor jouw salaris, zij dit niet klakkeloos zullen overnemen?

Vandaar ook dat ik mij zo boos maak over [2]. Dat lijkt vooral een oplossing bedacht door mensen die denken dat B het belangrijkste is, niet het beschermen van de betrokkene tegen misbruik.

Kortom, we moeten eindgebruikers ervan bewust maken dat veilige digitale authenticatie in de eerste plaats bedoeld is om ernstig misbruik van hun eigen accounts te voorkomen, want vroeger of later gaat dat jou (of jouw familie/vrienden/ werkgever) gewoon geld kosten.

[1] https://www.security.nl/posting/537912/Kunstgalerijen+bestolen+via+gehackte+e-mailaccounts
[2] https://www.security.nl/posting/537651/DigiD-app+voor+Android+kan+nu+identiteitsbewijs+controleren

Er zijn ook redenaties op te zetten dat juist E niet altijd geldt. Als je een digitaal abonnement bij een krant hebt zal het je vermoedelijk geen donder kunnen schelen als een kennis ook daarmee de krant leest (ik ken een voorbeeld daarvan) terwijl de krant daar juist bezwaar tegen zal maken omdat meer abonnementen meer inkomsten vertegenwoordigen.

En bij banken kan uitmaken dat ze een wettelijke zorgplicht hebben die vereist dat ze weten met wie ze te maken hebben. Ik ben geen jurist en weet niet hoe dat werkelijk uitpakt, maar ik kan me voorstellen dat er situaties kunnen ontstaan waarin het juridisch verschil maakt of een klant zelf dingen met zijn rekening heeft gedaan of een ander die die klant toegang heeft gegeven. Het zou verder kunnen gaan dan het verantwoordelijk kunnen houden van de klant voor wat er met een rekening gebeurt.

Ik houd het bij B en E.

Ik ben de poster daarvan, en ook van:

Je kan dit topic ook zien als een voorbeeld van: hoeveel mensen lezen er nu eigenlijk nog nauwkeurig het topic?
In Bitwiper's topic staat duidelijk vermeld: "(denk aan e-mail of bank account)".
Dan valt B gewoon af, en toch halen heel veel mensen B erbij.
(of zelfs nog meer, omdat ze er zelf van alles bij fantaseren wat niet in het topic staat)

Wat ook heel goed kan, is dat veel mensen hebben gedacht "zo simpel kan het toch eigenlijk niet wezen".
Men verwacht een "doordenker", en het gevolg daarvan is dat men teveel nadenkt en daarom teveel erbij gaat fantaseren.
Zoals mijn pleegmoeder wel eens gekscherend zei:
"Denken? Dat moet je overlaten aan een paard, want die heeft een groter hoofd." ;)

Ik ken voorbeelden van authenticatie waarbij de systeemeigenaar het wel heel belangrijk vindt om zeker te weten dat jij bent wie je zegt dat jij bent, maar dit is er m.i. niet een van. Het belang van de krant is hoofdzakelijk dat er niet meer lezers zijn dan betalende klanten; wie precies leest en wie precies de rekening betaalt, boeit niet. Als de krant misbruik zou willen aanpakken, zou zij elke klant kunnen royeren wiens accountgevens tegelijkertijd vanaf meerdere devices worden gebruikt voor het lezen van de krant. Maar dat doen ze zelden of nooit omdat een deel van de meelezers uiteindelijk zelf een abonnement neemt, en ze het verlies voor de rest incalculeren (lees: op alle betalende klanten afwentelen).

In de basis heb je mogelijk gelijk, maar banken kunnen ook gebaat zijn bij enige flexibiliteit (gedogen dus). Door in de voorwaarden op te nemen dat jij jouw inloggegevens en de pincode van jouw bankpas met niemand mag delen, kunnen zij zich daar juridisch altijd nog op beroepen. Bijvoorbeeld als jij, als plotseling ernstig zieke alleenstaande, jouw bankpas + pincode aan een vriendelijke buurman geeft om boodschappen voor jou te doen, en die buurman later jouw rekening geplunderd blijkt te hebben: helaas pindakaas voor jou, want jouw pas+code afstaan mag niet. Maar zo'n bank wil ook niet in Kassa of Radar aan nabestaanden komen uitleggen hoe het kon dat jij bent doodgehongerd doordat niemand bij jouw geld kon komen. Sterker, banken schrijven na een simpele opdracht gewoon geld af van jouw rekening. Als dat onterecht blijkt, is dat jouw probleem en zul jij -bijtijds- moeten storneren.

Maar dank voor de argumenten, deze dwingen mij om er goed over na te denken en, als ik iets verkeerd heb ingeschat (absoluut niet ondenkbaar), mijn mening bij te stellen!

Ik heb ooit bij een zakelijke bank gewerkt als automatiseerder. Voor de webapplicatie was ik primair degene die intensief met security, infrastructuur en interne accountants samenwerkte om de beveiliging van de webapplicatie goed te krijgen en te houden. Men was daar natuurlijk reëel genoeg om te snappen dat je niet kan afdwingen dat mensen geen wachtwoorden, pincodes of tokens delen, maar van jouw idee dat de bank er wel bij gebaat is als men dat doet kan ik me niets herinneren. Zo gingen we er niet mee om.

Het eenduidig kunnen traceren waar de bron van dingen die misgaan ligt is in het belang van zowel de bank als de klant, en daarbij is duidelijk dat als er conflicten ontstaan de afhandeling ook voor de bank aanzienlijk ingewikkelder wordt als bij klanten mensen elkaars credentials hebben gebruikt om te frauderen. Als dat tot juridische procedures leidt (wat ik niet heb meegemaakt) kan ik me goed voorstellen dat de zorgplicht van banken ook een belangrijke rol gaat spelen in de argumenten, naast de technische realiteit. Een bank heeft er dus een wezenlijk belang bij om het beeld zo zuiver mogelijk te houden en om klanten te stimuleren en helpen het aan hun kant ook zuiver te houden.

Daarom lijkt mij dat ook een bank met particuliere klanten liever zal zien dat een verzorger een machtiging met een eigen pas heeft dan de pas van de persoon die verzorgd wordt te gebruiken.

B en E dus.

Mijn voorbeeld is voor jou vergezocht het is een echt praktijkvoorbeeld uit een financial.
Als je zoals jij doet enkel naar de voorkant van het gewenste functionele gebruik kijkt, dan snap ik je.

Dit is exact wat vanuit de top / managers met de externe sales zo uitgedragen wordt, alleen die beperkte functionele voorkant.
Kijk je echter hoe dan technisch in elkaar steekt dan zie ook alle onbedoelde functionaliteit met de gedocumenteerde achterdeuren. Van sommige niet gedocumenteerde achterdeuren kun je zien dat ze moeten bestaan.

Dan moet je als manager niet verbaast staan te kijken dat dan blijkt dat het toch allemaal erg lek blijkt te zijn. Security is nu net verder kijken dan de externe verkoper / interne projectleider beweren. Zij zijn gebaat bij snel succes en daarbij is een gedegen security ontwerp enkel een lastiger hindernis.

Jij leest daar kennelijk in: denk uitsluitend aan...
Ik lees daarin: denk bijvoorbeeld aan...

De woorden uitsluitend en bijvoorbeeld stonden er allebei niet, het zijn interpretaties van een zin die het open liet. Waarom zou de ene interpretatie nauwkeuriger zijn dan de andere?

Naast E is antwoord D ook een optie. Er zijn systemen die zo "zero knowledge encryptie" implementeren maar in de meeste gevallen wordt dan de eigenlijke sleutel met het wachtwoord van de gebruiker versleuteld en niet al de data zelf. Het zal echter niet de belangrijkste reden zijn.

