Security Professionals - ipfw add deny all from eindgebruikers to any

DigiD et al: stop met SMS 2FA!

11-12-2018, 02:17 door Bitwiper, 53 reacties
Laatst bijgewerkt: 11-12-2018, 02:34
Naar aanleiding van mijn bovenste bijdrage in [1]:

2FA wordt in de meeste, zo niet alle, gevallen ingevoerd juist omdat het, in de praktijk, voor kwaadwillenden vaak zo eenvoudig is om gebruikersnaam en wachtwoord in handen te krijgen (phishing, hergebruik van wachtwoorden, raden -al dan niet na raadplegen social media-, brute force, ...).

Als je met een simpel belletje naar een telefoonmaatschappij een telefoonnummer naar een ander toestel kunt omzetten, is SMS-verificatie niet alleen zinloos, maar een extra risico. Immers, als iemand en inlognaam en wachtwoord en de via SMS verzonden code kent, vinden de inzetters ervan het ondenkbaar (in security termen: de kans is verwaarloosbaar) dat het niet om de bedoelde persoon zou gaan. Na een blunder van een telefoonmaatschappij mag de gebruiker gaan bewijzen dat niet zij, maar een aanvaller, inlogde.

Ook afgelopen week: "Honderden Nederlanders loggen in met DigiD via link in phishingmail" [2]. Toeval?

De inzet van tools als Google Authenticator sluit in elk geval dit specifieke risico uit, want daarvoor moet je iemands smartphone in handen hebben (en langs "lock screen" kunnen, iets dat in de praktijk vaak niet zoveel voorstelt, in elk geval door gebrek aan insecurity-awareness bij gebruikers). En je niet weet of de maker van zo'n app nu, of in toekomstige updates, meekijkt of op andere wijze geld wil verdienen aan het gebruik, of het slechts op jouw toestel geïnstalleerd hebben, van zo'n app). In z'n algemeenheid vind ik dat smartphones veel te makkelijk als identificatiebewijs worden ingezet, zonder (of, zo je wilt, voordat) voldoende voorzieningen zijn getroffen en voldoende awareness is gecreëerd (inclusief bij telefoonmaatschappijen! [3]) om dit redelijk veilig te kunnen doen.

Terug naar SMS-identiteitsverificatie: gezien het risico op "SIM-swapping" (stomme term), maar ook iemands smartphone "even lenen" met een smoes, of vinden/stelen van een smartphone -waarbij in de meeste gevallen SMS berichten gewoon op locked screens verschijnen, vind ik het totaal onbegrijpelijk dat DigiD met SMS verificatie voeldoende veilig zou zijn om bijv. medische gegevens te kunnen benaderen. Ik weiger dan ook om DigiD-SMS-verificatie aan te zetten, want door die toevoeging kan een ander eenvoudiger aantonen dat hij/zij mij is dan met uitsluitend mijn gebruikersnaam+wachtwoord (gegevens waar ik meer controle over heb dan de koppeling tussen mijn telefoonnummer en mijn SIM-kaart, zoals weer eens is aangetoond).

We moeten stoppen met SMS-identiteitsverificatie!


[1] https://www.security.nl/posting/590295/Honderden+Nederlanders+slachtoffer+%22sim-swapping%22

[2] https://www.security.nl/posting/589770/361+Nederlanders+loggen+in+met+DigiD+via+link+in+phishingmail

[3] Aan https://www.theregister.co.uk/2018/02/06/t_mobile_us_crypto_wallet_theft/ zie je dat het redactie-artikel in [0] geen "nooit eerder vertoond" type nieuws is (en als ik in m'n archieven zoek kan ik vast ouder vergelijkbaar nieuws vinden). Voor zover ik weet kun je bij Nederlandse telefoonmaatschappijen geen pin-code laten vereisen op wijzigen van jouw accountgegevens (zoals bovengenoemde aanval, maar ook het door een kwaadwillende laten overstappen van provider met nummerbehoud) - of zijn er providers waar je dit wel kunt dichttimmeren? En vragen ze dan ook echt om die pin? (Iets dat T-Mobile in de USA -naar verluidt- niet zou hebben gedaan).

Aanvulling: zie ook "SMS is becoming less satisfactory for two factor authentication" in https://www.ncsc.nl/binaries/content/documents/ncsc-en/current-topics/cyber-security-assessment-netherlands/cyber-security-assessment-netherlands-2017/1/CSAN2017.pdf.
Reacties (53)
11-12-2018, 05:13 door Anoniem
IMEI en telefoonnummer kunnen toch worden gespoofd?
11-12-2018, 09:01 door Anoniem
Het staat je volledig vrij om de Digid App te gebruiken. Probleem opgelost. Het probleem was al opgelost want de App is al een tijdje beschikbaar.
11-12-2018, 09:53 door Anoniem
Door Anoniem: Het staat je volledig vrij om de Digid App te gebruiken. Probleem opgelost. Het probleem was al opgelost want de App is al een tijdje beschikbaar.

Oh, dan is het veilig! :)

Het woord veilig zou nooit moeten worden gebruikt in dezelfde zin als het woord "app".
11-12-2018, 10:15 door Anoniem
En dan te begrijpen dat ABNAMRO voor online betalingen met de creditcard dit per 1 jan 2019 verplicht gaat stellen.

Kansloze organisatie.
11-12-2018, 10:20 door Anoniem
Door Anoniem: Het staat je volledig vrij om de Digid App te gebruiken. Probleem opgelost. Het probleem was al opgelost want de App is al een tijdje beschikbaar.

Dus moet iedere oudere een smartphone kopen, alleen voor DigiD.. en voor Facebook natuurlijk..

Ik heb nog steeds geen smartphone, en zelfs geen dumbphone, omdat ik niet weet wat ik er mee zou moeten. Maar deze discussie is hier al eerder gevoerd.

Het is ironisch, dat juist de mensen die de DigiD App het meest nodig hebben (voor hun ziektekostenverzekering e.d.), ook degenen zijn die hem het minst kunnen betalen. (En beveiligen).
11-12-2018, 10:26 door Anoniem
Door Bitwiper: Naar aanleiding van mijn bovenste bijdrage in [1]:

2FA wordt in de meeste, zo niet alle, gevallen ingevoerd juist omdat het, in de praktijk, voor kwaadwillenden vaak zo eenvoudig is om gebruikersnaam en wachtwoord in handen te krijgen (phishing, hergebruik van wachtwoorden, raden -al dan niet na raadplegen social media-, brute force, ...).

Als je met een simpel belletje naar een telefoonmaatschappij een telefoonnummer naar een ander toestel kunt omzetten, is SMS-verificatie niet alleen zinloos, maar een extra risico. Immers, als iemand en inlognaam en wachtwoord en de via SMS verzonden code kent, vinden de inzetters ervan het ondenkbaar (in security termen: de kans is verwaarloosbaar) dat het niet om de bedoelde persoon zou gaan. Na een blunder van een telefoonmaatschappij mag de gebruiker gaan bewijzen dat niet zij, maar een aanvaller, inlogde.

Wat moet jij een moeilijk leven hebben zeg!
Achter iedere boom zie je een rover, achter ieder probleem een ramp.
Alles wat mis KAN gaan dat gaat in jouw gedachten mis,

Er is altijd wel een scenario te bedenken waarbij je in de problemen komt maar je moet je niet aanwennen om die
scenario's steeds op te zoeken en te willen oplossen want dan kom je in de spiraal van hap-snap maatregelen terecht
die je aantreft bij plucheklevers in plaats van mensen die nadenken en afwegen.
11-12-2018, 11:03 door [Account Verwijderd]
@Bitwiper,

Goede doortimmerde zeer actuele bijdrage, zoals we gewend zijn van je.
Ga zo door!
11-12-2018, 11:21 door Anoniem
Door Balder: @Bitwiper,

Goede doortimmerde zeer actuele bijdrage, zoals we gewend zijn van je.
Ga zo door!

