image

Van Huffelen: sms-controle voor inloggen DigiD blijft voorlopig bestaan

dinsdag 12 juli 2022, 15:21 door Redactie, 21 reacties

De sms-controle voor het inloggen bij DigiD blijft voorlopig bestaan. Vorig jaar meldde toenmalig staatssecretaris Knops van Binnenlandse Zaken dat de overheid de sms-controle op termijn zou uitfaseren. Inloggen zou dan alleen nog kunnen via de DigiD-app of een "vergelijkbare private oplossing", zo bleek uit een Kamerbrief waar Security.NL vorig jaar maart over berichtte.

Mede naar aanleiding van die berichtgeving stelde SP-Kamerlid Leijten onlangs vragen aan staatssecretaris Van Huffelen van Digitalisering. De bewindsvrouw laat weten dat de sms-controle voorlopig behouden blijft. "Belangrijk is echter wel dat er oog blijft voor een continue verbetering van de beveiliging en de veiligheidseisen. Hierbij moet onder andere voldaan worden aan de veiligheidseisen die gesteld zijn binnen Europa", voegt ze toe.

DigiD kent vier niveaus waarop een gebruiker zich kan authenticeren. Bij DigiD Basis loggen gebruikers in via alleen een gebruikersnaam en wachtwoord. Bij het niveau DigiD Midden zijn er twee manieren om in te loggen. De eerste manier is inloggen via gebruikersnaam en wachtwoord gecombineerd met een via sms verstuurde code. Bij de tweede manier identificeert de gebruiker zich via de DigiD-app op zijn smartphone. De DigiD-app is echter alleen verkrijgbaar in de Apple App Store en Google Play Store.

Volgens Van Huffelen zijn DigiD-gebruikers niet verplicht om de app te gebruiken, aangezien sms het huidige alternatief is. "In de verdere ontwikkeling van DigiD speelt naast veiligheid ook inclusiviteit een belangrijke rol", zo laat de staatssecretaris verder weten. Later dit jaar komt ze met meer informatie over de veiligheidsniveaus en inclusie van DigiD.

Reacties (21)
12-07-2022, 16:09 door Anoniem
Gelukkig heb alleen een domme telefoon met SMS, een smartphone met Abbo kan ik niet betalen.
12-07-2022, 16:26 door Erik van Straten
En binnenkort hebben de telco's, op verzoek van diezelfde overheid, systemen geïnstalleerd waarmee (ook foute) medewerkers die DigiD 2FA codes kunnen uitlezen: https://www.security.nl/posting/760520/Kabinet+kijkt+naar+monitoren+inhoud+sms%27jes+en+verbod+op+anonieme+simkaarten.

Zo doordacht allemaal... (not)
12-07-2022, 18:20 door Anoniem
Door Erik van Straten: En binnenkort hebben de telco's, op verzoek van diezelfde overheid, systemen geïnstalleerd waarmee (ook foute) medewerkers die DigiD 2FA codes kunnen uitlezen: https://www.security.nl/posting/760520/Kabinet+kijkt+naar+monitoren+inhoud+sms%27jes+en+verbod+op+anonieme+simkaarten.

Zo doordacht allemaal... (not)
Of je accepteert, dat je niet zo belangrijk bent als je denkt te zijn en dat men NIET geïnteresseerd in jouw telefoon verkeer.
12-07-2022, 18:44 door Briolet
Inloggen zou dan alleen nog kunnen via de DigiD-app of een "vergelijkbare private oplossing",

Die app is ook niet foolproof. Ik heb vanochtend bij mijn gemeente moeten inloggen met DigiD. De app herkende de QR code niet als een QR code. Ik heb met twee browsers geprobeerd in te loggen en de QR code te genereren. Uiteindelijk ben ik op de ouderwetse manier met wachtwoord ingelogd.