Zonder de mensen die toch nadenken had jij geen computer gehad waarop je je reactie intikt, geen software om op die computer te draaien, geen elektriciteit om hem mee te voeden, geen schoon water uit de kraan, zelfs geen kraan, geen riolering, geen koelinstallaties om voedsel tegen bederf te beschermen, geen artsen om naar toe te gaan als je ziek bent, geen samenleving die maar lijkt op die we kennen. Zonder nadenkers hadden de meesten van ons niet eens geleefd. En in de context van deze website: computers zijn het resultaat van doordenken, elk stuk software is het resultaat van doordenken, de principes die je toepast om die te beveiligen zijn het resultaat van doordenken, het beveiligen zelf is het resultaat van doordenken omdat elke sitatie weer anders is en zijn eigen verrassingen oplevert.

Je verbeelding gebruiken bij het nadenken leidt ook tot ideeën die niet kloppen, fantasieën. Gelukkig zijn er denkers geweest die bedacht hebben dat er een fysieke werkelijkheid is waar je die ideeën aan kan toetsen, zodat fantasie en werkelijkheid gescheiden kunnen worden.

Als je zelf geen denker bent is daar helemaal niets mis mee, 70% van de mensheid houdt niet van nadenken en dat zijn verder prima mensen. Maar besef wel dat je hele bestaan zoals je dat kent vorm is gegeven door mensen die wél doordenken. Kennis komt niet uit de lucht vallen, het vergt diep denkwerk om die te ontwikkelen. Je vergist je vreselijk als je denkt dat dat overgeslagen kan worden. Wees blij dat er wel doordenkers zijn.

Er kan maar één reden de belangrijkste reden zijn, en in het topic wordt om die belangrijkste reden gevraagd.
Kwestie van goed lezen!

Dus alle antwoorden die meer mogelijkheden aanduiden, zijn al geen antwoord op de poll....

Je hebt gelijk, de bank is er niet bij gebaat als mensen inloggegevens bewust gaan delen.

Mijn voorbeeld van Radar en Kassa was ook niet erg realistisch, en los van of zo'n door de klant vertrouwde derde zelf misbruik maakt van bankpas of inloggegevens voor internetbankieren, wordt de zaak wel erg complex als de pincode bij die derde wordt afgekeken en de pas gerold, of als die persoon bankingmalware op zijn PC en/of smartphone blijkt te hebben (die niet werkt als je een los actief device hebt zoals een Random Reader o.i.d. - maar dat terzijde).

Terug naar de reden van mijn poll: mijn zorg is dat eindgebruikers, maar ook sommige systeemontwerpers, zich te weinig zorgen maken over de risico's die een eindgebruiker loopt als een kwaadwillende -zonder toestemming van de eindgebruiker- misbruik maakt van een account van die eindgebruiker.

Ik denk dat je gelijk hebt dat een bankaccount daarbij een slecht voorbeeld is, omdat banken (al dan niet uit coulance) ook risicodragend zijn bij misbruik (meestal worden klanten deels of geheel schadeloos gesteld). Voor een bankaccount denk ik dat je gelijk hebt als je B en E stelt. Mijn excuses dat ik mij dat vooraf niet gerealiseerd heb!

Voor DigiD authenticatie en e-mail accounts blijf ik wel van mening dat eindgebruikers onvoldoende beseffen hoeveel risico zij kunnen lopen.

Vanochtend las ik [1] (bron: [2]) waarin de FBI waarschuwt voor een toename in fraude bij de aanschaf van vastgoed. Die vindt plaats doordat cybercriminelen toegang verkrijgen e-mail accounts van makelaars of notarissen, en op het moment dat zo'n makelaar/notaris het rekeningnummer mailt waar de koper (of diens bank) het geld naartoe moet overmaken, vangen de criminelen die mail af, wijzigen het rekeningnummer en sturen dan de mail.

Iets dergelijks is ook niet ondenkbaar in Nederland. En dit geldt niet alleen voor vastgoed, denk bijv. ook aan e-mail accounts van autoverkopers of aannemers namens wie cybercriminelen facturen met aangepaste bankrekeningnummers kunnen sturen. En, zoals ik al eerder schreef, als jouw werkgever (of uitkeringsinstantie) "van jou" een e-mail ontvangt waarin "jouw nieuwe bankrekeningnummer" vermeld wordt, met het verzoek voortaan daar jouw salaris/uitkering naar over te maken, ben ik benieuwd of deze belt of dit klopt, en zo ja, of dan het nummer gebeld wordt dat de cybercriminelen in "jouw" mail hebben gezet.

[1] http://www.chicagotribune.com/classified/realestate/ct-re-1105-kenneth-harney-20171030-story.html
[2] https://www.theregister.co.uk/2017/11/04/security_roundup/

Het is alleen dat er maar weinig grote banken in Nederland zijn waar je moet inloggen met een wachtwoord als zodanig.

Zijn B en E allebei precies even belangrijk?
Je vroeg immers om de belangrijkste reden.

Kul. Je kan uitstekend lezen en het niet eens zijn met de keuzes die Bitwiper gaf. Omdat hij de vraag stelt is hij nog niet de ultieme autoriteit die het beter weet dan de rest van de mensheid. Mensen die vinden dat het onderscheid tussen B en E niet goed te maken is brengen hun eigen ervaring, expertise en intelligentie mee in dat oordeel. En Bitwiper gaat er op zijn beurt weer serieus op die mensen in.

Dit is geen examenopgave, dit is een manier om een discussie te voeren. We kunnen van de argumenten van Bitwiper leren, maar ook van de tegenargumenten van anderen.

Als een systeemeigenaar of -ontwerper zich voldoende druk maakt om de belangen van de gebruiker, het als zijn eigen belang gaat zien om dat goed te behartigen, dan vervaagt het onderscheid tussen B en E enigzins. Daarom vind ik dat die in elkaars verlengde liggen, elkaar versterken.
Mag ik excuses voor zoiets onzin vinden? We zetten elkaar aan het denken en daar worden we volgens mij allebei beter van.

Ik heb er een hard hoofd in dat het een verantwoordelijke aanbieder lukt om dat met technische maatregelen dicht te timmeren.

Kijk ter vergelijking de slotjes bij TLS-certificaten en de naam van de site-eigenaar bij EV-certificaten. Vrij duidelijk dat je als je naar de website van de bank gaat even kijkt of de naam er staat, zou je zeggen. Ik moet dan denken aan een kennis van me die me een keer een website liet zien waar hij enthousiast over was. Hij opende een browsertab waar een Google-zoekscherm in verscheen. Dáár tikte hij de URL in. Als zoekresultaten verschenen pagina's van die site maar ook pagina's die ergens anders bijhoorden. Hij dacht werkelijk dat de zoekresultaten onderdeel van de gezochte website waren, en had totaal niet door dat er links naar andere websites bij stonden. Die trapt dus met open ogen in phishingsites. Ik probeerde hem uit te leggen dat je een webadres beter in de adresbalk in kan tikken. Niet alleen begreep hij het verschil niet, hij zag de adresbalk nog niet als ik hem op het scherm aanwees. Letterlijk, het drong domweg niet door, bij het eerste het beste dat voorbij ging aan wat hij al meende te weten ging de blik op oneindig en het verstand op nul. Die ziet groene slotjes en de naam van de bank dus ook niet, dat deel van het venster heeft hij buiten zijn bewustzijn gesloten. Diezelfde persoon klikt ook blind op de "Ok"-knop van eender welke popup. De melding begrijpt hij toch niet en de computer weet het ongetwijfeld beter, is zijn houding. Ik heb meerdere keren schrikbarende hoeveelheden malware van zijn computer verwijderd tot ik er genoeg van had met de kraan open te dwijlen. Hopeloos.

