image

Sms-controle DigiD in toekomst bij minder diensten te gebruiken

dinsdag 24 januari 2023, 16:27 door Redactie, 39 reacties

De sms-controle van DigiD blijft vooralsnog behouden maar zal in de toekomst bij minder diensten te gebruiken zijn. Dat laat staatssecretaris Van Huffelen van Digitalisering weten op vragen van de Tweede Kamer. Volgens de staatssecretaris maken 11 miljoen van de actieve 16,5 miljoen DigiD-accounts gebruik van de DigiD-app. De overige accounts maken alleen gebruik van gebruikersnaam en wachtwoord, al dan niet in combinatie met sms-authenticatie.

"De 215.000 mensen die nog geen gebruik maken van tweefactorauthenticatie worden geïnformeerd dat veiliger gebruik van de dienstverlening noodzakelijk is", aldus Van Huffelen. DigiD biedt gebruikers verschillende betrouwbaarheidsniveaus. Het basisniveau bestaat uit het inloggen met gebruikersnaam en wachtwoord. Dan is er ook een middenniveau, waarbij gebruik wordt gemaakt van de DigiD-app of sms-controle. Bij deze laatste methode wordt er ingelogd met gebruikersnaam en wachtwoord en een via sms verkregen code.

Binnen de Tweede Kamer waren er zorgen over het bestaan van de sms-controle. Security.NL meldde eerder al dat de overheid van plan is om de sms-controle uit te faseren. De DigiD-app is echter alleen verkrijgbaar in de Apple App Store en Google Play Store, wat inhoudt dat gebruikers een account bij de Amerikaanse techbedrijven moeten hebben om de app uit de appstores te kunnen downloaden.

Eerder stelde Van Huffelen dat de sms-controle voorlopig blijft bestaan. "Het klopt dat sms-authenticatie blijft bestaan, maar in de toekomst voor meerdere toepassingen niet meer bruikbaar zal zijn", zo laat ze nu weten. "Sms-authenticatie blijft sowieso mogelijk zolang er diensten op betrouwbaarheidsniveau laag worden aangeboden", stelt de staatssecretaris verder.

Ze merkt op dat het aan dienstverleners is om het betrouwbaarheidsniveau van elektronische diensten vast te stellen. "Het benodigde betrouwbaarheidsniveau hangt onder andere af van de gevoeligheid van de gegevens die ontsloten worden. Zo kan ik me voorstellen, gezien de gevoeligheid van medische gegevens, dat die in de toekomst door zorgverleners worden aangeboden op de niveaus substantieel en hoog."

Het is mogelijk om de DigiD-app door middel van een ID-check voor hogere betrouwbaarheidsniveaus te gebruiken. Voor mensen die de app niet willen of kunnen gebruiken is er dan de optie om iemand anders te machtigen. Iets waar vooral de SP zich zorgen over maakt. "Mensen die de app niet veilig genoeg achten of niet werkbaar genoeg verliezen zo immers de mogelijkheid om zelf digitaal zaken te kunnen doen met de overheid."

Van Huffelen stelt dat de machtigingsfunctie niet als het "dwingende alternatief" voor de sms-authenticatie wordt gepresenteerd. "De machtigingsfunctie is er eerder voor de doelgroep die een bepaalde overheidsdienstverlening aan een ander wil overdragen, zoals bijvoorbeeld het doen van belastingaangifte." Ook laat de staatssecretaris weten dat er altijd een ander kanaal moet openstaan voor mensen die niet digitaal zaken met de overheid willen of kunnen doen.

Reacties (39)
24-01-2023, 16:45 door Anoniem
En maar doorgaan met digi-drammen.
Ik MOET digitaal met de blauwe enveloppen brigade, ik WIL het helemaal niet. MOET ik nou straks ook nog een smartfoon hebben om te mogen bestaan in dit k*tland?
24-01-2023, 16:52 door majortom - Bijgewerkt: 24-01-2023, 17:11
Voor mensen die de app niet willen of kunnen gebruiken is er dan de optie om iemand anders te machtigen.
Dus mensen die geen vertrouwen hebben in de techbedrijven en derhalve geen account willen hebben worden gedwongen om iemand anders hiervoor te machtigen? Hoe onbetrouwbaar wil je dit gebeuren maken. Heeft de overheid soms aandelen Google en/of Apple?

Zorg er maar voor dat eea beschikbaar komt buiten de standaard play stores. Zorg er dan meteen even voor dat de trackers uit de app worden verwijderd.

Zorg er dan ook meteen even voor dat de DigiD IdP niet kan zien waar je de authenticatie voor gebruikt, zeker wanneer deze manier van authentiseren breder wordt toegepast. Daar was ooit een initiatief voor, maar dat is een stille dood gestorven.

Volgens de staatssecretaris maken 11 miljoen van de actieve 16,5 miljoen DigiD-accounts gebruik van de DigiD-app.
Dus 5,5 miljoen niet. Dat lijkt me een substantieel deel van die 16,5 miljoen accounts. Waarom zouden die niet van die app gebruik maken denkt de staatssecretaris?
24-01-2023, 17:03 door Anoniem
Het probleem zit 'm niet zozeer in het digitaal, maar meer in de invloed die big-tech meer en meer krijgt. Waarom zou het niet mogelijk zijn een app buitenom de appstore of playstore te downloaden? Gewoon op DigiD.nl. En dan een app die puur functioneel is, zonder trackers.....
24-01-2023, 17:06 door Anoniem
Overheid mensen maar waarschuwen voor de gevaren van het internet en dan dit soort applicaties dadelijk verplichten.
https://reports.exodus-privacy.eu.org/en/reports/nl.rijksoverheid.digid.pub/latest
Iemand die dit wel begrijpt?
24-01-2023, 17:28 door Anoniem
De overheid kan mij alleen nog bereiken via mijn beveiligde omgeving, willen ze belasting heffen dan moeten ze even de MINE-app installeren. Doen ze dat niet dan kunnen ze enige betaling vergeten.
24-01-2023, 17:34 door Anoniem
Ik gebruik naar tevredenheid een yubikey. Waarom is daar geen ondersteuning voor? Is dat niet een veiliger alternatief voor de app?
24-01-2023, 18:17 door Anoniem
Het gaat allemaal om controle en surveillance en of u wel brave burgertjes blijft, die klakkeloos de overheidspropaganda volgen.

Zogenaamd om disinfo en onwetenschappelijk denken te bestrijden.

Mensen, die zich niet voegen naar de wensen van dit zich steeds meer totalitair ontwikkelende systeem, zijn toch alleen maar potentieel ontspoorden en of nog erger in de ogen der machthebbers en de met hen heulende krachten.

