image

DigiD met tweefactorauthenticatie straks voor meer overheidsdiensten verplicht

dinsdag 22 november 2022, 15:46 door Redactie, 31 reacties

De overheid gaat burgers die alleen een gebruikersnaam en wachtwoord voor DigiD gebruiken per brief informeren dat dit straks niet meer voldoende is en er ook een tweede factor is vereist. Sinds 1 oktober is het niet meer mogelijk om bij MijnBelastingdienst alleen met gebruikersnaam en wachtwoord in te loggen en dat zal straks ook voor MijnOverheid, de Sociale Verzekeringsbank (SVB) en Belastingdienst Toeslagen gaan gelden.

"Ik realiseer mij dat deze verandering voor veel mensen lastig is. Daarom informeer ik gebruikers binnen Nederland de komende periode via een persoonlijke brief naast alle communicatieactiviteiten die al vanuit de uitvoeringsorganisaties lopen", zo laat staatssecretaris Van Huffelen van Digitalisering vandaag in een brief aan de Tweede Kamer weten. Volgens de staatssecretaris gebruiken zo'n 215.000 mensen nog alleen een gebruikersnaam en wachtwoord.

In de brief wordt aanbevolen om gebruik te maken van de DigiD-app. De DigiD-app is echter alleen te gebruiken wanneer burgers een account bij de Amerikaanse techreuzen Apple of Google hebben. DigiD-geburikers kunnen naast de app ook sms als tweede factor blijven gebruiken. Deze optie blijft "vooralsnog behouden", aldus Van Huffelen. Een grote groep mensen maakt daar namelijk nog gebruik van, voegt de staatssecretaris toe.

De verplichte tweefactorauthenticatie voor het inloggen met DigiD gaat vanaf begin volgend jaar gelden voor MijnOverheid. Begin mei 2023 zal de SVB overstappen. Op een later moment volgt ook Belastingdienst Toeslagen.

Reacties (31)
22-11-2022, 16:18 door spatieman
en zo komt de CCP staats app steeds dichterbij.
22-11-2022, 16:30 door Anoniem
De overheid gaat burgers die alleen een gebruikersnaam en wachtwoord voor DigiD gebruiken per brief informeren dat dit straks niet meer voldoende is en er ook een tweede factor is vereist.

En straks is DigiD tweestapsverificatie niet meer voldoende en krijg je een brief dat het noodzakelijk is om DigiD te koppelen aan je EU Digital Wallet.
22-11-2022, 16:31 door Anoniem
Zucht, als ze nou eerst eens TOTP toevoegen, de DigiD-app opensource maken en ook via de F-Droid store distribueren.
22-11-2022, 17:13 door Anoniem
Door Anoniem: Zucht, als ze nou eerst eens TOTP toevoegen, de DigiD-app opensource maken en ook via de F-Droid store distribueren.

Man man man .

Waarom denk je nou dat jouw voorstel de *beste* verbetering is als je van username/password _iets_ gaan verbeteren aan de veiligheid ?
Niet een bestaande tweede factor eens aanzetten, maar iets wat geen hond gebruikt, en nog wat politieke dingen voor een doelgroep van misschien 3 cijfers.

Echt grenzeloos oogkleppen van een nerd.

Maar als ik een malicious kloon zou willen maken van de DigiD app is een opensource versie en allemaal mensen die geleerd hebben dat ze iets vooral van een onofficieel repo moeten installeren precies wat ik wil . Scheelt een hoop werk . Top tip, gozer.
22-11-2022, 17:26 door Anoniem
Laat dat hele digidee maar gewoon zitten. Stuur maar een brief als je wat van me wilt en dan krijg je ook wel een brief terug. Weer ergens een database waar mijn telefoonnummer in zou moeten. Dag hoor.
22-11-2022, 17:36 door Anoniem
Mocht je overwegen om de DigiD-app te gaan gebruiken; klik dan eerst even op het volgende linkje https://reports.exodus-privacy.eu.org/en/reports/nl.rijksoverheid.digid.pub/latest.