Is dat niet juist een argument om het technisch fool-proof te maken? Ik heb er dus een hard hoofd in dat dat kan. Ik snap namelijk niet hoe iemand die adresbalk niet ziet. Ik zag het voor mijn neus gebeuren, maar ik kan er met mijn hoofd niet bij dat je iets nog buiten kan sluiten als iemand het met zijn vinger aanwijst. Hoe moet ik iets bedenken waar zo iemand niet de mist mee ingaat als ik niet kan bevatten hoe hij denkt? Want daar kan ik met mijn verstand werkelijk niet bij, ik heb geen idee hoe je tot zo iemand door kan dringen.

Die persoon is misschien extreem, maar dit komt in allerlei gradaties voor. Notarissen in Nederland communiceren ook vrolijk per onversleutelde e-mail over vertrouwelijke zaken. Ik heb de indruk dat GGZ-instellingen inmiddels beter in de gaten hebben dat dat niet kan, en dan niet omdat alle psychologen en psychiaters zo goed inzien waarom dat riskant is, maar omdat de organisatie ze kennelijk goed weet in te peperen dat dat niet mag.

Misschien dat een niet-technische benadering meer zoden aan de dijk zet, waar dat kan. E-mail is niet zo betrouwbaar als het eruit ziet. Als het belangrijk is wat erin staat (zoals een rekeningnummer voor een grote overboeking), bel dan ook even op om het te verifiëren. Dat moet in ieder geval een aantal mensen die de techniek niet snappen wel kunnen bevatten.

Alleen zie ik de bui al hangen als je dan uit moet gaan leggen dat als dat rekeningnummer in die e-mail niet vertrouwd kan worden dat je dan ook het telefoonnummer in die e-mail niet kan vertrouwen en dat weer ergens anders vandaan moet halen. Het vergt een basaal vermogen tot logisch denken om dat in te zien. Dat de kans op ongelukker kleiner is als je via twee onafhankelijke communicatievormen hetzelfde bericht (dat rekeningnummer) overbrengt vergt ook logisch denkvermogen om te snappen, evenals het gegeven dat twee onafhankelijke beveiligingsmaatregelen elkaar versterken (je moet ze de kost geven die alle zorgvuldigheid laten varen als ergens een automatische controle aan wordt toegevoegd).

Ik ben hier nogal pessimistisch over, ik vrees dat de mensheid nog lang moet aanmodderen met al die technische vernieuwingen voordat er een manier is gevonden waarop ze zonder problemen werken. Het vergt nog een hoop vallen en opstaan omdat de belevingswerelden van techneuten en niet-techneuten zo enorm ver uit elkaar liggen.

Zoals Anoniem van 09:17 hierboven stelt, ben ik niet de ultieme autoriteit - integendeel. Het was achteraf een slecht idee van mij om een bankaccount als voorbeeld te nemen, daarvoor nogmaals mijn excuses.

Of er feitelijk een verschil bestaat tussen B en E is discutabel, ik herhaal ze:

B) Omdat de eigenaar van het systeem zeker wil weten dat jij jij bent
E) Omdat jij niet wilt dat iemand anders zich kan voordoen als jou

Als de eigenaar van een systeem zeker weet dat jij jij bent, zou jij je in principe geen zorgen hoeven maken over misbruik door een derde. Het probleem zit er echter in met welke betrouwbaarheid de systeemeigenaar vaststelt dat jij jij bent, en welk risico jij loopt als die betrouwbaarheid in de praktijk onvoldoende is.

Na bovenstaande discussie (waar ik veel van geleerd heb, en die me tot nadenken dwingt) heb ik me gerealiseerd dat je (in elk geval in Nederland) weinig risico's loopt als een kwaadwillende toegang krijgt tot jouw bankaccount en geld steelt (immers, banken vergoeden de schade meestal). Omdat de bank daardoor zelf een risico loopt, is het in hun belang dat authenticatie zorgvuldig plaatsvindt. Dat dit zo is blijkt ook uit alle maatregelen die de meeste banken nemen. Of hier B of E belangrijker is, durf ik niet te zeggen (ik weet het gewoon niet). Sorry!

Hoewel grote mailproviders als GMail en en Outlook.com aanmoedigen om fatsoenlijke wachtwoorden te gebruiken en 2FA (2-Factor Authentication, ook bekend als MFA/Multi Factor Authentication) aan te zetten, verplichten ze dit niet. Ik ken veel mensen met een simpel en raadbaar wachtwoord op hun e-mail die stellen "ik heb niks te verbergen". Het gaat echter al lang niet meer alleen om het al dan niet hebben van vertrouwelijke informatie, maar om het voorkomen dat jij (of jouw familie/vrienden/klanten/werkgever) geplunderd wordt. En krijg dat maar eens tussen de oren van die mensen.

Middels de DigiD Android App en een ooit gescand paspoort [1] verzekert Logius (een derde partij dus) overheden en pensioen/ziektekostenverzekeringen er, naar verluidt, met grote zekerheid van dat jij jij bent, maar dat systeem is m.i. veel te eenvoudig te misbruiken als jouw smartphone gestolen wordt. De betrouwbaarheid waarmee vastgesteld wordt dat jij jij bent, is veel te laag - wat misbruik in de hand kan werken, waarbij jij risico's loopt (zelfs als je de app helemaal niet gebruikt, maar ooit je paspoort even hebt afgestaan). Logius loopt helemaal geen risico, en instanties die "jou" een uitkering of subsidie verstrekken, zullen daar geen enkele verantwoordelijkheid voor nemen - immers, Logius had hen verzekerd dat jij jij bent. Maar als zo'n uitkering of subsidie achteraf onterecht blijkt (die jij nooit op jouw bankrekening hebt ontvangen), zullen zij die natuurlijk wel op de echte jij verhalen.

Bij de laatste twee (e-mail en DigiD) vind ik absoluut dat E belangrijker is dan B, en dat wij (de security community) er harder aan moeten werken om eindgebruikers en systeemontwerpers van de risico's te doordringen.

[1] https://www.security.nl/posting/537651/DigiD-app+voor+Android+kan+nu+identiteitsbewijs+controleren

Wat dacht je van non-repudiation ?

Indien jijzelf geld pint bij de bank, en achteraf roept dat je bent beroofd, dan wil de bank wel kunnen aantonen dat je het geld zelf hebt opgenomen. Of indien jij spullen bestelt, en achteraf roept dat je deze niet besteld hebt, en niet ontvangen hebt. Dan wil men toch aantonen dat dat niet waar is.

Bedrijven gebruiken het ook om misbruik te voorkomen. Zowel door de eigenaar van een account, als door derden.

Het is je blijkbaar weer eens ontgaan...., maar Bitwiper vroeg in de poll naar de belangrijkste reden.
Waarom zou je dan niet verwachetn dat er uiteindelijk een "belangrijkste reden" uit de bus gaat komen.
Het is wel heeeeel sterk als 2 redenen precies even belangrijk zijn. Dus ik droeg het nog even aan. Mag ik?
En Bitwiper mocht wat mij betreft als eerste reageren omdat het zijn topic is. Niet omdat ik denk dat hij de ultieme autoriteit is. Dat fantaseer jij erbij, en het is storend. Bitwiper heeft inmiddels gereageerd zie ik, dus ik zal proberen het goed te lezen en te begrijpen wat hij bedoelt en dan misschien nog reageren.

Wel shame on you dat jij zo lullig reageerde en er weer van alles bij verzon wat er niet stond in mijn bericht.