Wat staat ons nog te wachten?
24-01-2023, 18:33 door Anoniem
Voor mensen die de app niet willen of kunnen gebruiken is er dan de optie om iemand anders te machtigen.
Dit is je reinste BS. In onze samenleving leven veel mensen alleen en met verre familieleden (of helemaal geen).
Wie moeten die mensen gaan machtigen? Hun collega's op het werk? Buren? Passanten op straat?
Ik zie hier dat de overheid met de manier waarop ze háär verificatietools scherper afstelt van mij vraagt om mijn betrouwbaarheidsniveaus t.a.v. andere mensen naar beneden bij te stellen. Ik moet dus méér risico's nemen omdat de overheid mìnder risico's wenst te nemen.
Als je het mij vraagt is dat dezelfde manier als hoe banken tewerk gaan met de inrichting van hun dienstverlening: het steeds meer afwentelen van haar risico's op de klanten.
Een bank kan ik echter (nog) wisselen, de overheid niet.
Schande.
24-01-2023, 19:02 door Anoniem
Op https://machtigen.digid.nl/machtigen/over-gemachtigd-worden staat:
De persoon die u gaat helpen logt in bij DigiD Machtigen om akkoord te gaan met de machtiging. Daarna mag u aan de slag.

Kan de ander niet inloggen, bijvoorbeeld omdat die geen DigiD heeft? Geen probleem. Hij of zij krijgt een brief thuis. In de brief staat een machtigingscode. Als de ander akkoord wil gaan, geeft die de code aan u. Met deze code kunt u de machtiging activeren.

Op de site van Logius https://www.logius.nl/domeinen/toegang/digid-machtigen/hoe-werkt-het staat:
Een gebruiker van uw digitale dienst, of iemand die hem of haar vertegenwoordigt, vraagt een machtigingscode aan. Dit kan online via machtigen.digid.nl of telefonisch bij de DigiD-helpdesk. DigiD stuurt de machtigingscode naar het huisadres van de gebruiker.

Verder heeft de pagina van Logius het over een BSN die nodig is. En de pagina van DigiD heeft het over een BSN plus een geboortedatum (waarom? is een BSN op zichzelf niet uniek genoeg?).

Kennelijk is het nog niet helemaal af. Ik hoop dat ze voor 1 maart 2023 klaar zijn want dan kan je belastingaangifte doen over 2022. Ik zou er niet te lang mee wachten dit jaar vanwege alle digitale verwarring die blijkbaar heerst. Belastingaangifte is het enige waar ik DigiD tot op heden voor gebruikt heb.
24-01-2023, 19:31 door Anoniem
Door majortom:
Volgens de staatssecretaris maken 11 miljoen van de actieve 16,5 miljoen DigiD-accounts gebruik van de DigiD-app.
Dus 5,5 miljoen niet. Dat lijkt me een substantieel deel van die 16,5 miljoen accounts. Waarom zouden die niet van die app gebruik maken denkt de staatssecretaris?

Als ik een voorschot neem : omdat het bejaarden (of allochtonen) zonder smartfoon / geinstalleerde app of met een nokia-achtige zijn .

Of wou je serieus insinueren dat we 5.5 M extreem privacy bewuste mensen hebben ? Dan zou je dat echt maatschappelijk op veel meer plekken terug zien,dan alleen in een DigiD-app loos statistiekje.
24-01-2023, 20:05 door Ron625
De DigiD-app is echter alleen verkrijgbaar in de Apple App Store en Google Play Store, wat inhoudt dat gebruikers een account bij de Amerikaanse techbedrijven moeten hebben om de app uit de appstores te kunnen downloaden.
Ik heb een Apple account en ik heb een Google account.
Maar op mijn PC's waarmee ik wil inloggen gebruik ik Linux.
Ook lijd ik niet aan een bereikbaarheidscomplex, zo heb ik vaak geen slimfoon bij me.

Het zal voor mij mogelijk het einde van DigiD betekenen...........
24-01-2023, 22:40 door johanw
Ik weet iet waarom maar die DigiD app werkt niet op mijn telefoon. Installeren gaat prima (downloaden uit Google Play zonder account via Aurora Store) maar hij blijft hangen op het moment dat die QR code in beeld komt, dan komt hij niet verder. Heeft in het verleden wel gewerkt en andere QR code readers, bv. die van de bank app, werken goed dus aan de camera kan het niet liggen.
24-01-2023, 22:55 door Erik van Straten
Door majortom:
Volgens de staatssecretaris maken 11 miljoen van de actieve 16,5 miljoen DigiD-accounts gebruik van de DigiD-app.
Dus 5,5 miljoen niet. Dat lijkt me een substantieel deel van die 16,5 miljoen accounts. Waarom zouden die niet van die app gebruik maken denkt de staatssecretaris?
Precies. Ik heb zowel een iPhone als een Android smartphone, maar ik *peins* er niet over om mijn paspoort daarin te digitaliseren. Ik wil precies weten aan wie ik mijn paspoort (of delen daarvan) laat zien, en ik heb er totaal geen vertrouwen in en kennis van wat er "onder de motorkap" van mijn smartphones gebeurt en kan gebeuren, noch welke apps waar precies bij kunnen.

Ik heb *noodgedwongen* en *met tegenzin* SMS-2FA aangezet voor DigiD (dat kan veiliger, zie mijn "Secure SMS 2FA Voorstel" in https://security.nl/posting/638979); ik laat mij niet alsnog zo'n paspoort-app door mijn strot duwen.
25-01-2023, 07:57 door Anoniem
Machtigingen werken per dienst en met een maximale tijdsduur van meestal 1 jaar. Dat betekend dus als je zaken voor Oma moet doen je voor iedere instantie jaarlijks een machtiging moet doen. Onbegonnen werk. TOTP zou mooi zijn.
25-01-2023, 08:15 door Anoniem
Zodra de overheid mij een gratis smartphone geeft voor deze app of eentje vergoed die ik zelf koop zal ik die app braafjes instaleren en niks anders om vervolgens beveiligd in een kluis te leggen zoals ik doe met fysieke tokens en druppels. Maar ik zal nooit meewerken aan het instaleren van enige app die ik op een privé telefoon moet zetten die ook nog eens mijn meest gevoelige data bewaard.

Ik zit te lang in dit vak om ooit nog maar een keer vertrouwen te hebben in digitale veiligheid van enig software pakket. En dat heeft niks te maken met dat het hier om de overheid gaat mijn bank kan ook fluiten naar een koppeling via een app ooit bij mij te realiseren.

SMS-2FA is onveilig als de pest ieder met beetje kennis weet dat al jaren maar het legt iedergeval geen 24/7 connectie mogelijkheid en gezien ik nooit OTP's of andere authenticatie vereisten start buiten mijn eigen huis of kantoor neem ik dat risico nog wel voorlief.

Hoe vervelend het ook is de enige manier dat we ooit van deze troep af gaan komen is als er een onherstelbaar groot datalek ontstaat. Moment dat een paar miljoen BSN nummers met alle andere info lekken is het gedaan dan is het politieke zelfmoord om nog te digidrammen op dit concept en zijn ze komende decenium te druk met schadeloos stellingen en rechtzaken.

Heel vervelend voor alle collaterals maar ik hoop toch echt dat onze regering daar nat op gaat en het interesseert me echt niet meer wat gevolgen voor andere daarbij zijn alle waarschuwingen worden genegeerd en gros van de bevolking denkt zelf
al niet eens meer na. Prima zolang ze het maar niet mijn probleem maken steken ze hun eigen boel maar in de fik.
25-01-2023, 08:19 door Anoniem
Ik vind het wel grappig om hier elke keer weer te lezen (vaak al de eerste comment) over DIGIDRAMMEN, en als men belasting wil innen moet dat allemaal via MIJN eisen gaan en ik ga geen DigiD meer gebruiken.