Daar sluit ik me volledig bij aan.
11-12-2018, 11:51 door User2048
Door Bitwiper:
De inzet van tools als Google Authenticator sluit in elk geval dit specifieke risico uit, want daarvoor moet je iemands smartphone in handen hebben.
Even hardop denken: Een aanvaller zet een server op met een kopie van de inlogpagina van de bank. Hij stuurt het slachtoffer een phishing mail. Het slachtoffer klikt op de link, komt op de inlogpagina van de aanvaller terecht en vult zijn gebruikersnaam, wachtwoord en one-time-passcode van Authenticator in. De server van de aanvaller stuurt deze gegevens door naar de echte inlogpagina van de bank en de aanvaller is "binnen". Zou dit scenario werken?

Ik denk dat one-time-passcodes niet langer veilig zijn, of ze nu via SMS of een authenticator-app werken.
11-12-2018, 12:23 door Anoniem
Door User2048:
Ik denk dat one-time-passcodes niet langer veilig zijn, of ze nu via SMS of een authenticator-app werken.

Ja, zie ook https://github.com/kgretzky/evilginx2 of het NOS nieuwsbericht van laatst over bank phishing sites kopen. 2FA helpt alleen tegen wachtwoord hergebruik en trage aanvallers welke niet in enkele minuten de gegevens gebruiken. Anders gaat alle 2FA zoals die er vandaag de dag is niks tegen helpen. Het enige wat help zijn de 'verifier impersonation resistance' authenticators: smartcard en (u2f/fido2) security keys.
11-12-2018, 13:15 door [Account Verwijderd]
Yubikey o.i.d. is het mooist. Die zijn er nu ook met NFC optie. https://www.yubikeyshop.nl/nl/yubikey-nfc-mifare-draadloos.html
11-12-2018, 13:20 door [Account Verwijderd]
Door Anoniem:
Door Anoniem: Het staat je volledig vrij om de Digid App te gebruiken. Probleem opgelost. Het probleem was al opgelost want de App is al een tijdje beschikbaar.

Dus moet iedere oudere een smartphone kopen, alleen voor DigiD.. en voor Facebook natuurlijk..

Ik heb nog steeds geen smartphone, en zelfs geen dumbphone, omdat ik niet weet wat ik er mee zou moeten. Maar deze discussie is hier al eerder gevoerd.

Het is ironisch, dat juist de mensen die de DigiD App het meest nodig hebben (voor hun ziektekostenverzekering e.d.), ook degenen zijn die hem het minst kunnen betalen. (En beveiligen).

Nokia 1 inclusief prepaid simkaart en 3 jaar lang voorzien van Android updates voor 70 euro!
https://www.mediamarkt.nl/nl/product/_nokia-1-2018-8gb-dual-sim-blauw-1562779.html

Ironisch genoeg zie ik vaak mensen die altijd klagen dat alles te duur is en klagen dat ze niets kunnen betalen wel met een dure smartphone lopen en dan steken ze vaak ook nog om de haverklap een dure sigarettenpeuk op...
11-12-2018, 13:26 door Anoniem
Door linux4: Yubikey o.i.d. is het mooist. Die zijn er nu ook met NFC optie. https://www.yubikeyshop.nl/nl/yubikey-nfc-mifare-draadloos.html

mifare en draadloos, ja dat is 200% zeker lekker veilig.
11-12-2018, 13:51 door Anoniem
Door Anoniem: En dan te begrijpen dat ABNAMRO voor online betalingen met de creditcard dit per 1 jan 2019 verplicht gaat stellen.

Kansloze organisatie.
Klopt, als je Gerrit Zalm in dienst neemt heb je het als bedrijf niet begrepen. Daarover gesproken https://hs-group.eu/#Timo_H. begaat die keiharde fout ook. Hoe kun je Huges in dienst nemen nadat hij bij de NS de zaak bepoteld heeft en daarvoor FloraHolland bijna naar de afgrond gebracht heeft.
11-12-2018, 16:23 door Anoniem
In de Amerikaanse NIST-normen is 2FA via sms afgewezen omdat dit niet voldoende veilig zou zijn. Daar was het argument m.n. dat 2FA in voorkomend geval gebaseerd moet zijn op twee verschillende communicatiekanalen wat niet het geval is bij SMS nu steeds meer mensen internetten en inloggen via hun smartphone.
Daarmee kun je i.r.t. verwerking en toegang tot persoonsgegevens stellen dat 2FA op basis van sms las beveiligingsmaatregel niet in overeenstemming is met best practices en de stand van de techniek en daarmee in strijd met de AVG.
11-12-2018, 16:44 door Anoniem
We moeten stoppen met SMS-identiteitsverificatie!

Wat je vergeet is de function creep functie van 2fa.

De function creep van het verkrijgen van een telefoonnummer is voor de meeste bedrijven veel belangrijker dan waarvoor het gevraagd werd, namelijk security.
Data is goud waard, persoonsdata het dubbele!

Het zou mij niets verbazen als dat net zo hard een stille reden was voor de overheid.
Telefoonbezitters worden de hele dag real time gevolgd na invoering van de sleepwet.

2FA = het perfecte excuus voor commerciële tracking en surveillance !

Hopelijk realiseer je je wel dat je met je oproep eigenlijk de panopticumplannen van plassterk support, namelijk de opvolgers die nog heel erg veel meer data op een centraal punt willen samenbrengen waar zowel overheid als bedrijfsleven in kan gaan graaien.

Men heeft het nog wel over zogenaamde schotjes, maar die zullen op termijn meer en meer worden weggehaald volgens de bekende glijdende schaal.

Belangrijkste boodschap zou moeten zijn : stop met roepen dat alleen wachtwoord en username gebruik onveilig is!

DIt blijven roepen maakt dat de echte achilleshiel niet wordt aangepakt, zorgen dat je systeem veilig is!
Je moet veiligheid niet aan anderen overlaten maar ook zelf organiseren!

Goede oplossing : handel overheidszaken af van een geisoleerd systeem, een live boot systeem dat helemaal niet geinfecteerd kan zijn of worden en los van je gewone systeem draait.
11-12-2018, 17:27 door bollie
Door Balder: @Bitwiper,

Goede doortimmerde zeer actuele bijdrage, zoals we gewend zijn van je.
Ga zo door!
Ik sluit me hier volledig bij aan.
Goed over nagedacht. Dat de mobiele telefoon overgewaardeerd wordt qua security begint steeds duidelijker te worden.

Nadenken is nodig!!
11-12-2018, 17:49 door karma4
Door bollie:
Ik sluit me hier volledig bij aan.
Goed over nagedacht. Dat de mobiele telefoon overgewaardeerd wordt qua security begint steeds duidelijker te worden.

Nadenken is nodig!!
Een 2fa via SMS waarbij je je telefoon niet gebruikt dus apart kanaal is veiliger dan alles op 1 apparaat waar van alles via tools gaat waarvan je niet kan zien of volgen.
Ik ben bebouwd naar de veiliheiheid van een bank-app.
11-12-2018, 21:59 door Anoniem
Ik heb een GSM, geen smartphone. Deze leen ik niet uit, ook geef ik mijn login plus wachtwoord niet weg.

Dus dat hele verhaal slaat niet op mij, is het is voor mij wel veilig ? Of zijn er nog andere redenen ?
11-12-2018, 23:16 door Anoniem
Door bollie:
Door Balder: @Bitwiper,

Goede doortimmerde zeer actuele bijdrage, zoals we gewend zijn van je.
Ga zo door!
Ik sluit me hier volledig bij aan.
Goed over nagedacht. Dat de mobiele telefoon overgewaardeerd wordt qua security begint steeds duidelijker te worden.

