image

Rekenkamer: verplicht gebruik DigiD-app lastig voor burger zonder smartphone

woensdag 29 maart 2023, 13:33 door Redactie, 73 reacties

Het verdwijnen van de sms-controle bij DigiD, waardoor burgers alleen nog via de DigiD-app bij de overheid kunnen inloggen, verplicht alle Nederlandse burgers om zich bij Apple of Google te registreren en is lastig voor burgers die niet over een smartphone beschikken of niet digitaal vaardig zijn. Daarnaast zorgt het toenemend gebruik van tweefactorauthenticatie bij DigiD dat burgers kunnen worden buitengesloten, zo waarschuwt de Rekenkamer in een vandaag verschenen rapport.

DigiD biedt gebruikers verschillende betrouwbaarheidsniveaus. Het basisniveau bestaat uit het inloggen met gebruikersnaam en wachtwoord. Dan is er ook een middenniveau, waarbij gebruik wordt gemaakt van de DigiD-app of sms-controle. Bij deze laatste methode wordt er ingelogd met gebruikersnaam en wachtwoord en een via sms verkregen code. De code die via sms wordt verkregen kan echter ook via een vaste telefoonlijn worden ontvangen.

Steeds meer organisaties, zoals het UWV, de Belastingdienst en gemeenten, vereisen steeds vaker dat burgers via het middenniveau inloggen. Het gaat dan om inloggen via sms-controle of de DigiD-app. Het gebruik van deze tweede factor is echter lastig voor mensen die niet digitaal vaardig zijn. "Niet alle burgers zijn in staat hiervan gebruik te maken. Het gevaar bestaat dat deze burgers geen toegang tot digitale overheidsdiensten hebben, terwijl deze steeds belangrijker worden", zo waarschuwt de Rekenkamer.

Een ander probleem dat in het rapport wordt genoemd is het verdwijnen van de sms-controle. "In de toekomst zal ook inloggen met sms uitgefaseerd worden. Dan is het alleen nog maar mogelijk om met de app in te loggen. Voor niet-digivaardigen is dit lastig, omdat juist zij veelal geen smartphone hebben of onvoldoende vaardig zijn om deze ten volle te kunnen gebruiken", aldus de Rekenkamer.

Het verplicht gebruik van de DigiD-app brengt ook een ander probleem met zich mee. De DigiD-app is namelijk alleen beschikbaar via de appstores van Apple en Google. "Daarvoor moet de burger zich verplicht registreren bij Google of Apple. Als sms in de toekomst is uitgefaseerd en je alleen nog maar met de app kan inloggen, zal elke burger dit moeten doen", zo stelt de Rekenkamer.

Die vindt dat de overheid steeds een afweging moet maken tussen veiligheid en toegankelijkheid. Ook zou de overheid meer ondersteuning moeten bieden aan burgers die digitaal minder vaardig zijn of ingewikkelde problemen hebben. In januari meldde staatssecretaris Van Huffelen van Digitalisering dat de sms-controle van DigiD in de toekomst bij steeds minder diensten te gebruiken is.

Image

Reacties (73)
29-03-2023, 13:41 door majortom - Bijgewerkt: 29-03-2023, 13:43
Het verplicht gebruik van de DigiD-app brengt ook een ander probleem met zich mee. De DigiD-app is namelijk alleen beschikbaar via de appstores van Apple en Google. "Daarvoor moet de burger zich verplicht registreren bij Google of Apple.
Niet alleen moet je je registreren bij Google/Apple, je moet ook verplicht het bijbehorende OS draaien (en soms zelfs wordt bepaalde HW uitgesloten, als Huawei) en de ingebouwde trackers accepteren. Men is volkomen van het padje om deze oplossingen zo aan deze 2 techbedrijven op te hangen. Genoeg mogelijkheden om dit anders op te lossen, maar men neemt zoals gewoonlijk weer de gemakkelijkste route. Eventuele burgers die dit niet kunnen of zo'n registratie niet willen worden beschouwd als collateral damage en dit wordt zonder moeite geaccepteerd.

Ik zie het wel. Desnoods gaat de belastingaangifte (het enige waarvoor ik DigiD gebruik) gewoon weer op papier.
29-03-2023, 13:47 door Erik van Straten - Bijgewerkt: 29-03-2023, 13:48
Dubbel, sorry
29-03-2023, 13:47 door Erik van Straten - Bijgewerkt: 29-03-2023, 13:48
Niet alleen is de DigiD app alleen via de app stores van Apple en Google te verkrijgen, tweaker Cerberus_tm schreef op 22 maart in https://tweakers.net/nieuws/207910/#r_18580478:
Op mijn telefoon weigert de Digid-applicatie de qr-code te lezen, tenzij ik Google Play Services heb ingeschakeld. [...]
Daarnaast, terwijl de beveiligingseisen voor burgers omhoog gaan (waarom?) gaan beveiligingseisen voor websites ("service providers") omlaag.
29-03-2023, 13:57 door Anoniem
Ik vind het sowieso een kwalijke zaak om dit soort apps op apparaten te zetten die altijd online zijn.
Was er laatst niet een "probleempje" met de ABN Amro app om maar wat te noemen.
29-03-2023, 14:04 door Anoniem
Waarom kunnen nog steeds geen gebruik maken van TOTP in een externe app? En waarom kunnen we de DigiD app alleen maar downloaden op een app store van Apple of Google..?
29-03-2023, 14:12 door Anoniem
Ik gebruik nu nog sms verificatie.
Maar als ze dat eruit gaan gooien, kan ik niet meer bij de belastingdienst inloggen.
Dan maar geen belastingaangifte... :)

Moeten ze maar fatsoenlijke email+wachtwoord logincombinatie toestaan...
29-03-2023, 14:24 door Anoniem
Door Anoniem: Ik gebruik nu nog sms verificatie.
Maar als ze dat eruit gaan gooien, kan ik niet meer bij de belastingdienst inloggen.
Dan maar geen belastingaangifte... :)

Moeten ze maar fatsoenlijke email+wachtwoord logincombinatie toestaan...
Je kan het altijd nog een papieren aangifte gebruiken.
29-03-2023, 14:32 door Anoniem
Wat is er nu mis met een browser en 2fa (google authenticator of ms of ...) ? zeker met noscript /ghostery ed. als extra

Waarom moet er overal maar een black box app voor komen? Zeker voor zo iets kritisch als communicatie met overheid.

Dezelfde overheid zou er voor moeten zorgen dat er altijd meerdere mogelijkheden zijn om dit uit te voeren.
29-03-2023, 14:34 door Anoniem
Door Anoniem:
Maar als ze dat eruit gaan gooien, kan ik niet meer bij de belastingdienst inloggen.
Dan maar geen belastingaangifte... :)

Moeten ze maar fatsoenlijke email+wachtwoord logincombinatie toestaan...
Nee, dan moet jij maar de papieren versie aanvragen, zal de overheid zeggen.
29-03-2023, 14:40 door Erik van Straten - Bijgewerkt: 29-03-2023, 14:44
Door Anoniem: Waarom kunnen nog steeds geen gebruik maken van TOTP in een externe app?
Omdat niet iedereen een smartphone heeft en wil hebben, en er malware (vooral voor oudere Android smartphones) in omloop is die TOTP codes afkijkt en naar criminelen stuurt. Bovendien is TOTP in de praktijk bijna net zo onveilig als 2FA via SMS en het risico op account lockout groot is omdat bijv. Google Authenticator geen back-ups maakt van de shared secrets (en de apps die dat wel doen, zoals Authy, dat hartstikke onveilig doen). Zie https://www.security.nl/posting/778668/TOTP+Authenticators+drama

Door Anoniem: En waarom kunnen we de DigiD app alleen maar downloaden op een app store van Apple of Google..?
Omdat anders de kans nog groter is dat nietsvermoedende burgers "lijkt als twee druppels water op" apps downloaden waar criminelen vervolgens de identiteit van die nietsvermoedende burgers mee kapen.
29-03-2023, 14:41 door Anoniem
Door Erik van Straten: Niet alleen is de DigiD app alleen via de app stores van Apple en Google te verkrijgen

Een Murena heeft in de Lounge een anonieme Google account, zonder trackers. Via die anonieme Google account kun je de DigiD, CoronaCheck en bank app kosteloos verkrijgen. Eventuele trackers in die apps kun je onder /e/OS blokkeren.

tweaker Cerberus_tm schreef op 22 maart: Op mijn telefoon weigert de Digid-applicatie de qr-code te lezen.

