Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Resetten wachtwoord DigiD

24-07-2021, 14:28 door Anoniem, 11 reacties
Ik was op zoek naar een manier om mijn coronavaccinatiebewijs uit te printen zonder smartphone, en ik stuitte op DigiD.

De site van DigiD heeft nu een heel vriendelijke manier om laten te zien hoe je je DigiD kan aanvragen:
https://www.digid.nl/stappenplan/stappenplan-digid-aanvragen

Ik heb dit stappenplan doorlopen en daarbij vielen mij twee dingen op:
1. Je kan via SMS of je vaste telefoonnummer je DigiD wachtwoord resetten
2. Je kan via je e-mail adres je DigiD wachtwoord resetten

Zowel een telefoonnummer als een e-mail adres zijn verplicht tegenwoordig (ik heb nog een DigiD zonder deze onzin waar ik nu heel zuinig op ga zijn).

Je gebruikersnaam wordt hierdoor heel belangrijk voor de veiligheid van je DigiD. Er zijn (naast brievenbushengelen) namelijk meerdere manieren om je wachtwoord te omzeilen. Aan dit wachtwoord worden hele hoge eisen gesteld (alle soorten karakters moeten minimaal een keer voorkomen in je wachtwoord). Maar met een gehackt e-mail adres of een gestolen telefoon is dit geen obstakel voor een hacker. Om DOS aanvallen te voorkomen is het belangrijk om een complexe gebruikersnaam te kiezen en niet iets dat naar aanleiding van een Instagram profiel kan worden geraden. Dan kan een aanvaller je account laten blokkeren. Bij de ING bank is dit overigen net zo.

De oplossing voor de toekomst is elke keer inloggen met je identiteitskaart. Waar ik best wel voor ben, ware het niet dat je hiervoor eerst een zwak DigiD account moet aanmaken die je daarna upgrade naar het gewenste beveiligingsniveau. Een soort STARTTLS als het ware.

Wat ik wel positief vind, is dat je ook met een Apple computer kan inloggen op dit niveau als je identiteitskaart recent genoeg is. Dit is nieuw voor mij. Ik kan nu dus kiezen voor een Apple computer of een smartphone als ik geen Microsoft ID wil die bepaalt of ik in kan loggen op mijn eigen hardware of bij mijn clouddata kan.
Reacties (11)
26-07-2021, 14:08 door Anoniem
e-mail adres is niet meer verplicht vroeger wel nu is een tel nummer verplicht
26-07-2021, 14:14 door Bitje-scheef
Zowel een telefoonnummer als een e-mail adres zijn verplicht tegenwoordig (ik heb nog een DigiD zonder deze onzin waar ik nu heel zuinig op ga zijn).

Fijn weer die overdreven achterdocht....alsof de overheid de hele dag niets anders heeft te doen dan meneer Anoniem te traceren en te volgen.
26-07-2021, 14:19 door Anoniem
Door Bitje-scheef:
Zowel een telefoonnummer als een e-mail adres zijn verplicht tegenwoordig (ik heb nog een DigiD zonder deze onzin waar ik nu heel zuinig op ga zijn).

Fijn weer die overdreven achterdocht....alsof de overheid de hele dag niets anders heeft te doen dan meneer Anoniem te traceren en te volgen.


Purmerend gebruikt nepaccounts om burgers op social media te monitoren

https://www.security.nl/posting/713474/Purmerend+gebruikt+nepaccounts+om+burgers+op+social+media+te+monitoren
26-07-2021, 15:23 door Anoniem
Zou TS het inloggen met ID ook nog een goed idee vinden wanneer je dit (straks) moet doen voordat je überhaupt online kunt?
26-07-2021, 17:43 door Erik van Straten
Door Anoniem: [...]
1. Je kan via SMS of je vaste telefoonnummer je DigiD wachtwoord resetten
2. Je kan via je e-mail adres je DigiD wachtwoord resetten
[...]
Je gebruikersnaam wordt hierdoor heel belangrijk voor de veiligheid van je DigiD.
Goed punt (een aanvaller die één van beide kan overnemen, kan dan mogelijk toegang krijgen tot jouw account), tenzij de gebruikersnaam via dezelfde route(s) gewijzigd kan worden. Weet je toevallig ook of dat zo is?
26-07-2021, 18:02 door Anoniem
Toen ik een paar jaar geleden bezwaar aantekende tegen de mogelijkheid om mijn ING wachtwoord te resetten via
een SMS'je aan mijn mobiele telefoon (volgens mij werd daarmee de 2e factor authenticatie dood gemaakt want normaal
waren de 2 factoren "weten van het password" en "hebben van de mobiele telefoon" en dit werd nu terug gebracht naar
"hebben van de mobiele telefoon", 1 factor dus maar, werd dit beantwoord met "het is belangrijk dat u uw gebruikersnaam
geheim houdt!".
Dat vond ik wat vreemd want dit was daarvoor nooit een geheim gegeven, het wordt tijdens een inlogsessie gewoon
getoond en als je niet uitkijkt zelfs opgeslagen. Dat je dit nu geheim moet houden is net als dat je je rekeningnummer
geheim zou moeten houden, wat in Nederland nooit zo was (in Amerika kennelijk wel).
Maar goed daar waren ze bij ING niet gevoelig voor. Dat is nou eenmaal het meegaan met de tijd, beveiliging wordt
vervangen door gemak. Kennelijk hebben ze dit bij DigiD nu ook gedacht.
26-07-2021, 19:31 door Anoniem
Door Erik van Straten:
Door Anoniem: [...]
1. Je kan via SMS of je vaste telefoonnummer je DigiD wachtwoord resetten
2. Je kan via je e-mail adres je DigiD wachtwoord resetten
[...]
Je gebruikersnaam wordt hierdoor heel belangrijk voor de veiligheid van je DigiD.
Goed punt (een aanvaller die één van beide kan overnemen, kan dan mogelijk toegang krijgen tot jouw account), tenzij de gebruikersnaam via dezelfde route(s) gewijzigd kan worden. Weet je toevallig ook of dat zo is?