@Van Huffelen wat vindt u daar nu eigenlijk van? U zou ook eens bij Logius moeten informeren hoe en waarom.
22-11-2022, 17:50 door Anoniem
Een paar maanden te laat, maar ik waardeer de persoonlijke brief wel als die hier in de bus valt.
22-11-2022, 18:04 door Anoniem
Je kan je digid account ook niet opzeggen, misschien moeten ze dat eens faciliteren. Kan je het ook niet onveilig gebruiken
22-11-2022, 18:18 door Anoniem
Door spatieman: en zo komt de CCP staats app steeds dichterbij.
Ik zou zeggen verhuis naar Rusland of China en kom daarna ons eens updaten over hoe goed we het hier hebben?

Door Anoniem: Zucht, als ze nou eerst eens TOTP toevoegen, de DigiD-app opensource maken en ook via de F-Droid store distribueren.
TOTP zou een security achter uitgang zijn, daarnaast veel te complex voor veel gebruikers.

OpenSource voegt niets toe.

F Droid, waarom?
22-11-2022, 18:54 door Anoniem
Gewoon als 2e factor gebruik maken van de chip in de id-kaart icm een apparaatje ala rabo-scanner of abn inlog geval.

Ik zou zeggen: Logius, ga eens in gesprek met die gastlen van de rabobank en abn amro.
22-11-2022, 18:57 door Anoniem
Iedereen zit te klagen over slechte beveilig en dat er een extra stap moet komen, helaas is DigiD voor de overheid ,dus moet het afgeschoten vanwege blinde haat.
22-11-2022, 19:09 door Anoniem
En straks is DigiD tweestapsverificatie niet meer voldoende en krijg je een brief dat het noodzakelijk is om DigiD te koppelen aan je EU Digital Wallet.
De oplossing is heel simpel, wij moeten gewoon DigiD opzeggen en dan alles weer via de post wat denk
je wat er dan gaat gebeuren. Maar ik ben het met je eens er zijn teveel mensen die niet nadenken en dan
moeten we graag of niet.

Als je leert kom je er achter hoe weinig je weet, als je niet leert denk je dat je alles weet.
22-11-2022, 19:30 door gradje71
Door spatieman: en zo komt de CCP staats app steeds dichterbij.

Waar dat virusje allemaal niet goed voor is geweest... Dit dus!
22-11-2022, 20:24 door Anoniem
Door Anoniem: Zucht, als ze nou eerst eens TOTP toevoegen, de DigiD-app opensource maken en ook via de F-Droid store distribueren.

Whahaha! Je vraagt nu iets wat logisch is. Foei! Niet meer doen hè! Je bent in Nederland.;)
22-11-2022, 20:27 door Anoniem
Long live the old Nokia with a prepaid number.
22-11-2022, 20:44 door Anoniem
Door Anoniem: Je kan je digid account ook niet opzeggen, misschien moeten ze dat eens faciliteren. Kan je het ook niet onveilig gebruiken
Misschien eens een keer inloggen bij DigiD, zie je vanzelf de optie hiervoor. Klagen s makkelijker.
23-11-2022, 08:50 door Anoniem
Deze optie blijft "vooralsnog behouden", aldus Van Huffelen.
Binnenkort geen aangifte meer hoeven doen dus...
23-11-2022, 09:01 door Anoniem
Door Anoniem: Mocht je overwegen om de DigiD-app te gaan gebruiken; klik dan eerst even op het volgende linkje https://reports.exodus-privacy.eu.org/en/reports/nl.rijksoverheid.digid.pub/latest.

@Van Huffelen wat vindt u daar nu eigenlijk van? U zou ook eens bij Logius moeten informeren hoe en waarom.

Misschien zou u eerst even moeten kijken naar het versie-nummer. Inmiddels zit de DigiD-app op versie 6.5.2
23-11-2022, 10:29 door majortom
Door Anoniem:
Door Anoniem: Mocht je overwegen om de DigiD-app te gaan gebruiken; klik dan eerst even op het volgende linkje https://reports.exodus-privacy.eu.org/en/reports/nl.rijksoverheid.digid.pub/latest.

@Van Huffelen wat vindt u daar nu eigenlijk van? U zou ook eens bij Logius moeten informeren hoe en waarom.

