image

Inloggen op MijnOverheid straks via DigiD-app of sms-controle

maandag 4 november 2019, 13:31 door Redactie, 50 reacties
Laatst bijgewerkt: 04-11-2019, 14:30

Wie volgend jaar op MijnOverheid wil inloggen zal dit via de DigiD-app of sms-controle moeten doen, zo laat Logius aan Security.NL weten. Logius is de digitale dienstverlener van de overheid die ook verantwoordelijk is voor DigiD. Ook is het de aanbieder van MijnOverheid, het online portaal van de overheid waar burgers op hun eigen account overheidscommunicatie kunnen ontvangen.

7,8 miljoen Nederlanders hebben inmiddels een MijnOverheid-account. Deze week werd er een nieuwe versie van MijnOverheid gelanceerd. Daarnaast is er gestart met de voorbereidingen om inloggen via tweefactorauthenticatie verplicht te stellen. Dit is een vereiste om meer privacygevoelige gegevens via MijnOverheid inzichtelijk te mogen maken, aldus Logius. Wanneer de maatregel precies wordt doorgevoerd is nog onbekend. "We verwachten dit in de loop van 2020 in te voeren. Wanneer precies is nog niet duidelijk", laat een woordvoerder weten.

De invoering van tweefactorauthenticatie op MijnOverheid moet zorgvuldig gebruiken, zo gaat de woordvoerder verder. "Uiteraard moet het technisch goed werken, maar ook moeten gebruikers hier goed en tijdig over worden geïnformeerd. Het uitgangspunt is dat MijnOverheid toegankelijk blijft voor alle burgers. We kijken hiervoor natuurlijk ook naar ervaringen van andere organisaties die al over zijn gestapt naar verplicht 2-factor inloggen, zoals het UWV."

Het inloggen via DigiD-app of sms-controle zal voor heel MijnOverheid gelden en voor alle gegevens en berichten die via de dienst worden uitgewisseld. DigiD kent verschillende betrouwbaarheidsniveaus. Het basisniveau bestaat uit een gebruikersnaam met wachtwoord. Dan is er het middenniveau waarbij de gebruiker kiest voor inloggen met de DigiD-app of voor een sms-controle. De sms-controle werkt ook via een vast telefoonnummer. Als derde is er het substantiële niveau. Dit is bijvoorbeeld vereist wanneer er met extra privacygevoelige gegevens wordt gewerkt.

Vorig jaar werd er 307 miljoen keer met DigiD ingelogd. 260 miljoen daarvan waren op het niveau Basis, oftewel alleen met gebruikersnaam en wachtwoord. Het aantal authenticaties op het basisniveau steeg met een kleine 5 procent ten opzichte van 2017. Authenticaties op het middenniveau stegen met 30 procent naar 37 miljoen. Het inloggen via de DigiD-app is verviervoudigd naar bijna 11 miljoen authenticaties. Het niveau substantieel is vorig jaar een kleine 200.000 keer gebruikt, in 2017 was dit iets meer dan 8000 keer.

Reacties (50)
04-11-2019, 13:49 door Reinder
Betekent dit niet dat het hebben van een (mobiele) telefoon nu de facto verplicht wordt?
04-11-2019, 13:52 door Anoniem
Door Reinder: Betekent dit niet dat het hebben van een (mobiele) telefoon nu de facto verplicht wordt?
sms-controle werkt ook met vaste lijn
04-11-2019, 14:02 door Briolet
Door Reinder: Betekent dit niet dat het hebben van een (mobiele) telefoon nu de facto verplicht wordt?

Ja, maar het maakt dingen een stuk veiliger. Ze hadden ook een ander uniek stuk hardware kunnen gebruiken, maar dan had iedereen dat moeten kopen.

Nu moeten alleen die paar zonder telefoon eentje kopen. (Bij veel providers kun je ook een sms op je vaste lijn ontvangen)
04-11-2019, 14:04 door Anoniem
Door Briolet:Ja, maar het maakt dingen een stuk veiliger. Ze hadden ook een ander uniek stuk hardware kunnen gebruiken, maar dan had iedereen dat moeten kopen.
Ze hadden ook voor een open standaard als WebAuthn kunnen kiezen, dan kan je gewoon je telefoon of laptop gebruiken.

Helaas betekend dit dat ik mijn Digid volgend jaar moet opzeggen :(
04-11-2019, 14:07 door Anoniem
Door Reinder: Betekent dit niet dat het hebben van een (mobiele) telefoon nu de facto verplicht wordt?

En dat de overheid die aan alle burgers gaat leveren?

Gaat het hebben van een mobieltje tot een eerste levensbehoefte verworden?
Zonder kun je niet meer leven in deze maatschappij of commucieren met de overheid.
Het wordt dan wel lekker rustig :-)


7,8 miljoen Nederlanders hebben inmiddels een MijnOverheid-account.

Missen ze dan niet nog een aantal (volwassen) mensen?
(en ik ben er een van, en ik mis het nog steeds niet)
04-11-2019, 14:11 door Anoniem
De keuze voor sms is eigenlijk wel raar. Microsoft belt mensen op, zodat iedere telefoon (met toonkiezen) bruikbaar is. Dat had hier prima ook gekund en komt tegemoet aan de mensen die geen mobiele telefoon hebben.
04-11-2019, 14:12 door Anoniem
Door Reinder: Betekent dit niet dat het hebben van een (mobiele) telefoon nu de facto verplicht wordt?
Dat klopt, maar omdat het met SMS kan, valt het nog mee. Erger wordt het, wanneer ze de app gaan verplichten. Dan moet iedereen aan de smartphone. En dat gaat gegarandeerd voor problemen zorgen, niet iedereen kan een veilig toestel betalen. Ik zie nu al genoeg telefoons, die op een te oud OS zitten, laat staan dat ze geüpdate kunnen worden. Laat de overheid dat eerst maar eens in een wettelijke verplichting voor de fabrikanten gieten.
04-11-2019, 14:36 door Reinder
Door Anoniem:
Door Reinder: Betekent dit niet dat het hebben van een (mobiele) telefoon nu de facto verplicht wordt?
sms-controle werkt ook met vaste lijn

Daarom stond "mobiele" ook tussen haakjes, m.a.w ik zei "Betekent dit niet dat het hebben van een vaste of een mobiele telefoon nu de facto verplicht wordt?".
04-11-2019, 15:17 door _R0N_
Door Reinder: Betekent dit niet dat het hebben van een (mobiele) telefoon nu de facto verplicht wordt?
"Heeft een vast telefoonnummer dan kunt een gesproken sms-code ontvangen. U wordt automatisch gebeld."
04-11-2019, 15:22 door Anoniem
Door Reinder:
Door Anoniem:
Door Reinder: Betekent dit niet dat het hebben van een (mobiele) telefoon nu de facto verplicht wordt?
sms-controle werkt ook met vaste lijn

Daarom stond "mobiele" ook tussen haakjes, m.a.w ik zei "Betekent dit niet dat het hebben van een vaste of een mobiele telefoon nu de facto verplicht wordt?".
In de moderne wereld moet je toch op een of andere manier bereikbaar zijn.