Nadenken is nodig!!

Dank je, beste Bitwiper, voor het uitvoeren van deze beknopte studie :-) Ervoer het als heel verhelderende informatie.
13-12-2018, 19:06 door Bitwiper
Dank voor alle reacties, die ik niet allemaal individueel kan beantwoorden - ik ga in op enkele. En mijn excuses voor de late reactie, er kwam vanalles tussendoor dat ik niet had voorzien!

Door Anoniem 11-12-2018, 09:01: Het staat je volledig vrij om de Digid App te gebruiken. Probleem opgelost. Het probleem was al opgelost want de App is al een tijdje beschikbaar.
Los van de betrouwbaarheid van de app (ander onderwerp): zolang SMS-verificatie door afnemende partijen als een betrouwbaar identiteitsbewijs wordt beschouwd, is het probleem niet opgelost.

Door Anoniem, 11-12-2018, 10:26: Wat moet jij een moeilijk leven hebben zeg!
Mijn leven is prima! Alleen is het mijn vak om bedreigingen en risico's serieus te nemen - ook die waar ik persoonlijk geen problemen mee verwacht te krijgen. Om ervan te leren denk ik na over risico's die misschien niet meteen mijn collega's en/of klanten, maar wel familie en/of derden zouden kunnen treffen. Ik zie het als mijn bijdrage aan de maatschappij om te waarschuwen voor bedreigingen die een, m.i., te groot risico (beginnen te) vormen.

Door User2048 11-12-2018, 11:51: Even hardop denken: Een aanvaller zet een server op met een kopie van de inlogpagina van de bank. Hij stuurt het slachtoffer een phishing mail. Het slachtoffer klikt op de link, komt op de inlogpagina van de aanvaller terecht en vult zijn gebruikersnaam, wachtwoord en one-time-passcode van Authenticator in. De server van de aanvaller stuurt deze gegevens door naar de echte inlogpagina van de bank en de aanvaller is "binnen". Zou dit scenario werken?
Jazeker. Immers je kunt gewoon CloudFlare voor jouw site zetten (zodat deze als MITM tussen jouw site en de klant zit): dat werkt gewoon. Dus kan een kwaadwillende dat ook. Zonder een schuldige te willen aanwijzen, zie ik o.a. de volgende oorzaken:
1) De meeste mensen hebben er geen flauw benul van hoe simpel het is om de afzender van een e-mail te vervalsen, noch weten ze welke afzenderdomeinen organisaties allemaal zouden kunnen gebruiken. Daardoor zijn ze eenvoudig op het verkeerde been te zetten met een valse e-mail;
2) E-mail programma's laten geheel geen indicatie zien van het waarschijnlijkheidsniveau dat een e-mail authentiek is (d.w.z. verzonden is door een geautoriseerd persoon van de organisatie waar de ontvanger van denkt dat het om gaat). Bovendien wordt de techniek om zoeits mogelijk te maken (digitale handtekeningen) nauwelijks gebruikt in e-mails;
3) Er zijn nog veel te veel organisaties die clickable links in e-mails opnemen, waardoor het gewone mensen totaal niet opvalt als in een e-mail, schijnbaar afkomstig van een organisatie die zegt dat ze nooit links in e-mails opnemen (waar soms tegen gezondigd wordt), ineens wel een clickable link staat;
4) Mensen kijken niet (goed) naar de domeinnaam in de URL-balk van hun web browser;
5) Mensen weten niet dat de getoonde domeinnaam niet van de bedoelde organisatie is. Bij veel sites is het gebruikelijk dat de browser geredirect wordt, dus zegt zo'n domeinnaam niet altijd zoveel. Bovendien gebruiken veel organisaties allerlei verschillende hoofddomeinnamen waardoor mensen al snel de kluts kwijtraken;
6) Mensen vertrouwen op een geldig certificaat (slotje wordt getoond en er is geen certificaatwaarschuwing), veel te vaak stellen websites zelf en de media dat zo'n slotje staat voor "een veilige website", en mensen denken nu dat dit zo is;
7) Mensen vertrouwen erop dat de site authentiek is als deze voldoende lijkt op de echte (voor zover ze dat weten, en bovendien wijzigen veel echte websites zelf regelmatig);
8) Het is veel te eenvoudig om een lijkt-op domeinnaam te verkrijgen;
9) Soms lukt het zelfs om een domeinnaam te kapen (bijv. https://www.security.nl/posting/590262/Domein+linux_org+tijdelijk+gekaapt);
10) Het is veel te eenvoudig om een geldig certificaat voor een website te verkrijgen;
11) Webbrowsers laten niet of nauwelijks een indicatie van het waarschijnlijkheidsniveau zien dat een website authentiek is (d.w.z. toebehoort aan de organisatie waar de bezoeker vanuit gaat).

Door Anoniem 11-12-2018, 21:59: Ik heb een GSM, geen smartphone. Deze leen ik niet uit, ook geef ik mijn login plus wachtwoord niet weg.

Dus dat hele verhaal slaat niet op mij, is het is voor mij wel veilig ?
Helaas slaat het hele verhaal wel op jou. Een crimineel, die jouw telefoonnnummer, telefoonmaatschappij en naam kent, belt met jouw telefoonmaatschappij, zegt dat hij jij is, zegt dat "zijn" telefoon kwijt is maar dat hij een nieuwe heeft met een nieuwe SIM, en vraagt om jouw telefoonnummer aan die nieuwe SIM en telefoon te koppelen. Vervolgens komen SMS-jes, gestuurd naar jouw telefoonnummer, binnen op de telefoon van de crimineel. Om op jouw DigiD account te kunnen inloggen, heeft de crimineel ook jouw gebruikersnaam en wachtwoord nodig; er lijkt dus geen vuiltje aan de lucht.

Maarrrr... de reden voor de overheid om DigiD met SMS als extra veilig te beschouwen, is juist dat alleen een gebruikersnaam en wachtwoord als onvoldoende veilig worden beschouwd. Echter als SMS-verificatie, o.a. door deze kwetsbaarheid (en dat is niet de enige), eenvoudig te omzeilen blijkt, hou je slechts gebruikersnaam en wachtwoord over - en daarvan was nou net vastgesteld dat die combinatie onvoldoende is voor bijv. toegang tot medische gegevens.

Als 2FA vereist is, is het m.i. naïef om je schouders op te halen zodra één van die factoren niet (meer) de verwachte en/of vereiste bescherming biedt.
13-12-2018, 20:30 door Anoniem
Door Bitwiper:
Door Anoniem, 11-12-2018, 10:26: Wat moet jij een moeilijk leven hebben zeg!
Mijn leven is prima! Alleen is het mijn vak om bedreigingen en risico's serieus te nemen - ook die waar ik persoonlijk geen problemen mee verwacht te krijgen.

Dat is incorrect, je gaat meteen ook op de stoel van de adviseur aan DigiD zitten en vertelt hen:
DigiD et al: stop met SMS 2FA!

Dat is geen eigen risico's serieus nemen, dat is de ander proberen te beinvloeden en buitenstaanders in de waan proberen
te brengen dat deze partij slecht bezig is.

Terwijl het in werkelijkheid een verkleining van het risico betreft (tov alleen password authenticatie) en je altijd wel ergens
een scenario kunt verzinnen waarbij een beveiliging niet 100% werkt.
Dan is het scenario "sim swap uitgevoerd" ook nog eens veel minder ernstig dan "mijn telefoon is gestolen!" want van
dat eerste heb je een 3e partij bewijs (je telecom provider kan aan DigiD bevestigen dat er een sim swap geweest is)
en dat je telefoon gestolen is kun je altijd wel roepen, ook als het niet waar is.
13-12-2018, 21:05 door [Account Verwijderd]
Door Anoniem: En dan te begrijpen dat ABNAMRO voor online betalingen met de creditcard dit per 1 jan 2019 verplicht gaat stellen.