Het is dus wel prettig om niet geheel afhankelijk te worden van één systeem.
12-07-2022, 20:07 door Anoniem
Door Anoniem: Gelukkig heb alleen een domme telefoon met SMS, een smartphone met Abbo kan ik niet betalen.
En daarmee is bewezen: geld maakt niet gelukkig.
(maar het kan wel eens gemakkelijk zijn dat je het hebt)
12-07-2022, 21:46 door Anoniem
Nergens voor nodig dat er weer een organisatie mijn telefoon nummer heeft. Dus maar weer een losse SIM. En elk half jaar een nieuwe aanvragen. Nou ja, wat men wil. Wel weer meer werk.
12-07-2022, 22:53 door Anoniem
Ze kunnen beter extra veiligheidseisen stellen aan telefoonproviders, zodat het veiligheidsniveau van SMSjes omhoog gaat. Zoals verplichte checks bij het aanvragen van een nieuwe simkaart bij een bestaand nummer. Dat is een stuk praktischer.
13-07-2022, 09:26 door _Martin_
Door Erik van Straten: En binnenkort hebben de telco's, op verzoek van diezelfde overheid, systemen geïnstalleerd waarmee (ook foute) medewerkers die DigiD 2FA codes kunnen uitlezen: https://www.security.nl/posting/760520/Kabinet+kijkt+naar+monitoren+inhoud+sms%27jes+en+verbod+op+anonieme+simkaarten.

Zo doordacht allemaal... (not)
Voor het inloggen heb je nodig:
- gebruikersnaam
- wachtwoord
- SMS-code

De foute medewerker zou nu mogelijk over de SMS-code kunnen beschikken. Toegegeven: dat is niet wenselijk, omdat daarmee een laagje van je autorisatie weg is. Volgens mij mist de foute medewerker dan nog steeds 2 van de 3 benodigde gegevens (gebruikersnaam en wachtwoord).
13-07-2022, 10:20 door Anoniem
SMS vervangen door TOTP, probleem opgelost:
- geen derde (private)partij meer nodig
- geen SMS berichten die onderscherpt worden
13-07-2022, 10:29 door Anoniem
Heel goed. DigiD app werkt namelijk niet goed op een smartphone zonder Playstore van Google erop. Heel raar een overheid app die niet met QR-code kan inloggen zonder Google? Is Google onze overheid? Dus ik moet sms gebruiken.
13-07-2022, 10:55 door majortom - Bijgewerkt: 13-07-2022, 10:57
Door Anoniem: SMS vervangen door TOTP, probleem opgelost:
- geen derde (private)partij meer nodig
- geen SMS berichten die onderscherpt worden
Alleen moet je dan fysieke TOTP devices gaan verspreiden onder de mensen zonder smartphone (of smartphone met afwijkend OS). Op dit moment heb je enkel een telefoon nodig (smartphone, dumb mobiele telefoon of vaste telefoon). En je kunt kiezen tussen code via SMS of gesproken code via telefoonverbinding.
13-07-2022, 11:04 door Anoniem
Door Anoniem: Ze kunnen beter extra veiligheidseisen stellen aan telefoonproviders, zodat het veiligheidsniveau van SMSjes omhoog gaat. Zoals verplichte checks bij het aanvragen van een nieuwe simkaart bij een bestaand nummer. Dat is een stuk praktischer.

Het veiligheids niveau van de huidige sms kan en gaat niet omhoog. Er zijn bijvoorbeeld te veel spoofing manieren. Dat krijg je niet meer dicht gezet.
13-07-2022, 11:50 door Anoniem
Door Anoniem:
Door Anoniem: Gelukkig heb alleen een domme telefoon met SMS, een smartphone met Abbo kan ik niet betalen.
En daarmee is bewezen: geld maakt niet gelukkig.
(maar het kan wel eens gemakkelijk zijn dat je het hebt)

Heb je de camera lens goed schoongemaakt?
13-07-2022, 13:35 door Erik van Straten
Door _Martin_:
Door Erik van Straten: En binnenkort hebben de telco's, op verzoek van diezelfde overheid, systemen geïnstalleerd waarmee (ook foute) medewerkers die DigiD 2FA codes kunnen uitlezen: https://www.security.nl/posting/760520/Kabinet+kijkt+naar+monitoren+inhoud+sms%27jes+en+verbod+op+anonieme+simkaarten.

Zo doordacht allemaal... (not)
Voor het inloggen heb je nodig:
- gebruikersnaam
- wachtwoord
- SMS-code

De foute medewerker zou nu mogelijk over de SMS-code kunnen beschikken. Toegegeven: dat is niet wenselijk, omdat daarmee een laagje van je autorisatie weg is. Volgens mij mist de foute medewerker dan nog steeds 2 van de 3 benodigde gegevens (gebruikersnaam en wachtwoord).
Je suggereert dat het 3FA is: dat is m.i. onjuist, want de gebruikersnaam wordt niet verondersteld een "shared secret" te zijn; noch bij het aanmaken van het account, noch bij het inloggen (er verschijnen geen sterretjes als je deze intikt op DigiD.nl). Ook worden logon-ID's waarschijnlijk gelogd door DigiD.nl (voor fraudebestrijding en om aanvallen te detecteren).