Wat issue het issue met het hebben van een mobiele of in dit geval een vaste telefoon ?
04-11-2019, 15:34 door Anoniem
Steeds meer organisatie gaan twee factor authenticatie aan je GSM hangen.
Wat je dan moet doen als je GSM stuk is, daar is schijnbaar nog niet over nagedacht.
Bij al die organisatie kom je niet meer binnen en je kan niet eens meer bewijzen wie je bent.
Het wordt bij de belastingaangifte dan ook erg interessant, als je gezamenlijk een aangifte moet doen.
Met je vrouw op schoot omdat je ook hier een DigId nodig hebt, of 2 GSM's op je bureau.
Dan kan ze boodschappen gaan doen zonder GSM. Ik doe voor mijn kinderen ook de aangifte.
Dus ben ik wel verplicht om een familiefeest te geven. Of ik heb straks 7 GSM's op mijn bureau liggen.
04-11-2019, 15:37 door Anoniem
Door Anoniem:Wat issue het issue met het hebben van een mobiele of in dit geval een vaste telefoon ?
Aanschaf en abonnementskosten (ook voor prepaid want tegoed vervalt). Daar komt bij dat telefoons een notoir slechte beveiliging hebben en er weinig telefoons met open source software zijn.
04-11-2019, 16:15 door Anoniem
Ik heb een vraag waar iemand hier misschien antwoord op heeft.

Ik woon per jaar een half jaar in Nederland en de andere helft in Amerika. Ik heb een Nederlandse en een Amerikaanse simkaart (met dus verschillende telefoonnummers) voor mijn dumbphone. De mededeling aan ING, DigiD, ziekteverzekering, enz dat mijn mobiele nummer is gewijzigd is een hele toestand en wordt bevestigd met brieven naar mijn Nederlandse adres. Dus dat is niet iets dat je 2 keer per jaar wil doen.

Als ik mijn Nederlandse simkaart in mijn telefoon leg en mijn Nederlandse nummer 06 xxxx is, dan ben ik in Amerika bereikbaar onder 031 xxxx, dus 031 ipv 06 (Althans dat is wat Google me vertelt, familie en vrienden bellen me op mijn Amerikaanse simkaart, dus ik heb hiermee geen ervaring).

Mijn vraag is: kan ik 031 xxx ook in Nederland als nummer van mijn dumbphone (met Nederlandse simkaart erin) gebruiken? Dus kan ik aan alle instanties 031 xxxx opgeven voor SMS bevestiging? Ik heb de diverse instanties ditt proberen te vragen maar heb nooit antwoord gekregen.
04-11-2019, 16:15 door Anoniem
Waarom SMS? Ik dacht dat het inmiddels wel duidelijk was dat SMS niet veilig was voor 2FA.Niet alleen SIM swapping, maar ook het SMS protocol zelf heeft zo zijn zwakheden.
04-11-2019, 16:26 door Anoniem
Al die telefoonnumers van digid gebruikers bij 1 bedrijf opgeslagen is onverantwoord.
Dus is het minimaal ook de vraag:
- op welke exacte fysieke locatie(s) precies de telefoon nummers zijn opgeslagen?
- of die telefoonnumers dan sowieso NIET op Amazon, Azure, Google server, Citrix omgevingen zijn vastgelegd.
Die systemen worden immers nogal eens gehackt en zijn dus per definitie voor high-class privacy data ONgeschikt.

Indien die gegevens in de cloud waren opgeslagen migreren naar fysieke EIGEN data opslag van een ministerie zelf in een gebouw van het ministerie.
Als de overheid totdat er echte borging is nou per sé voor haar 1 op 1 diensten tussen overheden(afdelingen) die niveau's wel wil hanteren is dat nog tot daar aan toe.
Zo lang er maar niet rechtstreeks burgerprivacy of burger-gegevens in betrokken zijn of raken.


Absolute garanties tegen hacks wil Grapperhaus voor veilige ICT niet namens de staat geven.
Dus moeten de telefoon gegevens ook niet worden opgeslagen.
Zo'n beetje hetzelfde als dat je wilt dat iemand überhaupt geen geheimen verklapt maar het wel aan die persoon deelt.
In persoonsverkeer is dat nog tot daar aan toe, maar dat is natuurlijk niet betamelijk voor een overheid.
De gegevens zijn TE gevoelig om identiteitsfraude überhaupt indirect mogelijk te willen maken.
Dit is iets waartegen elke burger in analoog verkeer in elk opzicht gewoon op enig niveau beschermd verdient en krijgt.


Wat Logius nu doet gebeurt al dan niet op rechtstreeks verzoek van de minister, maar het is gewoon white-washen van gebleken inherente privacy-kwetsbaarheid.

Het kleeft ook nou eenmaal in de huidige tijd vast aan het release- en test-managent van leveranciers, zoals Microsoft bijvoorbeeld haar software niet volledig betrouwbaar werkend aflevert zonder stelselmatige kwetsbaarheden.
En ook hoe Apple en Intel qua systemen hun release- en test-managent aantoonbaar gebleken niet sluitend krijgen.
En dat zorgt dus wel degelijk voor cruciale onveilige systemen out of the box.
Onvoldoende veilig dus.
Met al die achterdeuren die in de systemen worden afgeleverd kan iemand de 2-factor authenticatie gewoon omzeilen zonder dat die überhaupt getriggered hoeft te worden d.m.v. oneigenlijke toegang verschaffing.
Er zit weinig anders op dan afschaffen van dat middenniveau en (helemaal) het substantiële niveau.
Minimaal voor burgerlijke dienstverlening, al dan niet voorlopig.

Men zal moeten uithuilen en opnieuw beginnen.
En van de systemen waar die basis-niveau gegevens zelf op draaien, moet men eerst alle Microsoft, Apple, Amazon, Oracle en aanverwante onderdelen verwijderen en zeer rigide en treffend gaan verifiëren en valideren voor die weer live gaan.
Pas dan bouwt Logius een historie op die hopelijk voldoende is om eventueel later een graadje gevoeligere data op te gaan ontsluiten.

Nu bouwt Logius met die twee-factor authenticatie sms controle ook niet slechts 1 kleine onschuldige schakel in.
Ze sluiten een extra keten in.
Een keten die niet exclusief van Logius zelf is.
Die ook niet volledig door Logius zelf wordt beheert, maar wel bij veel telefoons uit meerdere en verschillend aantal Android- en Apple draaischijven bestaat.
En die draaischijven worden jaarlijks meermalen gehackt en zijn dus inherent ook niet dicht.
Al was het maar omdat er op allerlei manieren phising via sms wordt gepleegd.

En dat dergelijke zaken strafbaar zijn biedt dat ook geen garanties voor de toekomst.
Beste overheid, vertrouw onze en jouw vertrouwelijkheid niet toe aan een andere partij/partijen wanneer je weet dat die partij niet per sé die vertrouwelijkheid volledig gestand kan of gaat doen.
Afspraken erover maken doen die werkelijke feiten niet VOLLEDIG teniet.
Dat werkt zo dus ook niet!
04-11-2019, 16:36 door Anoniem
Logius doet alsof keten-veiligheid, centralisering van privacy gegevens en dit alles met elkaar willen ontsluiten helemaal geen issue is.
Alsof als je dat gewoon met een paar beheerniveau's kan inregelen allemaal opeens in de vingers hebt.
Alsof daarmee opeens de digitale kwetsbaarheid van de betrokken apparaten en diensten dan wel gegarandeerd zou zijn.
Vreemde werkwijze.