Allemaal mooi en wel, en je bent uiteraard vrij om dat allemaal te gaan roepen hier op dit forum. Maar het voegt niks toe. Ja alles gaat meer digitaal, deal with it. Dat is al jaren zo, dat gaat alleen maar sneller dat ziet iedereen aankomen. Ook de mensen die het niet willen. Hier op dit forum als één persoon ons even laten weten dat jij 'the man' niet binnenlaat is alleen maar grappig om te lezen. Dat ga je namelijk niet volhouden.

Belasting zal gewoon geint worden, anders komt de deurwaarde met de politie langs of beland je in de gevangenis. Onzin roepen over 'ga ik niet doen!' is grootspraak en zinloos.

Ook zeggen dat je geen DigiD meer gaat gebruiken schuif ik ook in de categorie grootspraak. Je kunt niet zonder DigiD. Zoveel zaken (je zorgverzekering bijv.) zitten achter DigiD, en dat is dan niet optioneel.

Ook eisen dat apps buiten allerlei veel gebruikte platformen aangeboden worden zorgt er juist voor dat deze apps minder veilig kunnen worden en minder vertrouwd worden. Ja maar ik download al mijn apps van bokkiewokkie.co en dat vind ik veilig. Tuurlijk, succes daarmee. Dat iemand dat roept op een security forum vind ik dan ook heel erg vreemd.

Wat ik mij juist afvraag is hoe dit dan wel veiliger zou kunnen. Maar op dit forum wordt in elk geval (voor de meeste replies dan) alleen maar geschopt. Mijn reply is daar ook niet anders in.
25-01-2023, 08:59 door Anoniem
De vraag is natuurlijk hoe onveilig het gebruik van SMS op een gewone telefoon nu in werkelijkheid is voor gebruik als 2FA, zeker in vergelijking met al die andere veiligheidsrisico's die er zijn bij het gebruik van telefoons waar je amper controle over hebt wat daar voor applicaties en dergelijke daar op staan.
25-01-2023, 09:00 door majortom - Bijgewerkt: 25-01-2023, 09:07
Door Anoniem:
Door majortom:
Volgens de staatssecretaris maken 11 miljoen van de actieve 16,5 miljoen DigiD-accounts gebruik van de DigiD-app.
Dus 5,5 miljoen niet. Dat lijkt me een substantieel deel van die 16,5 miljoen accounts. Waarom zouden die niet van die app gebruik maken denkt de staatssecretaris?

Als ik een voorschot neem : omdat het bejaarden (of allochtonen) zonder smartfoon / geinstalleerde app of met een nokia-achtige zijn .

Of wou je serieus insinueren dat we 5.5 M extreem privacy bewuste mensen hebben ? Dan zou je dat echt maatschappelijk op veel meer plekken terug zien,dan alleen in een DigiD-app loos statistiekje.
Ik wil helemaal niet zeggen dat dat alleen privacy bewuste mensen zijn. Echter het geeft wel aan dat 1/3 van de mensen die wel DigiD gebruiken dit niet doen via de app. Dat zijn dus wel mensen die (al dan niet gedwongen) digitaal zaken doen met de overheid, dus niet alleen de digitaal-onvaardigen (die zullen veelal niet eens een DigiD hebben). Dat kan zijn omdat ze de app (of onderliggende OS/leverancier) niet vertrouwen, het kan zijn omdat ze niet het juiste device hebben, het kan zijn omdat ze nog nooit van de app gehoord hebben, etc.

Echter, de staatssecretaris stelt doodleuk dat deze groep mensen maar iemand moet machtigen op het moment dat er iets met DigiD gedaan moet worden. Op het moment dat deze manier van authenticatie breder ingezet wordt (zoals wordt voorgesteld in het kader van bijvoorbeeld de EID) dan betekent dat nogal wat voor deze groep. Want het gaat echt niet gebeuren dat bedrijven die hiervan gebruik maken ook allemaal nog een analoge optie bieden.

Uiteindelijk is het natuurlijk gewoon de manier om iedereen verplicht aan de app te krijgen en het analoge circuit te elimineren. De analogie met de ditale Euro en het CTB tijdens corona dringt zich hier nadrukkelijk op.
25-01-2023, 09:09 door Anoniem
Door majortom: Dus mensen die geen vertrouwen hebben in de techbedrijven en derhalve geen account willen hebben worden gedwongen om iemand anders hiervoor te machtigen? Hoe onbetrouwbaar wil je dit gebeuren maken. Heeft de overheid soms aandelen Google en/of Apple?
Geen aandelen in die bedrijven, denk ik, maar ik vermoed wel last van denken in termen van marktaandeel, want dat doen veel Nederlanders.

De achtergrond van die gedachte is dit. Ik heb ooit, toen ik meeontwikkelde aan een grote webapplicatie, gemerkt dat er heel wat mensen zijn die het doel om zo'n groot mogelijk deel van de doelgroep te bereiken alleen maar weten in te vullen door naar marktaandelen te kijken. In die tijd gebruikte iets van 96% van de Nederlanders IE4, dus vonden deze mensen dat we voor IE4 moesten ontwikkelen. Ik kon om de paar maanden opnieuw aan deze mensen uitleggen dat er standaards bestonden en we ons richtten op de subset van die standaards die door alle belangrijke browsers werd ondersteund, zodat we niet 96% maar nagenoeg de volle 100% van het browsermarktaandeel dekten. En andere landen lieten zien dat de verhoudingen snel konden veranderen, in Duitsland bijvoorbeeld was Mozilla toen aan een spectaculaire opkomst bezig. Je wilt jezelf niet klem zetten door bij zo'n ontwikkeling opeens alles wat je gebouwd hebt anders te moeten maken om iedereen te kunnen blijven bedienen. Elke keer was mijn uitleg overtuigend, elke keer zag ik echt schellen van de ogen vallen, maar elke keer was het na een paar maanden toch weer vergeten. Volgens mij lag dat eraan dat het idee dat je via standaards 100% van de potentiële markt kan bedienen niet te verenigen was met hun gerichtheid op marktaandelen. Standaards zijn coöperatief, marktaandelen zijn competitief, het gaat om manieren van denken die lijnrecht tegenover elkaar staan en die velen kennelijk niet allebei vol kunnen houden.

En dus denkt dat slag mensen bij DigiD in termen van welke platforms men moet ondersteunen om zoveel mogelijk mensen te bereiken, en niet in termen van wat voor oplossing er nodig is om iedereen met een internetverbinding te ondersteunen. Als je wel zo denkt streef je naar een oplossing die onafhankelijk is van wat de burger precies gebruikt om het internet mee op te gaan. En zo zou de overheid wel moeten denken, die moet er actief naar streven voor alle burgers toegankelijk zijn.

Zo'n oplossing is trouwens ook nuttig voor mensen die wel een smartphone hebben, want dat levert een terugvalmogelijkheid voor als die smartphone een keer op een ongelegen moment kwijt of defect is.