Een DigiD koppelcode is inderdaad nog problematisch. Dat ligt vermoedelijk aan de veiligheidsmaatregelen van DigiD zelf, dat een "afwijkend" Andoid systeem met microG detecteerd. Voor de rest werkt DigiD onder /e/OS zelf prima.
29-03-2023, 14:45 door Anoniem
Door Anoniem: Ik gebruik nu nog sms verificatie.
Maar als ze dat eruit gaan gooien, kan ik niet meer bij de belastingdienst inloggen.
Dan maar geen belastingaangifte... :)

Moeten ze maar fatsoenlijke email+wachtwoord logincombinatie toestaan...

En daarna klagen dat je inloggegevens buit zijn gemaakt waardoor er ineens grootschalige fraude gepleegd wordt.
29-03-2023, 14:58 door Anoniem
Het zou mij niet verbazen als de DigiD App per inlogpoging, goedkoper is als de DigiD (gesproken) SMS. En dat alleen daarop de keuze voor de App is gebaseerd.

Dat je een iPhone van 800 euro moet kopen (voor vijf jaar updates) zijn niet de kosten van de overheid, dus ook niet hun probleem. Het vervelende van de gesproken SMS is dat je je niet kan laten helpen in de bibliotheek om je overheidszaken te doen. Want zoveel bereik heeft je Dect telefoon niet tenzij je naast de bibliotheek woont.
29-03-2023, 15:33 door Anoniem
Ze moeten op zijn minst de APK publiceren, en tevens banken ook dwingen hun apps buiten de stores te publiceren. Het zou verboden moeten zijn om burgers en klanten te forceren een contract te sluiten met derde partijen, zoals Google en Apple in dit geval.
29-03-2023, 15:39 door majortom - Bijgewerkt: 29-03-2023, 15:42
Door Anoniem:
Door Erik van Straten: Niet alleen is de DigiD app alleen via de app stores van Apple en Google te verkrijgen

Een Murena heeft in de Lounge een anonieme Google account, zonder trackers. Via die anonieme Google account kun je de DigiD, CoronaCheck en bank app kosteloos verkrijgen. Eventuele trackers in die apps kun je onder /e/OS blokkeren.
Ik draai zelf /e/OS maar weet niet of ik kritieke applicaties (zoals DigiD of bank apps) via die weg wil gebruiken. Je moet dan weer onbegrensd vertrouwen hebben in deze tussenproxy. Op dit moment valt het kwartje zo dat ik het niet doe. Ik gebruik alleen niet kritieke of offline applicaties. Ik zou overwegen om een kritieke applicatie te gebruiken als ik een mogelijkheid had om te verifieren dat de APK echt de APK is die het zou moeten zijn (bijvoorbeeld dmv een signature of cryptografische hash). Deze zou dan natuurlijk vanuit de oorspronkelijke uitgever van de app verstrekt moeten worden.
29-03-2023, 15:56 door Anoniem
#Van Huffelen: Ik wil graag mijn belasting-bijdrage inzetten op een open-source programma die los staat van Google of welk buitenlands, privaat bedrijf dan ook. Open-source was/is toch ook jullie streven?
29-03-2023, 16:06 door Anoniem
Door majortom: Ik draai zelf /e/OS maar weet niet of ik kritieke applicaties (zoals DigiD of bank apps) via die weg wil gebruiken. Je moet dan weer onbegrensd vertrouwen hebben in deze tussenproxy.

Wie weet staan de broncodes van de DigiD en bank app binnenkort gewoon openbaar ter inzage in de F-Droid store? :)

https://www.security.nl/posting/760566/Overheid+onderzoekt+openbaar+maken+van+broncode+DigiD-app


Liever zou ik voor DigiD een goedkope hardware identificator hebben, die alleen werkt als ik mijn geldige ID-kaart, vingerafdruk en PIN-code bij de hand heb. Thans heb ik een peperdure mobiel voor dat doel thuis in de bureaula liggen.
29-03-2023, 16:09 door Anoniem
[quoteo]verplicht alle Nederlandse burgers om zich bij Apple of Google te registreren en is lastig voor burgers die niet over een smartphone beschikken of niet digitaal vaardig zijn.[/quote]
Niet digitaal vaardig?!? ik ben heel erg digitaalvaardig, alleen vind ik de voorwaarden van zowel Apple als Google absoluut onacceptabel ! Het kan niet zo zijn dat je om bij de overheid in te kunnen loggen je een overeenkomst met een private partij moet aangaan.
Zorg eerst maar eens dat DigiD als volledig vrije opensource software beschikbaar is en op alle enigzins gangbare systemen werkt, zonder trackers.

Zie https://reports.exodus-privacy.eu.org/en/reports/nl.rijksoverheid.digid.pub/latest/
29-03-2023, 16:09 door Anoniem
Door Anoniem: Waarom kunnen nog steeds geen gebruik maken van TOTP in een externe app? En waarom kunnen we de DigiD app alleen maar downloaden op een app store van Apple of Google..?
Omdat erg onveilig is.
29-03-2023, 16:15 door Anoniem
Door Anoniem:
Door Anoniem: Waarom kunnen nog steeds geen gebruik maken van TOTP in een externe app? En waarom kunnen we de DigiD app alleen maar downloaden op een app store van Apple of Google..?
Omdat erg onveilig is.

1) F-droid is veel veiliger dan de Google playstore en de Apple App store. Het aantal malicious apps ooit gevonden in FDroid is 0
2) TOTP is veel veiliger dan SMS 2FA
29-03-2023, 16:21 door Anoniem
Door Anoniem:
Door Erik van Straten: Niet alleen is de DigiD app alleen via de app stores van Apple en Google te verkrijgen

Een Murena heeft in de Lounge een anonieme Google account, zonder trackers. Via die anonieme Google account kun je de DigiD, CoronaCheck en bank app kosteloos verkrijgen. Eventuele trackers in die apps kun je onder /e/OS blokkeren.

Op mijn telefoon met /e/os MicroG werkt DigiD sinds een jaar of anderhalf na updates niet meer. Op het moment dat ik de QR-code moet scannen gebeurt er niks. Ik moet dan een oude telefoon met GMS/Google Play pakken, dan werkt het wel.

Mocht jij of een andere lezer wel een volledig werkende DigiD app hebben via MicroG, dan ben ik wel benieuwd naar de versie van Android en MicroG.
29-03-2023, 16:37 door Erik van Straten
Door Anoniem: Zorg eerst maar eens dat DigiD als volledig vrije opensource software beschikbaar is en op alle enigzins gangbare systemen werkt, zonder trackers.
Dat eisen is nogal egoïstisch. Immers, er zullen dan gebackdoorde klonen op "vrije" app-stores verschijnen en nitwits zullen middels phishing worden overgehaald om die te installeren (bijv. omdat deze "Google-tracking-vrij" zouden zijn).

En als je zelf gedownloade binaries installeert heb je geen idee of zo'n binary is gemaakt met 100% van de gepubliceerde sources, en als je zelf compileert loop je het risico dat je belangrijke updates (of niet gepubliceerde beveiligingsmaatregelen) mist.

Ook blijkt het in de praktijk vooral wishful thinking dat de open source "community" dag en nacht zoekt naar kwetsbaarheden en andere onvolkomenheden in vrij beschikbare broncode en daar slim genoeg voor is (ik ben zeker niet tegen open source, maar dit aspect wordt schromelijk overschat).

Het gras aan de overkant is niet altijd groener.
29-03-2023, 16:56 door Anoniem
en is lastig voor burgers die niet over een smartphone beschikken
Vreemde opmerking, of willen ze hebben dat er ook een inlog komt voor de pc.
29-03-2023, 17:13 door Anoniem
De aanname is dat SMS zo onveilig is, maar dat is maar relatief:
in de praktijk valt dat enorm mee, aangezien je om in te loggen
al de juiste inlognaam en het juiste wachtwoord moet invullen.
29-03-2023, 17:17 door Anoniem
Door majortom:
Het verplicht gebruik van de DigiD-app brengt ook een ander probleem met zich mee. De DigiD-app is namelijk alleen beschikbaar via de appstores van Apple en Google. "Daarvoor moet de burger zich verplicht registreren bij Google of Apple.
Niet alleen moet je je registreren bij Google/Apple, je moet ook verplicht het bijbehorende OS draaien (en soms zelfs wordt bepaalde HW uitgesloten, als Huawei) en de ingebouwde trackers accepteren. Men is volkomen van het padje om deze oplossingen zo aan deze 2 techbedrijven op te hangen. Genoeg mogelijkheden om dit anders op te lossen, maar men neemt zoals gewoonlijk weer de gemakkelijkste route. Eventuele burgers die dit niet kunnen of zo'n registratie niet willen worden beschouwd als collateral damage en dit wordt zonder moeite geaccepteerd.