Ongeacht hoe uitgebreid Logius die keten gaat optuigen en inregelen,
de zwakste schakels in de digid-ketens blijven de onveilige apparaten.
Alleen komen er met die 2 factor authenticatie via sms juist nog meer onveilige apparaten in de digid-keten bij!
En 2 factor authenticatie zorgt enkel voor authenticatie, niets voor de onveilige apparaten zelf.
Pure window-dressing en schijn-veiligheid tot bepaalde mate waar Logius mee bezig is.
04-11-2019, 16:50 door Reinder
@Anoniem (een of meerdere):

-"In de moderne wereld moet je toch op een of andere manier bereikbaar zijn" Is dat zo? "Moet" dat? M.a.w is het een wettelijke plicht een telefoon te hebben? Ik kan me voorstellen dat er mensen zijn die doof zijn die geen telefoon hebben, zijn dat plots tweederangs burgers geworden? Er zijn ouderen zonder mobiele telefoon, het is zomaar mogelijk dat er dove ouderen zijn die nooit van hun leven een telefoon hebben gehad. Mijn probleem is het dwingende karakter ervan, het hebben van een telefoon wordt min of meer een verplichting, maar een wettelijke basis daarvoor ontbreekt. Ik vind niet dat de overheid kan en mag verwachten dat mensen een telefoon hebben zonder dat daar een wettelijke basis voor bestaat, ook al heeft 99.99% van de mensen een telefoon.

-"Wat is het issue met het hebben van een telefoon". Nou ja, een paar. Bijvoorbeeld als je alleen een pre-paid hebt en je wil dat nummer niet aan de overheid geven. Of gewoon uit principiele overwegingen, dat je vindt dat de overheid niet zomaar mag verwachten dat mensen over bepaalde zaken beschikken, ten minste niet zonder dat er een wettelijke plicht toe bestaat die volgens de regels zijn vastgesteld (een wet, een debat, een stemming etc). Ter vergelijking: Mag de overheid verwachten dat je een auto hebt? En als het antwoord daarop "nee" is, waarom mag de overheid dan wel verwachten dat je een telefoon hebt? Wederom, het gaat om het principe hier. De overheid moet ook haar gebouwen toegankelijk maken voor mensen die geen trappen kunnen lopen, ook al kan 99.99% van de volwassen bevolking traplopen. Voor deze uitzondering bestaat -terecht- een wettelijk kader dat hier lijkt te ontbreken. Het was mogelijk om in te loggen bij mijnoverheid zonder een telefoon te hebben, en eenmaal aangemaakt is het niet meer mogelijk om dat account op te zeggen en krijg je berichten van de belastingdienst op termijn uitsluitend nog daar. Er gaan nu extra eisen aan gesteld worden zonder bijbehorende wettelijke basis, en dat vind ik een probleem om principiele redenen.

Als two-factor authenticatie de facto verplicht wordt, dan vind ik dat er ook een mogelijkheid moet zijn voor burgers om dit op een andere manier te doen dan met een telefoon waarvoor het noodzakelijk is een overeenkomst aan te gaan met een commerciele partij, bijvoorbeeld door een token-generator aan te vragen of via tan-codes.


@_R0N_ (15:17): Zie mijn bericht van 14:36; of het vast of mobiel is maakt voor het principe niets uit.
04-11-2019, 17:02 door Anoniem
Door Briolet:
Door Reinder: Betekent dit niet dat het hebben van een (mobiele) telefoon nu de facto verplicht wordt?
Ja, maar het maakt dingen een stuk veiliger.
Dat zeg je nou wel maar ik geloof er niets van.

Ze hadden ook een ander uniek stuk hardware kunnen gebruiken, maar dan had iedereen dat moeten kopen.
Banken splitsen ze je zomaar in de maag. De enige reden dat individueel betaals zou moeten worden is een misplaatste Ambtelijke notie van "eerlijkheid", aangezien de administratie waarschijnlijk een onbehoorlijk groot deel van de kostprijs zal blijken.

Nu moeten alleen die paar zonder telefoon eentje kopen. (Bij veel providers kun je ook een sms op je vaste lijn ontvangen)
En minstens een prepaid-SIM erinstoppen, waar elk half jaar een tientje aan tegoed op moet, of je moet een abonnement afsluiten dat je verder niet nodig hebt, ofzo. En met de vaste lijn heb je weer een telefoon nodig die SMS aankan, wat de meeste klassieke telefoons dus gewoon niet kunnen. Je doet er wel lekker gemakkelijk over want jij hebt je schaapjes op het droge, denk je. Maar dit zijn wel de mensen die al die complexiteit het minste kunnen hebben.

Ja natuurlijk hebben veel mensen al dat "toch wel" zo goed en zo kwaad als het kan. Maar zodra je hierin meegaat ben je practisch van overheidswege verplicht het altijd op orde te hebben. Je computer gaat stuk en je moet onmiddelijk vanalles anders ben je te laat voor overheidskeutels die je heel snel heel veel geld gaan kosten.

Ik ben steeds blijer dat ik op papier heb van de overheid dat ze me slechts per papier lastigvallen. Dat is al erg genoeg. Hoef er niet ook nog eens een internet- én een telefoonabonnement voor bij te houden. En oh ja, een windowsinstallatie met een antivirusabonnement en regelmatig de browser bijwerken en tjeeje wat een hoop werk. En het wordt alleen maar ingewikkelder.

Dus welbeschouwd, als het echt moet schrijf ik ze wel een briefje. Zelfs met die schandalig dure postzegels (als ik eens geen antwoordnummer van ze kan vinden). Op de keper beschouwd scheelt dat een hele hoop gedoe.
04-11-2019, 17:02 door Briolet
Door Anoniem: …Wat je dan moet doen als je GSM stuk is, daar is schijnbaar nog niet over nagedacht.

Je kunt dan de simkaart tijdelijk in een andere GSM stoppen. Behalve dan dat je 3 formaten simkaart hebt. Mijn 1e kaart was op maat creditcard. Mijn 2e had hetzelfde formaat, maar je kun er een kleiner stuk uitdrukken. Voor mijn laatste telefoon moest ik de kaart nog verder laten verkleinen op maar van de chip zelf.

Door Anoniem: …Het wordt bij de belastingaangifte dan ook erg interessant, als je gezamenlijk een aangifte moet doen.

In principe moet je altijd met je eigen DigiD inloggen, ook al doe je aangifte voor een ander. Die anderen moeten jou dan eerst machtigen. Maar ik moet toegeven dat ik dit zelf ook niet correct deed en de DigiD code van mijn ouders gebruikte als ik voor hen de aangifte deed. Met een SMS controle zul je wel strikter de regels moeten volgen.
04-11-2019, 17:17 door Anoniem
Nou ik wil die app niet gebruiken op mijn tel ik log wel in op internet waar ik altijd vpn gebruik,als ik het nodig heb en sms-controlle,ach zulke verificatie maakt het echt niet veiliger om digid te gebruiken.
04-11-2019, 18:41 door Anoniem
Door Anoniem: Steeds meer organisatie gaan twee factor authenticatie aan je GSM hangen.
Wat je dan moet doen als je GSM stuk is, daar is schijnbaar nog niet over nagedacht.
Bij al die organisatie kom je niet meer binnen en je kan niet eens meer bewijzen wie je bent.
Het wordt bij de belastingaangifte dan ook erg interessant, als je gezamenlijk een aangifte moet doen.
Met je vrouw op schoot omdat je ook hier een DigId nodig hebt, of 2 GSM's op je bureau.
Dan kan ze boodschappen gaan doen zonder GSM. Ik doe voor mijn kinderen ook de aangifte.
Dus ben ik wel verplicht om een familiefeest te geven. Of ik heb straks 7 GSM's op mijn bureau liggen.
Je laat jouw familieleden jou gewoon machtigen voor de aangifte. Hoef je ook niet zulke " domme " reacties te geven
04-11-2019, 19:39 door Anoniem
Door Anoniem: Ik doe voor mijn kinderen ook de aangifte.
Dus ben ik wel verplicht om een familiefeest te geven. Of ik heb straks 7 GSM's op mijn bureau liggen.
Voor ruim minder dan 2 tientjes per jaar heb je de beschikking over 'n vastnummer, kun je voor de hele familie gebruiken. En de hele familie kan dat nummer ook gebruiken, 'n apparaat dat toegang tot internet heeft is voldoende. Wie het eerst opneemt heeft het gesprek te pakken.

