"Burgers worden overigens niet verplicht om een door de overheid uitgegeven wallet te nemen."
Nu al heb je diensten die door middel van DigiD bij de overheid goedkoper zijn. Het is niet verplicht maar...
Zo zal dit straks met de wallet ook gaan, in maart kun je een signaal afgeven.

"Die 5G chip die komt er wel, linksom of rechtsom! " - wappie


Maar even serieus.. de drang naar een App samenleving neemt toe. Waarom toch? Zelfs mijn ING bankpas app faalt wel eens, en laatst was opeens een probleem met de accu. Of Android heeft een deadlock in de kernel en ik krijg hem niet meer uitgezet. Daar sta je dan met je boodschappenwagen vol spullen. "ja ik ben geen papier... sterker nog ik ben goed voor 2 miljoen euro maar ja ik ben eenmaal een technocraat" maar toch kon ik niet afrekenen.

Mijn pasje had ik niet bij me want waarom zou ik 20+ pasjes waaronder 4 bank kaarten en 5 creditcards moeten meeslepen als bijna alles gewoon in de telefoon kan?

Stond ik me ook nog te ergeren aan de mevrouw voor me die een buideltje met muntjes had die ze moesten natellen, wat zo lang duurde.

Ik stond echt voor joker. Ik was een clown.

En toch ben ik intelligent.

Ik snap het niet meer.

Het is alsof ik in de hel woon.

Twee miljoen euro in assets en ik kon bij de appie kijken ze me aan alsof ik een steuntrekker ben. Sta je dan.

Cash geld doe ik al lang niet meer. Ik herinner me goed dat ik nog met 500 en 200 euro biljetten kon afrekenen. Nu scannen ze zelfs 20 euro biljetten op echtheid en je gelooft het niet, soms ook 5 euro. Wat een maatschappij zeg.

Dus aan cash doe ik niet. Ik hoop snel dat er een betrouwbaar systeem komt dat met minder miljoenen regels code werkt en zonder pasjes. Ik zie wel iets in een RFID chip die je met een spuit in je lichaam kan inbrengen en die vervolgens met de telefoon kan programmeren. Bijvoorbeeld om de auto open te maken of om dingen af te rekenen. Geen pasjes en geen multi point of failure.

Dus die dag kon ik niet eten. Met mijn 2 miljoen. Ik heb uit ergernis een diepvriespizza uit de voorraadkelder gehaald.

Dat is net zo slim als teruggaan naar een skimmable bankpas met magneetstrip of een "keyless entry" autosleutel (waar criminelen resp. rekeningen mee plunderen en, middels radiosignaalversterkers, auto's stelen - attackers in the middle dus).

Als jij jouw pols o.i.d. (met chip) bij een lezer houdt om te authenticeren, hoe weet je dan waar die lezer dat voor gebruikt? Vooral als die lezer (bijv. in jouw smartphone) jou op afstand laat authenticeren - hoe weet je dan zeker wie verifieert en met welk doel - en dat je niet om de tuin geleid wordt?

We moeten in meer gevallen gaan toegeven dat we niet alle "problemen" met techniek (zoals ICT en -vaak complexe- cryptografie) kunnen oplossen.

Aanvulling 23:48, uit https://tweakers.net/nieuws/204064/abn-amro-stopt-vanaf-april-2023-met-contactloos-betalen-via-passieve-wearables.html?showReaction=18203048#r_18203048:

Indien we online authenticatie (op sites waar we nog geen account hebben, en zoiets als DigiD niet beschikbaar is) veilig en betrouwbaar zouden kunnen krijgen (waar heel veel voor zou moeten gebeuren, veel meer dan een smartphone app ontwikkelen), dan zou dat wel kunnen helpen in situaties zoals Brian Krebs deze week beschreef:

https://krebsonsecurity.com/2023/01/identity-thieves-bypassed-experian-security-to-view-credit-reports/

Wat een puinhoop.

Lekker dan. Ik heb hoe dan ook al nooit een telefoon bij me. Ik hoef niet zo nodig de hele dag bereikbaar te zijn, als het belangrijk is, dan bellen ze nog wel een keer.

Ik zou wel even de domeinen waarop de PGO's van deze organisaties aangeboden worden checken in plaats van de publieke websites...

Beste Erik,

Ik ben het met je eens dat authenicatie tools (DigID, IRMA) niet direct een probleem zijn, maar hebben we geen omgeving waar we het veilig kunnen gebruiken. Ik zie ook niet dat dit er komt. Zowel de (grote) tech bedrijven als de overheid draaien op data en elke beperking zal de kop worden ingedrukt.