Misschien zou u eerst even moeten kijken naar het versie-nummer. Inmiddels zit de DigiD-app op versie 6.5.2
Wordt er niet beter op: https://reports.exodus-privacy.eu.org/en/reports/313271/
23-11-2022, 14:14 door Anoniem
Door Anoniem: Zucht, als ze nou eerst eens TOTP toevoegen, de DigiD-app opensource maken en ook via de F-Droid store distribueren.

F-droid is ontzettend onveilig dus hopelijk doen ze dat niet. F-droid staat het niet toe om apps te ondertekenen met eigen certificaat wat er dus op neer komt dat f-droid alles kan aanpassen. Lijkt me geen goede keuze voor zo'n belangrijke app.

De digi-d app wordt overigens open source daar is men mee bezig. Dan kan je dus zelf je onveilige clone in de fdroid store zetten. Of je dat moet gebruiken: NEE
23-11-2022, 14:15 door Anoniem
Door Anoniem:
Door Anoniem: Zucht, als ze nou eerst eens TOTP toevoegen, de DigiD-app opensource maken en ook via de F-Droid store distribueren.

Man man man .

Waarom denk je nou dat jouw voorstel de *beste* verbetering is als je van username/password _iets_ gaan verbeteren aan de veiligheid ?
Niet een bestaande tweede factor eens aanzetten, maar iets wat geen hond gebruikt, en nog wat politieke dingen voor een doelgroep van misschien 3 cijfers.

Echt grenzeloos oogkleppen van een nerd.

Maar als ik een malicious kloon zou willen maken van de DigiD app is een opensource versie en allemaal mensen die geleerd hebben dat ze iets vooral van een onofficieel repo moeten installeren precies wat ik wil . Scheelt een hoop werk . Top tip, gozer.

Dit is ook weer grote onzin. Voor een malafide app heb je natuurlijk helemaal de source code niet nodig.
23-11-2022, 14:16 door Anoniem
Door Anoniem: Long live the old Nokia with a prepaid number.

Ja lekker onveilig en we kunnen altijd zien waar je bent!
23-11-2022, 15:22 door johanw
Door Anoniem:
De digi-d app wordt overigens open source daar is men mee bezig. Dan kan je dus zelf je onveilige clone in de fdroid store zetten. Of je dat moet gebruiken: NEE

Dat zou tijd worden, momenteel is de app voor mij onbruikbaar omdat de camera focus niet goed gedaan wordt en hij de QR codes niet herkent (andere apps zoals die van mijn bank hebben daar nooit problemen mee). Dan kan ik het tenminste zelf fixen.
23-11-2022, 15:35 door Anoniem
Door Anoniem: F-droid is ontzettend onveilig dus hopelijk doen ze dat niet. F-droid staat het niet toe om apps te ondertekenen met eigen certificaat wat er dus op neer komt dat f-droid alles kan aanpassen. Lijkt me geen goede keuze voor zo'n belangrijke app.

De digi-d app wordt overigens open source daar is men mee bezig. Dan kan je dus zelf je onveilige clone in de fdroid store zetten. Of je dat moet gebruiken: NEE
Lees hierboven nog eens terug, dan had je kunnen concluderen dat de DigiD-app an sich niet veilig is.

F-Droid is daarnaast een fantastisch alternatief, heel veel applicaties die jouw privacy tenminste wel compleet respecteren.
23-11-2022, 16:16 door Anoniem

Door Anoniem: Zucht, als ze nou eerst eens TOTP toevoegen, de DigiD-app opensource maken en ook via de F-Droid store distribueren.
TOTP zou een security achter uitgang zijn, daarnaast veel te complex voor veel gebruikers.

OpenSource voegt niets toe.

Ga je nu werkelijk beweren dat SMS veiliger is dan TOTP...?! Bij TOTP inloggen worden er geen codes over een verbinding verzonden die onderschept kunnen worden en bij een oude offline tablet/smartphone (zie https://www.security.nl/posting/774953) als authenticator kunnen de codes ook niet door mallware van het toestel weggesluist worden. Bij SMS kunnen de codes (b.v. in het buitenland) zeer eenvoudig via SS7 afgevangen worden nog voor ze je telefoon bereiken, wat SMS-controle niet meer dan schijnveiligheid maakt.

Precies... dus TOTP zou SMS, op 'beveiligingsniveau midden', kunnen vervangen...