Zonder meer is E de belangrijkste in fotofinish met B als #2; je wordt als het ware automatisch beschermd. Als je ook maar enigszins een idee hebt dat ongewenste meekijkers of mensen na jou toch iets zouden kunnen uithalen, stop dan met tikken en sluit alles af. Vooral als je met een openbare computer werkt. Geldt zowel voor je aanmeldnaam als het eraan gekoppeld wachtwoord. Verander het als je ondanks alle voorzichtigheid achterdocht koestert.

Ga er maar vanuit dat je wordt gefilmd, en daarbij ben je het geld kwijt dat is opgenomen voordat je de bank hebt geïnformeerd over verlies of diefstal, zodat ze de pas hebben kunnen blokkeren.

Bij online bankieren zie je dat dat anders wordt afgehandeld dan authenticatie. Bij ING kan je aanloggen met een wachtwoord en heb je voor het inleggen van een transactie een TAN per SMS nodig. Bij banken met een hardwaretoken zie je een andere functie op het apparaat moet kiezen voor aanloggen en transacties ondertekenen. Dat dient niet alleen om te voorkomen dat bij phising de aanlogcode voor overboekingen gebruikt kan worden. Bij een bank waar ik gewerkt heb weet ik dat de code die je in het token in moest typen in feite een hash over de ingevoerde transactie was. Wat andere banken precies doen weet ik niet, dat gebeurt achter de schermen. Maar bij de RABO scanner zie je er wel wat van, die laat bij het ondertekenen van individuele transacties de tegenrekening en het bedrag zien. In zulke gevallen bestaat de non-repudiation eruit dat de ondertekencode uit de inhoud van de transactie is geconstrueerd, dus uniek voor die transactie is. De PIN is nodig om je bij het apparaat te authenticeren, maar de non-repudiation is niet de PIN maar een elektronische handtekening onder de transactie.

Als je pint ga je accoord met een bedrag, en dient je PIN om je pas te ontsluiten en het computertje in de pas ondertekent de transactie, zodat online gecontroleerd kan worden dat de pas echt is. Zo werkt het althans bij mijn weten bij EVM-chips, en ook daar is dan de ondertekening uniek voor de transactie.

De meeste webwinkels laten je direct betalen. Bij een iDeal-betaling gebruik je het non-repudiationmechanisme van de bank om de transactie in te leggen, en de bank bevestigt aan de verkoper dat de betaling rond is. Het wachtwoord dat je bij de webwinkel hebt dient dan niet voor non-repudiation.

Als ze met factuur leveren betwijfel ik of je het wachtwoord waarmee is aangelogd nog wel non-repudiation moet noemen. Het wordt zo namelijk makkelijk om in de openstaande sessie op een computer van een ander iets te bestellen. Omdat er niets is dat die specifieke bestelling aan de klant koppelt, de sessie kan aan meerdere bestellingen gekoppeld zijn, denk ik niet dat dat sterk genoeg is om van onweerlegbaarheid te spreken, en dat is wat non-repudiation betekent.

J) "Het primaire doel van authenticatie met een wachtwoord is het voorkomen van misbruik van het account door een derde (identiteitsfraude dus)."

Ik kies voor J)

Dat mag je verwachten, maar anderen zijn niet verplicht aan je verwachting te voldoen.
Dat mag je. En ik beweerde niet dat ze precies even belangrijk zijn, ik beweerde dat niet iedereen vindt dat het onderscheid zo eenvoudig te maken is. Waarom eigenlijk? Omdat de afweging per geval kan verschillen. En omdat beide belangen elkaar in mijn ogen versterken vind ik dat het niet zo spannend is om een van de twee de eerste plaats te geven. Wat mij betreft hebben ze een gedeelde eerste plaats.
Tja, jij legt mij ook weer woorden in de mond die ik niet gebruikt had, zie je hoe makkelijk dat misgaat?

Ik heb je tegengesproken en ik heb het woord "kul" gebruikt omdat ik het inderdaad flauwekul vind om mensen aan te vallen die zich niet strikt aan de vraagstelling hebben gehouden. Mag iemand die oprecht vindt dat B en E samen de eerste plaats hebben dan maar een antwoord geven waar hij niet achter staat? Of moet hij zijn mond maar houden omdat jij (niet Bitwiper!!) mensen die het zo zien de mond wil snoeren?

Als je het mij zo kwalijk neemt dat ik vóór Bitwiper antwoordde, zou je dan ook even kritisch naar je eigen gedrag kunnen kijken? Je liet het niet aan Bitwiper over om mensen die B en E antwoordden terecht te wijzen, jij nam van alles aan over wat hij bedoelde en ging behoorlijk fel tegen die mensen tekeer. Je deed dus zelf precies wat je mij verweet. Je bent lekker bezig.

En als je de moeite doet om inderdaad Bitwiper's reacties te lezen dan zie je dat die niet ging afkatten maar in discussie ging en er wat van zei op te steken. Dat komt niet over alsof Bitwiper het probleem met "B en E" heeft dat jij hebt. Hij heeft zijn eigen mening, en onderbouwt die, maar hij zit niet te zeiken dat twee antwoorden niet mogen. Laat dat alsjeblieft even tot je doordringen en kijk met dat in je achterhoofd nog eens kritisch naar je eigen reacties.

Dat zit, volgens mij, in dezelfde hoek als B: "Omdat de eigenaar van het systeem zeker wil weten dat jij jij bent" maar gaat iets verder. Want, als ik me niet vergis, betreft het functionaliteit waardoor jij niet kunt bewijzen dat jij het niet was (die bijv. ergens een handtekening onder heeft gezet).

De term "non-repudiation" (vertaald iets als "onbetwistbaarheid") spreekt in elk geval niet erg tot mijn verbeelding. Het concept heeft m.i. meer met de betrouwbaarheid van personen te maken dan met de betrouwbaarheid van de authenticatie van personen (vergelijkbaar met een https server certificaat dat hooguit iets zegt over de zekerheid dat jouw webbrowser met de juiste site communiceert, maar niets over de betrouwbaarheid van de eigenaar van die site).

Bovendien is non-repudiation iets dat, met alleen technische middelen, lastig kan worden afgedwongen; je hebt er al snel sterke asymmetrische sleutelparen voor nodig met de private key in een device of kaart, zodanig dat deze dat device of die kaart niet kan verlaten (en dan nog zou je later kunnen claimen dat een derde kennelijk toegang tot dat device of die kaart had op het moment dat de handtekening werd gezet).

Hoe kwetsbaar dat soort systemen bovendien kunnen zijn, bleek recentelijk toen bekend werd dat de Estlandse digitale identiteitskaart ook de buggy Infineon chip bevat - die te zwakke asymmetrische sleutelparen genereert [1]. Met als gevolg dat alle ooit met zo'n kaart gezette digitale handtekeningen in een klap waardeloos zijn geworden, want derden zouden de private (signing) key hebben kunnen herleiden uit de public key. Daardoor kan iemand, die eerder met zo'n identiteitskaart bijv. een contract digitaal heeft ondertekend, de echtheid van die handtekening nu betwisten, oftewel "repudiaten" en zo mogelijk onder contracten uitkomen.

Deze "poll" gaat echter over authenticatie met een wachtwoord, en ik hoop dat je inziet dat een dergelijke authenticatiemethode te zwak is voor zaken waarbij redelijke non-repudiation functionaliteit vereist is.

Daarnaast, gelukkig zijn de meeste mensen geen criminelen. Maar degenen die dat wel zijn, kunnen natuurlijk profiteren door bijv. diefstal in scene te zetten en er eenvoudig mee weg te komen doordat zwakke authenticatie wordt gebruikt.