Waar je je identificeerd en de controle hierop heb je al verschillende keren belicht (is TLS nu voor authenticatie of encryptie). Zelfs daat wordt niet eenduidig mee omgegaan.

Ik zie het internet hetzelfde als op straat, meestal gaat het goed, soms fout. Perfect zal het nooit worden, helaas...

Groet,
Ed

Bedoel je https://mijnpgo.nl/ of https://mijnpgo.app/?

De eerder door mij genoemde URL's zijn hun voordeuren. De eigenaren hiervan snappen niet dat veel mensen (als zij geen tikfouten maken) vitaalbank.nl, mijnpgo.org of eventueel mijnpgo.app intikken in de adresbalk van hun browser (zonder https:// ervoor, en niet alle browsers doen dat voor jou). Ook op verwijzende sites vind je veel te veel links zonder "https://" ervoor of botweg met "http://" ervoor.

Naast mijn eerdere kritiek (LE certs) ontdekte ik in no time: https://vitaalbank.nl/ ondersteunt geen HSTS en https://mijnpgo.app/ heeft een 1 maand geleden verlopen DV-certificaat. Het certificaat voor de inlogsite https://www.mijnpgo.app/ bevat geen aanvullende identificerende informatie van de organisatie achter "MijnPGO". Wel is dat certificaat tevens geldig voor "mijnpgo.app" en "achterhoek-iphr.demo.chbase.com" (?).

Dan kan https://app.vitaalbank.nl/ HSTS gebruiken en een EV-cert hebben, maar dat is te laat. Als mensen een phishingmail krijgen met "ga naar https://vitaaIbank.nl/" (of "https://mijnpgo.nl/", of "https://mijngpo.org") dan zullen er waarschijnlijk mensen zijn die daar intrappen. En als die sites bestaan en ook een LE DV-cert hebben, kan dat zonder zichtbare verschillen met de echte sites.

Beveiligen is ook rekeninghouden met menselijk gedrag, en dat mis ik hier. Geen HSTS is een blunder. Ook lijkt het erop dat vitaalbank.nl geen 2FA ondersteunt, wat zou moeten volgens https://www.digitalezorggids.nl/toelichting-pgo-privacy-kenmerken/. Hierdoor zet ik meteen grote vraagtekens bij de rest van hun security-aanpak.

Maar laatstgenoemde pagina zuigt ook, want als ik op de link klik achteraan "Wil je meer te weten komen over 2-factor authenticatie? Volg dan deze mini-cursus" kom ik uit op https://elearning.easygenerator.com/ef6b8813-65d2-4a96-afdd-61d71b9fd879/#/ - met noob-vragen over PGO's enMedMij, maar niets over 2FA.

Waarschijnlijk verdwijnen al deze problemen (zoals voorspeld [1]) vanzelf; de voorbeelden van Myownfiles en Patient1 [2] zullen, verwacht ik, door meer (alle?) PGO-aanbieders worden gevolgd [3]. Zo niet dan op het moment dat zo'n PGO niet meer gratis is voor hun klanten (want het huidige tarief is om te lokken, en zelfs daar trappen maar weinigen in [3]).

[1] https://tweakers.net/nieuws/141855/nederlandse-artsen-zijn-bezorgd-over-veiligheid-opvolger-epd.html

[2] https://zorgictzorgen.nl/faillissement-tweede-pgo-in-2018-laat-vendor-lock-in-zien/

[3] https://zorgictzorgen.nl/weggemoffeld-teleurstellend-aantal-pgo-gebruikers-simpel-te-achterhalen/

Helaas verwacht ik dat dezelfde idioten achter CoronaMelder en CoronaCheck ook hieruit geen lessen trekken en bijven digidrammen. Met deze "Wallet-apps" zal veel belastingeld worden verspild (PBLQ wordt er vast wel beter van) en mogelijk zullen veel burgers er slachtoffer van worden (identiteitsfraude, datalekken, citizen-control).

Een voordeel van DigiD is wel dat de website waar je uiteindelijk aanmeldt, aan strenge eisen moet voldoen. Bovendien mogen alleen websites van eigenaren die BSN's mogen verwerken je met DigiD laten inloggen. Dat maakt de mogelijkheden om op een nepwebsite met DigiD in te loggen een stuk kleiner dan met de "NL Wallet".