Kansloze organisatie.

Heb je daar een bron van? ABNAMRO heeft mij nog niets officieel laten weten.
13-12-2018, 23:17 door Anoniem
Door Bitwiper:
Helaas slaat het hele verhaal wel op jou. Een crimineel, die jouw telefoonnnummer, telefoonmaatschappij en naam kent, belt met jouw telefoonmaatschappij, zegt dat hij jij is, zegt dat "zijn" telefoon kwijt is maar dat hij een nieuwe heeft met een nieuwe SIM, en vraagt om jouw telefoonnummer aan die nieuwe SIM en telefoon te koppelen.
Ehhh... nee. Zo gaat dat niet. Zeker niet als je geen zakelijk contract met meerdere telefoons hebt.
Ze zetten niet het nummer op een SIM waarvan je zelf het SIM nummer doorgeeft. Ze sturen je een nieuwe SIM waar
het nummer op staat. Dat gaat natuurlijk naar jouw adres, niet naar dat van de crimineel.
Natuurlijk kom je dan weer aan met "ze kunnen je brievenbus hengelen" of "ze geven meteen ook even een adres
wijzging door" maar echt Bitwiper, als je dat soort dingen erbij gaat slepen dan is NIKS veilig.
"ze" kunnen ook even naar het stadhuis gaan om een nieuw paspoort aan te vragen en daarmee zich te gaan legitimeren.

Je zult er aan moeten wennen dat de samenleving niet 100% veilig is. En dat je het niet beter maakt door alles wat
veiligheid verbetert maar niet 100% maakt maar te verbannen als zijnde onbruikbaar of "middel erger dan de kwaal".
14-12-2018, 10:54 door Anoniem
@20:30, @23:17: Bitwiper hoeft niet te bewijzen dat SIM-swap een reële aanval is. Dat heeft RTL al gedaan. En daar heeft Bitwiper in zijn startpost naar gelinkt. Dus jullie moeten bewijzen dat de aanval niet reëel is.

Mij lijkt de aanval reëel omdat er al honderden slachtoffers zijn (bron: RTL). En dat zal niet minder worden nu deze aanval algemeen bekend is.
14-12-2018, 12:35 door Anoniem
Door Bitwiper: Dank voor alle reacties, [......]
Als 2FA vereist is, is het m.i. naïef om je schouders op te halen zodra één van die factoren niet (meer) de verwachte en/of vereiste bescherming biedt.

Ik vind het geheel een beetje tendentieus: "het" is niet veilig als...

Wat is de "verwachte" of "vereiste" bescherming? Als je niet weet wat "het" is kan je hier geen uitspraak over doen. 2FA met SMS is veiliger dan via één factor, mits de factoren wel een zekere veiligheid bieden. Ga me nu niet vertellen dat "een willekeurige crimineel" via een Phishing email "een willekeurig SMS autenticatie kan overnemen".

Heb je thuis tralies voor de ramen? En 2 sloten op iedere deur? Inbraakwerende deuren met staal? En een alarm systeem?
Ja? Dan heb ik medelijden met je huisgenoten.
Nee? Dan feliciteer ik je want dan heb je een analyse gemaakt (bewust of onbewust) wat de kosten en nadelen zijn van dat soort maatregelen, in verhouding tot de opbrengsten. Nu nog voor IT beveiliging graag...

Als ik het gros van de reacties lees wordt IT beveiliging als iets absoluuts gezien: wel of niet veilig. Onzin. Een veilig computersysteem bestaat niet, wanneer zijn de maatregelen in lijn met de te verwachten schade, c.q. wanneer heb je een positief beveiligingsrendement?


Het enige wat ik wel waardeer is je opmerking
als iemand en inlognaam en wachtwoord en de via SMS verzonden code kent, vinden de inzetters ervan het ondenkbaar (in security termen: de kans is verwaarloosbaar) dat het niet om de bedoelde persoon zou gaan
Dit is iets wat vaker over het hoofd gezien wordt, met schokkende voorbeelden: Een dure auto met vingerafdrukstarter: mooi bedacht, maar toen bleek dat criminelen dan gewoon je vinger afknippen was het snel over... Hetzelfde voor gïmplanteerde RFID chips voor toegang: "Super veilig"... Jaja, een beetje crimineel snijd die uit je en verstopt hem onder een pleister. Hoezo onbreekbaar?

Q
14-12-2018, 12:37 door Anoniem
Door Anoniem: @20:30, @23:17: Bitwiper hoeft niet te bewijzen dat SIM-swap een reële aanval is. Dat heeft RTL al gedaan. En daar heeft Bitwiper in zijn startpost naar gelinkt. Dus jullie moeten bewijzen dat de aanval niet reëel is.

Mij lijkt de aanval reëel omdat er al honderden slachtoffers zijn (bron: RTL). En dat zal niet minder worden nu deze aanval algemeen bekend is.

Juist wel: nu het aangetoond is zullen telefoon maatschappijen meer bewust zijn: ze zijn namelijk aansprakelijk!
14-12-2018, 19:48 door Anoniem
Gewoon een dom mobieltje gebruiken puur voor DigiD, en verder je verstand gebruiken en niet zomaar overal intrappen.
14-12-2018, 21:31 door Bitwiper
Door Anoniem 13-12-2018, 20:30: Dat is geen eigen risico's serieus nemen, dat is de ander proberen te beinvloeden
Klopt, dat doe ik! En niet alleen ik doe dat in dit geval, gezaghebbende organisaties hebben eerder al opgeroepen om geen SMS-verificatie te gebruiken omdat het onvoldoende veilig is.

Bij de Reddit hack van afgelopen zomer werd naar verluidt (https://www.wired.com/story/reddit-hacked-thanks-to-woefully-insecure-two-factor-setup/) gebruik gemaakt van "SIM swapping", de staat New York waarschuwt er in elk geval sinds juni 2016 voor (https://www.dos.ny.gov/consumerprotection/scams/att-sim.html, bron: https://www.wired.com/2016/06/hey-stop-using-texts-two-factor-authentication/), maar in Nederland gaan we ervan uit dat zoiets hier onmogelijk is - tot het wordt aangetoond. En dan moet ik van jou nog steeds mijn kop in het zand steken?

Je zou haast denken dat jij 1 van de criminelen bent die deze truc niet graag ziet verdampen, of ben je een van de ontwikkelaars hiervan ingehuurd door Logius of zo?

Door Anoniem 14-12-2018, 12:35: Als ik het gros van de reacties lees wordt IT beveiliging als iets absoluuts gezien: wel of niet veilig.
Iedere security professional weet dat 100% veiligheid niet bestaat, maar ook dat als een nieuwe bedreiging opdoemt, je de risico-analyse moet overdoen.

Het probleem hier is onze overheid die al jaren geleden met een veel veiliger digitaal authenticatiesysteem zou komen, maar dat eindeloos vooruit blijft schuiven. Dat een nieuwe techniek niet op tijd beschikbaar is, maakt het blijven gebruiken van technieken, waarvan nu bekend is dat ze niet veilig genoeg meer zijn, m.i. niet acceptabel.

En mochten mijn bijdragen (zoals deze) er niet meteen toe leiden dat een te onveilige techniek de prullenmand in gaat, dan hoop ik dat ze (deze bijdragen) door slachtoffers van dit soort fraude via zoekmachines gevonden worden, en zij aan organisaties die "zeker weten dat jij het was" beter kunnen uitleggen waarom "it wasn't me".