Advies is sowieso om uit privacytechnische redenen geen DigiD te gebruiken. Maar "moet" je toch (geen idee waar je het voor nodig zou moeten hebben), gebruik dan een vastnummer en hou je 06 nummer te allen tijde uit de buurt van de overheid en bedrijven die het niet zo nauw nemen qua privacy.
04-11-2019, 19:39 door Anoniem
Door Anoniem: Steeds meer organisatie gaan twee factor authenticatie aan je GSM hangen.
Wat je dan moet doen als je GSM stuk is, daar is schijnbaar nog niet over nagedacht.
Bij al die organisatie kom je niet meer binnen en je kan niet eens meer bewijzen wie je bent.
Het wordt bij de belastingaangifte dan ook erg interessant, als je gezamenlijk een aangifte moet doen.
Met je vrouw op schoot omdat je ook hier een DigId nodig hebt, of 2 GSM's op je bureau.
Dan kan ze boodschappen gaan doen zonder GSM. Ik doe voor mijn kinderen ook de aangifte.
Dus ben ik wel verplicht om een familiefeest te geven. Of ik heb straks 7 GSM's op mijn bureau liggen.
Mocht je GSM kapot gaan, dan haal je de SIM-kaart uit die kapotte mobiel en stop je de SIM in een nieuw mobieltje. Dan kun je gewoon een SMS ontvangen voor in te loggen.
04-11-2019, 20:04 door Anoniem
Door Anoniem:
Door Anoniem: Steeds meer organisatie gaan twee factor authenticatie aan je GSM hangen.
Wat je dan moet doen als je GSM stuk is, daar is schijnbaar nog niet over nagedacht.
Bij al die organisatie kom je niet meer binnen en je kan niet eens meer bewijzen wie je bent.
Het wordt bij de belastingaangifte dan ook erg interessant, als je gezamenlijk een aangifte moet doen.
Met je vrouw op schoot omdat je ook hier een DigId nodig hebt, of 2 GSM's op je bureau.
Dan kan ze boodschappen gaan doen zonder GSM. Ik doe voor mijn kinderen ook de aangifte.
Dus ben ik wel verplicht om een familiefeest te geven. Of ik heb straks 7 GSM's op mijn bureau liggen.
Je laat jouw familieleden jou gewoon machtigen voor de aangifte. Hoef je ook niet zulke " domme " reacties te geven

Voor zover jij vindt dat de reacties van bovenstaande dom is, denk eerst even verder na voordat je reageert.
Zou de inlog optie voor de persoon namens iemand anders een goede optie kunnen zijn, waarom wel / niet?
Welke voordelen kleven daar mogelijk aan voor de persoon en degenen voor wie de aangifte wordt gedaan?
En vanuit het systeem, wat als de telefoon ondermijnd of gehackt is, zonder dat die dat weet maar wel gebruikt voor de belasting/digid optie aangifte voor derden?
Of zijn dat geen logische vragen, al dan niet voor de meelezers?
04-11-2019, 20:10 door Anoniem
Door Briolet:
Door Anoniem: …Wat je dan moet doen als je GSM stuk is, daar is schijnbaar nog niet over nagedacht.

Je kunt dan de simkaart tijdelijk in een andere GSM stoppen. Behalve dan dat je 3 formaten simkaart hebt. Mijn 1e kaart was op maat creditcard. Mijn 2e had hetzelfde formaat, maar je kun er een kleiner stuk uitdrukken. Voor mijn laatste telefoon moest ik de kaart nog verder laten verkleinen op maar van de chip zelf.

Door Anoniem: …Het wordt bij de belastingaangifte dan ook erg interessant, als je gezamenlijk een aangifte moet doen.

In principe moet je altijd met je eigen DigiD inloggen, ook al doe je aangifte voor een ander. Die anderen moeten jou dan eerst machtigen. Maar ik moet toegeven dat ik dit zelf ook niet correct deed en de DigiD code van mijn ouders gebruikte als ik voor hen de aangifte deed. Met een SMS controle zul je wel strikter de regels moeten volgen.

Ook fijn als je gsm het wel doet maar het gsm netwerk eruit ligt.
Gebeurt met regelmaat voor een paar uren, eens in de zoveel tijd met vodafone, kpn en t-mobile netwerken in bepaalde regio's voor halve dagen tot meerdere dagdelen.
Sms authenticatie is dus GEEN betrouwbare aanpak waar je 24 uur per dag 10 jaar lang betrouwbaar op kan terugvallen.
04-11-2019, 20:24 door Anoniem
Door Anoniem: Waarom SMS? Ik dacht dat het inmiddels wel duidelijk was dat SMS niet veilig was voor 2FA.Niet alleen SIM swapping, maar ook het SMS protocol zelf heeft zo zijn zwakheden.
SMS alleen is inderdaad niet het meest veiligste. Echter bij 2FA heb je meerdere noodzakelijkheden, zoals een gebruikers naam en wachtwoord (en de SMS code). Dus aan de SMS code alleen heb je niet zoveel en daarom is het nog steeds een redelijk veilige methode die heel goed pas en gebruikt kan worden.

Ofwel SMS voldoet hier nog volgende aan de eisen voor 2FA
04-11-2019, 20:28 door Anoniem
Door Anoniem:
Door Briolet:Ja, maar het maakt dingen een stuk veiliger. Ze hadden ook een ander uniek stuk hardware kunnen gebruiken, maar dan had iedereen dat moeten kopen.
Ze hadden ook voor een open standaard als WebAuthn kunnen kiezen, dan kan je gewoon je telefoon of laptop gebruiken.
Afgezien dit minder mogelijkheden bied dit de huidige DigiD App bieden op security gebied. Ondersteuning heb je in eens niet meer in eigenhand. Niet alle browsers ondersteunen het goed.
WebAuthn is zeker mooit, maar het voldoet gewoon niet aan de huidige eisen en requirements die DigiD nodig heeft en is daarom ongeschikt.

Helaas betekend dit dat ik mijn Digid volgend jaar moet opzeggen :(
Dan loopt je toch eens tegen problemen aan, omdat steeds meer bedrijven DigiD gebruiken. Oa de zorgverzekeringen het tegenwoordig het ook gebruiken.