Als je met via een overheidswebsite zoals digid.nl op willekeurige sites zou kunnen inloggen, zou het risico op authenticeren op nepwebsites en/of gehackte websites een stuk groter zijn. Bovendien zou de overheid dan, ook van niet-BSN-verwerkende sites, kunnen weten wanneer jij daarop inlogt, en daar zal een deel van de bevolking bezwaren tegen hebben.

Betrouwbare "absolute" authenticatie
Betrouwbare authenticatie kost veel geld. Daar enorm op besparen door dat iedereen online (op afstand) met een app te laten doen klinkt handig, maar levert geen betrouwbare authenticatie op. Het probleem is dat kennelijk gezaghebbende personen liegen dat dit toch mogelijk is, en dat veel te veel mensen dat als waarheid aannemen.

Nb. het gaat hier om "absolute" authenticatie bij een partij waar je nog geen account hebt ("absoluut" in de zin van dat je bewijst dat jij degene bent die jouw identiteitsbewijs beschrijft). Dat is een andere vorm van authenticatie dan inloggen op bijvoorbeeld security.nl, waarop je met een "naam" en e-mailadres naar keuze een account kunt aanmaken, met als voorwaarde dat je toegang moet hebben tot dat e-mailadres.

Het belang van de identiteitsbewijzer
Bij "absolute" authenticatie speelt nog een probleem: hoewel het vaak in het belang van de "identiteitsbewijzer" is dat identiteitsfraude zo moeilijk mogelijk is, speelt dat niet altijd. Bijvoorbeed als je te jong bent voor drank of specifieke beelden, of als of je bijvoorbeeld ingezetene van een specifiek land of woonplaats moet zijn voor een bepaalde dienst (maar daar niet woont).

Liegen over jouw identiteit is identiteitsfraude en strafbaar. Uit https://www.omnius.nl/strafrecht-advocaat/fraude/identiteitsfraude/:
De vraag is of iedereen dit weet, of dat gedacht wordt dat je voordoen als 18+ met de ID van een ander net zo iets is als een filmkeuring negeren (met coronacheck werd ook stevig gefraudeerd; dat iets niet mag hoeft niets te zeggen over het aantal overschrijdingen - kijk maar eens naar 30km/u zones). Ook kan de pakkans (al dan niet terecht) als verwaarloosbaar worden ingeschat.

"Live" authenticatie
Natuurlijk zou het kunnen werken als een kroegbaas of casinoportier een door jouw "NL Wallet" gegenereerde QR-code scant en daarna op zijn smartphone jouw pasfoto te zien krijgt. Ogenschijnlijk klein probleem: ik wil helemaal niet dat mijn pasfoto op de smartphones van willekeurige controleurs kan worden getoond, want dat vergroot mijn risico op misbruik van die foto.

Dat probleem kan al een stuk groter worden als een crimineel het systeem zo kan manipuleren (bijv. door omkoping) dat zijn foto getoond wordt en deze gekoppeld blijkt aan mijn identificerende gegevens (NAW, BSN, geboortedatum en plaats, ID-nummer).

Toegegeven, ook met tastbare paspoorten wordt gefraudeerd. Een probleem van digitalisering is echter zeer vaak de grotere schaal waarop fraude mogelijk is; vaak hebben veel meer mensen toegang tot dergelijke systemen, mensen die "stuk voor stuk" betrouwbaar moeten zijn, geen (zwakke) wachtwoorden (her)gebruiken en niet in phishing trappen etcetera.

Online authenticatie en leeftijdverificatie
Maar hoe dit online betrouwbaar zou kunnen werken, ontgaat mij volledig. Onderin https://www.theregister.com/2023/01/08/in_brief_security/ kun je lezen:
Daar heb je dus een "LA Wallet" (https://lawallet.com/) voor nodig. Maar hoe gaat dit systeem voorkomen dat zoonlief van 15 de smartphone van pa, ma of oudere zus/broer "leent"? Of daar zelfs malware op installeert waardoor hij de authenticatieslag, als attacker in the middle, kan relayen via zijn eigen smartphone?

En wat voor ellende geeft dit als zo'n site (of grinder, second love, etc.) gehacked wordt en de gegevens op straat belanden, waarna mensen die er niets mee te maken hebben zo'n site zouden bezoeken?

Te hoog ingeschatte betrouwbaarheid
Als de betrouwbaarheid van authenticatie hoger wordt geadverteerd en ingeschat dan zij is, levert dat vroeger of later ellende op. En hoe kleiner het aantal slachtoffers, hoe ongeloofwaardiger dat jij het niet was.