Door Anoniem 14-12-2018, 12:37: nu het aangetoond is zullen telefoon maatschappijen meer bewust zijn: ze zijn namelijk aansprakelijk!
Veel succes bij de rechter (d.w.z. forget it). De telefoonmaatschappij heeft jou een telefoon en communicatiemogelijkheden ermee verkocht, geen identiteitsbewijs (en al helemaal geen portemonnee; als het om een smartphone gaat, behoort ermee betalen binnenkort ook tot de mogelijkheden - voor zover dat nu al niet kan). Ik heb de kleine lettertjes in de gebruiksvoorwaarden niet gelezen, maar het zou mij gigantisch verbazen als identiteitsfraude en verdwenen "geld" niet worden uitgesloten...
14-12-2018, 22:16 door Anoniem
Door Bitwiper: Dank voor alle reacties, die ik niet allemaal individueel kan beantwoorden - ik ga in op enkele. En mijn excuses voor de late reactie, er kwam vanalles tussendoor dat ik niet had voorzien!

Door Anoniem 11-12-2018, 09:01: Het staat je volledig vrij om de Digid App te gebruiken. Probleem opgelost. Het probleem was al opgelost want de App is al een tijdje beschikbaar.
Los van de betrouwbaarheid van de app (ander onderwerp): zolang SMS-verificatie door afnemende partijen als een betrouwbaar identiteitsbewijs wordt beschouwd, is het probleem niet opgelost.

Door Anoniem, 11-12-2018, 10:26: Wat moet jij een moeilijk leven hebben zeg!
Mijn leven is prima! Alleen is het mijn vak om bedreigingen en risico's serieus te nemen - ook die waar ik persoonlijk geen problemen mee verwacht te krijgen. Om ervan te leren denk ik na over risico's die misschien niet meteen mijn collega's en/of klanten, maar wel familie en/of derden zouden kunnen treffen. Ik zie het als mijn bijdrage aan de maatschappij om te waarschuwen voor bedreigingen die een, m.i., te groot risico (beginnen te) vormen.

Door User2048 11-12-2018, 11:51: Even hardop denken: Een aanvaller zet een server op met een kopie van de inlogpagina van de bank. Hij stuurt het slachtoffer een phishing mail. Het slachtoffer klikt op de link, komt op de inlogpagina van de aanvaller terecht en vult zijn gebruikersnaam, wachtwoord en one-time-passcode van Authenticator in. De server van de aanvaller stuurt deze gegevens door naar de echte inlogpagina van de bank en de aanvaller is "binnen". Zou dit scenario werken?
Jazeker. Immers je kunt gewoon CloudFlare voor jouw site zetten (zodat deze als MITM tussen jouw site en de klant zit): dat werkt gewoon. Dus kan een kwaadwillende dat ook. Zonder een schuldige te willen aanwijzen, zie ik o.a. de volgende oorzaken:
1) De meeste mensen hebben er geen flauw benul van hoe simpel het is om de afzender van een e-mail te vervalsen, noch weten ze welke afzenderdomeinen organisaties allemaal zouden kunnen gebruiken. Daardoor zijn ze eenvoudig op het verkeerde been te zetten met een valse e-mail;
2) E-mail programma's laten geheel geen indicatie zien van het waarschijnlijkheidsniveau dat een e-mail authentiek is (d.w.z. verzonden is door een geautoriseerd persoon van de organisatie waar de ontvanger van denkt dat het om gaat). Bovendien wordt de techniek om zoeits mogelijk te maken (digitale handtekeningen) nauwelijks gebruikt in e-mails;
3) Er zijn nog veel te veel organisaties die clickable links in e-mails opnemen, waardoor het gewone mensen totaal niet opvalt als in een e-mail, schijnbaar afkomstig van een organisatie die zegt dat ze nooit links in e-mails opnemen (waar soms tegen gezondigd wordt), ineens wel een clickable link staat;
4) Mensen kijken niet (goed) naar de domeinnaam in de URL-balk van hun web browser;
5) Mensen weten niet dat de getoonde domeinnaam niet van de bedoelde organisatie is. Bij veel sites is het gebruikelijk dat de browser geredirect wordt, dus zegt zo'n domeinnaam niet altijd zoveel. Bovendien gebruiken veel organisaties allerlei verschillende hoofddomeinnamen waardoor mensen al snel de kluts kwijtraken;
6) Mensen vertrouwen op een geldig certificaat (slotje wordt getoond en er is geen certificaatwaarschuwing), veel te vaak stellen websites zelf en de media dat zo'n slotje staat voor "een veilige website", en mensen denken nu dat dit zo is;
7) Mensen vertrouwen erop dat de site authentiek is als deze voldoende lijkt op de echte (voor zover ze dat weten, en bovendien wijzigen veel echte websites zelf regelmatig);
8) Het is veel te eenvoudig om een lijkt-op domeinnaam te verkrijgen;
9) Soms lukt het zelfs om een domeinnaam te kapen (bijv. https://www.security.nl/posting/590262/Domein+linux_org+tijdelijk+gekaapt);
10) Het is veel te eenvoudig om een geldig certificaat voor een website te verkrijgen;
11) Webbrowsers laten niet of nauwelijks een indicatie van het waarschijnlijkheidsniveau zien dat een website authentiek is (d.w.z. toebehoort aan de organisatie waar de bezoeker vanuit gaat).

Door Anoniem 11-12-2018, 21:59: Ik heb een GSM, geen smartphone. Deze leen ik niet uit, ook geef ik mijn login plus wachtwoord niet weg.

Dus dat hele verhaal slaat niet op mij, is het is voor mij wel veilig ?
Helaas slaat het hele verhaal wel op jou. Een crimineel, die jouw telefoonnnummer, telefoonmaatschappij en naam kent, belt met jouw telefoonmaatschappij, zegt dat hij jij is, zegt dat "zijn" telefoon kwijt is maar dat hij een nieuwe heeft met een nieuwe SIM, en vraagt om jouw telefoonnummer aan die nieuwe SIM en telefoon te koppelen. Vervolgens komen SMS-jes, gestuurd naar jouw telefoonnummer, binnen op de telefoon van de crimineel. Om op jouw DigiD account te kunnen inloggen, heeft de crimineel ook jouw gebruikersnaam en wachtwoord nodig; er lijkt dus geen vuiltje aan de lucht.

Maarrrr... de reden voor de overheid om DigiD met SMS als extra veilig te beschouwen, is juist dat alleen een gebruikersnaam en wachtwoord als onvoldoende veilig worden beschouwd. Echter als SMS-verificatie, o.a. door deze kwetsbaarheid (en dat is niet de enige), eenvoudig te omzeilen blijkt, hou je slechts gebruikersnaam en wachtwoord over - en daarvan was nou net vastgesteld dat die combinatie onvoldoende is voor bijv. toegang tot medische gegevens.

Als 2FA vereist is, is het m.i. naïef om je schouders op te halen zodra één van die factoren niet (meer) de verwachte en/of vereiste bescherming biedt.