Dit impliceert trouwens niet dat de gekozen oplossing puur op open standaards moet zijn gebaseerd. Banken laten inmiddels al zo'n twintig jaar zien dat met propriëtaire digipassen en tegenwoordig scanners sterke authenticatie en autorisatie te regelen is die geen andere eis aan de gebruikers stelt dan dat ze een webbrowser gebruiken die standaards redelijk ondersteunt. Als er een DigiD-scanner zou zijn zou ik die graag gebruiken, en ik vind het schandalig dat die, of iets anders dat op elk platform bruikbaar is, er niet is voor alle betrouwbaarheidsniveaus van DigiD.

Zorg er maar voor dat eea beschikbaar komt buiten de standaard play stores. Zorg er dan meteen even voor dat de trackers uit de app worden verwijderd.
Beschikbaarheid buiten de standaard play stores lost niet alles op omdat het nog steeds aan de platforms van een paar tech-reuzen gebonden is, het blijven apps voor smartphones.

Zorg er dan ook meteen even voor dat de DigiD IdP niet kan zien waar je de authenticatie voor gebruikt, zeker wanneer deze manier van authentiseren breder wordt toegepast. Daar was ooit een initiatief voor, maar dat is een stille dood gestorven.
DigiD kan zien bij welke dienst/instantie je inlogt. Dat kan niet anders, want die instantie moet geautoriseerd zijn om DigiD te gebruiken en je BSN te ontvangen. Als DigiD niet kan zien aan wie ze je BSN doorgeven hebben ze een gegevenslek en overtreden ze de AVG.

Maar DigiD kan niet zien wat je vervolgens bij die instantie doet. Het is niet zo dat DigiD in al die webservers en backend-systemen aanwezig is en daar kan meekijken met wat er gebeurt, en ook niet in apps op smartphones. De plaatjes op deze pagina laten zien wat er gebeurt:

https://www.logius.nl/domeinen/toegang/digid/documentatie/koppelvlakspecificatie-digid-saml-authenticatie

Bij gebruik van een webbrowser zie je dat de browser met de website van (laten we zeggen) je zorgverzekeraar praat. Als je inlogt via DigiD krijgt je browser een "redirect" naar de website van DigiD om daar in te loggen. Als dat goed gaat geeft DigiD een redirect terug naar de zorgverzekeraar (ook daarvoor moet DigiD dus weten bij wie je inlogt) en geeft daarbij een random, betekenisloos "artifact" mee, een stukje data. Vervolgens maakt de server van de Belastingdienst zelf verbinding met DigiD en gebruikt dat "artifact" om het eigenlijke authenticatiebericht op te halen, met daarin je DigiD. Die communicatie is versleuteld met PKI-overheid-certificaten voor beide partijen, zodat ze allebei weten dat ze met de juiste tegenpartij praten.

Bij gebruik van een smartphone-app in plaats van een browser gaat het op de servers van (bijvoorbeeld) je zorgverzekeraar en DigiD hetzelfde, maar op de smartphone gaat het iets anders. Daar is niet één programma (de webbrowser) die met beide servers praat, daar heeft iedere dienst zijn eigen app die dat doet. Wat bij de browser een "redirect" is is op de smartphone het doorgeven van een bericht naar de DigiD-app waarop die verbinding maakt met DigiD, en het terugsturen van een bericht naar de DigiD-app naar de (in dit voorbeeld) zorgverzekering-app waarin die "artifact" staat waarmee de server van de zorgverzekeraar vervolgens de authenticatiegegevens kan ophalen bij de DigiD-server.

Het zijn geen diep geïntegreerde applicaties geworden die alles van elkaar kunnen zien, het gaat om een paar doelgerichte berichten tussen de servers en op de smartphone tussen de apps, en dat zijn verder gescheiden werelden. En in de webbrowser kan na een redirect de nieuw geladen pagina niet grasduinen in de data van de vorige pagina, dat schermt de browser af.

DigiD kan dus wel zien bij welke instantie je inlogt, maar niet wat je daar vervolgens doet.

Dus 5,5 miljoen niet. Dat lijkt me een substantieel deel van die 16,5 miljoen accounts. Waarom zouden die niet van die app gebruik maken denkt de staatssecretaris?
Uiteenlopende redenen. Niet aan de smartphone gaan doen mensen niet uitsluitend om privacyredenen, maar bijvoorbeeld ook omdat ze het allemaal te ingewikkeld vinden, of omdat ze een smartphone bijvoorbeeld te duur vinden. De redenen doen er niet toe, het is belangrijk dat er een substantieel aantal mensen is met DigiD maar zonder smartphone, maar ongeacht het aantal zou het een principe moeten zijn dat het werkt zonder eisen te stellen aan de hard- en software die de burger gebruikt om het internet mee om te gaan, los van dat die redelijk actuele webstandaardaards moet ondersteunen en dat beveilingsupdates worden bijgehouden.

De basisoplossing moet universeel bruikbaar zijn, apps voor specifieke platforms zijn extra's om het mensen makkelijker te maken, en die kan je al dan niet maken op basis van marktaandeel van die platforms. Dit zou een uitgangspunt moeten zijn waar niet van afgeweken wordt.
25-01-2023, 09:16 door Anoniem
Ik krijg die app niet aan de praat. Hij vindt mijn rijbewijs geen rijbewijs. Ben benieuwd hoe 11 miljoen mensen het kennelijk wel aan de praat krijgen.
25-01-2023, 09:19 door majortom - Bijgewerkt: 25-01-2023, 09:21
Door Anoniem: Ik vind het wel grappig om hier elke keer weer te lezen (vaak al de eerste comment) over DIGIDRAMMEN, en als men belasting wil innen moet dat allemaal via MIJN eisen gaan en ik ga geen DigiD meer gebruiken.

Allemaal mooi en wel, en je bent uiteraard vrij om dat allemaal te gaan roepen hier op dit forum. Maar het voegt niks toe. Ja alles gaat meer digitaal, deal with it. Dat is al jaren zo, dat gaat alleen maar sneller dat ziet iedereen aankomen. Ook de mensen die het niet willen. Hier op dit forum als één persoon ons even laten weten dat jij 'the man' niet binnenlaat is alleen maar grappig om te lezen. Dat ga je namelijk niet volhouden.

Belasting zal gewoon geint worden, anders komt de deurwaarde met de politie langs of beland je in de gevangenis. Onzin roepen over 'ga ik niet doen!' is grootspraak en zinloos.
Belasting kan nog steeds op papier, dus strikt genomen heb je daar geen DigiD voor nodig (https://www.belastingdienst.nl/wps/wcm/connect/nl/belastingaangifte/content/hoe-aangifte-inkomstenbelasting-doen)_

Ook zeggen dat je geen DigiD meer gaat gebruiken schuif ik ook in de categorie grootspraak. Je kunt niet zonder DigiD. Zoveel zaken (je zorgverzekering bijv.) zitten achter DigiD, en dat is dan niet optioneel.
Ik heb nog nooit mijn DigiD voor iets anders dan de belastingaangifte gebruikt. Ik snap dat ik hier een uitzondering in zal zijn, maar voor de zorgverzekering heb ik dit niet nodig. Je kunt prima zorgverzekeringen afsluiten zonder dat je dit nodig hebt (de meeste zorgkosten worden gewoon direct bij de verzekering gedeclareerd door de zorgverlener).