Bovendien staan, als ik mij goed herinner, gebruikersnaam en wachtwoord in de brief die je van DigiD krijgt als je jouw account aanmaakt. Onder andere omdat DigiD-brieven met gebruikersnaam en wachtwoord uit brievenbussen werden gehengeld en/of DigiD logingegevens werden verkocht, is (dynamische) 2FA ingevoerd.

Daarnaast zijn gebruikersnaam en wachtwoord eenvoudig te achterhalen met een phishing-aanval, of via een telefoontje met social engineering. Een actuele 2FA code via SMS (of een TOTP code uit een app als Google- of Microsoft Authenticator) kan ook door een phisher worden achterhaald, maar dan moet de aanvaller er wel snel bij zijn.

Ondanks dat de meeste vormen van 2FA veel minder veilig zijn dan de meeste "security-experts" ons willen doen geloven (zie onder), helpen ze wel iets omdat sommige aanvallen ermee worden voorkomen. Gemiddeld genomen is eenvoudige 2FA dus wel wat veiliger dan 1FA.

Bizar vind ik het dan als sommigen dan beweren dat verlies van 1 factor niet erg is "want je hebt die andere nog". Terwijl het risico bestaat dat mensen nog stommere wachtwoorden (her-) gebruiken omdat ze denken dat die andere factor hen wel zal beschermen.

Het probleem van eenvoudige 2FA
Ik waarschuw al heel lang dat eenvoudige 2FA door phishingtools zoals Modlishka, Muraena, Evilgenx2, CredSniper en dergelijke omzeild kan worden. Bovendien geeft 2FA vaak een hoop gedonder als de accu van je telefoon leeg is, en bij TOTP als je geen back-up hebt en je telefoon defect is of een factory-reset nodig heeft. Of, bij SMS 2FA, als je een ander telefoonnummer neemt en niet weet waar je jouw oude nummer hebt opgegeven voor 2FA. De praktijk is dan ook meestal dat een account reset via een 1FA methode plaatsvindt, nog een nagel in de doodskist dus.

Microsoft riep vaak dat 2FA maar liefst 99,9% van alle phishing-aanvallen zou voorkomen (https://www.microsoft.com/security/blog/2019/08/20/one-simple-action-you-can-take-to-prevent-99-9-percent-of-account-attacks/) wat eindeloos door de media en "security-experts" is overgenomen. Maar Microsoft heeft nu ook zelf "ontdekt" dat dit onzin was/is: https://www.bleepingcomputer.com/news/security/microsoft-phishing-bypassed-mfa-in-attacks-against-10-000-orgs/.

Door Anoniem: SMS vervangen door TOTP, probleem opgelost:
- geen derde (private)partij meer nodig
- geen SMS berichten die onderscherpt worden
Probleem niet opgelost, zie wat ik boven jouw (door mij aangehaalde) tekst schrijf.

Ergo: de meeste vormen van 2FA helpen in een deel van de aanvalsscenario's, maar zijn te eenvoudig te omzeilen: iets wat cybercriminelen nooit zullen nalaten.

PassKeys beloven een verbetering, maar sluiten ook niet alle risico's uit en introduceren nieuwe (die risico's ben ik aan het inventariseren; als daar voldoende belangstelling voor bestaat zal ik die publiceren).
13-07-2022, 13:49 door Anoniem
Goed dat SMS voorlopig blijft.
Zolang Google en Microsoft je gedrag in de DigiDapp mogen analyseren lijkt me dat noodzakelijk:
https://reports.exodus-privacy.eu.org/en/reports/nl.rijksoverheid.digid.pub/latest/

Hoogtijd dat DigiD opensource wordt en in de FDroid store beschikbaar komt.
13-07-2022, 16:42 door Anoniem
Op de onderstaande beweringen:

Alleen moet je dan fysieke TOTP devices gaan verspreiden onder de mensen zonder smartphone (of smartphone met afwijkend OS). Op dit moment heb je enkel een telefoon nodig (smartphone, dumb mobiele telefoon of vaste telefoon). En je kunt kiezen tussen code via SMS of gesproken code via telefoonverbinding.
Alleen moet je dan fysieke TOTP devices gaan verspreiden onder de mensen zonder smartphone (of smartphone met afwijkend OS). Op dit moment heb je enkel een telefoon nodig (smartphone, dumb mobiele telefoon of vaste telefoon). En je kunt kiezen tussen code via SMS of gesproken code via telefoonverbinding.