Mijn gebruikersnaam en wachtwoord worden toch niet gekraakt; voor internetbankieren gebruik ik alleen mijn desktop en heb voldoende beveiligingsmaatregelen genomen. Anders maar terug naar papier ? Of langskomen op het bankkantoor, bij de medewerker die je zo goed kent ? (heeft die ook een baan)
14-12-2018, 22:19 door Anoniem
Door Anoniem:
Door Bitwiper:
Helaas slaat het hele verhaal wel op jou. Een crimineel, die jouw telefoonnnummer, telefoonmaatschappij en naam kent, belt met jouw telefoonmaatschappij, zegt dat hij jij is, zegt dat "zijn" telefoon kwijt is maar dat hij een nieuwe heeft met een nieuwe SIM, en vraagt om jouw telefoonnummer aan die nieuwe SIM en telefoon te koppelen.
Ehhh... nee. Zo gaat dat niet. Zeker niet als je geen zakelijk contract met meerdere telefoons hebt.
Ze zetten niet het nummer op een SIM waarvan je zelf het SIM nummer doorgeeft. Ze sturen je een nieuwe SIM waar
het nummer op staat. Dat gaat natuurlijk naar jouw adres, niet naar dat van de crimineel.
Natuurlijk kom je dan weer aan met "ze kunnen je brievenbus hengelen" of "ze geven meteen ook even een adres
wijzging door" maar echt Bitwiper, als je dat soort dingen erbij gaat slepen dan is NIKS veilig.
"ze" kunnen ook even naar het stadhuis gaan om een nieuw paspoort aan te vragen en daarmee zich te gaan legitimeren.

Je zult er aan moeten wennen dat de samenleving niet 100% veilig is. En dat je het niet beter maakt door alles wat
veiligheid verbetert maar niet 100% maakt maar te verbannen als zijnde onbruikbaar of "middel erger dan de kwaal".

Had net al op de eerdere reactie gereageerd.

Kijk, dan lijkt het al wat minder erg. Zeg ik als leek met gezond verstand.
15-12-2018, 11:14 door Anoniem
Door Bitwiper:
Door Anoniem 14-12-2018, 12:37: nu het aangetoond is zullen telefoon maatschappijen meer bewust zijn: ze zijn namelijk aansprakelijk!
Veel succes bij de rechter (d.w.z. forget it). De telefoonmaatschappij heeft jou een telefoon en communicatiemogelijkheden ermee verkocht, geen identiteitsbewijs (en al helemaal geen portemonnee; als het om een smartphone gaat, behoort ermee betalen binnenkort ook tot de mogelijkheden - voor zover dat nu al niet kan). Ik heb de kleine lettertjes in de gebruiksvoorwaarden niet gelezen, maar het zou mij gigantisch verbazen als identiteitsfraude en verdwenen "geld" niet worden uitgesloten...

Het gaat ook helemaal niet om een claim naar de telefoonmaatschappij!
Waar het om gaat is dat jij stelt dat bijvoorbeeld de overheid kan claimen dat jij iets gedaan hebt want jij hebt je
geidentificeerd via DigiD met SMS authenticatie, en dan kun jij als tegenbewijs neerleggen dat je telefoonmaatschappij
een SIM swap heeft uitgevoerd zonder dat jij dat wilde. Dat is dan bewijs dat jij het niet was. De telefoonmaatschappij
hoeft daarvoor geen aansprakelijkheid te erkennen maar alleen documentatie te overhandigen van de handelingen
die zij hebben gedaan op jouw abonnement.
15-12-2018, 19:25 door Bitwiper - Bijgewerkt: 15-12-2018, 19:27
Door Anoniem 15-12-2018 11:14: Het gaat ook helemaal niet om een claim naar de telefoonmaatschappij!
Waar het om gaat is dat jij stelt dat bijvoorbeeld de overheid kan claimen dat jij iets gedaan hebt want jij hebt je
geidentificeerd via DigiD met SMS authenticatie, en dan kun jij als tegenbewijs neerleggen dat je telefoonmaatschappij
een SIM swap heeft uitgevoerd zonder dat jij dat wilde. Dat is dan bewijs dat jij het niet was. De telefoonmaatschappij
hoeft daarvoor geen aansprakelijkheid te erkennen maar alleen documentatie te overhandigen van de handelingen
die zij hebben gedaan op jouw abonnement.
Daar heb je een goed punt mee, maar het leed is al geschied en de bewijslast ligt bij jou. En je moet maar afwachten of zo'n incident goed gedocumenteerd -met voor jou ontlastende verklaringen- in de boeken gearchiveerd wordt.

Ik verneem te veel verhalen van mensen, vooral zwakkeren in onze samenleving, die met identiteitsfraude te maken hebben gehad, wie zo'n incident eindeloos lijkt te achtervolgen en voor wie het een nachtmerrie wordt. Mensen die om deze reden als onbetrouwbaar worden afgeschilderd - ook als de identiteitsfraude buiten hun schuld plaatsvond. Veel te veel ICT systemen worden ontworpen vanuit de gedachte dat alles altijd goed gaat.

Precies zoals anoniem van 14-12-2018, 12:35 schrijft: "Als ik het gros van de reacties lees wordt IT beveiliging als iets absoluuts gezien: wel of niet veilig". Wellicht kijk ik eroverheen, maar ik zie de overheid nergens een vangnet beschrijven voor situaties waarbij identiteitsfraude plaatsvindt. Zij gaat er kennelijk vanuit dat het systeem 100% veilig is.

Ik blijf bij mijn standpunt dat, als gerenommeerde partijen het gebruik van SMS-identiteitsverificatie afraden, en in Nederland wordt aangetoond (niet middels een "theoretisch denkbaar scenario" opgespoord door een gespecialiseerde onderzoeksjournalist - maar in de praktijk gebracht door ordinaire criminelen), je nalatig bent als je dit systeem handhaaft als een "veilige" oplossing. Want 100% veilig is het nooit geweest, en de kans dat SMS-identiteitsverificatie voor een deel van de gebruikers de veiligheid (bewijs van identiteit) verlaagt, is in de praktijk aangetoond.
17-10-2019, 11:28 door Anoniem
Eindelijk iemand die het werkelijke probleem begrijpt! 2FA is géén oplossing voor het security-probleem, maar vormt een nieuwe bedreiging voor jouw privacy.
Beveiliging is ieders eigen verantwoordelijkheid...

Door Anoniem:
We moeten stoppen met SMS-identiteitsverificatie!

Wat je vergeet is de function creep functie van 2fa.

De function creep van het verkrijgen van een telefoonnummer is voor de meeste bedrijven veel belangrijker dan waarvoor het gevraagd werd, namelijk security.
Data is goud waard, persoonsdata het dubbele!

Het zou mij niets verbazen als dat net zo hard een stille reden was voor de overheid.
Telefoonbezitters worden de hele dag real time gevolgd na invoering van de sleepwet.

2FA = het perfecte excuus voor commerciële tracking en surveillance !

Hopelijk realiseer je je wel dat je met je oproep eigenlijk de panopticumplannen van plassterk support, namelijk de opvolgers die nog heel erg veel meer data op een centraal punt willen samenbrengen waar zowel overheid als bedrijfsleven in kan gaan graaien.

Men heeft het nog wel over zogenaamde schotjes, maar die zullen op termijn meer en meer worden weggehaald volgens de bekende glijdende schaal.

Belangrijkste boodschap zou moeten zijn : stop met roepen dat alleen wachtwoord en username gebruik onveilig is!

DIt blijven roepen maakt dat de echte achilleshiel niet wordt aangepakt, zorgen dat je systeem veilig is!
Je moet veiligheid niet aan anderen overlaten maar ook zelf organiseren!

Goede oplossing : handel overheidszaken af van een geisoleerd systeem, een live boot systeem dat helemaal niet geinfecteerd kan zijn of worden en los van je gewone systeem draait.
17-10-2019, 12:33 door Anoniem
Ik vind het nog steeds jammer dat DigiD niet gewoon Google Authenticator ondersteunt. Waarom moet overal weer een nieuwe app voor ontwikkeld worden?
17-10-2019, 13:15 door Anoniem
Door Anoniem: Ik vind het nog steeds jammer dat DigiD niet gewoon Google Authenticator ondersteunt. Waarom moet overal weer een nieuwe app voor ontwikkeld worden?