Ook eisen dat apps buiten allerlei veel gebruikte platformen aangeboden worden zorgt er juist voor dat deze apps minder veilig kunnen worden en minder vertrouwd worden. Ja maar ik download al mijn apps van bokkiewokkie.co en dat vind ik veilig. Tuurlijk, succes daarmee. Dat iemand dat roept op een security forum vind ik dan ook heel erg vreemd.
Wanneer je de app op een platform als F-Droid aanbiedt dan kun je vanuit die store zien welke onderliggende code er is gebruikt voor de app die je download. Je zou ook de app zelf kunnen compileren op basis van de source. Je zou ook iets kunnen bedenken om de app (inclusief signature) vanaf een overheidswebsite te kunnen downloaden.

Wat ik mij juist afvraag is hoe dit dan wel veiliger zou kunnen. Maar op dit forum wordt in elk geval (voor de meeste replies dan) alleen maar geschopt. Mijn reply is daar ook niet anders in.
Je kunt naast de app andere opties bieden, zoals bijvoorbeeld een extern device als de YubiKey oid ondersteunen (zoals al eerder is gesuggereerd). Dan ben je meteen van het verplichte gebruik van een smartphone af.
25-01-2023, 09:23 door Anoniem
Door majortom:
Door Anoniem:
Door majortom:
Volgens de staatssecretaris maken 11 miljoen van de actieve 16,5 miljoen DigiD-accounts gebruik van de DigiD-app.
Dus 5,5 miljoen niet. Dat lijkt me een substantieel deel van die 16,5 miljoen accounts. Waarom zouden die niet van die app gebruik maken denkt de staatssecretaris?

Als ik een voorschot neem : omdat het bejaarden (of allochtonen) zonder smartfoon / geinstalleerde app of met een nokia-achtige zijn .

Of wou je serieus insinueren dat we 5.5 M extreem privacy bewuste mensen hebben ? Dan zou je dat echt maatschappelijk op veel meer plekken terug zien,dan alleen in een DigiD-app loos statistiekje.
Ik wil helemaal niet zeggen dat dat alleen privacy bewuste mensen zijn. Echter het geeft wel aan dat 1/3 van de mensen die wel DigiD gebruiken dit niet doen via de app. Dat zijn dus wel mensen die (al dan niet gedwongen) digitaal zaken doen met de overheid, dus niet alleen de digitaal-onvaardigen (die zullen veelal niet eens een DigiD hebben). Dat kan zijn omdat ze de app (of onderliggende OS/leverancier) niet vertrouwen, het kan zijn omdat ze niet het juiste device hebben, het kan zijn omdat ze nog nooit van de app gehoord hebben, etc.

Echter, de staatssecretaris stelt doodleuk dat deze groep mensen maar iemand moet machtigen op het moment dat er iets met DigiD gedaan moet worden. Op het moment dat deze manier van authenticatie breder ingezet wordt (zoals wordt voorgesteld in het kader van bijvoorbeeld de EID) dan betekent dat nogal wat voor deze groep. Want het gaat echt niet gebeuren dat bedrijven die hiervan gebruik maken ook allemaal nog een analoge optie bieden.

Uiteindelijk is het natuurlijk gewoon de manier om iedereen verplicht aan de app te krijgen en het analoge circuit te elimineren. De analogie met de ditale Euro en het CTB tijdens corona dringt zich hier nadrukkelijk op.

Je vergeet een heel simpel feit: van die 5,5 miljoen Nederlanders, is het overgrote deel nog kind. Namelijk zo'n 3,7 miljoen onder de 20. Die hebben doorgaans geen DigiD nodig, hooguit tegen het einde van dit demografische segment (zorgtoeslag, misschien huurtoeslag, heel misschien voor andere regelingen). Resteert er nog steeds zo'n 2 miljoen Nederlanders, maar dat is niet de 1/3e die je stelt. Meer 1/9e.
25-01-2023, 09:29 door Anoniem
@marjortom

Je noemt allemaal dingen waar de meerderheid niets mee kan. Fijn dat jij technische kennis hebt maar teveel van de reacties hier gaan over de persoonlijke sfeer. Niet over het feit dat er bijna 18 miljoen mensen in NL wonen die er wellicht mee moeten werken. Dan ga je dus standaardiseren.
25-01-2023, 09:34 door Anoniem
Door Anoniem: Ik vind het wel grappig om hier elke keer weer te lezen (vaak al de eerste comment) over DIGIDRAMMEN, en als men belasting wil innen moet dat allemaal via MIJN eisen gaan en ik ga geen DigiD meer gebruiken.

Allemaal mooi en wel, en je bent uiteraard vrij om dat allemaal te gaan roepen hier op dit forum. Maar het voegt niks toe. Ja alles gaat meer digitaal, deal with it. Dat is al jaren zo, dat gaat alleen maar sneller dat ziet iedereen aankomen. Ook de mensen die het niet willen. Hier op dit forum als één persoon ons even laten weten dat jij 'the man' niet binnenlaat is alleen maar grappig om te lezen. Dat ga je namelijk niet volhouden.

Belasting zal gewoon geint worden, anders komt de deurwaarde met de politie langs of beland je in de gevangenis. Onzin roepen over 'ga ik niet doen!' is grootspraak en zinloos.

Ook zeggen dat je geen DigiD meer gaat gebruiken schuif ik ook in de categorie grootspraak. Je kunt niet zonder DigiD. Zoveel zaken (je zorgverzekering bijv.) zitten achter DigiD, en dat is dan niet optioneel.

Ook eisen dat apps buiten allerlei veel gebruikte platformen aangeboden worden zorgt er juist voor dat deze apps minder veilig kunnen worden en minder vertrouwd worden. Ja maar ik download al mijn apps van bokkiewokkie.co en dat vind ik veilig. Tuurlijk, succes daarmee. Dat iemand dat roept op een security forum vind ik dan ook heel erg vreemd.

Wat ik mij juist afvraag is hoe dit dan wel veiliger zou kunnen. Maar op dit forum wordt in elk geval (voor de meeste replies dan) alleen maar geschopt. Mijn reply is daar ook niet anders in.

Het algehele risico ga je nooit verlagen maar al je eieren in de zelfde bak gooien is het domste dat je kan doen. En daar ia de overheid bezig mee alles in de zelfde infrastructuur douwen. Als je geloofd dat dat veilig is prima is je mening. Belasting mogen ze innen I really do not care. ze sturen me maar een papier op of ik ga langs belasting kantoor of ik besteed het uit maar er komt geen applicatie op mijn telefoon. En zeggen van dat het enkel grappig is wel mag je vinden maar als gros van expert en dan heb ik het niet over mensen hier op fora het een heel slecht onverdedigbaar idee vinden mag je wel eens achter je oren krabben.

En dan op dat je er niks tegen gaat doen dat ligt eraan hoe veel tegengas men geeft. Hier een voorbeeldje 3 a 4 jaar terug kwam mijn bank Triodos met het briliante idee om internetbankieren enkel via applicatie nog toe te laten. Ik heb ze toen gewezen op hun eigen huidige voorwaarden waarna ze uiteraard met tegen antwoord kwamen van dat ze het konden doordrammen want er was een wijziging in voorwaarden geweest.