Denk aan iemand die een geldezel inschakelt, met DigiD subsidie aanvraagt (voor iets waar hij helemaal geen recht op heeft), die subsidie toegekend krijgt en die naar de rekening van de geldezel laat sturen. En daarna claimt dat z'n smartphone (zonder lock-screen code en 5 nullen als DigiD-app-pincode "hihi, ja dom van me, hè") gestolen was en dat hij die subsidie helemaal niet zelf heeft aangevraagd. Als de uitkerende instantie uit coulance het geld niet terugvraagt, heeft hij daar wel zijn zakken mee gevuld (minus een fooi voor de geldezel).

Ook kun je niet uitsluiten dat er kunsthandelaren [2] of makelaars [3] zijn die de hack van hun e-mail accounts in scene zetten, en zo geld vangen voor kunst die zij nooit leveren, of voor een huis dat niet van eigenaar wisselt.

Maar nogmaals, ik maak me zorgen over mensen die slachtoffer worden van identiteitsfraude door zwakke authenticatie, een probleem dat "relatief" eenvoudig opgelost kan worden (door een wachtwoordmanager + veiliger wachtwoorden te gebruiken, en zomogelijk 2FA). Als de bedoelde persoon waar jij (als persoon of organisatie) digitaal mee communiceert zelf crimineel is, is dat een ander probleem waar ik geen eenvoudige (technische) oplossing voor ken.

[1] https://www.security.nl/posting/537868/Digitale+identiteitskaart+Estland+krijgt+beveiligingsupdate
[2] https://www.security.nl/posting/537912/Kunstgalerie%C3%ABn+bestolen+via+gehackte+e-mailaccounts
[3] http://www.chicagotribune.com/classified/realestate/ct-re-1105-kenneth-harney-20171030-story.html

Kijk, dat is nou een kul-antwoord, omdat niemand er wat mee kan en niemand er wijzer van wordt.

OK, dat respecteer ik als jouw antwoord. Wel zou je meer zeggingskracht hebben als je je antwoord ook nog zou onderbouwen. Maar als je dat niet wil of kan, laat het dan maar. Mij best.

O??? Wat is dit dan van 16:14 door Anoniem:
Waar slaat het op dat je dat erbij haalt? Het heeft er niets mee te maken, en daar reageerde ik op.

Sorry hoor, maar het topic was geen vraag maar een poll met een aantal mogelijke antwoorden.
Dan vind ik het wat vreemd dat het nogal eens voorkomt dat er zo te zien direct al geen antwoord wordt gegeven op de gestelde vraag in de poll. Dus daar maak ik opmerkingen over. Als jij dat "aanvallen "noemt.. Ik noem het eerder helpen.

Ja zeg, begin je nou weer? Het leek me toch wel aannemelijk dat één van de twee belangrijker was. Dat is praktisch bijna altijd zo. Is dat zo erg? Iets anders is dat die vraag misschien moeilijk is te beantwoorden.

Hou toch op man! Waarom zou ik jou kwalijk nemen wanneer je antwoord vóór Bitwiper?
Ik reageerde toen op jouw drammerige zinnetje "Omdat hij de vraag stelt is hij nog niet de ultieme autoriteit die het beter weet dan de rest van de mensheid". Dat ontkende ik, en in plaats daarvan schreef ik: En Bitwiper mocht wat mij betreft als eerste reageren omdat het zijn topic is. Niet omdat ik denk dat hij de ultieme autoriteit is."
Je moet eens stoppen met een ander van alles in de schoenen te fantaseren omdat je niet tegen kritiek kan.

Heb ik Bitwiper afgekat daarom? Nee. Waarom zou ik het bij jou dan wel doen, behalve rechtzetten wat jij krom maakt?
En Bitwiper heeft ook van mij een vraag heel normaal beantwoord. Niets aan de hand.

Een bank kan met je wachtwoord niet 100% zeker weten of jij jij bent.
Het is een aanname van de bank dat jij degene bent die met je inloggevens inlogt. Ze zien je niet.
Als je iemand anders zou vragen om met je gegevens in te loggen bij de bank, ziet de bank dat niet.

Wachtwoorden met gebruikersnamen zijn gemakkelijk overdraagbaar aan een ander.
Ze zijn daarom op zichzelf genomen geen geschikt middel voor de bank om te controleren of jij jij bent.
Als een bank zeker wil weten of jij jij bent, moet je ter plekke je paspoort laten zien en moet de bank daarvan de echtheidskenmerken controleren. Daarom valt B af als belangrijkste reden.

De meest belangrijke reden is dus E) Omdat jij niet wilt dat iemand anders zich kan voordoen als jou.
Dat vormt ook de basis voor het vertrouwen bij de bank: men rekent erop dat jij niet wilt dat iemand anders zich kan voordoen als jou, en dat jij daarom je inloggegevens geheim houdt. Op dat moment kan namelijk ook de bank er voldoende op vertrouwen dat jij jij bent als je inlogt bij de bank met de inloggegevens die door de bank aan jou zijn verstrekt.

Dus E) de belangrijkste reden dat je een wachtwoord gebruikt, want B) kan niet zonder E).

@Anoniem 07-11-2017, 02:45: goed beargumenteerd, dank hiervoor!

De reden waarom men iets doet verandert niet als om praktische redenen de manier waarop men het doet niet tot het uiterste gaat.

Ter vergelijking: we willen geen verkeersdoden, maar we gaan niet zo ver om verkeer dan maar helemaal af te schaffen.

Toch hebben veel banken wachtwoorden al afgeschaft.
Wachtwoorden zijn puur gebaseerd op wat je weet.
Bazuint iemand het op internet of Facebook dan weet de hele wereld het.
Tegenwoordig zie je dat banken zich niet alleen meer richten op wat je weet, maar daarbij ook op wat je (uniek) hebt.
En dat wat je hebt, is verdraait lastig om te vermenigvuldigen.

Tenzij het een identiteitskaart is met een buggy Infineon chip. Of een SecurID hardware token waarvan de seeds op straat liggen. Of een asymmetrisch sleutelpaar waarvan de private key gelekt is.

Deze poll ben ik gestart vanwege mijn frustratie over de Android versie van de DigiD app, waarbij het éénmalig uitlezen van jouw paspoort zekerheid zou geven dat jij jij bent (hopen maar dat ons paspoort niet zo'n buggy Infineon chip heeft). Geen vermenigvuldigen, maar ook geen echte 2FA natuurlijk.

Ik vond altijd al dat "Something you have" te kort schoot en moest zijn "Something you have that cannot easily be copied" (denk aan een pas met een magneetstrip). Maar sinds kort ben ik ervan overtuigd dat de zin moet luiden:

"Something you have, that cannot easily be copied, and that you possess now - with proof attached (to prevent replay)".

Eens en hou die gedtailleerde omschrijving vast.
Het is de oorspronkelijke bedoeling die uitgehold wordt. Dat gsbeurt door argumenten dat het eenvoudiger ook wel moet kunnen. Het aan de woorden van bepaalde zin ook wel kan voldoen.

Ken ik niet, ben niet zo van de smartphones, erg lastig om te zien wat er echt de ether ingaat, en als het eenmaal de ether in is gegaan hou je het ook niet meer tegen.

Maar als ik er op nazoek vind ik:
https://www.digid.nl/nl/vraag-en-antwoord/is-de-app-veilig/

Ben je daar bekend mee?

Die FAQ heb ik gelezen toen ik mij boos begon te maken, en dat hielp niet (integendeel).