Misschien is dat, omdat de overheid een veiliger gevoel wil geven? Mensen klagen toch al, dat google zoveel over hen weet. Via de Google Authenticator wordt dat gevoelsmatig misschien nog meer. Bovendien kun je behalve van Google Authenticator ook gebruik maken van de Authenticator van Microsoft en zijn er mogelijk nog andere te vinden. Moeten ze die dan allemaal ondersteunen? En wie garandeert de veiligheid daarvan? Bij die van henzelf zal het vast aan om een schil rond een bestaande oplossing en hopelijk met voldoende controle op de veiligheid en vertrouwelijkheid.
17-10-2019, 14:00 door Anoniem
Door Anoniem: Ik vind het nog steeds jammer dat DigiD niet gewoon Google Authenticator ondersteunt. Waarom moet overal weer een nieuwe app voor ontwikkeld worden?
Lees de 'privacy herinnering' van Google eens rustig door. Denk dan nog eens aan jouw voorstel, laat hier dan even weten wat dit gebracht heeft.
17-10-2019, 14:45 door Anoniem
Door Anoniem: Gewoon een dom mobieltje gebruiken puur voor DigiD, en verder je verstand gebruiken en niet zomaar overal intrappen.
Had ik, ouwerwets toestel met prepaid.
Moet minstens 1x in de 6 maanden worden gebruikt, of anders vervalt de simkaart met telefoonnummer en beltegoed.
1x in de zoveel tijd overkomt mij dit.

De laatste keer dat het mij overkwam dacht ik over te stappen naar KPN/Telfort prepaid, omdat zij waarschijnlijk de oude telefoonfrequenties (2G) waarop ouwerwetse mobieltjes werken nog het langst in de lucht zullen houden.

Wat blijkt? Kan je geen eens een SMS naar jezelf sturen om aan die half-jaarlijkse verplichting te voldoen.
Om hieraan te voldoen ben je dus verplicht om contact te zoeken met een ander telefoonummer (SMS is goedkoopst)
waarmee je dus nogal belemmerd wordt om tegen zo gering mogelijke kosten je DigiD-telefoonnummer helemaal privé te houden tussen jezelf en DigiD.

Klote-KPN... (ik had ook beter moeten weten om er mee in zee te gaan)
17-10-2019, 15:48 door MathFox
Door Anoniem: Ik vind het nog steeds jammer dat DigiD niet gewoon Google Authenticator ondersteunt. Waarom moet overal weer een nieuwe app voor ontwikkeld worden?
Ik wil me niet via Google bij de overheid authenticeren. (En ook niet via mijn bank.) Om vergelijkbare redenen wil ik niet dat de overheid mij authenticeert voor mijn zorgdossier.

Wat de overheid zou moeten doen is iedere burger een authenticatiechip geven (kan wat mij betreft in paspoort of identiteitskaart) die met een open PKA protocol benaderd kan worden.
17-10-2019, 16:08 door Anoniem
Door Anoniem: Om hieraan te voldoen ben je dus verplicht om contact te zoeken met een ander telefoonummer (SMS is goedkoopst)
waarmee je dus nogal belemmerd wordt om tegen zo gering mogelijke kosten je DigiD-telefoonnummer helemaal privé te houden tussen jezelf en DigiD.

Klote-KPN... (ik had ook beter moeten weten om er mee in zee te gaan)
Sjonge, wat een ramp is dat zeg! Eens per halfjaar even een vast nummer bellen, kost je wel 40 cent (voor 5 sec bellen + starttarief) per keer...
Doe ik al jaren zo en is véél goedkoper dan een abonnement.
De meeste andere mobiele providers eisen dat je elk half jaar voor minstens 5 of zelfs 10 Euro opwaardeert, dat hoeft bij KPN helemaal niet.

Je kunt het ook overdrijven zeg.
17-10-2019, 22:02 door Anoniem
Zeg je Digid vandaag nog op. Het is niet verplicht en je hebt het maar bij een paar bedrijven nodig voor de inlog. Overheidsinstanties zijn nog verplicht om je zonder digid te helpen.
17-10-2019, 23:48 door Anoniem
SMS gestuurd 2FA is niet veilig: https://www.kaspersky.nl/blog/2fa-practical-guide/23482/
SMS is 'broke" en onveilig by design & hackers kunnen txt uitlezen.
Er moeten dus een aantal laagjes veiligheid bovenop worden aangebracht.

Information Security link:
https://security.stackexchange.com/questions/81053/what-makes-an-sms-gateway-insecure

Klopt het bovenstaande verhaal, waarom gebruiken we SMS dan nog? Iemand?

#sockpuppet
18-10-2019, 15:27 door Anoniem
Door Anoniem: SMS gestuurd 2FA is niet veilig: https://www.kaspersky.nl/blog/2fa-practical-guide/23482/
SMS is 'broke" en onveilig by design & hackers kunnen txt uitlezen.
Er moeten dus een aantal laagjes veiligheid bovenop worden aangebracht.

Information Security link:
https://security.stackexchange.com/questions/81053/what-makes-an-sms-gateway-insecure

Klopt het bovenstaande verhaal, waarom gebruiken we SMS dan nog? Iemand?

#sockpuppet
Je hebt natuurlijk ook nog inlognaam en wachtwoord nodig bij DigiD.
SMS erbij maakt het daarom wel veiliger, maar niet in alle situaties.

Een ander probleem is dat veel burgers te suf zijn om te (kunnen) controleren of ze wel echt op de DigiD website zitten.
En men moet ook nooit naar bank of DigiD gaan door op een link te klikken. Automatisch vertrouwen op links is link.
18-10-2019, 16:58 door Anoniem
Door Anoniem: Zeg je Digid vandaag nog op. Het is niet verplicht en je hebt het maar bij een paar bedrijven nodig voor de inlog. Overheidsinstanties zijn nog verplicht om je zonder digid te helpen.
Hoe zeg je je DigiD op? Het antwoord hierop is niet op de site zelf te vinden.
18-10-2019, 17:00 door Erik van Straten
Door Anoniem: Een ander probleem is dat veel burgers te suf zijn om te (kunnen) controleren of ze wel echt op de DigiD website zitten.
Ik vind dat niet "te suf zijn". Het is namelijk erg lastig en soms onmogelijk om vast te stellen dat een website, met een gegeven domeinnaam, niet van een bepaalde organisatie is (of juist wel, zie hieronder) - waarbij cybercriminelen natuurlijk hun uiterste best doen om een nepsite als twee druppels water op de echte site te laten lijken.

Uit een eerdere bijdrage van mij vandaag in een andere thread (https://security.nl/posting/627835#posting628187):
Dit probleem wordt verder vergroot door naïeve (zeg maar gerust debiele) organisaties die gebruikers geen enkel betrouwbaar handvat geven om vast te kunnen stellen of een gegeven domeinnaam wel of niet van die organisatie is. Zo las ik gisteren dat een London's waterbedrijf, Thames Water, een nieuw softwaresysteem in gebruik heeft genomen dat vereist dat gebruikers hun accountgegevens updaten. Alle klanten kregen een e-mail met het verzoek om, in plaats van op de gebruikelijke site:
thameswater.co.uk
met hun oude accountgegevens in te loggen op:
online-thameswater.co.uk
(waarbij https://online-thameswater.co.uk/ notabene een certificaatfoutmelding geeft, zo zag ik). Hoe phishy kun je het maken... Bron: https://www.theregister.co.uk/2019/10/17/phishing_101_click_here_to_reregister/
Eerder schreef ik in in diezelfde thread (https://security.nl/posting/627835#posting627983):
Ook een mooie vind ik die van onze zuiderburen: het certificaat van het domein https://www.verkeersboetes.be/ is van Amazon. Hoe weet je in vredesnaam of dit een gespoofde site is, of een echte van de Belgische overheid?
18-10-2019, 18:15 door Anoniem
Opzeggen die handel. Dat kan gewoon op digid.nl nu het nog kan. Je bent nl. niet verplicht digid te hebben.