Ik zie het wel. Desnoods gaat de belastingaangifte (het enige waarvoor ik DigiD gebruik) gewoon weer op papier.
Bij mij gaat ie nog steeds op papier, gaat prima. Leef ook bewust zonder smartphone om niet verslaafd te worden.
29-03-2023, 17:35 door Anoniem
Ze maken digitaal doolhof met met van die monstertjes die happend achter je aanrennen, hoe heten die ook alweer, o ja, Pac-Man. Steeds ingewikkelder en onveiliger, next-level, next-level. Dus moeten er weer patches, extra sleutels, open source, verplichte winkelnering bij AppleGoogle, dan liggen je gegevens daar weer intern op straat.
Apps waarbij je je "voor je eigen veiligheid moet registreren".
Doet me denken een protection racket van de mafia, als uns niet betaald kunnen wij u niet beschermen.
Hoeveel landen zit Google, 100 of zo.
Absoluut veilig hoor want alles geanonymiseerd aleen kunnen ze het zoweer deanonimisieren. In 1 van die 100 landen dus.

Belastingdienst: "Leuker kunnen we het niet maken, wel onveiliger."
Hoera.
@Huffelen en al die andere Rutte-jokers maar zeggendat ze privacy zoooo belangrijk vinden.
Stuur ze allemal met hun smartphones naar een eiland waar de hungergames gespeeld worden.
Opdracht log in zonder dat iemand het merkt anders word je tussen de krokodillen gegooid.
Zie je ze een voor een tussen de rooie bubbels verdwijenne. Help help mijn broncode is gekraakt!
Haha loser laat de krokodillen t maar goed smaken.
Hoe heeet dat ook alweer o ja krokodilletranen.
29-03-2023, 17:41 door Anoniem
Ik heb geen behoefte om een ander te machtigen om dingen voor mij te regelen; ik vertrouw een ander niet. Ik heb geen controle over de persoon en de situatie waarin deze functioneert (mogelijk slechte omgang met vertrouwelijke gegevens, onvoldoende beveiligde computer/smartphone/netwerk/werksituatie). Ik wil zelf de dingen regelen, maar ik heb geen smartphone.

Een smartphone is net zo lek als een computer, maar een smartphone is veel korter up-to-date te houden dan een computer, waar diverse linux operating systemen jarenlang de computer operationeel kan houden zonder dat het iets kost. En dat is met een smartphone niet mogelijk; je bent overgeleverd aan de nukken van de producent en softwareleveranciers die het liefst flink verdienen aan het regelmatig verkopen van een nieuw product.

Zorg als overheid dan ervoor dat in ieder geval op een open computerplatform zoals linux een gratis verificatie mogelijk wordt zonder daarbij overgeleverd te worden aan partijen als google en apple die je identiteit commercieel exploiteren. Het akkoord moeten gaan met gebruikersvoorwaarden van externe partijen is voor mij een no-go.

De toekomstige europese electronische identiteit inzetten voor allerlei toepassingen waar marktpartijen behoefte aan hebben, doet mij het ergste vrezen voor mijn privacy en veiligheid tegen misbruik.

Natuurlijk zou een inzet voor communicatie met de overheid een acceptabele toepassing kunnen zijn, maar wanneer dit gelijk weer gekoppeld wordt aan een machtiging aan anderen om dingen voor je te regelen, dan verlies je totaal de controle over wat er in jouw naam allemaal wordt gedaan en dat is nou net iets wat je in vele oplichtingssituaties bij bijvoorbeeld bankfraude ziet gebeuren.
29-03-2023, 17:57 door Anoniem
Je kunt en mag je niet eens uitschrijven als staatsburger. Je hebt er maar mee te doen. Wel een mooie boekenclub zo, die staat. Met allemaal leden die hun abonnement niet op mogen zeggen. En een zooitje ambtenaren die het lekker vinden om u moet door het loket te zeggen.
29-03-2023, 18:12 door Anoniem
Door Anoniem: De aanname is dat SMS zo onveilig is, maar dat is maar relatief:
in de praktijk valt dat enorm mee, aangezien je om in te loggen
al de juiste inlognaam en het juiste wachtwoord moet invullen.
SMS is de meest onveilige authenticatiemethode, van alle MFA methodes: https://danielmiessler.com/blog/casmm-consumer-authentication-security-maturity-model/
29-03-2023, 18:22 door eMilt
Als je er even over nadenkt is het allereerst al inderdaad raar natuurlijk dat je of een Apple account of een Google account moet hebben en een app moet installeren om digitaal zaken te kunnen doen met de overheid. Maar goed...

De DigiD app laat helaas ook te wensen over. Zo is de app op iOS alleen geschikt voor iPhones. Je kan de app wel installeren op een iPad maar het ziet er niet uit. Dan heb je het volgende probleem dat een iPad door meerdere mensen in een gezin gebruikt wordt maar de DigiD app maar door één persoon kan worden geactiveerd. Ik weet wel, Apple schiet hier ook tekort door geen multi-user omgeving te bieden maar dit kan natuurlijk ook in de DigiD app ingebouwd worden.

Als je dan op de iPad naar een website gaat waar je moet inloggen met DigiD zegt hij dat je de code moet scannen met je telefoon. Mmmm, nee... ik heb de DigiD app op deze iPad! Dit schijnt te komen omdat de DigiD website niet kan detecteren dat het om een iPad gaat en dus niet de optie geeft om in te loggen met de app op dit apparaat. Dit is een probleem wat Apple heeft gecreeerd door een optie voor Safari op iPad standaard aan te zetten welke ervoor zorgt de user agent string wordt gefaked zodat het een desktop browser lijkt. Door dit uit te zetten of door expliciet om een mobiele versie van de website te vragen (via AA icoontke) kan je wel inloggen via de DigiD app op dezelfde iPad.
Natuurlijk moet Apple deze optie standaard niet meer aan zetten. De meeste websites zijn tegenwoordig wel responsive en die dat nog niet zijn moeten maar wat haat gaan krijgen van hun gebruikers. Maar de DigiD website kan hier ook wel wat handiger mee omgaan en standaard toch altijd de optie voor "inloggen met de DigiD app op dit apparaat" tonen of op z'n minst een linkje met "Probeert u in te loggen vanaf een tablet/iPad?" en dan alsnog de optie "inloggen met de DigiD app op dit apparaat" te tonen.

Als SMS 2FA gaat verdwijen dan kan bijvoorbeeld mijn moeder geen belastingaangifte meer doen. De app op hun iPad is gekoppeld aan mijn vader. Ze hebben allebei geen smartphone en willen die ook niet (allebei 85+). Verder moet de overheid ook maar eens goed nadenken of ze iedere Nederlander wel willen verplichten een Apple of Google account aan te laten maken.
29-03-2023, 18:51 door Anoniem
Door Anoniem: De aanname is dat SMS zo onveilig is, maar dat is maar relatief:
in de praktijk valt dat enorm mee, aangezien je om in te loggen
al de juiste inlognaam en het juiste wachtwoord moet invullen.
Dat weten de deskundigen die SMS niet meer goed genoeg vinden echt wel. Ze bedoelen dat de combinatie inlognaam, wachtwoord en SMS niet meer goed genoeg is.
29-03-2023, 19:28 door Anoniem
Ik heb geen google of Apple. dat wil ik niet in huis. Ik hou van veiligheid en privacy (dus linux phone in mijn beheer met security hardware kill switches firewalls en wat minor bugs ofc)

Sms controle kan ik mee leven zeker in combi met een eigen username+ww veilig in een password manager die niet ONLINE cloudy etc is. weinig kans tenzij iemand je specifiek target en beide systemen kan kapen ofzo.

maar we kunnen misschien gewoon 2fa via de open source authenticators doen. hell je kan het zelf binnen een middag implementeren.

maar nee. laten we een digid-dom app maken, met trackers natuurlijk (ik geloof niet dat er geen GA of andere meuk in zit, dat is zo standaard in alles). Oh en dat op een smartphone... het malware en missende security updates paradijs. liefst natuurlijk achter een wachtwoord met welgeteld 4 of 5 cijfers of een duim of gezicht...