Die app is niet veilig, want de meeste smartphones zijn niet veilig (zelfs smartphones waar wel security updates voor uitkomen, worden in een deel van de gevallen niet bijgewerkt doordat mensen de meldingen wegklikken). En er zijn, naar verluidt ([1] en [2]), 1 miljoen mensen die alleen al een nep WhatsApp app hebben geïnstalleerd vanaf de "veilige" Google play store (waar misschien ook al wel nep DigiD apps te vinden zijn). Als zo'n foute WhatsApp app (of andere malware) een popup toont -met wat plaatjes waardoor deze uit de DigiD app lijkt te komen-, met de melding dat je, voor de veiligheid, nu op DigiD moet inloggen ter verificatie, dan heeft die nep app jouw DigiD inloggegevens. Als die nep app vervolgens de DigiD app kan aansturen alsof jij dat doet (zomogelijk zonder dat jij dit ziet), kan deze zich voordoen als jou.

Echter... als waaghalzen dat soort apps willen gebruiken zal jou dat waarschijnlijk een biet zijn, want jij zal zo'n DigiD app nooit installeren (als ik je goed begrijp heb je niet eens een smartphone). Helaas loop jij toch risico's doordat die app bestaat, en de Android versie sinds kort -eenmalig- de chip in een identiteitsbewijs kan uitlezen!

Stel dat ik (met gerichte phishing bijv.) de DigiD inloggegevens van jou (of iemand die daar makkelijker in trapt) in handen krijg, die geen SMS verificatie heeft ingesteld. Ik heb het niet getest (en weet het dus niet zeker), maar ik vermoed dat ik dan SMS authenticatie van jouw DigiD account kan aanzetten op mijn smartphone, waarna ik de echte DigiD app kan installeren - en ik al met redelijke zekerheid jij ben.

Maar nu waar ik me pas echt boos over maak: ik zoek jou op en overtuig jou ervan dat jij jouw identiteitsbewijs even aan mij moet overhandigen (bijvoorbeeld met de smoes dat ik een pakje voor de buren kom bezorgen, die zogenaamd niet opendoen; van mijn baas moet ik in zo'n situatie de identiteit van de inontvangstnemer controleren omdat er anders teveel pakjes "verdwijnen"). Dat identiteitsbewijs houd ik tegen mijn smartphone (bijvoorbeeld met de "smoes" dat dit veel veiliger is dan een handtekening zetten op een schermpje, want het plaatje dat dit oplevert kan onbeperkt gekopieerd worden) en geef het weer terug aan jou. Ik vertel daarbij natuurlijk niets over DigiD.

Daarna ben ik met nog grotere zekerheid jou, want ik heb niet alleen jouw DigiD inloggegegevens, maar ook de app die middels SMS gevalideerd is, en ik heb jouw identiteitsbewijs (uhhh - ooit in handen gehad). Ik wens je veel sterkte met ontkennen dat ik dezelfde persoon ben als jij.

Het spat er bij DigiD app en de FAQ gewoon vanaf dat dit systeem ontworpen is om zeker te weten dat jij jij bent (B), maar dat de ontwerpers vergeten zijn om rekening te houden met scenario's waarbij een fraudeur claimt jij te zijn (E).

Voor meer specifiek in relatie tot DigiD (en fraude daarmee) zie mijn bijdragen in [3].

[1] https://www.security.nl/posting/537950/Neps%27app+%26+-x-
[2] https://tweakers.net/nieuws/131517/nepversie-whatsapp-voor-android-meer-dan-een-miljoen-keer-gedownload.html
[3] https://www.security.nl/posting/537651/DigiD-app+voor+Android+kan+nu+identiteitsbewijs+controleren

Je stelt de lastige kritische vragen die men echt niet leuk vind.
Prima hoor, ik ben het met die lijn eens.
Besef dat je dan ook veel lange tenen en Catharinas roosjes raakt. Wat je nog vergeten bent te noemen is de vrije marktwerking. Die kunnen het allemaal veel beter en goedkoper. Je hoeft je nergens zorgen over te maken want vanzelfsprekend perfect veilig.
(Voor de goed verstaander nu sarcasm off)

Als iemand SMS-verificatie aanzet wordt een brief gestuurd met een activeringscode. Dat sturen ze naar het adres waar de persoon volgens de basisadminstratie woont. Dat kan je gewoon op de DigiD-website vinden. Een fraudeur moet dus én inloggegevens bemachtigen, én een identitetsbewijs scannen, én een brief onderscheppen.

Wat er vanaf spat is dat ze niet op details ingaan over hoe ze dingen hebben beveiligd, ze geven alleen een oppervlakkig beeld. Dat vind ik niet deugen, laat dat duidelijk zijn. Maar uit gebrek aan informatie kan je niet concluderen dat iets niet goed zit, net zo min als je eruit kan concluderen dat het wel goed zit. Je kan eruit concluderen dat je het als buitenstaander niet goed kan beoordelen.

De informatie die er wél is doet vermoeden dat ze wel degelijk met misbruikscenario's rekening houden. De fraudeur moet door drie verschillende hoepels springen voor hij die app kan misbruiken. Een wildvreemde zal daar maar heel moeilijk in slagen (misbruik door mensen die dagelijks over de vloer komen maakt meer kans).

Hoe goed vullen ze dat in? Aan organisaties die aangesloten worden op DigiD stellen ze eisen, een subset van de ICT-beveiligingsrichtlijnen voor webapplicaties van NCSC:

https://www.logius.nl/ondersteuning/digid/beveiligingsassessments/veelgestelde-vragen/
https://www.logius.nl/ondersteuning/digid/beveiligingsassessments/normenkader-v20-voor-2017/
https://www.ncsc.nl/actueel/whitepapers/ict-beveiligingsrichtlijnen-voor-webapplicaties.html

Dit zijn normen die ze aan anderen opleggen. Dat er een subset gebruikt wordt in plaats van de volledige NCSC-richtlijn wordt door de auditdienst van het rijk bij een beoordeling van de DigiD-aansluiting van onder meer het BIG-register als beperking genoemd waardoor ze niet in staat zijn een overall-oordeel te geven (paragraaf 1.4) over de webapplicatie, het gaat alleen over de aspecten die Logius van belang vindt voor DigiD-aansluitingen:

https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/publicaties/2016/06/24/bijlagen-bij-besluit-wob-verzoek-adr-rapporten-2015-vws/16.1-logius-ict-ict-beveiligingsassessment-digid-7-juli-2015.pdf

Wat ik tot nu toe niet heb gevonden zijn de normen waar ze zelf aan moeten voldoen en auditrapporten daarover. Het lijkt me stug dat dat die er niet zijn, en ik vind het duidelijk dat Logius wel degelijk nadenkt over beveiliging en ook over scenario's met fraudeurs. Wat ontbreekt is makkelijk te vinden informatie over hoe en hoe goed ze dat hebben uitgewerkt en geïmplementeerd.

Waar de communicatieafdeling van Logius geen rekening mee houdt is dat er mensen rondlopen die niet alleen maar praktische "hoe gebruik je het"-vragen stellen maar die hun oordeel op inzicht baseren. Die mensen vormen een minderheid, en de opvatting over klantgerichtheid van de laatste decennia houdt helaas totaal geen rekening met dat die minderheid. Ik niet dat het probleem hier is dat Logius geen rekening houdt met fraudeurs maar dat ze geen rekening houden met mensen die inzichtelijke vragen stellen. Pas als ze dat inzicht geven is er iets zinnigs te zeggen over hoe goed ze rekening houden met fraudeurs.

Brievenbushengelen zou, in veel gevallen, wel eens de makkelijkste aanvalstechniek in dit rijtje kunnen zijn (denk aan brievenbussen beneden in de hal van een flat, of gemonteerd aan de buitenzijde van woningen of aan de weg).

Voor de andere aanvalvectors heb ik eerder voorbeelden gegeven (daarmee niet uitsluitend dat allerlei andere aanvalstechnieken mogelijk zijn, sterker ik kan ze zo bedenken - maar ik wil criminelen niet nog wijzer maken met kwetsbaarheden waar Logius mogelijk geen rekening mee gehouden heeft).