Maarja... Sommige denken hier niet altijd over na en overdrijven altijd zo.
04-11-2019, 20:59 door Anoniem
Door Anoniem:

Voor zover jij vindt dat de reacties van bovenstaande dom is, denk eerst even verder na voordat je reageert.
Zou de inlog optie voor de persoon namens iemand anders een goede optie kunnen zijn, waarom wel / niet?
Welke voordelen kleven daar mogelijk aan voor de persoon en degenen voor wie de aangifte wordt gedaan?
En vanuit het systeem, wat als de telefoon ondermijnd of gehackt is, zonder dat die dat weet maar wel gebruikt voor de belasting/digid optie aangifte voor derden?
Of zijn dat geen logische vragen, al dan niet voor de meelezers?
Op de vraag voor wie het voordeel is? Voor JOUW familieleden!!!! Zij hoeven dan niet hun inlogcodes aan jou te geven om hun aangifte te doen, je weet wel, uit veiligheidsoverwegingen, waar iedereen zo over tekeer gaan! Voor de rest moet je dan ook maar bang zijn, dat iemand over de schouder meekijkt.bW
04-11-2019, 21:21 door Anoniem
Door Anoniem:
Door Anoniem: Waarom SMS? Ik dacht dat het inmiddels wel duidelijk was dat SMS niet veilig was voor 2FA.Niet alleen SIM swapping, maar ook het SMS protocol zelf heeft zo zijn zwakheden.
SMS alleen is inderdaad niet het meest veiligste. Echter bij 2FA heb je meerdere noodzakelijkheden, zoals een gebruikers naam en wachtwoord (en de SMS code). Dus aan de SMS code alleen heb je niet zoveel en daarom is het nog steeds een redelijk veilige methode die heel goed pas en gebruikt kan worden.

Ofwel SMS voldoet hier nog volgende aan de eisen voor 2FA

Wat is nou de complete stelling van "Dus aan de SMS code alleen heb je niet zoveel...."?
Bedoel je aan de SMS code alleen heb je niet zoveel zolang je ook geen toegang hebt tot de webbrowser waarop ingelogd wordt??
Dat laatste is voorkomende gevallen haast even snel gefixt voor een beetje kwaadwillende als het toegang krijgen tot de sms-jes.
Dus wat is nog steeds redelijk veilige methode nou wekelijk?
04-11-2019, 21:22 door Anoniem
Bedrijven gebruiken GEEN DigiD, maar eHerkenning....
Gedurende een korte periode was er een test met DigiD voor bedrijven, maar men zag daar geen heil in.

2FA voor burgers is goed idee, maar laten ze eens in omringende landen kijken, Zoals Belgie.
Daar durven ze WEL een eid in te voeren.
Zou dat zijn om dat daar "paspoort" geen politiek beladen woord is?
04-11-2019, 21:26 door Anoniem
Door Anoniem:
Door Anoniem:
Door Briolet:Ja, maar het maakt dingen een stuk veiliger. Ze hadden ook een ander uniek stuk hardware kunnen gebruiken, maar dan had iedereen dat moeten kopen.
Ze hadden ook voor een open standaard als WebAuthn kunnen kiezen, dan kan je gewoon je telefoon of laptop gebruiken.
Afgezien dit minder mogelijkheden bied dit de huidige DigiD App bieden op security gebied. Ondersteuning heb je in eens niet meer in eigenhand. Niet alle browsers ondersteunen het goed.
WebAuthn is zeker mooit, maar het voldoet gewoon niet aan de huidige eisen en requirements die DigiD nodig heeft en is daarom ongeschikt.

Helaas betekend dit dat ik mijn Digid volgend jaar moet opzeggen :(
Dan loopt je toch eens tegen problemen aan, omdat steeds meer bedrijven DigiD gebruiken. Oa de zorgverzekeringen het tegenwoordig het ook gebruiken.

Maarja... Sommige denken hier niet altijd over na en overdrijven altijd zo.

Wie overdrijven volgens u?
- Degenen die digid willen opzeggen omdat de consequenties niet blijken te zijn hoe ze bij invoering zijn voorgehouden,
- de zorgverzekeraars die al dan niet gedwongen een pseudo-veiligheid helpen creëren?
- anderen mensen, namelijk "sommige"
04-11-2019, 21:39 door Tha Cleaner
Door Anoniem:
Ook fijn als je gsm het wel doet maar het gsm netwerk eruit ligt.
Gebeurt met regelmaat voor een paar uren, eens in de zoveel tijd met vodafone, kpn en t-mobile netwerken in bepaalde regio's voor halve dagen tot meerdere dagdelen.
Sms authenticatie is dus GEEN betrouwbare aanpak waar je 24 uur per dag 10 jaar lang betrouwbaar op kan terugvallen.

pssst.... Soms doet het Internet het voor een aantal uren ook niet. Dat gebeurt vaker dan een SMS storing. Ik denk dat we wel kunnen zeggen dat SMS een stabiel medium is. De afgelopen jaren heeft SMS zich wel bewezen als een stabiele oplossing wereldwijd.

Ik denk dat dus wat overdrijft, of eigenlijk extreem overdrijft.

Daarnaast je kunt ook gewoon de App gebruiken, die heeft alleen een Internet verbinding nodig. Dit kan zowel over het GSM netwerk gaan, of een Wifi netwerk. Mocht dat ook niet werken dan heb je ook vrij weinig aan een DigiD authenticatie.

Ofwel er zijn mogelijkheden genoeg.
04-11-2019, 23:23 door Briolet
Door Anoniem: …En met de vaste lijn heb je weer een telefoon nodig die SMS aankan, wat de meeste klassieke telefoons dus gewoon niet kunnen..

Jij gebruikt blijkbaar geen SMS, want ook een ouderwetse telefoon kan SMS ontvangen. De provider zet dat gewoon om in spraak. Daarom schreef ik eerder ook dat dit afhankelijk is van je provider. KPN bied die optie.

En ook als je provider geen SMS omzetting biedt, dan kun je ook bij DigiD instellen dat je de SMS als spraak wilt hebben. Dat werkt dan bij elke provider.
05-11-2019, 00:23 door Anoniem
Door Anoniem:Dan loopt je toch eens tegen problemen aan, omdat steeds meer bedrijven DigiD gebruiken. Oa de zorgverzekeringen het tegenwoordig het ook gebruiken.

Maarja... Sommige denken hier niet altijd over na en overdrijven altijd zo.
Wat is het nut cq. voordeel van het inloggen bij je ziektekostenverzekering?


Over nadenken en overdrijven gesproken..
05-11-2019, 06:33 door Anoniem
Door Briolet:
Door Reinder: Betekent dit niet dat het hebben van een (mobiele) telefoon nu de facto verplicht wordt?

Ja, maar het maakt dingen een stuk veiliger. Ze hadden ook een ander uniek stuk hardware kunnen gebruiken, maar dan had iedereen dat moeten kopen.

Nu moeten alleen die paar zonder telefoon eentje kopen. (Bij veel providers kun je ook een sms op je vaste lijn ontvangen)

Ze hadden net als bepaalde banken voor een calculator kunnen kiezen. En de overheid moet denk ik toegankelijk zijn voor iedereen met of zonder DIGID.
05-11-2019, 08:17 door Anoniem
Door Anoniem: Ik heb een vraag waar iemand hier misschien antwoord op heeft.

Ik woon per jaar een half jaar in Nederland en de andere helft in Amerika. Ik heb een Nederlandse en een Amerikaanse simkaart (met dus verschillende telefoonnummers) voor mijn dumbphone. De mededeling aan ING, DigiD, ziekteverzekering, enz dat mijn mobiele nummer is gewijzigd is een hele toestand en wordt bevestigd met brieven naar mijn Nederlandse adres. Dus dat is niet iets dat je 2 keer per jaar wil doen.