Toen heb ik vervolgens hun hele argument gesloopt door te stellen dat de voorwaarden enkel in te zien waren als je ingelogd was en sinds dat niet meer kon op de mobiel zonder de app konden de voorwaarden nooit van kracht zijn want ze konden inlog per desktop ook niet eisen. Daarnaast hadden ze hun eigen voorwaarden niet inacht genomen dat er minimaal x dagen voor een wijziging een melding werd gestuurd inplaats daarvan was de voorwaarden wijziging achteraf gedaan. Makkelijk aan te tonen door scraping van de pagina en wijzigingen per dag voor te leggen.

Als bonus heb ik ze een Proof of concept gestuurd hoe ik toch om de apllicatie eis heen kon door spoofing van useragent screenestate en unique id. Legal zou erop terugkomen na een maand hebben ze het opgegeven want hun applicatie ontwikkeling kwam er niet uit. 3 a 4 jaar later zie je nu nog toch weer een doorgaan knop en lijkt het erop dat ze het hebben geparkeerd. Geen Kifid of rechtzaak aan te pas gekomen want ze stonden schaakmat.

Dus ieder die roept je houdt toch niks tegen nee zeker niet met zo een houding.
25-01-2023, 10:24 door Anoniem
Om digitaal belastingaangifte te doen, heb je dus nodig:

- een goed werkende computer met een groot scherm;
- een goed werkende computer waar je mee kunt bellen (ook wel smart-phone genoemd) met iOS of Android OS.

Dan moet je met beide computers ook nog voldoende goed kunnen omgaan,
wat voor veel mensen al een uitdaging is, om het maar eufemistisch te zeggen...

Gezien de problemen die de belastingdienst zelf heeft met haar eigen digitale vaardigheden en mogelijkheden, is het eigenlijk een gotspe dat ze van `gewone' mensen verwachten dat ze bovengenoemde kwaliteiten hebben...
25-01-2023, 11:22 door majortom - Bijgewerkt: 25-01-2023, 11:26
Door Anoniem:
Door majortom:
Door Anoniem:
Door majortom:
Volgens de staatssecretaris maken 11 miljoen van de actieve 16,5 miljoen DigiD-accounts gebruik van de DigiD-app.
Dus 5,5 miljoen niet. Dat lijkt me een substantieel deel van die 16,5 miljoen accounts. Waarom zouden die niet van die app gebruik maken denkt de staatssecretaris?

Als ik een voorschot neem : omdat het bejaarden (of allochtonen) zonder smartfoon / geinstalleerde app of met een nokia-achtige zijn .

Of wou je serieus insinueren dat we 5.5 M extreem privacy bewuste mensen hebben ? Dan zou je dat echt maatschappelijk op veel meer plekken terug zien,dan alleen in een DigiD-app loos statistiekje.
Ik wil helemaal niet zeggen dat dat alleen privacy bewuste mensen zijn. Echter het geeft wel aan dat 1/3 van de mensen die wel DigiD gebruiken dit niet doen via de app. Dat zijn dus wel mensen die (al dan niet gedwongen) digitaal zaken doen met de overheid, dus niet alleen de digitaal-onvaardigen (die zullen veelal niet eens een DigiD hebben). Dat kan zijn omdat ze de app (of onderliggende OS/leverancier) niet vertrouwen, het kan zijn omdat ze niet het juiste device hebben, het kan zijn omdat ze nog nooit van de app gehoord hebben, etc.

Echter, de staatssecretaris stelt doodleuk dat deze groep mensen maar iemand moet machtigen op het moment dat er iets met DigiD gedaan moet worden. Op het moment dat deze manier van authenticatie breder ingezet wordt (zoals wordt voorgesteld in het kader van bijvoorbeeld de EID) dan betekent dat nogal wat voor deze groep. Want het gaat echt niet gebeuren dat bedrijven die hiervan gebruik maken ook allemaal nog een analoge optie bieden.

Uiteindelijk is het natuurlijk gewoon de manier om iedereen verplicht aan de app te krijgen en het analoge circuit te elimineren. De analogie met de ditale Euro en het CTB tijdens corona dringt zich hier nadrukkelijk op.

Je vergeet een heel simpel feit: van die 5,5 miljoen Nederlanders, is het overgrote deel nog kind. Namelijk zo'n 3,7 miljoen onder de 20. Die hebben doorgaans geen DigiD nodig, hooguit tegen het einde van dit demografische segment (zorgtoeslag, misschien huurtoeslag, heel misschien voor andere regelingen). Resteert er nog steeds zo'n 2 miljoen Nederlanders, maar dat is niet de 1/3e die je stelt. Meer 1/9e.
Onzin: die kinderen hebben ook nog geen DigiD account. Er wordt duidelijk gesteld in het artikel dat er 16,5 miljoen actieve DigiD accounts zijn. Overigens vind ik 2 miljoen mensen nog steeds een aanzienlijk deel van de bevolking.
25-01-2023, 11:24 door majortom
Door Anoniem: @marjortom

Je noemt allemaal dingen waar de meerderheid niets mee kan. Fijn dat jij technische kennis hebt maar teveel van de reacties hier gaan over de persoonlijke sfeer. Niet over het feit dat er bijna 18 miljoen mensen in NL wonen die er wellicht mee moeten werken. Dan ga je dus standaardiseren.
Dan zorg je dus voor een open standaard zonder verplichte winkelnering te eisen zoals nu het geval is.
25-01-2023, 11:33 door Anoniem
Door Anoniem: En maar doorgaan met digi-drammen.
Ik MOET digitaal met de blauwe enveloppen brigade, ik WIL het helemaal niet. MOET ik nou straks ook nog een smartfoon hebben om te mogen bestaan in dit k*tland?

Deze altijd online trend speelt al geruime tijd in de hele wereld.
Afgeven op Nederland slaat dus nergens op.
25-01-2023, 12:30 door Anoniem
Door Anoniem: Je kunt niet zonder DigiD. Zoveel zaken (je zorgverzekering bijv.) zitten achter DigiD, en dat is dan niet optioneel.
Leef hier anders prima zonder DigiD. Factuur van de zorgverzekering ontvangen is wel een ding inderdaad. Echter na 5 à 7 klachten krijg je deze toch toegestuurd. Dat zij daar hun tijd aan willen verdoen, is hun keuze. Kan uiteraard ook CZ eigen zijn.

Wil simpelweg niet afhankelijk worden van een smartphone. Daarnaast nog het steeds belangrijker wordende punt: privacy.
25-01-2023, 12:57 door Anoniem
Door Anoniem:
Door Anoniem: Je kunt niet zonder DigiD. Zoveel zaken (je zorgverzekering bijv.) zitten achter DigiD, en dat is dan niet optioneel.
Leef hier anders prima zonder DigiD. Factuur van de zorgverzekering ontvangen is wel een ding inderdaad. Echter na 5 à 7 klachten krijg je deze toch toegestuurd. Dat zij daar hun tijd aan willen verdoen, is hun keuze. Kan uiteraard ook CZ eigen zijn.

Wil simpelweg niet afhankelijk worden van een smartphone. Daarnaast nog het steeds belangrijker wordende punt: privacy.
Inderdaad, ben nu al afhankelijk van een gewone computer, en dat is al moeilijk genoeg:
- Windows OS: chaotisch en dus (te) ingewikkeld.
- macOS: alleen op speciale dure computers verkrijgbaar die je zelf amper kunt onderhouden.
- Linux e.d. : lastig om daar een goed werkend systeem mee te krijgen als je hardware dat niet ondersteund:
als iets niet werkt op je computer heb je geen garantie bij je leverancier als je daar geen Windows op gebruikt...