Met andere woorden: Logius vindt het kennelijk niet nodig (of zelfs ongewenst - dat zou security by obscurity zijn) dat wij daar inzage in hebben, waardoor wij geen idee hebben of ze überhaupt bestaan, courant en volledig zijn.

Schandalig wat mij betreft, want het is niet duidelijk welke risico's wij, burgers -onmiskenbare stakeholders- lopen en hoe groot die risico's zijn: hoe moeilijk is het voor een derde om onze identiteit te spoofen, onder welke omstandigheden kunnen wij (burgers) opdraaien voor schade veroorzaakt door die derde, om welke bedragen gaat het, welk deel daarvan krijg je uiteindelijk terug, hoe lang kan daar overheen gaan, en aan hoeveel kastjes en muren heb je daarvoor tijd en energie moeten verspillen om dat voor elkaar te krijgen? En hoeveel restschade kan er voor jou ontstaan doordat sommigen blijven denken dat jij die identiteitsfraude zelf wel geënsceneerd zult hebben, want het systeem is toch o-zo veilig dat misbruik door een derde in de praktijk ondenkbaar is?

Het punt is dat elke handeling de kans op succes verkleint en de pakkans vergroot. Beveiligingsmaatregelen voegen niet pas wat toe als ze 100% effectief zijn, een geheel dat samen de kans op ongelukken klein maakt kan ook goed zijn.
Ja Bitwiper, maar de logische conclusie is niet dat ze hun beveiliging zo slecht mogelijk voor elkaar hebben en ons zoveel mogelijk proberen te naaien (daar ontbreekt helaas informatie), wel dat hun communicatie een heel stuk beter kan, maar weer niet dat dat uit kwaadaardigheid is.

Ik herinner me een keer tijdens een wandeling langs een complex met gebouwen in een bos en een muur eromheen te lopen. Het bord bij de ingang was zo'n fancy nietszeggende naam die organisaties tegenwoordig krijgen, zonder aanduiding van wat ze deden. Nieuwsgierig als ik ben zocht ik hun website op. Ze hadden informatie voor bezoekers, voor leveranciers, nog een paar groepen en categorieën, ze hadden duidelijk bedacht wie belanghebbenden waren en wat voor praktische informatie die wel nodig zouden hebben, maar uit die hele website bleek niets over wat die organisatie eigenlijk deed. Ze kwamen niet meer op het idee dat je ook een stukje kan wijden aan vertellen wat je doet vanuit je eigen perspectief, ze hadden alleen wat voor perspectieven die ze bij anderen veronderstelden en daar hadden ze de mogelijkheid over het hoofd gezien dat er ook nog een voorbijganger langs kan komen die zich afvraagt wat dat voor complex is.

Die manier van (niet) communiceren grijpt al vele jaren steeds verder om zich heen, ik traf het zelfs aan op websites van open source-software tegenwoordig. Dat ook overheden en Logius daardoor besmet worden verbaast me helemaal niks. Ik vind het niet goed, maar ik vind ook dat het verdomd weinig zegt over hoe goed hun ICT-architecten, ontwikkelaars en beveiligingsmensen hun zaken voor elkaar hebben.

Ik heb een idee voor je: dien een WOB-verzoek in en vraag om de gegevens die je niet kan vinden.

Bitwiper, bedankt voor eerdere reactie 3:07/3:14 en verder.
Voor wat betreft die brief: die krijg je in ieder geval als je 2-factor (op 1 telefoonnummer met SMS) wil instellen.
Je hebt ook dan nog altijd gebruikersnaam en wachtwoord nodig om in te kunnen loggen.
Maar of je ook een brief krijgt voor de DigiD-app???

Voor wat betreft DigiD app:
Ik vond hier de werking: https://www.digid.nl/fileadmin/digid/downloads/Aan_de_slag_met_de_Digid_app.pdf
Daaruit blijkt dat je eerst met 2-factor authenticatie moet inloggen, dus een brief vind ik onlogisch en wordt ook niet genoemd. Je kan de DigiD-app gebruiken vanaf Androïd 4.4?.... hmmm....
Wel blijkt dat je met je DigiD-app nog steeds zelf je gebruikersnaam in moet vullen op de computer, de QRcode moet inscannen vanaf het beeldscherm van je computer waarmee je naar DigiD wil, de webdienst die je wilt gebruiken instellen op je smartphone, je DigiD-pincode invullen op je smartphone, en je bent ingelogd.
Je logt dus in met behulp van je smartphone op de computer.

Dus als ik het goed begrijp Bitwiper, vrees je dat mensen op hun smartphone naar een malafide website kunnen worden gelokt, alwaar de gegevens die hebben te maken met het kunnen inloggen op DigiD kunnen worden gehackt, gekopieerd
en overgebracht naar een smartphone van de hacker, zodat deze persoon met zijn eigen smartphone kan inloggen op jouw DigiD?

Hij zal dan wel moeten weten welke gegevens dat zijn. Daar kunnen ook zaken als telefoonnummer of imeinummer bij betrokken zijn, en dat kan het lastig maken. Telefoonnummer is gerelateerd aan simcard. Net als bij mobiel.
Hoewel niets onmogelijk is als je er maar genoeg moeite in wilt steken en genoeg kennis en middelen hebt.
Maar ik heb niet het idee dat jij of ik dat voor elkaar zouden krijgen.
En niet te vergeten zul je ook de gebruikersnaam nog moeten weten om in te kunnen loggen.

We zouden eigenlijk precies moeten weten hoe de vork in de steel zit om het goed te kunnen beoordelen.
Waar het in feite op neer komt, is dat de DigiD-app met pincode op je smartphone in de plaats komt van wachtwoord én "second factor" met mobiel.
Maar met een voorlopige groffe inschatting, zou ik de oude methode (wachtwoord en mobiel) prefereren.
Stel je smartphone komt in handen van een andere persoon door verlies of diefstal, en je hebt een gemakkelijk wachtwoord op je smartphone of dat wachtwoord wordt gehackt om binnen te komen,
dan is een vijfcijferige pincode minder veilig dan mijn DigiD-wachtwoord.

In dit kader vind ik "kans" een rotwoord: die is namelijk 100% als de identiteit van minstens 1 Nederlander gespoofd wordt - gebruikmakend van genoemde 3 factoren. Je bedoelt, neem ik aan, dat het voor een aanvaller lastiger is om aan alle drie de voorwaarden te voldoen.

a) Ik vermoed dat veel criminelen stom zijn en de pakkans verwaarlozen (vooral inkomsten en moeilijkheidsgraad afwegen), terwijl sluwere criminelen hun uiterste best zullen doen om "bewijs" achter te laten dat het slachtoffer de dader is (zie volgende punt);
b) Als de politie (net als jij) denkt dat de "kans op succes" voor een crimineel klein is vanwege de aanname dat door al die factoren (en hetgene gesteld wordt in https://www.digid.nl/nl/vraag-en-antwoord/is-de-app-veilig/), identiteitsfraude in de praktijk ondenkbaar is, zal als eerste en vooral het slachtoffer ervan worden verdacht de zaak te hebben geënsceneerd, en neemt de pakkans voor de dader dus juist af.

In de basis heb je gelijk (sterker, ik betwijfel of 100% effectieve maatregelen bestaan). Mijn zorg is echter dat een additionele halve maatregel, naast bestaande halve maatregelen (zie de samenvatting onderaan deze bijdrage) een veel grotere betrouwbaarheid suggereren dan zij werkelijk opleveren. En dat is in het nadeel van die burgers die hier het kwetsbaarst voor zijn.