Centralisatie en privacy jouw data van alle overheidsinstellingen op 1 lokatie is dus jouw eigen keuze!
18-10-2019, 19:25 door Anoniem
Door Erik van Straten:
Door Anoniem: Een ander probleem is dat veel burgers te suf zijn om te (kunnen) controleren of ze wel echt op de DigiD website zitten.
Ik vind dat niet "te suf zijn". Het is namelijk erg lastig en soms onmogelijk om vast te stellen dat een website, met een gegeven domeinnaam, niet van een bepaalde organisatie is (of juist wel, zie hieronder) - waarbij cybercriminelen natuurlijk hun uiterste best doen om een nepsite als twee druppels water op de echte site te laten lijken.
Ik vind van wel, al kan je over de exacte betekenis van "suf" in dit tekstverband van mening verschillen.
(als ik (te) scherpe termen gebruik is dat om wakker te schudden en aan het werk te zetten,
zodat het ze niet langer hoeft te overkomen)

Het is suf, want het gaat hier niet om een willekeurige site maar om DigiD.
Ik vind dat men van DigiD en van je bank moet kunnen onderscheiden en controleren of men er wel mee is verbonden.
Het domein in de url moet precies kloppen (dat is wel het minste wat je kan controleren), en men zou in het certificaat
ook Owner "Logius" en de CN "QuoVadis PKIoverheid EV CA" moeten kunnen herkennen.
Bij twijfel of als iets niet lijkt te kloppen kan men desnoods van 8-22u bellen: 088 123 65 55.

Daarbij waarschuwt de DigiD website voor misbruik (https://www.digid.nl/voorkom-misbruik/),
en als men er dan toch intuint dan is dat tamelijk suf.
19-10-2019, 08:19 door Anoniem
Gewoon geen digid gebruiken. Ik heb het nergens voor nodig. Stuur maar een brief als je wat van me wilt.
19-10-2019, 09:34 door Anoniem
Door Anoniem: Gewoon geen digid gebruiken. Ik heb het nergens voor nodig. Stuur maar een brief als je wat van me wilt.
Ach, ik heb m'n DigID alleen maar nodig voor:
- de belastingaangifte, via een formulier invullen vind ik toch echt helemaal niets, heb ik vroeger veel te vaak moeten doen
- de zorgverzekeraar, ik wil toch best wel weten wat er allemaal aan zorgkosten gedeclareerd is, ook waarvan ik geen bericht krijg
- de AOW uitkering en het pensioen.

Ik kan dus niet zonder en ik vind inloggen met SMS (op een aparte GSM, niet op dezelfde smartfoon als waarop geïnternet wordt) beslist niet onveilig. Inloggen via de bank

En ik geloof er gewoon helemaal niets van dat reageerders op dit forum hun belastingformulier nog handmatig invullen.
19-10-2019, 10:35 door Anoniem
Door Anoniem: Hoe zeg je je DigiD op? Het antwoord hierop is niet op de site zelf te vinden.
Als ik mij goed herinner, gewoon anderhalf jaar niet gebruiken. Dan wordt je DigiD vanzelf gewist.
Vroeger was dit drie jaar.
19-10-2019, 12:20 door Anoniem
Door Anoniem:
Door Anoniem: Gewoon geen digid gebruiken. Ik heb het nergens voor nodig. Stuur maar een brief als je wat van me wilt.
Ach, ik heb m'n DigID alleen maar nodig voor:
- de belastingaangifte, via een formulier invullen vind ik toch echt helemaal niets, heb ik vroeger veel te vaak moeten doen
- de zorgverzekeraar, ik wil toch best wel weten wat er allemaal aan zorgkosten gedeclareerd is, ook waarvan ik geen bericht krijg
- de AOW uitkering en het pensioen.

Ik kan dus niet zonder en ik vind inloggen met SMS (op een aparte GSM, niet op dezelfde smartfoon als waarop geïnternet wordt) beslist niet onveilig. Inloggen via de bank

En ik geloof er gewoon helemaal niets van dat reageerders op dit forum hun belastingformulier nog handmatig invullen.

Als het kwaakt als een trol, het argumenteert als een trol (het is toch zo handig en iedereen doet het), is het waarschijnlijk ook een trol. Zo wordt het privacy debat en alle tegenargumentatie in de kiem gesmoord. Op tweakers worden ook zat comment-trolls ingezet. Is het in het bovenstaande geval niet zo, mijn excuses. Maar je kunt het niet uitsluiten. Je gaat ze herkennen, die gladstrijkers.

Jodocus Oyevaer
19-10-2019, 12:57 door Anoniem
Door Anoniem:
Door Anoniem: Hoe zeg je je DigiD op? Het antwoord hierop is niet op de site zelf te vinden.
Als ik mij goed herinner, gewoon anderhalf jaar niet gebruiken. Dan wordt je DigiD vanzelf gewist.
Vroeger was dit drie jaar.
Andersom: het blijft nu 3 jaar geldig, vroeger was het anderhalf jaar.
Maar zelfs als je DigiD nog steeds geldig is, ben je als ik me niet vergis niet verplicht om er gebruik van te maken.
Alleen moet je wel overeenkomen met instanties die normaal via DigiD communiceren hoe de communicatie dan moet.

Als het kwaakt als een trol, het argumenteert als een trol (het is toch zo handig en iedereen doet het), is het waarschijnlijk ook een trol. Zo wordt het privacy debat en alle tegenargumentatie in de kiem gesmoord. Op tweakers worden ook zat comment-trolls ingezet. Is het in het bovenstaande geval niet zo, mijn excuses. Maar je kunt het niet uitsluiten. Je gaat ze herkennen, die gladstrijkers.

Jodocus Oyevaer
Kom liever met goeie argumenten in plaats van iemand direct voor trol uit te maken.
(ik ben het helemaal met anoniem van 09:34 eens: DigiD is vaak een stuk handiger, en zo onveilig hoeft het niet te zijn.
Het is maar hoe je er mee omgaat!!!...)
19-10-2019, 14:32 door Anoniem
Als dit werkelijk je overuiging is, neem ik mijn woorden terug.

Op technische argumentatie vind ik 2FA, vanwege SMS protocol zwakheden een minder bod.

Jammer, dat het echte privacy debat zo wordt gefrustreerd. DigiD zou beperkt moeten worden tot strikt overheidstoepassingen en zowat laatstelijk gebeurd is, dat andere financiele spelers ook "mee mogen kijken", zoals bij banken is voorgesteld via o.a. verruiming van EU regelgeving is binnenhalen via de achgterdeur van wat je niet wilt.

Daarover het toelaten van Big Commerce op overheidsterrein, sterk doorgezet na de privatiserings- en externe bureautjes-golf heeft al voor heel wat aantasting van de private sfeer gezorgd. Het debat of Google en facebook wel zo'n invloed moeten hebben op ons digitale bestaan, dan dat ze nu al hebben, wordt niet in Nederland gevoerd of van alle kanten ontgaan of gefrustreed via politiek correct denken, MSM en propaganda en door mensen, die al deze info voetstoots aannemen en niet zelf onderzoek doen (de consensus-maatschappij).

Daarnaast hebben mensen die een alternatieve weg willen een alternatief nodig. Ik ben boven de zeventig en sta nog steeds in de loopgraven bij website security. Ik red me wel, maar veel van mijn leeftijdsgenoten en ouderen hebben die slag nooit gemaakt. We kunnen die niet vergeten en in de kou laten staan, daarnaast ook de digitaal zwakkeren niet te vergeten van alle leeftijden en alle gezindten.

Jodocus Oyevaer
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.