Je hoeft geen devices te gaan verspreiden want TOTP codes kun je op zowat elk device dat een besturingsysteem heeft, genereren. Er is (open source) software voor Windows, iOS, Linux/Andriod, macOS, Symbian en zelf MS-DOS. Maar een optioneel hardware token van een paar Euro zou wel de veiligheid fors ten goede komen. Desnoods vraag je een eigen bijdrage, dat is nog altijd veel slimmer dan aan een "vergelijkbare private oplossing" vastgeroest raken.

TOTP werkt ook offline, en dat heeft 2 belangrijke voordelen: codes worden niet onderschept op weg naar de ontvanger en de gehele dienstverlening is niet afhakelijke van een provider die op dat moment maar (voldoende) ontvangst van die codes moet garanderen. Een TOTP generator in welke vorm dan ook kan men gebruiken zonder dat deze een verbinding naar de buitenwereld heeft, en dat maakt deze dus ook onmogelijk om op afstand te hacken. Dus veel veiliger dan SMS.



Ik waarschuw al heel lang dat eenvoudige 2FA door phishingtools zoals Modlishka, Muraena, Evilgenx2, CredSniper en dergelijke omzeild kan worden. Bovendien geeft 2FA vaak een hoop gedonder als de accu van je telefoon leeg is, en bij TOTP als je geen back-up hebt en je telefoon defect is of een factory-reset nodig heeft. Of, bij SMS 2FA, als je een ander telefoonnummer neemt en niet weet waar je jouw oude nummer hebt opgegeven voor 2FA. De praktijk is dan ook meestal dat een account reset via een 1FA methode plaatsvindt, nog een nagel in de doodskist dus.

Als jij een afdruk van de QR-code in een kluis bewaard hoeft je deze maar een keer te verstrekken. Als backup kun je dan de QR-code op een andere telefoon scannen en direct weer inloggen. Als je defecte toestel dan vervangen is, download en print je een nieuwe key. Of je regel het aanvragen van een nieuwe TOTP key op dezelfde manier als dat nu gebeurd bij het aanvragen van een nieuw DigiD.
13-07-2022, 22:55 door Erik van Straten
Door Anoniem: Als jij een afdruk van de QR-code in een kluis bewaard hoeft je deze maar een keer te verstrekken.
Ik bewaar screenshots van QR-codes in een KeePass database (waar ik back-ups van maak op media die ik off-line bewaar), maar daar ben ik een uitzondering mee. Teveel mensen komen erachter, nadat hun smartphone in de plee is gevallen o.i.d., dat zij geen goede back-up hebben van o.a. hun TOTP-secrets, waardoor elke clouddienst/website met accounts een zwak "access reset" systeem moet hebben om mensen weer toegang te kunnen geven tot hun accounts. Een zwak systeem waar ook kwaadwillenden misbruik van kunnen maken.

Maar zoals ik al zo vaak schreef (en eindelijk Microsoft ook toegeeft, zie https://www.security.nl/posting/760705/Microsoft%3A+tienduizend+organisaties+doelwit+van+phishingaanval+met+proxyserver): TOTP is kansloos bij phishers die gebruikmaken van tools zoals Modlishka, Muraena, Evilgenx2 of CredSniper.

Ook andere aanvallen zijn denkbaar bij TOTP: tenzij er een extra beveiligingshandeling nodig is om op een unlocked smartphone jouw TOTP app te openen, kan iemand aan wij jij jouw smartphone uitleent (of als je deze unlocked -of met flutbeveiliging- bijvoorbeeld op jouw bureau laat liggen en je jouw werkplek tijdelijk verlaat), die ander de klok vooruit zetten naar een specifiek toekomstig tijdstip X naar keuze, de bijbehorende TOTP code voor de gewenste accounts noteren en de klok weer automatisch laten synchroniseren (om te voorkómen dat jij argwaan krijgt). Op toekomstig tijdstip X weet die persoon dus jouw TOTP code(s), en als hij of zij ook jouw e-mail-adres en wachtwoord kent, als jou inloggen.

Een ander risico is het als meerdere mensen menen op 1 account te moeten kunnen inloggen, en naast user-ID en wachtwoord ook de TOTP-code uitwisselen (denk bijv. aan een persoon die de organisatie in onmin verlaat). Ook neemt de kans op lekken toe (gecompromitteerde of in verkeerde handen gevallen smartphone). En "meerdere gebruikers op 1 account" is geen "theoretisch" scenario, zie bijvoorbeeld https://tweakers.net/nieuws/198680/twitter-en-youtube-accounts-van-britse-leger-verspreidden-cryptoscam-na-hacks.html?showReaction=17684044#r_17684044.