En natuurlijk zoals genoemd wordt een verplichte link tussen JOUW burgerschap als NEDERLANDER met een US bedrijf wat al megavaak in opspraak over privacy gekomen is.. dit is geen goed idee dit is een horror novella.

En maar roepen dit is veiliger... als ik ga redeneren zijn we straks weer terug bij pincode over de schouder afkijken en jatten dat pasje (phone)

Goed dat de rekenkamer een rapport maakt, nu nog de digibeten van de kamer/rijksoverheid IT overtuigen dat dit mega dom is.
29-03-2023, 21:19 door Anoniem
Je kunt op de iPad per site instellen dat Safari zich niet als desktop versie moet voordoen, dan kun je inloggen met de DigiD app op de desbetreffende iPad. Kom daar maar eens achter als gewone gebruiker. Ik heb het al voor diverse mensen moeten instellen. Het lijkt me dat die app daar op zou moeten wijzen en stap voor stap zou moeten uitleggen hoe je een en ander goed instelt.

De DigiId site kan niet zien dat het een iPad is, maar de geïnstalleerde app wel.

Dit is wat de iPad meldt:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.4 Safari/605.1.15
29-03-2023, 21:25 door Anoniem
alle reacties hier zijn prima, maar je bereikt er niets mee tenzij je de staatssecretaris even een linkje stuurt. oftewel allemaal schreeuwen in een vacuum.
29-03-2023, 21:54 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Waarom kunnen nog steeds geen gebruik maken van TOTP in een externe app? En waarom kunnen we de DigiD app alleen maar downloaden op een app store van Apple of Google..?
Omdat erg onveilig is.

1) F-droid is veel veiliger dan de Google playstore en de Apple App store. Het aantal malicious apps ooit gevonden in FDroid is 0
2) TOTP is veel veiliger dan SMS 2FA
Door Anoniem:
Door Anoniem:
Door Anoniem: Waarom kunnen nog steeds geen gebruik maken van TOTP in een externe app? En waarom kunnen we de DigiD app alleen maar downloaden op een app store van Apple of Google..?
Omdat erg onveilig is.

1) F-droid is veel veiliger dan de Google playstore en de Apple App store. Het aantal malicious apps ooit gevonden in FDroid is 0
2) TOTP is veel veiliger dan SMS 2FA
Helemaal mee eens! Tis echt belachelijk dat we in 2023 gedwongen worden om de 2FA met SMS of die Digid App te gebruiken. Ik wil geen van beiden gebruiken en dat moet mijn goed recht zijn! Ze zeggen dat TOTP niet veilig is maar dat kun je ook van die SMS en digid app zeggen, die TOTP kan je teminste wel met opensource apps gebruiken die geverifierd en herproduceerd worden door mensen die daar de kennis en tijd voor hebben. Die Digid app is dat niet echt dus dan kan je ook niet bewijzen dat die wel veilig is. Er zou zoo ver we weten in het ergste geval pegasus of andere malware in kunne zitte. Met die sms ping je je locatie zwz al telkens als je die gebruikt wat totaal niet privacy vriendelijk is als je er over na denkt. En wat digid betreft, daar las ik een tijdje geleden over dat die deels open source was gemaakt via pdf of screenshots. Wie doet zoo iets nou ? Waarom niet gwn netjes een apk en de broncode op github of gitlab waar iedereen die code nakijkt zit ? Zelfde voor dat van we wille open source zijn. Ik denk dat dat gwn met de hype mee gaan is. Ik vind het een mooi betoog maar als ze dat echt wouden zouden ze die hele same werking met Logius en buitelandse hosting providers stop zetten en net als onze Duitse buren dat doen alles local in binneland op belasting betaalde servers zetten en voor het bewaren van en over nederlandse burgers naar open source alternatieven gaan zoals nextcloud bvb. We hebben genoeg slimme mensen hier in nederland die dat waar zoude kunne maken en dus zolang dat niet gebeurd vertrouw ik de apps niet en ben en blijf ik van mening dat mijn persoonlijke data misbruikt word door het tegen mijn wil en zonder mijn toesteming te verplaatsen van mijn persoonlijke data naar andere landen (buiten europa) op plekken waarvan ik het NIET eens mee ben. Zelfs als het iets meer geld zou kosten (wat ik niet denk) zou het teminste deels gaan naar zelf gecreerde banen voor burgers die dat geld weer deels in onze eigen economie zouden uitgeven inplaats van het voor altijd te parkeren op een bank rekening van een of andere tech gigant.
29-03-2023, 22:10 door Anoniem
Door eMilt: Verder moet de overheid ook maar eens goed nadenken of ze iedere Nederlander wel willen verplichten een Apple of Google account aan te laten maken.

Gezien het beleid van 20 jaar kabinetten Balkenende en Rutte, en hun sch**t aan de privacy van burgers, zal het antwoord Ja" zijn.

Als de politiek open source en onafhankelijkheid van big tech voor de burger en bedrijfsleven echt zo belang zou vinden, waarom is Logius dan niet al lang geleden gedwongen om een open source en/of platform onafhankelijke versie, of een Linux versie van digiD beschikbaar te stellen aan de samenleving.

Overheid en ICT: "Dat we iets kunnen maken is al heel wat, dus zeur niet continue over de mankementen".
29-03-2023, 22:53 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Waarom kunnen nog steeds geen gebruik maken van TOTP in een externe app? En waarom kunnen we de DigiD app alleen maar downloaden op een app store van Apple of Google..?
Omdat erg onveilig is.

1) F-droid is veel veiliger dan de Google playstore en de Apple App store. Het aantal malicious apps ooit gevonden in FDroid is 0
2) TOTP is veel veiliger dan SMS 2FA
Door Anoniem:
Door Anoniem:
Door Anoniem: Waarom kunnen nog steeds geen gebruik maken van TOTP in een externe app? En waarom kunnen we de DigiD app alleen maar downloaden op een app store van Apple of Google..?
Omdat erg onveilig is.

1) F-droid is veel veiliger dan de Google playstore en de Apple App store. Het aantal malicious apps ooit gevonden in FDroid is 0
2) TOTP is veel veiliger dan SMS 2FA
Helemaal mee eens! Tis echt belachelijk dat we in 2023 gedwongen worden om de 2FA met SMS of die Digid App te gebruiken. Ik wil geen van beiden gebruiken en dat moet mijn goed recht zijn! Ze zeggen dat TOTP niet veilig is maar dat kun je ook van die SMS en digid app zeggen, die TOTP kan je teminste wel met opensource apps gebruiken die geverifierd en herproduceerd worden door mensen die daar de kennis en tijd voor hebben. Die Digid app is dat niet echt dus dan kan je ook niet bewijzen dat die wel veilig is. Er zou zoo ver we weten in het ergste geval pegasus of andere malware in kunne zitte. Met die sms ping je je locatie zwz al telkens als je die gebruikt wat totaal niet privacy vriendelijk is als je er over na denkt. En wat digid betreft, daar las ik een tijdje geleden over dat die deels open source was gemaakt via pdf of screenshots. Wie doet zoo iets nou ? Waarom niet gwn netjes een apk en de broncode op github of gitlab waar iedereen die code nakijkt zit ? Zelfde voor dat van we wille open source zijn. Ik denk dat dat gwn met de hype mee gaan is. Ik vind het een mooi betoog maar als ze dat echt wouden zouden ze die hele same werking met Logius en buitelandse hosting providers stop zetten en net als onze Duitse buren dat doen alles local in binneland op belasting betaalde servers zetten en voor het bewaren van en over nederlandse burgers naar open source alternatieven gaan zoals nextcloud bvb. We hebben genoeg slimme mensen hier in nederland die dat waar zoude kunne maken en dus zolang dat niet gebeurd vertrouw ik de apps niet en ben en blijf ik van mening dat mijn persoonlijke data misbruikt word door het tegen mijn wil en zonder mijn toesteming te verplaatsen van mijn persoonlijke data naar andere landen (buiten europa) op plekken waarvan ik het NIET eens mee ben. Zelfs als het iets meer geld zou kosten (wat ik niet denk) zou het teminste deels gaan naar zelf gecreerde banen voor burgers die dat geld weer deels in onze eigen economie zouden uitgeven inplaats van het voor altijd te parkeren op een bank rekening van een of andere tech gigant.
Door Erik van Straten:
Door Anoniem: Zorg eerst maar eens dat DigiD als volledig vrije opensource software beschikbaar is en op alle enigzins gangbare systemen werkt, zonder trackers.
Dat eisen is nogal egoïstisch. Immers, er zullen dan gebackdoorde klonen op "vrije" app-stores verschijnen en nitwits zullen middels phishing worden overgehaald om die te installeren (bijv. omdat deze "Google-tracking-vrij" zouden zijn).