En er is er niets complex aan, bijna iedereen geruikt het al om te internet bankieren: hoe moeilijk kan het overtypen van een code zijn...? Bovendien is het ook vele malen betrouwbaarder omdat het ook werkt zonder actieve verbinding; dus inloggen werkt zelfs als je mobiele provider plat ligt, bijvoorbeeld door een cyberaanval.

En het spaart de samenleving geld omdat men geen enorme hoeveelheid SMS berichten meer hoeft in te kopen.

Voor de kleine groep die niet snapt hoe je een getal overtikt kun je de (opensource) app gebruiken. Toegevoegde waarde van open source is dat je het vertrouwen in de app kan vergroten omdat je niet een blackbox op je telefoon installeert maar er controle mogelijk is op eventuele ongeweste functionaliteiten. En het is gemakkelijker om verbetervoorstellen te doen waar iedereen weer profijt van heeft. En je hebt de optie van forks, waardoor je app geen achilleshiel meer is voor exploits; je bank kan dan ook DigiD inloggen in zijn app gaan ondersteunen waarbij je b.v. op een bepaald nivau met je bankpas kan inloggen ipv met je ID kaart.
23-11-2022, 16:23 door Anoniem
Door Anoniem:
Door Anoniem: Long live the old Nokia with a prepaid number.

Ja lekker onveilig en we kunnen altijd zien waar je bent!
Je kent duidelijk de oude Nokia niet!
23-11-2022, 20:34 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Long live the old Nokia with a prepaid number.

Ja lekker onveilig en we kunnen altijd zien waar je bent!
Je kent duidelijk de oude Nokia niet!
ELKE telefoon die zich meldt op t GSM/ LTE netwerk geeft daar mee z'n positie aan.. Niet GPS positie van 10 m naukeurig maar een radio peiling van een meter of 10 nauwkeurig.

Bij veel ijzerwerk: kranen, gebouwen en zo kan het wat tegenvallen.
GPSIs niet zo relevant.
Btw GPS is een passief systeem dat niets uitzend vanaf de telefoon, het maakt net zoals de radiomasten een peiling op een paar peilzenders op satelieten.
Waarvan de plaats bekend is.
24-11-2022, 11:05 door Anoniem
Door Anoniem: Mocht je overwegen om de DigiD-app te gaan gebruiken; klik dan eerst even op het volgende linkje https://reports.exodus-privacy.eu.org/en/reports/nl.rijksoverheid.digid.pub/latest.

@Van Huffelen wat vindt u daar nu eigenlijk van? U zou ook eens bij Logius moeten informeren hoe en waarom.

Hier zijn zelfs al kamervragen over geweest:
https://www.tweedekamer.nl/kamerstukken/kamervragen/detail?id=2022Z09543&did=2022D30671

Relevant citaat:
Het is juist dat de app trackers van respectievelijk Microsoft en Google bevat. Dit is noodzakelijk voor de (technische) ondersteunings- en beheerfunctionaliteit van de applicatie. De twee Microsoft trackers zorgen er voor dat informatie bij het ontwikkelteam van DigiD terecht komt als de applicatie niet stabiel werkt of crasht. Deze gegevens worden niet naar Microsoft gezonden, maar alleen naar het ontwikkelplatform van DigiD. Het betreft geen persoonlijke gegevens en de trackers hebben ook niet als doel om het gedrag van de gebruiker te volgen.

De tracker van Google is nodig voor technische ondersteuning van de push-notificatiefunctionaliteit in Android. Een push-notificatie kan vanuit een applicatie een bericht sturen naar de gebruiker dat er een bericht klaar staat in de applicatie. Bij DigiD gebeurt dit alleen in uitzonderlijke gevallen en nooit met persoonsgegevens. Voor het versturen van een push-notificatie wordt expliciet toestemming gevraagd aan de gebruiker om deze functionaliteit al dan niet toe te staan.
24-11-2022, 12:41 door Anoniem
En er gebeurt echt alleen, wat wij zeggen dat er gebeurt.
We hebben daar onze wetenschappelijke bronnen voor,
die steeds zullen beweren, wat ook wij beweren.

Ga daarom maar rustig slapen.
Als u uitgeslapen was geweest, deden wij dit niet, zeker niet op deze manier.
Daar kregen we dan niet eens de kans voor.