En dan wordt je nu dus ook verplicht voor je belastingaangifte om er een bepaald type telefoon op na te houden, ook al heb je daar verder dus niets aan.
25-01-2023, 18:10 door Anoniem
Door Anoniem: SMS-2FA is onveilig als de pest ieder met beetje kennis weet dat al jaren maar het legt iedergeval geen 24/7 connectie mogelijkheid en gezien ik nooit OTP's of andere authenticatie vereisten start buiten mijn eigen huis of kantoor neem ik dat risico nog wel voorlief.
Wat is er onveilig aan gesproken sms naar een vast telefoonnummer?
Is volledig onafhankelijk van mijn mobiele telefoon, kan heel lastig gespoord worden en kan alleen vanuit mijn huis gebruikt worden.
25-01-2023, 22:35 door Anoniem
Door Anoniem: Overheid mensen maar waarschuwen voor de gevaren van het internet en dan dit soort applicaties dadelijk verplichten. [...] Iemand die dit wel begrijpt?

Jawel. Dat is hoe overheid werkt. Het gaat nooit over de inhoud, maar altijd over beleid om voorwaarden te scheppen. En over processen. Ambtenaren willen (begrijpelijkerwijs) zelden tot nooit meer verantwoordelijkheid dan waarvoor ze zijn aangenomen. Belangrijk dingen worden niet snel opgeschreven, zodat het (actieve) geheugen kan falen. Ook wordt vaak het één gezegd en later het ander, door dezelfde ambtenaren en hun collega's gaan ook afzonderlijk alle kanten op. Overdracht wordt indien mogelijk achterwege gelaten.
Het hele schouwspel dient er voor om macht te krijgen en te behouden om anderen te laten doen wat zij willen, zonder daar enige last, risico's of verantwoordelijkheid voor te dragen. Want anders staat de macht zelf in gevaar.

Er zijn een boel ambtenaren die graag meer macht willen, die trappen naar onderen en likken naar boven, en zo bij gebrek aan gewicht omhoog stijgen. Of naar boven weggepromoveerd worden wanneer ze zichzelf onmogelijk maken. Echte macht houdt zichzelf aan, en probeert op termijn macht naar beneden te breken met een verdeel en heerspolitiek. Deze ambtenaren hebben inhoudelijk totaal geen verstand van hetgeen waarover ze besluiten. De macht welke zij ambiëren is vaak gestoeld op opinie van derden, daarom telt voor hun vaak de macht van het getal. Wanneer ergens maar genoeg mensen bijzonder moeilijk over doen, gaan ze overstag.

En er zijn gelukkig ook een boel (meestal uitvoerende) ambtenaren welke het goed menen en die dagelijks hun stinkende best doen om ons land te behoeden voor erger. Dit zijn de mensen waarvan wij het moeten hebben, ook al zijn zij aan gebonden aan allerlei regels en wetten.

Dit wonderlijke schouwspel valt meestal niet uit te leggen aan simpele zielen. Technici bijvoorbeeld hebben doorgaans een heel andere beleving. Zij ervaren dat juist kennis en kunde macht is, en kunnen slecht buiten hun eigen context ervaren hoe het machtsspel van politiek werkt. Meestal is techniek zo ingewikkeld dat ieder zijn specialisatie heeft (verdeel), ze werken derhalve in dienst van een bedrijf (heers), dat ook haar winst deels moet afdragen aan de machthebbers via belastingen. Er wordt natuurlijk flink gelobbyd. Maar uiteindelijk bepaalt de politiek de kaders van wetgeving en mag een bedrijf nooit een monopolie krijgen want ook dan ligt er te veel risico bij de politiek.
26-01-2023, 06:04 door Anoniem
Door Anoniem:
Door Anoniem: SMS-2FA is onveilig als de pest ieder met beetje kennis weet dat al jaren maar het legt iedergeval geen 24/7 connectie mogelijkheid en gezien ik nooit OTP's of andere authenticatie vereisten start buiten mijn eigen huis of kantoor neem ik dat risico nog wel voorlief.
Wat is er onveilig aan gesproken sms naar een vast telefoonnummer?
Is volledig onafhankelijk van mijn mobiele telefoon, kan heel lastig gespoord worden en kan alleen vanuit mijn huis gebruikt worden.
Met je inloggegevens voor VoIP kun je wereldwijd jouw nummer gebruiken. Echter niet iedere VoIP-provider verstrekt deze.
Alleen thuis gebruiken geldt dus niet helemaal.
26-01-2023, 08:44 door Anoniem
Door Anoniem:
Door Anoniem: SMS-2FA is onveilig als de pest ieder met beetje kennis weet dat al jaren maar het legt iedergeval geen 24/7 connectie mogelijkheid en gezien ik nooit OTP's of andere authenticatie vereisten start buiten mijn eigen huis of kantoor neem ik dat risico nog wel voorlief.
Wat is er onveilig aan gesproken sms naar een vast telefoonnummer?
Is volledig onafhankelijk van mijn mobiele telefoon, kan heel lastig gespoord worden en kan alleen vanuit mijn huis gebruikt worden.
Simswapping via socialengineering en corrupte telecom medewerkers daarom
Maakt niet uit of gesproken is of sms tekst de verificatie procedure voor omzetten van een sim naar andere telefoon is belabberd en niet wettelijk vastgelegd. En het is vaak kinderlijk eenvoudig om dus toegang te bemachtigen daartot zolang je weet wat iemands geboorte datum is volledige naam en adres.

En gezien de gemiddelde nederland nou niet bepaald zuinig om gaat met die informatie hoef je maar vaak een lijst in te kopen van een datalek en je hebt een bak aan potentiele slachtoffers als je als crimineel dus voorzorgmaatregelen hebt genomen zodat bewijs last lastig is.

Maar nogmaal ik verkies liever dat dan een applicatie waarvan ik niet kan zien wat het doet terwijl het opzichzelf al mijn gegevens bevat en draait naast nog meer kritieke applicaties. Er hoeft straks maar een APT groep in te slagen de release van de overheid app te besmetten en het is gedaan met miljoenen mensen hun privacy bij de volgende update.

En als je weet hoe goed de overheid is in het bijhouden, monitoren en loggen van data dan gaan de rilingen over je rug lopen. Want weet uit ervaring dat meer dan helft van alle geschreven applicaties bij bijvoorbeeld belastingdienst geen changelogs zijn of onbekend waar die zijn opgeslagen.

Er is een reden waarom zolang bij de overheid gedaan wordt over IT vernieuwingen en een groot deel daarvan is mismanagement of het simpelweg uitbesteden van het beheer naar partijen die per uur betaald worden en helemaal geen belang hebben bij dat alles soepel verloopt want dat kost hun de gans met gouden eieren. Zorg ervoor dat je klant goed genoeg draait om niet vast te lopen maar geef ze geen kans van je af te komen. Misselijkmakend dat het is dat is wat er gebeurd.
26-01-2023, 10:26 door Anoniem
Ook zeggen dat je geen DigiD meer gaat gebruiken schuif ik ook in de categorie grootspraak. Je kunt niet zonder DigiD. Zoveel zaken (je zorgverzekering bijv.) zitten achter DigiD, en dat is dan niet optioneel.
Zover ik weet is alleen de belastingdienst waar het verplicht is te communiceren (enzo) via /mbv digid, de rest -incl. zorgverzekeraar- is het nog steeds de keus om analoog/snailmail te communiceren.