TOTP is een iets minder onveilige MFA-oplossing dan SMS, maar te veel gehyped doch halfbakken (o.a. omdat TOTP Man-in-the-Middle aanvallen niet voorkómt, wat trouwens ook telefonisch kan). Waarbij elke MFA-oplossing ook het risico met zich meebrengt dat mensen slechtere/hergebruikte wachtwoorden kiezen. Ten slotte is het niet zorgeloos: TOTP geeft gedoe als mensen (tijdelijk of permanent) niet bij hun TOTP codes kunnen. Het maakt de veelgemaakte belofte voor hackersafe accounts simpelweg niet waar.
14-07-2022, 09:20 door Anoniem
"In de verdere ontwikkeling van DigiD speelt naast veiligheid ook inclusiviteit een belangrijke rol"

Ah gelukkig, dus mocht door veiligheid sms niet meer voldoende zijn en de 'app' (of iets anders gedigidrammed) de nieuwe/opvolgende veilige standaard word, dan wordt iedereen voorzien van hetgeen wat ze nodig hebben om de gedigidramde communicatie met de digidrammende-overheid mogelijk te blijven behouden?

Zien is geloven mvr. de Staatssecretaris Van Huffelen.

praatjes vullen geen gaatjes, zoals we gemerkt hebben met bv. de toeslagen-hellgate-affaire, waar d'r nu nog steeds 'nieuwe' lijken uit de kast blijven vallen en de gaatjes na al Jouw praatjes nog steeds niet gevuld zijn.
15-07-2022, 09:12 door Anoniem
Door Anoniem: Heel goed. DigiD app werkt namelijk niet goed op een smartphone zonder Playstore van Google erop..

Een Murena heeft in de Lounge een anonieme Google account, zonder trackers. Via die anonieme Google account kun je de DigiD, CoronaCheck en bank app kosteloos verkrijgen. Eventuele trackers in die apps kun je onder /e/OS blokkeren,
15-07-2022, 11:14 door _Martin_
Door Erik van Straten:Bovendien staan, als ik mij goed herinner, gebruikersnaam en wachtwoord in de brief die je van DigiD krijgt als je jouw account aanmaakt. Onder andere omdat DigiD-brieven met gebruikersnaam en wachtwoord uit brievenbussen werden gehengeld en/of DigiD logingegevens werden verkocht, is (dynamische) 2FA ingevoerd.
In mijn geval heb ik destijds voor zowel de gebruikersnaam als voor het wachtwoord een aparte brief ontvangen, waarbij deze beiden naar wens konden worden aangepast (en wat ik dan ook heb gedaan).

Door Erik van Straten:Daarnaast zijn gebruikersnaam en wachtwoord eenvoudig te achterhalen met een phishing-aanval, of via een telefoontje met social engineering. Een actuele 2FA code via SMS (of een TOTP code uit een app als Google- of Microsoft Authenticator) kan ook door een phisher worden achterhaald, maar dan moet de aanvaller er wel snel bij zijn.
Dat is dan wel een hele actieve foute medewerker die naast het eventueel uitlezen van de SMS-code (wat gezien het artikel nog niet kan) ook de andere gegevens nog "eventjes" achterhaalt. Los daarvan is het af en toe verbazend wat mensen zomaar eventjes aan wildvreemden doorgeven.

Door Erik van Straten:Bizar vind ik het dan als sommigen dan beweren dat verlies van 1 factor niet erg is "want je hebt die andere nog". Terwijl het risico bestaat dat mensen nog stommere wachtwoorden (her-) gebruiken omdat ze denken dat die andere factor hen wel zal beschermen.
Weet niet of je hiermee specifiek op mij doelt, maar ik geef aan dat het niet wenselijk is dat iemand de SMS-code weet. Persoonlijk wens is de persoon die mijn DigiD wil overnemen veel succes, want dat zullen ze nodig hebben :-)
16-07-2022, 16:42 door Anoniem
Als er iets onveilig is dan zijn het SMS-en of de Google opvolger daarvan. Die protocollen mag men niet langer als veilig beschouwen. Die optie moet er gewoon uit! Gebruik in godsnaam dit ook niet voor 2FA.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.