Als ik mijn Nederlandse simkaart in mijn telefoon leg en mijn Nederlandse nummer 06 xxxx is, dan ben ik in Amerika bereikbaar onder 031 xxxx, dus 031 ipv 06 (Althans dat is wat Google me vertelt, familie en vrienden bellen me op mijn Amerikaanse simkaart, dus ik heb hiermee geen ervaring).

Mijn vraag is: kan ik 031 xxx ook in Nederland als nummer van mijn dumbphone (met Nederlandse simkaart erin) gebruiken? Dus kan ik aan alle instanties 031 xxxx opgeven voor SMS bevestiging? Ik heb de diverse instanties ditt proberen te vragen maar heb nooit antwoord gekregen.

Als jij een telefoon hebt/koopt waar een dubbele simkaart in kan heb je dit probleem helemaal niet. (of met 2 dumb phones)
Je kunt beide sim kaarten dan simultaan gebruiken en afhankelijk van het land waar je bent kunt je prioriteit geven aan de sim kaart van dat land om mee te bellen/sms-en.
Vanuit Nederland kan iedereen jou gewoon via je 06-nummer bellen, +31 (of 0031) is niet nodig. Dat heb je alleen nodig als je vanuit het buitenland naar een Nederlands nummer belt, jouw vrienden hoeven dit dus niet als ze jou bellen. Waar jij bent maakt in dit geval niet uit.
05-11-2019, 10:42 door Anoniem
Door Anoniem: Als ik mijn Nederlandse simkaart in mijn telefoon leg en mijn Nederlandse nummer 06 xxxx is, dan ben ik in Amerika bereikbaar onder 031 xxxx, dus 031 ipv 06 (Althans dat is wat Google me vertelt, familie en vrienden bellen me op mijn Amerikaanse simkaart, dus ik heb hiermee geen ervaring).
Dit is niet hoe internationaal bellen werkt. Als je een Nederlands telefoonnummer hebt, zeg 06 12345678, dan kun je dat vanuit het buitenland bellen door eerst de (aldaar gebruikelijke) internationale toegangsprefix te kiezen, daarna de landcode voor Nederland (31), en dan het telefoonnummer minus de interlokale prefix (0). Dus je belt vanuit de VS 011 31 6 12345678.

Bel je een nummer in de VS, dat heeft landnummer 1, vanuit Nederland, dan net zo: Voor nummer 202 555 1234 bel je 00 1 202 555 1234.

Merk op dat je in de VS naar de rest van de wereld eerst 011 draait, en in Nederland (zeg maar heel Europa) eerst 00.

Omdat die internationale prefix nogal eens verschilt, en ook het gebruik van een interlokale prefix per land verschilt(!), gebruiken we een internationale telefoonnummernotatie die begint met een plusteken om aan te geven dat je daar dus zelf nog je internationale toegangsnummer moet invoegen. Dus voor Nederland +31 6 12345678 en voor de VS +1 202 555 1234.

Let wel: De "(0)" die je wel eens in telefoonnummers ziet hoort daar niet! Want er zijn ook landen waar ze helemaal geen interlokale prefix hebben, je kiest dan altijd het hele nummer. En waar het dus heel goed kan dat het ene nummer met een nul begint, en het andere niet. (In Europa iig Italie en Noorwegen. Maar bv. Belgie en het VK en ook Nederland dus weer niet.)

Mijn vraag is: kan ik 031 xxx ook in Nederland als nummer van mijn dumbphone (met Nederlandse simkaart erin) gebruiken?
Correcte internationale notatie kan gewoon in je telefoongeheugen. Dus +31612345678 en +12025551234. GSM kan dat aan.
05-11-2019, 10:56 door Anoniem
Door Anoniem:WebAuthn is zeker mooit, maar het voldoet gewoon niet aan de huidige eisen en requirements die DigiD nodig heeft en is daarom ongeschikt.
Daar zou ik dan toch meer informatie over willen zien. In het verleden heb ik alleen een studie gezien welke schreef dat het een slecht plan was omdat iedereen verplicht tokens moest gaan aanschaffen, zonder te bedenken dat er platform authenticators aan zitten te komen (en er nu al zijn met Android en Windows). Voor zover ik het zie is een open standaard, met betere beveiliging zoals verifier impersonation resistance, een betere keuze dan iedereen verplicht een closed source app te laten installeren.

Dat de ondersteuning of gebruikrsvriendelijkheid op dit moment nog niet optimaal is zou niet in de web moeten staan van de mogelijkheid aan te bieden. Immers hebben we vandaag de dag ook de keuze om met SMS of Digid App (of ID-kaart scannen in Digid Hoog later) in te loggen. WebAuthn kan gewoon als extra keuze aangeboden worden.
05-11-2019, 11:34 door Anoniem
Door Anoniem: Ze hadden net als bepaalde banken voor een calculator kunnen kiezen. En de overheid moet denk ik toegankelijk zijn voor iedereen met of zonder DIGID.
Leuk...
Die ligt namelijk altijd ergens in huis, dus moet ik weer naar zoeken.
Ze gaan kapot, sommige zijn persoon gebonden. Dus je moet een compleet proces hiervoor inrichten. En dat is vrij duur en heeft een lange doorloop tijd.
Ik kan dus niet even ergens on the road inloggen, want mijn calculator ligt (ergens) thuis.
Niet erg milieu vriendelijk.

Nee de caclulators zijn een ramp.

Door Anoniem:
Door Anoniem:Dan loopt je toch eens tegen problemen aan, omdat steeds meer bedrijven DigiD gebruiken. Oa de zorgverzekeringen het tegenwoordig het ook gebruiken.

Maarja... Sommige denken hier niet altijd over na en overdrijven altijd zo.
Wat is het nut cq. voordeel van het inloggen bij je ziektekostenverzekering?
Om je verzekering aan te passen?
Om facturen te declareren?
Om communicatie in te zien?
Om je eigen risico status te bekijken?

Over nadenken en overdrijven gesproken..
Helemaal precies. Ik snap exact wat je bedoelt me je post. Nadenken is inderdaad lastig.
05-11-2019, 11:36 door Anoniem
Door Tha Cleaner:
Door Anoniem:
Ook fijn als je gsm het wel doet maar het gsm netwerk eruit ligt.
Gebeurt met regelmaat voor een paar uren, eens in de zoveel tijd met vodafone, kpn en t-mobile netwerken in bepaalde regio's voor halve dagen tot meerdere dagdelen.
Sms authenticatie is dus GEEN betrouwbare aanpak waar je 24 uur per dag 10 jaar lang betrouwbaar op kan terugvallen.

pssst.... Soms doet het Internet het voor een aantal uren ook niet. Dat gebeurt vaker dan een SMS storing. Ik denk dat we wel kunnen zeggen dat SMS een stabiel medium is. De afgelopen jaren heeft SMS zich wel bewezen als een stabiele oplossing wereldwijd.

Ik denk dat dus wat overdrijft, of eigenlijk extreem overdrijft.

Daarnaast je kunt ook gewoon de App gebruiken, die heeft alleen een Internet verbinding nodig. Dit kan zowel over het GSM netwerk gaan, of een Wifi netwerk. Mocht dat ook niet werken dan heb je ook vrij weinig aan een DigiD authenticatie.