Het gaat te snel, dat digitaliseren, het wordt gezien als kostenbesparend, de te besparen €€€-tekens werkt echter verblindend en mede daardoor moet snel gedigitaliseerd worden want dat scheelt zoveel FTE aan telefonistes en andere klant/-'service'-gerichte afdelingen, papier, post, fysieke kantoren.
Wenselijkheid van de klant wordt niet nagevraagd noch nageleefd, die wordt ge-acht blij te zijn met deze 'zogenaamde vooruitgang' waar hack-na-hack duidelijk blijkt dat veiligheid van de geautomatiseerde omgeving niet de juiste prioriteit krijgt bij deze 'zogenaamde vooruitgang'.

Kijk naar de banken, die m.i. het meest gieren om elke cent winst als een dagobert duck binnen te Moeten harken; Al zoveel winst dat ze kunnen maken met het beheren van ieders geld, digitaliseren ze er op los om alle wensen van hun klanten uit te laten voeren via een portaal... door de klant zelf, €ka-tjing$. En nog is de-hiermee-gemaakte-winst niet genoeg -> contant geld is een kostenpost, ontmoedigen en anders zwaar doorberekenen aan de klant zelf,€ka-tjing$. En dan eroverheen zeggen dat het in stand houden en bijhouden van de benodigde ontwikkelingen voor de gedigitaliseerde/geautomatiseerde omgevingen kost veel geld (huh, dat was toch juist winstgevender!) dus we verhogen elk jaar de kosten om gebruik te kunnen blijven maken van 'onze services' . grrrrrr
26-01-2023, 10:27 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: SMS-2FA is onveilig als de pest ieder met beetje kennis weet dat al jaren maar het legt iedergeval geen 24/7 connectie mogelijkheid en gezien ik nooit OTP's of andere authenticatie vereisten start buiten mijn eigen huis of kantoor neem ik dat risico nog wel voorlief.
Wat is er onveilig aan gesproken sms naar een vast telefoonnummer?
Is volledig onafhankelijk van mijn mobiele telefoon, kan heel lastig gespoord worden en kan alleen vanuit mijn huis gebruikt worden.
Simswapping via socialengineering en corrupte telecom medewerkers daarom
Maakt niet uit of gesproken is of sms tekst de verificatie procedure voor omzetten van een sim naar andere telefoon is belabberd en niet wettelijk vastgelegd. En het is vaak kinderlijk eenvoudig om dus toegang te bemachtigen daartot zolang je weet wat iemands geboorte datum is volledige naam en adres.
[...]
Maar als je SIM is overgezet naar een andere telefoon, kun je zelf niet meer bellen, in ieder geval niet met een gewone telefoon met G2?

Ik zie het probleem dus niet zo.
26-01-2023, 11:19 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: SMS-2FA is onveilig als de pest ieder met beetje kennis weet dat al jaren maar het legt iedergeval geen 24/7 connectie mogelijkheid en gezien ik nooit OTP's of andere authenticatie vereisten start buiten mijn eigen huis of kantoor neem ik dat risico nog wel voorlief.
Wat is er onveilig aan gesproken sms naar een vast telefoonnummer?
Is volledig onafhankelijk van mijn mobiele telefoon, kan heel lastig gespoord worden en kan alleen vanuit mijn huis gebruikt worden.
Simswapping via socialengineering en corrupte telecom medewerkers daarom
Maakt niet uit of gesproken is of sms tekst de verificatie procedure voor omzetten van een sim naar andere telefoon is belabberd en niet wettelijk vastgelegd. En het is vaak kinderlijk eenvoudig om dus toegang te bemachtigen daartot zolang je weet wat iemands geboorte datum is volledige naam en adres.
[...]
Maar als je SIM is overgezet naar een andere telefoon, kun je zelf niet meer bellen, in ieder geval niet met een gewone telefoon met G2?

Ik zie het probleem dus niet zo.
Als je zelf niet meer kan bellen en dus ook niet meer kan identificeren als de werkelijke eigenaar van je telefoon hebben criminele toch vrijspel? Of wat dacht je van een duosim aanvraag middels social engineering of corrupte medewerker.
Vooral leuk als je account recovery dus ook via sms gaat of het aanpassen van je mail adres.
26-01-2023, 12:37 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: SMS-2FA is onveilig als de pest ieder met beetje kennis weet dat al jaren maar het legt iedergeval geen 24/7 connectie mogelijkheid en gezien ik nooit OTP's of andere authenticatie vereisten start buiten mijn eigen huis of kantoor neem ik dat risico nog wel voorlief.
Wat is er onveilig aan gesproken sms naar een vast telefoonnummer?
Is volledig onafhankelijk van mijn mobiele telefoon, kan heel lastig gespoord worden en kan alleen vanuit mijn huis gebruikt worden.
Simswapping via socialengineering en corrupte telecom medewerkers daarom
Maakt niet uit of gesproken is of sms tekst de verificatie procedure voor omzetten van een sim naar andere telefoon is belabberd en niet wettelijk vastgelegd. En het is vaak kinderlijk eenvoudig om dus toegang te bemachtigen daartot zolang je weet wat iemands geboorte datum is volledige naam en adres.
[...]
Maar als je SIM is overgezet naar een andere telefoon, kun je zelf niet meer bellen, in ieder geval niet met een gewone telefoon met G2?

Ik zie het probleem dus niet zo.
Als je zelf niet meer kan bellen en dus ook niet meer kan identificeren als de werkelijke eigenaar van je telefoon hebben criminele toch vrijspel? Of wat dacht je van een duosim aanvraag middels social engineering of corrupte medewerker.
Vooral leuk als je account recovery dus ook via sms gaat of het aanpassen van je mail adres.
Als ik niet meer kan bellen, kan ik nog wel een nieuwe SIM aanvragen, waarna de oude vervalt en ik dus weer een SMS kan ontvangen als 2FA.
27-01-2023, 22:27 door Anoniem
Door johanw: Ik weet iet waarom maar die DigiD app werkt niet op mijn telefoon. Installeren gaat prima (downloaden uit Google Play zonder account via Aurora Store) maar hij blijft hangen op het moment dat die QR code in beeld komt, dan komt hij niet verder. Heeft in het verleden wel gewerkt en andere QR code readers, bv. die van de bank app, werken goed dus aan de camera kan het niet liggen.

Voor het scannen van de QR-code gebruikt de DigiD-app de Google Play Services. En ja, die heb ik ook niet, dus bij mij werkt het ook niet. Absurd, want er zijn gewoon goede, gratis, open source libraries beschikbaar. Mijn bank heeft het inmiddels wél aangepast in hun app. Ik heb het probleem in december al aangekaart bij DigiD, met logbestanden en al om het aan te tonen, maar nog geen reactie op gekregen. Ik zou zeggen: klaag vooral ook bij DigiD hierover. Ik vind het onacceptabel.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.