En als je zelf gedownloade binaries installeert heb je geen idee of zo'n binary is gemaakt met 100% van de gepubliceerde sources, en als je zelf compileert loop je het risico dat je belangrijke updates (of niet gepubliceerde beveiligingsmaatregelen) mist.

Ook blijkt het in de praktijk vooral wishful thinking dat de open source "community" dag en nacht zoekt naar kwetsbaarheden en andere onvolkomenheden in vrij beschikbare broncode en daar slim genoeg voor is (ik ben zeker niet tegen open source, maar dit aspect wordt schromelijk overschat).

Het gras aan de overkant is niet altijd groener.
systemen werkt, zonder trackers.

Dat eisen is nogal egoïstisch. Immers, er zullen dan gebackdoorde klonen op "vrije" app-stores verschijnen en zullen middels phishing worden overgehaald om die te installeren (bijv. omdat deze "Google-tracking-vrij" zouden zijn).

Door Erik van Straten:
Door Anoniem: Zorg eerst maar eens dat DigiD als volledig vrije opensource software beschikbaar is en op alle enigzins gangbare systemen werkt, zonder trackers.
Dat eisen is nogal egoïstisch. Immers, er zullen dan gebackdoorde klonen op "vrije" app-stores verschijnen en nitwits zullen middels phishing worden overgehaald om die te installeren (bijv. omdat deze "Google-tracking-vrij" zouden zijn).

En als je zelf gedownloade binaries installeert heb je geen idee of zo'n binary is gemaakt met 100% van de gepubliceerde sources, en als je zelf compileert loop je het risico dat je belangrijke updates (of niet gepubliceerde beveiligingsmaatregelen) mist.

Ook blijkt het in de praktijk vooral wishful thinking dat de open source "community" dag en nacht zoekt naar kwetsbaarheden en andere onvolkomenheden in vrij beschikbare broncode en daar slim genoeg voor is (ik ben zeker niet tegen open source, maar dit aspect wordt schromelijk overschat).

Het gras aan de overkant is niet altijd groener.
Wat is daar dan egoïstisch aan ? Op alle producten in de winkel zitte tog ook de ingredienten vermeld zodat je kan zien wat er in zit ? Bij (de meeste) medicijnen zit tog ook de bijsluiter en gebruikers aanwijzing ? Dat arguement dat de "nitwits" clonen gaan downloaden is aleen als je ze niet informeerd. Ik bedoel waarom zouden we niet gwn een campanjes op de radio's in kranten, bushokjes en borden op de snelwegen en overal waar maar kan starten voor de gevaren van gevaarlijke virusen in de cyberwereld zoals we dat de laaste 3 jaar hebben gedaan in de echte wereld ?

"En als je zelf gedownloade binaries installeert heb je geen idee of zo'n binary is gemaakt met 100% van de gepubliceerde sources, en als je zelf compileert loop je het risico dat je belangrijke updates (of niet gepubliceerde beveiligingsmaatregelen) mist." Tis duidelijk dat jij het nog steeds niet snapt. Daar gaat het helemaal niet om. Het gaat er om dat als deze gozer als nederlandse burger en mee betaler WIL na kijken en verifieren, die optie er ook is en word gegeven en er niet zo achterdochtig gedaan moet worden terwijl je iets gegeven word (of verwacht word dat je iets gebruikt) waarvan je geen idee hebt wat het is. Transparentie, openheid en eerlijkheid dingen waarover veel word gepraat maar die in de praktijk hard zijn te vinde tegen woordig.

"Ook blijkt het in de praktijk vooral wishful thinking dat de open source "community" dag en nacht zoekt naar kwetsbaarheden en andere onvolkomenheden in vrij beschikbare broncode en daar slim genoeg voor is (ik ben zeker niet tegen open source, maar dit aspect wordt schromelijk overschat)." Voor iemand die overkomt als iemand die wel bekend is met computers lijk je wel alemaal questies op te brengen die helemaal geen probleem hore te zijn en elke ICT stagaire wel oplossing weet. In dit geval is het een woord genaamd "Bugbounties" het spreekt voor zich zelf. Hoe hoger de bounty hoe makelijker de bugs worden gevonden en gepatched. En sinds deze regering die practisch de zelfde regering als de vorige is al heeft bewezen dat als het om besmettelijke virussen gaat met geld smijten geen probleem is hoord dit punt wat je hier op brengt het minste van onze zorgen en problemen te zijn.

"Het gras aan de overkant niet altijd groener." Zeker niet als men het niet wil laten zien of loopt te verschuilen !
29-03-2023, 23:07 door Anoniem
Door Anoniem: alle reacties hier zijn prima, maar je bereikt er niets mee tenzij je de staatssecretaris even een linkje stuurt. oftewel allemaal schreeuwen in een vacuum.
Lol een linkje stuurt naar welke staatssecretaris ? Bedoel je die mevrouw van huffelen die net terug is van het VOOR stemmen over (de door de 2e kamer TEGEN/WEG gestemde) digitale euro in brussel ? Die mailtjes van ons zullen zeker verschil maken ja.
29-03-2023, 23:50 door Briolet
…waarbij gebruik wordt gemaakt van de DigiD-app of sms-controle.

Het kan natuurlijk ook beide. (app én sms) De laatste twee keer dat ik de app gebruikte gaf hij steeds een fout bij het genereren van de code. Gelukkig zat er in de app ook een optie om de code via een sms-je te verkrijgen. De app is dus niet fool-proof als ook daar de sms optie eruit gaat.
30-03-2023, 08:24 door Anoniem
Door Anoniem:
Door Anoniem: Ik gebruik nu nog sms verificatie.
Maar als ze dat eruit gaan gooien, kan ik niet meer bij de belastingdienst inloggen.
Dan maar geen belastingaangifte... :)

Moeten ze maar fatsoenlijke email+wachtwoord logincombinatie toestaan...
Je kan het altijd nog een papieren aangifte gebruiken.

Yeah right die ze daarna tot tig keren zogenaamd niet ontvangen of kwijt zijn. Tis een gigantische bende bij de belastingdienst!
30-03-2023, 08:57 door Anoniem
Door Erik van Straten:
Door Anoniem: Waarom kunnen nog steeds geen gebruik maken van TOTP in een externe app?
Omdat niet iedereen een smartphone heeft en wil hebben, en er malware (vooral voor oudere Android smartphones) in omloop is die TOTP codes afkijkt en naar criminelen stuurt. Bovendien is TOTP in de praktijk bijna net zo onveilig als 2FA via SMS en het risico op account lockout groot is omdat bijv. Google Authenticator geen back-ups maakt van de shared secrets (en de apps die dat wel doen, zoals Authy, dat hartstikke onveilig doen). Zie https://www.security.nl/posting/778668/TOTP+Authenticators+drama

Door Anoniem: En waarom kunnen we de DigiD app alleen maar downloaden op een app store van Apple of Google..?
Omdat anders de kans nog groter is dat nietsvermoedende burgers "lijkt als twee druppels water op" apps downloaden waar criminelen vervolgens de identiteit van die nietsvermoedende burgers mee kapen.
Hm wat is didig dan anders dan heel dure google login...( oauth).
30-03-2023, 09:12 door Anoniem
Door Anoniem: [quoteo]verplicht alle Nederlandse burgers om zich bij Apple of Google te registreren en is lastig voor burgers die niet over een smartphone beschikken of niet digitaal vaardig zijn.

Niet digitaal vaardig?!? ik ben heel erg digitaalvaardig, alleen vind ik de voorwaarden van zowel Apple als Google absoluut onacceptabel ! Het kan niet zo zijn dat je om bij de overheid in te kunnen loggen je een overeenkomst met een private partij moet aangaan.
Zorg eerst maar eens dat DigiD als volledig vrije opensource software beschikbaar is en op alle enigzins gangbare systemen werkt, zonder trackers.