Schijnveilige authenticatie
Voorbeeld: er zijn steeds meer online banken (bunq, knab, n26, ...) waar je met een paspoortscan en foto of filmpje een account kunt openen. In bijvoorbeeld https://www.knab.nl/veiligheid/identiteitsfraude kun je lezen wat jij moet doen om te voorkomen dat een ander een rekening opent op jouw naam en rood gaat staan.

Zo'n foto of filmpje zeggen, vooral met de opkomst van AI, elke dag minder. Uit https://support.n26.com/en-eu/account-and-personal-details/verifying-my-identity/why-isnt-my-photo-verification-working:
Hierdoor weten criminelen dat ze de EXIF-data wellicht zullen moeten aanpassen; wow wat een hindernis.

We weten dat dit waardeloze authenticatie is. Er worden paspoortscans verhandeld op internet (bijvoorbeeld buitgemaakt direct voorafgaand aan een ransomwareaanval op gemeentes of een hack van de personeelsadministratie van jouw werkgever) en (manipuleerbare) foto's en filmpjes staan er genoeg op internet. Hopelijk is het niet heel moeilijk om een rechter ervan te overtuigen dat niet jij maar de bank voor dergelijke schade op gaat draaien. Ik vrees en vermoed dat banken tot de lobbyisten horen die ID-Wallets een goed idee vinden.

Authenticatie met Wallet-app
Dan nu de situatie dat jij een NL-Wallet hebt en cybercriminelen, gebruikmakend van die NL-Wallet - zonder dat jij dit merkt, een rekening op jouw naam openen en zo rood mogelijk gaan staan. Wiens schuld (risico) is dat dan? En welke bevolkingsgroep(en) lopen de grootste risico's hierop?

Ik zie dat anders. Op straat zie ik de omgeving en wie er bij in mij buurt (kunnen) komen. Louche uitziende zaken kan ik voorbij lopen. En de slager (die mij herkent) hoeft niet te weten hoe ik heet en waar ik woon, en als hij gegevens van mij zou achterhalen via pinbetalingen, schat ik de kans dat hij daar misbruik van gaat maken in als zeer klein; hij heeft een reputatie hoog te houden.

Op internet heb ik meestal geen idee in welk land een server staat, wie daar allemaal bij kunnen en welke derde partijen er allemaal meekijken, en hoe mijn gegevens door die site worden beveiligd en of deze niet worden verhandeld.

Ik bekeek zojuist de gedetailleerde cookie-toestemmingen die gevraagd worden voor derde partijen door https://techcrunch.com/2018/10/17/n26-faces-criticism-regarding-its-identification-processes/ en https://www.wiwo.de/unternehmen/banken/sicherheitsmaengel-bei-n26-bafin-leitet-wegen-gefaelschter-ausweise-pruefung-ein/23175098.html: bizar hoeveel derde partijen zij over hun schouder laten meekijken naar elke stap die je zet op die websites.

Ik zie internet eerder als Russisch roulette; ellende is onvoorspelbaar. Als je voorzichtig doet is de kans op schade waarschijnlijk klein, maar als het fout gaat, kan de impact enorm zijn. En in steeds meer gevallen sta je er dan alleen voor (forget KifiD en doortastende politie).

ondertussen kijkt ook agent ook mee, en vordert het rijbewijs in, want die medicatie wat u slikt, daar mag u niet mee rijden.

CDBC, digitale Euro, allerlei Staats wallets zijn er niet om het ons leven gemakkelijker te maken maar eerder heel erg lastig maar wel goed controleerbaar. Waarom zou ik me in een kroeg moeten identificeren als iedere blinde kan zien dat ik ruim boven de 18 ben? Wat zijn dat voor onzinnige zaken die als voorbeeld moeten dienen waarom zo'n wallet ons het leven zo verschrikkelijk makkelijk kan maken. Iedereen die dat gelooft is gewoon een goedgelovige idioot, punt. En helaas komen we in dit land om van de goedgelovige idioten.
Door alleen maar in te zoomen op de zogenaamde voordelen (zijn er niet) proberen die criminelen in Den Haag (onze zogenaamde volksvertegenwoordiging (die je eerder moet gaan zien als volksvijanden)) ons van allerlei bullshit door de strot te drukken met maar een doel en dat is totalitaire controle over de burger. Het zijn de eerste stappen in de opbouw naar een fascistische controlestaat, totale controle over de burger hebben want voor je het weet komen ze je lynchen omdat ze het niet meer pikken. Hoeveel moet een volk nog accepteren aan leugens, bedrog en fraude voordat het gaat ingrijpen? Ik vraag het me af.

En dan wordt het weer wat veiliger op de weg.