Ofwel er zijn mogelijkheden genoeg.

Ofwel er zijn mogelijkheden???
In functionele zin wellicht gedeeltelijk wel ja.
Die mogelijkheden zijn echter noch technisch noch qua veiligheid gelijkwaardig.
Wie overdrijft er nou?
Laten we eerst beginnen een compleet verhaal over de bühne te brengen.
Laat de zaak eerst beter bezinken eer ge gaat reageren.

En als intenret er dus ook nog wel gedeeltelijk uit wil liggen zoals u schetst, dan is dat juist een supplementair voorbeeld waarom de aanvullende authenticatie maatregelen zoals Logius die treft over het geheel al juist heleaal geen 24/7 oplossing is EN ondermijdbaar is. Geen robusute oplossing dus.
05-11-2019, 11:38 door Anoniem
Door Anoniem:
Door Briolet:
Door Reinder: Betekent dit niet dat het hebben van een (mobiele) telefoon nu de facto verplicht wordt?

Ja, maar het maakt dingen een stuk veiliger. Ze hadden ook een ander uniek stuk hardware kunnen gebruiken, maar dan had iedereen dat moeten kopen.

Nu moeten alleen die paar zonder telefoon eentje kopen. (Bij veel providers kun je ook een sms op je vaste lijn ontvangen)

Ze hadden net als bepaalde banken voor een calculator kunnen kiezen. En de overheid moet denk ik toegankelijk zijn voor iedereen met of zonder DIGID.

U slaat de spijker op de kop.
05-11-2019, 12:11 door Anoniem
Door Anoniem:

En als intenret er dus ook nog wel gedeeltelijk uit wil liggen zoals u schetst, dan is dat juist een supplementair voorbeeld waarom de aanvullende authenticatie maatregelen zoals Logius die treft over het geheel al juist heleaal geen 24/7 oplossing is EN ondermijdbaar is. Geen robusute oplossing dus.
Als internet eruit ligt, kan je helemaal al niet inloggen en de aanvraag voor een smscode doen. Dit is allemaal spijkers op laag water zoeken!
05-11-2019, 15:39 door Anoniem
Door Anoniem: Om je verzekering aan te passen?
Om facturen te declareren?
Om communicatie in te zien?
Om je eigen risico status te bekijken?
Echt heel nuttig inderdaad.
05-11-2019, 20:51 door Anoniem
Het is uitermate simpel, een stel wensdenkers heeft iets bepaald, en nu dient de gehele wereld, werkelijkheid en realiteit, zich daaraan aan te passen (Simpel toch, het staat namelijk ergens op papier dat het zo moet?). Mocht er al een uitzonderlijke situatie plaatsvinden dan dient XYZ dat op te lossen (ook al is XYZ zich daar niet van bewust, wettelijk niet toe verplicht, en/of niet geautoriseerd genoeg daarin positief verschil te maken, en/of heeft daar geen middelen voor wegens ontbreken budget en verdere organisatorische invulling, enzovoorts, enzovoorts).

Maar he, op papier ziet het er allemaal geweldig goed uit!

Dus: not my problem! Next!
05-11-2019, 22:23 door Anoniem
Door Anoniem:
Door Anoniem:WebAuthn is zeker mooit, maar het voldoet gewoon niet aan de huidige eisen en requirements die DigiD nodig heeft en is daarom ongeschikt.
Daar zou ik dan toch meer informatie over willen zien. In het verleden heb ik alleen een studie gezien welke schreef dat het een slecht plan was omdat iedereen verplicht tokens moest gaan aanschaffen, zonder te bedenken dat er platform authenticators aan zitten te komen (en er nu al zijn met Android en Windows). Voor zover ik het zie is een open standaard, met betere beveiliging zoals verifier impersonation resistance, een betere keuze dan iedereen verplicht een closed source app te laten installeren.
Nadeel is dat er veel meer afhankelijkheden zijn, oa welke browsers/os ga je ondersteunen?
Welke keys ondersteund je wel of toch niet? En wat als het niet werkt?
Kunnen ze gemakkelijk keys beheren of intrekken? Zo kun je bijvoorbeeld de google authenticator vrij gemakkelijk backupen of i een cloud (authy) opslaan. Een hele mooie techniek, maar ook een stuk minder secure, terwijl de techniek gewoon heel goed werkt.

Maar om jou je vraag terug te komen. Met de App hebben ze bijvoorbeeld de mogelijkheid om de authenticator app locatie (IP adres) te laten controleren op de locatie (of land) waarmee vanaf inlogt. Klopt dit niet, dan kan dit een trigger zijn.
Het gebeurt nu voornamelijk op 2 devices.
Webauth tokens kunnen misschien wel fouten bevatten. Pincodes kunnen bijvoorbeeld te gemakkelijk zijn. Je hebt er geen controle over.

Dat de ondersteuning of gebruikrsvriendelijkheid op dit moment nog niet optimaal is zou niet in de web moeten staan van de mogelijkheid aan te bieden. Immers hebben we vandaag de dag ook de keuze om met SMS of Digid App (of ID-kaart scannen in Digid Hoog later) in te loggen. WebAuthn kan gewoon als extra keuze aangeboden worden.
Extra keuze is dubbel werk, complexer, meer kans op fouten.
06-11-2019, 15:02 door Anoniem
Dat wordt leuk: veel mensen kunnen nu geen belastingaangifte meer doen.

De inlogmethodes met SMS en App brengen namelijk allerlei extra risico's met zich mee, zonder dat ze effectief veiliger zijn. En ze maken het onmogelijk om telefonie abonnementen nog op te zeggen omdat bij DigiD tel nummers niet meer verwijderd kunnen worden.

Veel beter was een losse calculator of een open standaard (TOTP) waarbij mensen kunnen kiezen niet te worden blootgesteld aan de ernstige risico's van SMS controle of een vage App.

Ook een beetje vreemd dat de overheid wel voor open source is maar alleen een product van het dubieuze en monopolistische Logius gebruikt en geen alternatieve identity providers (b.v. iDIN die wel gebruik maakt van een calculator & pasje).

De vraag blijft wel nog: hoe kun je nog belasting aangifte doen als je niet meer met DigiD kan inloggen en waarom kan i.p.v. de Logius App geen eigen TOTP applicatie gebruikt worden?
06-11-2019, 15:31 door Anoniem
De oplossing is simpel.

Inloggen met de DigiD App moet vervangen worden door inloggen met One Time Password (open standaard). Met deze methode kun je dan een eigen oplossing gebruiken OF de DigiD app gebruiken.

De DigiD App verplicht je alleen voor het niveau hoog en in de app kun je extra controles bovenop OTP toevoegen.

Zo heb je maar 1 standaard nodig waar open standaarden zowel als je eigen oplossing op werkt. (Is er iets mis met je eigen oplossing of met een mobiele provider of een burger is zijn toestel kwijt, dan kan er wel nog met de overheid gecommuniceerd worden, hetzij eventueel op een lager niveau). Nu is de App een single point of failure en een single point of attack. En dat is erg dom vanuit security perspectief.

SMS controle (met bijhorende complexiteit, infrastructuur, problemen met beschikbaarheid van nummers in de toekomst, kosten en kwetsbaarheden) wordt dan overbodig.
06-11-2019, 19:23 door Anoniem
Door Anoniem: Dat wordt leuk: veel mensen kunnen nu geen belastingaangifte meer doen.
Ik denk dat je dit dik overschat, hoeveel werkelijk nu een probleem zullen hebben of krijgen.