Zie https://reports.exodus-privacy.eu.org/en/reports/nl.rijksoverheid.digid.pub/latest/[/quote]
Dat identificatie bij derden plaatsen is al jaren gaande. Bedrijfs functionarissen moeten zich bij derden registreren voor overheids interacties, ivm aangifte belastingen, kvk etc.
Al zit daar nog geen tracker aan vast.

Maar het dark pattern van de overheid zou hier wel eens kunnen zijn dat iedereen linksom of rechtsom getracked moet kunnen worden. Omdat ik de gedwongen winkelnering bij Google Apple niet anders kan duiden.
De verplichte digidapp vereist dus als alternatief dat je iemand met app machtigd voor digid gevoelige zaken, en die nemen ook toe. Kortom het is m.i. wachten op digid fraude service door criminelen.
30-03-2023, 10:09 door Anoniem
Door Erik van Straten:
Door Anoniem: Zorg eerst maar eens dat DigiD als volledig vrije opensource software beschikbaar is en op alle enigzins gangbare systemen werkt, zonder trackers.
Dat eisen is nogal egoïstisch. Immers, er zullen dan gebackdoorde klonen op "vrije" app-stores verschijnen en nitwits zullen middels phishing worden overgehaald om die te installeren (bijv. omdat deze "Google-tracking-vrij" zouden zijn).

En als je zelf gedownloade binaries installeert heb je geen idee of zo'n binary is gemaakt met 100% van de gepubliceerde sources, en als je zelf compileert loop je het risico dat je belangrijke updates (of niet gepubliceerde beveiligingsmaatregelen) mist.

Ook blijkt het in de praktijk vooral wishful thinking dat de open source "community" dag en nacht zoekt naar kwetsbaarheden en andere onvolkomenheden in vrij beschikbare broncode en daar slim genoeg voor is (ik ben zeker niet tegen open source, maar dit aspect wordt schromelijk overschat).

Het gras aan de overkant is niet altijd groener.
Eisen v[r F-Droid zijn o.a. dat er reproducible builds bestaan...
Ie als ik bouw is alleen de link date anders, maar alle code byte voor byte gelijk.
Ook is duidelijk dat closed source geen of slechts heel beperkt veilige software oplevert... (windows)
OpenBSD heeft een aardig trackrecord, en als closed source tegenhanger OpenVMS.
30-03-2023, 10:38 door Anoniem
Door Anoniem:
Door Anoniem: De aanname is dat SMS zo onveilig is, maar dat is maar relatief:
in de praktijk valt dat enorm mee, aangezien je om in te loggen
al de juiste inlognaam en het juiste wachtwoord moet invullen.
SMS is de meest onveilige authenticatiemethode, van alle MFA methodes: https://danielmiessler.com/blog/casmm-consumer-authentication-security-maturity-model/
En nu in je eigen woorden, zodat ik het ook snap...
30-03-2023, 10:43 door Anoniem
Je kan het altijd nog een papieren aangifte gebruiken.
In sommige gevallen moet je daarvoor Adobe Acrobat gebruiken,
wat bijvoorbeeld op Linux niet beschikbaar is...
30-03-2023, 10:57 door Anoniem
Door Anoniem:
Je kan het altijd nog een papieren aangifte gebruiken.
In sommige gevallen moet je daarvoor Adobe Acrobat gebruiken,
wat bijvoorbeeld op Linux niet beschikbaar is...
oh dan is er kennelijk wat veranderd. toen ik nog een papieren aangifte gebruikte had je daar alleen een pen bij nodig.
was wel een vervelende klus om al die getallen zelf over te schrijven van de jaaropgaven enzo naar het papier, zonder
fouten te maken. en het was ook vervelend dat het een enorm pak papier was met heel veel pagina's die op jou niet
van toepassing waren.
maar "Adobe Acrobat" heb ik er nooit bij nodig gehad.
30-03-2023, 10:59 door Anoniem
Een account bij Google of Apple kan zonder opgave van redenen geblokkeerd worden
wat niet zo eenvoudig te herstellen is...
30-03-2023, 11:55 door Anoniem
Gooi dat hele DigiD in de vuilnisbak en neem een licentie op het Zweedse BankID systeem...

Werkt op meerdere platforms
- App op smartphone
- Certificaat op PC
- Bank doosje met je bankpas met USB kabeltje aan de PC

Heeft meerdere nivo's (bevestigen met code, QR code moeten scannen en bevestigen met code), support voor login en sign operaties waarbij je netjes ziet waar je inlogt of wat je ondertekent; je kunt er meerdere tegelijk hebben (m'n oude mobiel is dus backup voor m'n nieuwe).

Alle overheidsdiensten hier in Zweden gebruiken het; banken gebruiken het; verzekeraars, zorg, steeds meer bedrijven...
Het werkt gewoon goed, snel en betrouwbaar en ook de meeste ouderen kunnen er zonder al te veel moeite mee werken.

En sinds kort kan ik ook inloggen op de NL belastingdienst met m'n Zweedse BankID. Geen DigiD rommel voor mij :-)
30-03-2023, 12:14 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Ik gebruik nu nog sms verificatie.
Maar als ze dat eruit gaan gooien, kan ik niet meer bij de belastingdienst inloggen.
Dan maar geen belastingaangifte... :)

Moeten ze maar fatsoenlijke email+wachtwoord logincombinatie toestaan...
Je kan het altijd nog een papieren aangifte gebruiken.

Yeah right die ze daarna tot tig keren zogenaamd niet ontvangen of kwijt zijn. Tis een gigantische bende bij de belastingdienst!

Aangetekend versturen? Dan heb je bewijs dat zij het probleem zijn. (niet dat dat veel zal helpen, maar toch)
30-03-2023, 12:37 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Ik gebruik nu nog sms verificatie.
Maar als ze dat eruit gaan gooien, kan ik niet meer bij de belastingdienst inloggen.
Dan maar geen belastingaangifte... :)

Moeten ze maar fatsoenlijke email+wachtwoord logincombinatie toestaan...
Je kan het altijd nog een papieren aangifte gebruiken.

Yeah right die ze daarna tot tig keren zogenaamd niet ontvangen of kwijt zijn. Tis een gigantische bende bij de belastingdienst!

Aangetekend versturen? Dan heb je bewijs dat zij het probleem zijn. (niet dat dat veel zal helpen, maar toch)
Ik heb nog nooit problemen gehad met doen van papieren aangifte, en doe dit al meer dan twintig jaar. Aangiftebiljet wordt snel toegestuurd na telefonische bestelling (geautomatiseerd), dit jaar ook weer.
De handleiding was t/m vorig jaar ook helder. Dit jaar nog niet gekeken.
Tot nu toe heeft de post het altijd netjes bij de Belastingdienst bezorgd. Niet eens aangetekend.
Mocht dat ooit misgaan, dan krijg ik van de Belastingdienst een herinnering. Omdat ik een kopie bewaar, kan ik die dan alsnog opsturen, met verse (extra) ondertekening + datum. Dat is dus nog nooit nodig geweest.
Ik kan het iedereen aanraden. Neem wel een goede pen, blauw of zwart.
30-03-2023, 13:12 door Anoniem
Door Anoniem: Gooi dat hele DigiD in de vuilnisbak en neem een licentie op het Zweedse BankID systeem...

Werkt op meerdere platforms
- App op smartphone
- Certificaat op PC
- Bank doosje met je bankpas met USB kabeltje aan de PC

Heeft meerdere nivo's (bevestigen met code, QR code moeten scannen en bevestigen met code), support voor login en sign operaties waarbij je netjes ziet waar je inlogt of wat je ondertekent; je kunt er meerdere tegelijk hebben (m'n oude mobiel is dus backup voor m'n nieuwe).

Alle overheidsdiensten hier in Zweden gebruiken het; banken gebruiken het; verzekeraars, zorg, steeds meer bedrijven...
Het werkt gewoon goed, snel en betrouwbaar en ook de meeste ouderen kunnen er zonder al te veel moeite mee werken.