Met alle respect, maar dat is jouw conclusie. Ik denk niet dat Logius ofwel naïef is, ofwel de risico's voor ons burgers wel inziet, maar de oplossing mooier voorspiegelt dan zij is omdat anders de acceptatie tegen zou kunnen vallen. Is Logius kwaadaardig als zij identiteitsfraude in bijvoorbeeld 1% van de gevallen acceptabel vindt, en op basis daarvan de checks voldoende vindt, maar dat niet publiceert?

Uit https://opgelicht.avrotros.nl/nieuws/item/5643/:
Het is nu eind 2017, de overheid en marktpartijen digitaliseren hun communicatie met burgers in rap tempo, maar de bedoelde "veiliger opvolger" van DigiD is nog niet eens in zicht.

Dus heeft Logius de opdracht gekregen om DigiD veiliger te maken. Dit in een wereld waarin iedereen -ook mensen die in phishing trappen- steeds meer gedwongen wordt gebruik te maken van DigiD, smartphones en PC hardware/software steeds meer lekken lijken te vertonen, beveiligingssoftware kansloos is tegen verse malware, cybercrime welig tiert en gebruiksgemak door bijna iedereen belangrijker gevonden wordt dan security.

In die context wordt een identiteitsbewijs, waarvan het gebruikelijk is dat we dit tijdelijk uit handen geven zodat onze identiteit kan worden gecontroleerd (o.a. via de pasfoto), ingezet voor multi-factor authenticatie. Echter op een manier waarbij mijn haren overeind gaan staan:
1) Er vindt geen enkele controle plaats of degene die het identiteitsbewijs tegen een smartphone aanhoudt, dezelfde persoon is als op de pasfoto;
2) Deze check is éénmalig (de app onthoudt dat het de chip "gezien" heeft, vergelijkbaar met een "kopietje paspoort").

Het risico van deze halve maatregel is dat bijv. uitkeringsinstanties ervan overtuigd zijn dat jij jij bent (B) omdat een identiteitsbewijs in het spel is, terwijl jij identiteitsfraude daarmee moeilijk of niet kunt aantonen (E). De gedrevenheid waarmee jij en andere reageerders aanvoeren dat DigiD en de DigiD app veilig zouden zijn, sterkt mij alleen maar in mijn gedachte dat uitkeringsinstanties en de politie ook zo denken, en je dus kansloos bent als er met jouw DigiD wordt gefraudeerd.

Samenvatting
Het probleem wat ik ermee heb is dat zowel de inloggegevens verkrijgen als de brief onderscheppen aantoonbaar zwakke factoren zijn, want er zijn meerdere gevallen van misbruik gepubliceerd. Daar wordt nu een derde factor aan toegevoegd die ook aantoonbaar zwak is: een aanvaller hoeft een paspoort slechts in handen te hebben gehad.
Als je reageert op deze bijdrage, graag op z'n minst uitleggen met welk deel van deze samenvatting je het niet eens bent, anders blijven we in kringetjes draaien.

Zie mijn bijdrage hierboven.

N.a.v. de punten 1 en 2 in die bijdrage, de "something you have" factor ga ik voor mijzelf uitbreiden als volgt:

"Something you have, that cannot easily be copied, and that you possess now - with proof attached (to prevent replay) -and, if the object can be used for authentication without additional protective measures- that you never (have to) give to someone else, nor that anyone else ever can obtain access to it".

Het ooit kunnen uitlezen van een chip in iemands identiteitsbewijs is, volgens deze definitie, geen betrouwbare identificatiemethode. En argumenten als "ja maar die andere factoren zijn moeilijk te spoofen dus dit is niet zo erg" verzwakken m.i. het concept multi-factor-authenticatie op onacceptabele wijze, want de -terechte- reden om MFA in te zetten is juist dat als 1 of meer factoren onvoorzien falen, je altijd nog minstens 1 andere hebt - waar je dan natuurlijk wel verdomd zeker van moet zijn.

In het eerste citaat gebruik je het woord kans als de kans dat iets ergens ooit een keer misgaat, al is het maar een keer. Dan is elke kans op wat voor ellende dan ook 100%.

Maar in het tweede citaat erken je dat 100% effectieve maatregelen niet bestaan. Wat is 100% effecief? Niets anders dan een maatregel die een kans van 0% oplevert dat het fout gaat. Maar als die kans niet 0% is is hij volgens jou meteen 100%, want het hoeft maar 1 keer mis te gaan om van 100% te spreken.

Je gebruikt kansrekening verkeerd. De kans op problemen is niet 100% als het ooit ergens een keer misgaat. Kansrekening werkt zo: je neemt een steekproef van bijvoorbeeld 100000, constateert dat daar 100 keer fraude met DigiD is voorgekomen, en concludeert dan dat de kans 100/100000 = 0,1% is op fraude met een DigiD gedurende een jaar.

Daar laat ik het bij.

Ik moet het eerste in dit heelal nog zien wat voor de volle 100% voor eeuwig veilig is.
Het is een beetje te vaak gebeurd dat iemand dacht "nu heb ik iets wat niemand kan kraken" en het gebeurde toch.
Maar niet alle dingen hoeven lang beschermd te zijn. Die eerste brief met je DigiD activatie is 20 dagen geldig.
Dus hoeven activatie-gegevens niet langer dan 20 dagen beschermd te zijn.

Ook als je je smartfoon verliest met een geactiveerde DigiD-app erop, heb je ruimschoots de tijd om te reageren
door bijv. nieuwe DigiD inloggegevens aan te vragen. De kans dat je DigiD al binnen een week wordt gehackt is verschrikkelijk klein. En wie hebben er nu belang bij: het levert zo weinig op, fraude wordt altijd ontdekt, en wie er voor verantwoordelijk waren gepakt, en dan zullen ze de schade moeten vergoeden met een boete.
DigiD heeft bovendien een log die je zelf kan controleren als je bent ingelogd.

Verder moeten de inloggegevens een tijd van laten we zeggen minimaal 100 jaar ruim kunnen doorstaan.
Het is mogelijk om in de tussentijd zowel de gegevens als de methode te vernieuwen aan de stand van de techniek.
Na die ruim 100 jaar ben je er zelf niet meer, of anders is er ook wel weer een mouw aan te passen.

Dat is een risk acceptance vraagstuk voor de opdrachtgever. Indien ze de informatie achterhouden voor de opdrachtgever, dan is het kwaadaardig. Risk acceptance maakt ook deel uit van risk management (bijvoorbeeld wanneer de kosten voor het wegnemen van een risico hoger zijn dan de te verwachte schade).

Ik neem aan dat Logius een non-disclosure agreement schendt, indien zij zelf informatie naar buiten brengt ? Verantwoordelijke is MinBZK, als opdrachtgever.

100% mee eens, multi-factor authenticatie zou bijvoorbeeld verplicht moeten zijn, in plaats van optioneel. Verder kunnen ze gemakkelijk de (optionele) SMS authenticatie bij 2FA kunnen vervangen door (of uitbreiden met) Google Authenticator. Scheelt weer het versturen van miljoenen SMSjes per jaar.

Logius is gewoon een overheidsorgaan dat valt onder BZK.
Controle door de rekenkamer dan wel ADR.
Met de openbaarheid van bestuur is er geen nda van toepassing enkel de normale geheimhoudingsregels voor de overheid. Een publieke versie van audits zou dan pro actief openheid van zaken geven.

Dat wordt dan ook bij steeds meer diensten onder DigiD verplicht:
https://www.security.nl/posting/509649/DigiD+met+sms-controle+verplicht+bij+online+aangifte
en bijv. in de zorg (verzekeraars)