De inlogmethodes met SMS en App brengen namelijk allerlei extra risico's met zich mee, zonder dat ze effectief veiliger zijn.
Ik denk dat je dit ook verkeerd ziet. Het is niet een 100% veiligerheid. Maar het verhoogt de security wel enorm zonder heel veel impact voor gebruikers.

En ze maken het onmogelijk om telefonie abonnementen nog op te zeggen omdat bij DigiD tel nummers niet meer verwijderd kunnen worden.
Prepaid telefoon? Ook een onoverkomelijkheid.

Veel beter was een losse calculator
Is hierboven al onderuit gehaald. Is een veel complexere en duurdere oplossing. SMS kost eigenlijk niets. Voor een app vallen de kosten ook wel mee. Beide zijn ook gemakkelijk aan te passen.
Calculators gaan kapot, lege batterijen, moeten vervangen worden, werken niet, wanneer je ze nodig hebt. En het enige wat kunt doen, is een nieuwe toesturen. Een zeer kostbare oplossing en niet erg toekomst gericht.

een open standaard (TOTP) waarbij mensen kunnen kiezen niet te worden blootgesteld aan de ernstige risico's van SMS controle of een vage App.
Kans is aanwezig dat dit al op de achtergrond min of meer draait. Maar bied veel minder mogelijkheden en eigenlijk ook een stukje onveiliger. Als je naar de Google Authenticator kijkt, dan zie je al dat je deze kunt backupen met root access. Authy slaat het op de cloud op of op meerdere devices zonder enige controle om gemakkelijk iets in te trekken. Iets wat de App allemaal wel momenteel bied.

Ook een beetje vreemd dat de overheid wel voor open source is maar alleen een product van het dubieuze en monopolistische Logius gebruikt en geen alternatieve identity providers (b.v. iDIN die wel gebruik maakt van een calculator & pasje).
Verdiep je eens in requirements. Ik noem er al een aantal die best wel belangrijke zijn voor dit soort oplossingen.

De vraag blijft wel nog: hoe kun je nog belasting aangifte doen als je niet meer met DigiD kan inloggen
Het gaat straks niet alleen om je aangifte, maar om veel meer. Maar je kunt altijd iemand anders machtigen?
waarom kan i.p.v. de Logius App geen eigen TOTP applicatie gebruikt worden?
Omdat dit gewoon geen goede oplossing is? Het bied niet de mogelijkheden en veiligheidseisen die de huidige oplossingen wel bied.
06-11-2019, 19:28 door Anoniem
Door Anoniem: De oplossing is simpel.
Waarom kom je dan met zo'n slechte oplossing?

[quoe]Inloggen met de DigiD App moet vervangen worden door inloggen met One Time Password (open standaard). [/quote]Stuk minder veilig, dus niet echt een goede oplossing.

Met deze methode kun je dan een eigen oplossing gebruiken OF de DigiD app gebruiken.

De DigiD App verplicht je alleen voor het niveau hoog en in de app kun je extra controles bovenop OTP toevoegen.
Waarom een extra iets bouwen, als de DigiD App al voldoende bied, en een stuk beter is.
Wat bied voor de meeste gebruikers OPT als toegevoegde waarde? App voldoet aan veel meer eisen.

Zo heb je maar 1 standaard nodig waar open standaarden zowel als je eigen oplossing op werkt. (Is er iets mis met je eigen oplossing of met een mobiele provider of een burger is zijn toestel kwijt, dan kan er wel nog met de overheid gecommuniceerd worden, hetzij eventueel op een lager niveau). Nu is de App een single point of failure en een single point of attack. En dat is erg dom vanuit security perspectief.
Gelukkig kan je ook niet de app of SMS op een ander toestel ontvangen of installeren. Sorry maar dit zijn niet echt sterke argumenten, en is meer gevoel of en mening.


SMS controle (met bijhorende complexiteit, infrastructuur, problemen met beschikbaarheid van nummers in de toekomst, kosten en kwetsbaarheden) wordt dan overbodig.
Ook geen centrale management meer. Slechte ondersteuning. Veel te veel mogelijkheden.
Alles gaat juist veel complexer worden met veel meer draagvlak bij de gebruikers.
07-11-2019, 17:47 door Anoniem
@ Anoniem 19:23

SMS controle verhoogt de veiligheid helemaal niet, omdat het een antieke manier is van data uitwisseling die zo lek als een mandje is. SMS codes kunnen op verschillende manieren onderschept worden. Dat hoor je als security professional te weten. Als je voor het niveau waar je nu SMS controle gebruikt, TOTP gebruikt dan heb je een veiligere methode die niet per definitie afhankelijk is van een mobiel nummer en van mobiele providers.

Prepaid is ook geen optie, omdat als je jouw nummer niet meer gebruikt dit ook naar een ander abonnee gaat en deze dus jouw codes zal ontvangen. Misschien moet je zelf eens proberen het nummer bij SMS controle - weg - te halen. We zijn allemaal benieuwd of je dat lukt. Dus ook aan je prepaid nummer zit je definitief vast en dit kost je ook geld omdat je nummer niet mag vervallen.

Een losse calculator mag dan wel geld kosten, je kan hem niet besmetten met mallware en als ontwikkelaar ben je volledig vrij in de code die erop draait, desnoods laat je burgers ervoor betalen: nu verplicht je ze ook een gsm/smartphone die ze zelf moeten betalen. Zon calculator is wel veiliger en goedkoper dan een gsm. Hier ook meteen het voordeel van iDIN.

Als security professional lijkt het me sterk dat je alleen van het bestaan van Google Authenticator af weet en niet van de legio betere & open source oplossingen die je zou kunnen gebruiken. Wat die DigiD app allemaal 'beter' doet zullen we nooit weten want we hebben de broncode niet en we kunnen ook niet een alternatief gebruiken als iets in die broncode helemaal scheef zit. We moeten dan maar hopen dat het goed komt: niet echt bepaald veilig. Je moet gewoon compatibiliteit met alternatieven kunnen aanbieden, dan heb je ook geen single point of falure in de frontend.

En ja die belastingaangifte is iets waar bijna elke Nederlander wel mee te maken heeft, in tegenstelling tot de overige mogelijkheden. Vreemd dat men zulke drempels opwerpt voor mensen om belasting af te dragen.


@ Anoniem 19:23

Beter lezen: Inloggen met de DigiD App moet vervangen worden door inloggen met One Time Password staat er. Dus niet de DigiD App vervangen maar deze naast open source OTP oplossingen gebruiken voor nivau middel en spefifiek voor niveau hoog.

Verklaar je verder nu werkelijk dat het onmogelijk is voor anderen om SMS berichten te ontvangen/onderscheppen? Misschien toch maar eens terug naar de schoolbanken dan.

Grappig: je zou bijna zeggen dat hier Logius medewerkers actief zijn die uit alle macht (met niet relevantie argumenten op een verdraaide versie van de tegenargumenten) hun knutselwerkje verdedigen. Jammer dat ze feedback als aanval op hun ego zien en niet een kans een product zodanig te verbeteren dat het voor iedereen die het gebruikt, een goede oplossing kan zijn, en niet alleen voor de kudde die het wel oké vindt zolang het maar werkt...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.