En sinds kort kan ik ook inloggen op de NL belastingdienst met m'n Zweedse BankID. Geen DigiD rommel voor mij :-)
Nikste Zweedse BankID systeem. Dan dwing je burgers van Logius en de Digid naar een Zweedse BankID systeem. Maakt niet uit of het beter werkt of meer gemaak met zig mee brengt. Ze horen burgers gewoon goed te informeren van de pro's en con's en ze vervolgens zelf te late kiezen wat ze doen. Of het nou TOTP via een open of closed source app of een soort yubikey is. Die keus hoort bij de persoon in questie te liggen en niet bij de overheid of een bepaalde groep "experts" binne de overheid of organisatie. Informeren en aanraden is altijd goed en hoort ook veel meer gedaan te worden. Een minimale veiligheids standaard op leggen kan ook. Maar het besluit hoort aan het eind van de dag bij de persoon zelf te liggen. Je beslist tog zelf ook welk en wat voor slot er je op je huis deur doet ? Of je liever rolluiken hebt of niet. Of je een camera en wat voor camera je voor de veiligheid hangt. Of je en hoesje over je nieuwe 1400 euro iphone van glas doet of niet. Het kan niet zoo zijn dat je mensen indirect dwingt of oplegt wat voor veiligheids maatregelen ze moeten nemen door ze de keuze vrijheid te ontnemen als het gaat over hun eigen persoonleike data. Anders kun je net zoo goed ook gaan besluiten dat er maar 1 merk en versie telefoon, tablet, laptop en os mag gebruikt worden in nederland (het merk dat de overheid als het veiligst beziet) en een door de nederlandse overheid beheerde antivirus (liefst gemaakt en beheerd door de specialisten bij de NSOgroep) die alles scanned om ons "veilig" te houden. Go, doe er anders maar gelijk de regel en spoedwet bij dat we allemaal in kussens gewikkeld met helm en knie beschermers op de straat op moeten lopen zodra we de huis deur verlaten voor het geval (God forbid) iemand ooit struikeld en een schrametje op loopt. Waar is het limit ? Waar licht de lijn ? en hoe ver hoor je te gaan in naam van veiligheid ? Er bestaat ook iets dat zelf verantwoordelijkheid heet en dat gaan we op deze manier allemaal verliezen.
30-03-2023, 13:24 door Anoniem
Minder prettige ontwikkelingen voor mensen die gevoelig zijn voor straling...
30-03-2023, 13:45 door Anoniem
Door Anoniem:
Je kan het altijd nog een papieren aangifte gebruiken.

Op papier gaat prima is mijn ervaring.
30-03-2023, 18:08 door eMilt
Door Anoniem: alle reacties hier zijn prima, maar je bereikt er niets mee tenzij je de staatssecretaris even een linkje stuurt. oftewel allemaal schreeuwen in een vacuum.
Ik heb goede hoop dat mensen die wel aan de app werken dit hier lezen. Alhoewel ik verwacht dat ze echt wel op de hoogte zijn van de tekortkomingen van de app / website maar dat er hoger op besloten wordt om er niks aan te doen of er is geen budget voor.
30-03-2023, 18:27 door eMilt
Door Anoniem: Gooi dat hele DigiD in de vuilnisbak en neem een licentie op het Zweedse BankID systeem...
In Nederland hebben we iets soortgelijks: iDIN (https://www.idin.nl/). Maar dan verplicht je mensen dus dat ze online kunnen bankieren en is het nog steeds in handen van private partijen.
30-03-2023, 19:27 door Anoniem
Door eMilt:
Door Anoniem: alle reacties hier zijn prima, maar je bereikt er niets mee tenzij je de staatssecretaris even een linkje stuurt. oftewel allemaal schreeuwen in een vacuum.
Ik heb goede hoop dat mensen die wel aan de app werken dit hier lezen. Alhoewel ik verwacht dat ze echt wel op de hoogte zijn van de tekortkomingen van de app / website maar dat er hoger op besloten wordt om er niks aan te doen of er is geen budget voor.
Het heeft mij ruim 1,5 jaar gekost voor ik een reactie (helaas geen antwoord) kreeg over welke data/persoonsgegevens DigiD nu precies deelt met Google.
Totaal geen vertrouwen meer. Gelukkig is het vooralsnog niet verplicht echter wel semi-verplicht, kost soms alleen veel extra tijd of zelfs geld (bij de overheid zijn sommige diensten via DigiD goedkoper) om DigiD te omzeilen, het is niet anders.
31-03-2023, 10:44 door Anoniem
Als het gebruik van 3FA dwz
inlognaam
wachtwoord
SMS-tekst code
niet veilig genoeg wordt geacht,
kun je je afvragen wat dan wel veilig (genoeg) is,
ook gezien al de veiligheidsproblemen die er met computers zijn,
zeker die computers in verbinding met internet met allerlei dubieuze "apps"
dan wel processen waarop de gebruiker meestal amper of geen inzicht in heeft,
en dan vervolgens digibeet genoemd wordt...
Terwijl als de belastingdienst het zelf niet meer kan bijbenen,
waardoor er vele onschuldige slachtoffers vallen,
wat we dan maar voor lief moeten nemen
omdat er niets meer aan te doen is...
01-04-2023, 07:44 door Anoniem
Door Anoniem: Als het gebruik van 3FA dwz
inlognaam
wachtwoord
SMS-tekst code
niet veilig genoeg wordt geacht,
kun je je afvragen wat dan wel veilig (genoeg) is

Inloggen vanaf woonadres met PC of laptop met webcam, paspoort met chip aangesloten, gezicht volledig zichtbaar.
02-04-2023, 14:29 door majortom - Bijgewerkt: 02-04-2023, 14:32
Door Anoniem:
Door Anoniem: Als het gebruik van 3FA dwz
inlognaam
wachtwoord
SMS-tekst code
niet veilig genoeg wordt geacht,
kun je je afvragen wat dan wel veilig (genoeg) is

Inloggen vanaf woonadres met PC of laptop met webcam, paspoort met chip aangesloten, gezicht volledig zichtbaar.
Misuse: gebruik een proxy/VPN om net te doen alsof je van een woonadres komt, fake GPS locatie gebruiken, presenteer zelf een webcamfeed als "webcam" (hetzij een opgenomen video, hetzij via een AI-achtig deepfake concept).

Net zo onbetrouwbaar dus met bijbehorende privacyrisico's (o.a. biometrische identificatie). Verder problemen als: hoe faciliteer je gebruik als iemand niet op zijn woonadres is (bijvoorbeeld op reis is op vanaf een werklocatie). Verder wordt mijn "woonadres" op basis van IP nu bepaald op Haarlem terwijl ik daar toch echt zo'n 150 kilometer vandaan woon, dus hoe dan?
02-04-2023, 15:28 door Anoniem
Door majortom:
Door Anoniem:
Door Anoniem: Als het gebruik van 3FA dwz
inlognaam
wachtwoord
SMS-tekst code
niet veilig genoeg wordt geacht,
kun je je afvragen wat dan wel veilig (genoeg) is

Inloggen vanaf woonadres met PC of laptop met webcam, paspoort met chip aangesloten, gezicht volledig zichtbaar.
Misuse: gebruik een proxy/VPN om net te doen alsof je van een woonadres komt, fake GPS locatie gebruiken, presenteer zelf een webcamfeed als "webcam" (hetzij een opgenomen video, hetzij via een AI-achtig deepfake concept).

Net zo onbetrouwbaar dus met bijbehorende privacyrisico's (o.a. biometrische identificatie). Verder problemen als: hoe faciliteer je gebruik als iemand niet op zijn woonadres is (bijvoorbeeld op reis is op vanaf een werklocatie). Verder wordt mijn "woonadres" op basis van IP nu bepaald op Haarlem terwijl ik daar toch echt zo'n 150 kilomete
r vandaan woon, dus hoe dan?
Kortom:
los een probleem op met nog meer complicaties
zoals wel vaker bij computers voorkomt (bv. MBR -> UEFI)
die vervolgens ook weer problematisch in gebruik zijn...
En als de gebruiker daar moeite mee heeft,
noem je die gewoon een digibeet
die verzuimd heeft "bij te blijven"
aangezien die al begin jaren 1990 zich had kunnen bekwamen in computergebruik...
03-04-2023, 09:47 door Anoniem
Ik zou voor de mensen die geen Smartphone hebben/willen/kunnen gebruiken, toch opteren voor een hardware matige 2FA. Gewoon een klein apparaatje die een code genereert net als de Apps dat doen. Denk dat die "old school" oplossing misschien wel het beste werkt.
03-04-2023, 11:17 door Anoniem
Door Anoniem: Ik zou voor de mensen die geen Smartphone hebben/willen/kunnen gebruiken, toch opteren voor een hardware matige 2FA. Gewoon een klein apparaatje die een code genereert net als de Apps dat doen. Denk dat die "old school" oplossing misschien wel het beste werkt.
Dat lijkt mij ook een redelijk goede oplossing, alleen is dat nu (nog) niet mogelijk bij DigiD.
Overigens is er dan bij DigiD sprake van 3FA, namelijk:
inlognaam
wachtwoord
3FA code.