gebruikersnaam kan je alleen veranderen door een nieuwe digid aan te maken
26-07-2021, 20:22 door Erik van Straten
Door Anoniem: gebruikersnaam kan je alleen veranderen door een nieuwe digid aan te maken
Dank voor het antwoord!

Het lijkt dus inderdaad een goed idee, als je de keuze hebt (kennelijk ook bij ING zoals Anoniem @18:02 hierboven schrijft), om een niet te raden "gebruikersnaam" (logon ID) te kiezen. Goed om te weten!
26-07-2021, 20:28 door Anoniem
Door Bitje-scheef:
Zowel een telefoonnummer als een e-mail adres zijn verplicht tegenwoordig (ik heb nog een DigiD zonder deze onzin waar ik nu heel zuinig op ga zijn).

Fijn weer die overdreven achterdocht....alsof de overheid de hele dag niets anders heeft te doen dan meneer Anoniem te traceren en te volgen.

Het is geen achterdocht. Het zijn extra dingen die ik moet onthouden en managen. Zoals, heb ik een nieuw e-mail adres/telefoonnummer. Zit ik nog bij dezelfde provider. Heb ik dit doorgegeven aan Logius (welke ik precies een keer per jaar gebruik).

Bovendien vind ik het erg fijn als de overheid geen e-mail adres van mij heeft. Dan kan ik ook niet in phishing mailjes trappen van diezelfde overheid. Bij mijn bank net zo. Mijn vader is zo stom geweest om zijn e-mail adres aan de bank te geven en die moet nu de hele tijd beoordelen of iets van de bank is of phishing. Wat hij niet kan beoordelen. Vroeger stuurde hij zulke mailtjes naar mij door maar ik heb hem uitgelegd dat ik niet blij word van virussen in mijn inbox. Maar nu laat hij ze staan in zijn eigen mailbox voor mij om te beoordelen. Waardoor ze vaak in backups terecht komen, deze phishing mailtjes. Want volgens mij stuurt zijn bank nooit echte e-mail en gaat alles via de bankomgeving of per post.

TS
27-07-2021, 09:21 door majortom - Bijgewerkt: 27-07-2021, 09:22
Door Anoniem: Wat ik wel positief vind, is dat je ook met een Apple computer kan inloggen op dit niveau als je identiteitskaart recent genoeg is. Dit is nieuw voor mij. Ik kan nu dus kiezen voor een Apple computer of een smartphone als ik geen Microsoft ID wil die bepaalt of ik in kan loggen op mijn eigen hardware of bij mijn clouddata kan.
Nee van een Apple ID ga je blij worden, en die is verplicht om apps uit de Apple Store te downloaden. En volgens mij heb je niet altijd een Microsoft account nodig om apps te installeren. En waarom via de stores? je kunt toch ook gewoon de applicatie op een andere manier beschikbaar stellen? Waarom overigens een applicatie, is een web based oplossing niet veel gemakkelijker en meer portable?

En waarom alleen inloggen met je ID kaart en niet ook met je paspoort? Ben ik nu straks verplicht om naast mijn paspoort ook een ID kaart aan te schaffen?

Overigens wil men volgens mij volledig over naar een app op een smartphone (zie https://www.security.nl/posting/701749/Security_NL+spreekt+met+Logius+over+beveiligingskeuzes+voor+DigiD-app), wat me een nog onwenselijker situatie lijkt.
27-07-2021, 09:33 door Bitje-scheef
Door majortom:
Door Anoniem: Wat ik wel positief vind, is dat je ook met een Apple computer kan inloggen op dit niveau als je identiteitskaart recent genoeg is. Dit is nieuw voor mij. Ik kan nu dus kiezen voor een Apple computer of een smartphone als ik geen Microsoft ID wil die bepaalt of ik in kan loggen op mijn eigen hardware of bij mijn clouddata kan.
Nee van een Apple ID ga je blij worden, en die is verplicht om apps uit de Apple Store te downloaden. En volgens mij heb je niet altijd een Microsoft account nodig om apps te installeren. En waarom via de stores? je kunt toch ook gewoon de applicatie op een andere manier beschikbaar stellen? Waarom overigens een applicatie, is een web based oplossing niet veel gemakkelijker en meer portable?

En waarom alleen inloggen met je ID kaart en niet ook met je paspoort? Ben ik nu straks verplicht om naast mijn paspoort ook een ID kaart aan te schaffen?

Overigens wil men volgens mij volledig over naar een app op een smartphone (zie https://www.security.nl/posting/701749/Security_NL+spreekt+met+Logius+over+beveiligingskeuzes+voor+DigiD-app), wat me een nog onwenselijker situatie lijkt.

Het alleen kunnen downloaden uit een "store" is geen garantie dat het vrij is van malware/spyware.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.