En zo gaat het dus steeds weer.
Ook met DigiD mer 2FA.
We hebben meestal het nakijken.

#sockproxy
27-11-2022, 10:45 door Anoniem
Door Anoniem:

Door Anoniem: Zucht, als ze nou eerst eens TOTP toevoegen, de DigiD-app opensource maken en ook via de F-Droid store distribueren.
TOTP zou een security achter uitgang zijn, daarnaast veel te complex voor veel gebruikers.

OpenSource voegt niets toe.

Ga je nu werkelijk beweren dat SMS veiliger is dan TOTP...?! Bij TOTP inloggen worden er geen codes over een verbinding verzonden die onderschept kunnen worden en bij een oude offline tablet/smartphone (zie https://www.security.nl/posting/774953) als authenticator kunnen de codes ook niet door mallware van het toestel weggesluist worden. Bij SMS kunnen de codes (b.v. in het buitenland) zeer eenvoudig via SS7 afgevangen worden nog voor ze je telefoon bereiken, wat SMS-controle niet meer dan schijnveiligheid maakt.

Precies... dus TOTP zou SMS, op 'beveiligingsniveau midden', kunnen vervangen...

En er is er niets complex aan, bijna iedereen geruikt het al om te internet bankieren: hoe moeilijk kan het overtypen van een code zijn...? Bovendien is het ook vele malen betrouwbaarder omdat het ook werkt zonder actieve verbinding; dus inloggen werkt zelfs als je mobiele provider plat ligt, bijvoorbeeld door een cyberaanval.

En het spaart de samenleving geld omdat men geen enorme hoeveelheid SMS berichten meer hoeft in te kopen.

Voor de kleine groep die niet snapt hoe je een getal overtikt kun je de (opensource) app gebruiken. Toegevoegde waarde van open source is dat je het vertrouwen in de app kan vergroten omdat je niet een blackbox op je telefoon installeert maar er controle mogelijk is op eventuele ongeweste functionaliteiten. En het is gemakkelijker om verbetervoorstellen te doen waar iedereen weer profijt van heeft. En je hebt de optie van forks, waardoor je app geen achilleshiel meer is voor exploits; je bank kan dan ook DigiD inloggen in zijn app gaan ondersteunen waarbij je b.v. op een bepaald nivau met je bankpas kan inloggen ipv met je ID kaart.

EXACT !
27-11-2022, 10:49 door Anoniem
Door Anoniem:
Door Anoniem: Mocht je overwegen om de DigiD-app te gaan gebruiken; klik dan eerst even op het volgende linkje https://reports.exodus-privacy.eu.org/en/reports/nl.rijksoverheid.digid.pub/latest.

@Van Huffelen wat vindt u daar nu eigenlijk van? U zou ook eens bij Logius moeten informeren hoe en waarom.

Hier zijn zelfs al kamervragen over geweest:
https://www.tweedekamer.nl/kamerstukken/kamervragen/detail?id=2022Z09543&did=2022D30671

Relevant citaat:
Het is juist dat de app trackers van respectievelijk Microsoft en Google bevat. Dit is noodzakelijk voor de (technische) ondersteunings- en beheerfunctionaliteit van de applicatie. De twee Microsoft trackers zorgen er voor dat informatie bij het ontwikkelteam van DigiD terecht komt als de applicatie niet stabiel werkt of crasht. Deze gegevens worden niet naar Microsoft gezonden, maar alleen naar het ontwikkelplatform van DigiD. Het betreft geen persoonlijke gegevens en de trackers hebben ook niet als doel om het gedrag van de gebruiker te volgen.

De tracker van Google is nodig voor technische ondersteuning van de push-notificatiefunctionaliteit in Android. Een push-notificatie kan vanuit een applicatie een bericht sturen naar de gebruiker dat er een bericht klaar staat in de applicatie. Bij DigiD gebeurt dit alleen in uitzonderlijke gevallen en nooit met persoonsgegevens. Voor het versturen van een push-notificatie wordt expliciet toestemming gevraagd aan de gebruiker om deze functionaliteit al dan niet toe te staan.

en met een totp hoef je niets of niemand te apperdeflap-app-tracken... nee het is me volledig duidelijk hoe de wind waait!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.