Dat veel browsers voor het gebruikgemak de inlognaam 'onthouden',
is een nog onderkend veiligheidsrisico...
Maar je moet blijkbaar een adigibeet zijn om dat in te zien?!
Door Anoniem:
Door Anoniem: Ik zou voor de mensen die geen Smartphone hebben/willen/kunnen gebruiken, toch opteren voor een hardware matige 2FA. Gewoon een klein apparaatje die een code genereert net als de Apps dat doen. Denk dat die "old school" oplossing misschien wel het beste werkt.
Dat lijkt mij ook een redelijk goede oplossing, alleen is dat nu (nog) niet mogelijk bij DigiD.
Overigens is er dan bij DigiD sprake van 3FA, namelijk:
inlognaam
wachtwoord
3FA code.

Dat veel browsers voor het gebruikgemak de inlognaam 'onthouden',
is een nog onderkend veiligheidsrisico...
Maar je moet blijkbaar een adigibeet zijn om dat in te zien?!

Ja, haha. Sommige websites hebben de vooringevulde /"onthouden" inlognaam inmiddels weer afgeschaft, jaren nadat ik zelf op het idee kwam dat dat een veiligheidsrisico inhield (namelijk meteen toen ze daarmee begonnen, het is een kwestie van gezond verstand). Ze hadden mij ook nooit gevraagd of ik wilde dat zij dat voor mij gingen "onthouden".
M.J.
03-04-2023, 13:28 door Anoniem
Door majortom:
Door Anoniem:
Door Anoniem: Als het gebruik van 3FA dwz
inlognaam
wachtwoord
SMS-tekst code
niet veilig genoeg wordt geacht,
kun je je afvragen wat dan wel veilig (genoeg) is

Inloggen vanaf woonadres met PC of laptop met webcam, paspoort met chip aangesloten, gezicht volledig zichtbaar.
Misuse: gebruik een proxy/VPN om net te doen alsof je van een woonadres komt, fake GPS locatie gebruiken, presenteer zelf een webcamfeed als "webcam" (hetzij een opgenomen video, hetzij via een AI-achtig deepfake concept).

Paspoort met chip verificatie ontbreekt, dus dit lukt niet.
03-04-2023, 14:32 door Jan Kol
Door Anoniem:Moeten ze maar fatsoenlijke email+wachtwoord logincombinatie toestaan...

Helaas zijn er veel organisaties die met die vermaledijde "tweetraps-verificatie" (of hoe ze het ook noemen) werken of iets dergelijks of als banken waarbij wel vier(!) cijfers (PIN-code) veilig genoeg heten te zijn om je bankgegevens te gebruiken. Want deze combinaties heten onfeilbaar te zijn. Maar.... als de betreffende organisaties nu eens gingen eisen dat er een fatsoenlijk wachtwoord wordt gebruikt zou ik wel eens willen weten of tweetraps-verificatie dan veiliger is als een goed, ook wel sterk genoemd, wachtwoord.....
Test eens een mijns inziens goed wachtwoord van 24 tekens, iets als "3/]lS+kfh_¿RC0w1w4j%5X" (zo maar een voorbeeld hoe mijn wachtwoorden zijn opgebouwd). Volgens https://veiliginternetten.nl/wachtwoordkraak-test/ zou het 7 quintiljoen (1 quintiljoen = 1.000.000.000.000.000.000.000.000.000.000) jaar duren voordat het is gekraakt.
Uiteraard maak ik die niet zelf maar gebruik KeePass een (grartis beschikbare) wachtwoordmangger die niet op het internet wordt opgeslagen als b.v. LastPass maar op een plaats die je zelf bepaald, b.v. een USB-stick (voor de zekerheid op meer plaatsen opgeslagen want, database met versleutelde wachtwoorden beschadigd of kwijt is echt weg!)
03-04-2023, 15:02 door Anoniem
Door Jan Kol:
Door Anoniem:Moeten ze maar fatsoenlijke email+wachtwoord logincombinatie toestaan...

Helaas zijn er veel organisaties die met die vermaledijde "tweetraps-verificatie" (of hoe ze het ook noemen) werken of iets dergelijks of als banken waarbij wel vier(!) cijfers (PIN-code) veilig genoeg heten te zijn om je bankgegevens te gebruiken. Want deze combinaties heten onfeilbaar te zijn. Maar.... als de betreffende organisaties nu eens gingen eisen dat er een fatsoenlijk wachtwoord wordt gebruikt zou ik wel eens willen weten of tweetraps-verificatie dan veiliger is als een goed, ook wel sterk genoemd, wachtwoord.....
Test eens een mijns inziens goed wachtwoord van 24 tekens, iets als "3/]lS+kfh_¿RC0w1w4j%5X" (zo maar een voorbeeld hoe mijn wachtwoorden zijn opgebouwd). Volgens https://veiliginternetten.nl/wachtwoordkraak-test/ zou het 7 quintiljoen (1 quintiljoen = 1.000.000.000.000.000.000.000.000.000.000) jaar duren voordat het is gekraakt.
Uiteraard maak ik die niet zelf maar gebruik KeePass een (grartis beschikbare) wachtwoordmangger die niet op het internet wordt opgeslagen als b.v. LastPass maar op een plaats die je zelf bepaald, b.v. een USB-stick (voor de zekerheid op meer plaatsen opgeslagen want, database met versleutelde wachtwoorden beschadigd of kwijt is echt weg!)
"3/]lS+kfh_¿RC0w1w4j%5X " is als wachtwoord bij de ING niet toegestaan...
03-04-2023, 23:20 door Anoniem
Door Anoniem:
Door Jan Kol:
Door Anoniem:Moeten ze maar fatsoenlijke email+wachtwoord logincombinatie toestaan...

Helaas zijn er veel organisaties die met die vermaledijde "tweetraps-verificatie" (of hoe ze het ook noemen) werken of iets dergelijks of als banken waarbij wel vier(!) cijfers (PIN-code) veilig genoeg heten te zijn om je bankgegevens te gebruiken. Want deze combinaties heten onfeilbaar te zijn. Maar.... als de betreffende organisaties nu eens gingen eisen dat er een fatsoenlijk wachtwoord wordt gebruikt zou ik wel eens willen weten of tweetraps-verificatie dan veiliger is als een goed, ook wel sterk genoemd, wachtwoord.....
Test eens een mijns inziens goed wachtwoord van 24 tekens, iets als "3/]lS+kfh_¿RC0w1w4j%5X" (zo maar een voorbeeld hoe mijn wachtwoorden zijn opgebouwd). Volgens https://veiliginternetten.nl/wachtwoordkraak-test/ zou het 7 quintiljoen (1 quintiljoen = 1.000.000.000.000.000.000.000.000.000.000) jaar duren voordat het is gekraakt.
Uiteraard maak ik die niet zelf maar gebruik KeePass een (grartis beschikbare) wachtwoordmangger die niet op het internet wordt opgeslagen als b.v. LastPass maar op een plaats die je zelf bepaald, b.v. een USB-stick (voor de zekerheid op meer plaatsen opgeslagen want, database met versleutelde wachtwoorden beschadigd of kwijt is echt weg!)
"3/]lS+kfh_¿RC0w1w4j%5X " is als wachtwoord bij de ING niet toegestaan...
Logisch. Een vraagteken op de kop staat nergens op een toetsenbord.
04-04-2023, 09:01 door Anoniem
Door Anoniem:
Door Anoniem:
Door Jan Kol:
Door Anoniem:Moeten ze maar fatsoenlijke email+wachtwoord logincombinatie toestaan...

Helaas zijn er veel organisaties die met die vermaledijde "tweetraps-verificatie" (of hoe ze het ook noemen) werken of iets dergelijks of als banken waarbij wel vier(!) cijfers (PIN-code) veilig genoeg heten te zijn om je bankgegevens te gebruiken. Want deze combinaties heten onfeilbaar te zijn. Maar.... als de betreffende organisaties nu eens gingen eisen dat er een fatsoenlijk wachtwoord wordt gebruikt zou ik wel eens willen weten of tweetraps-verificatie dan veiliger is als een goed, ook wel sterk genoemd, wachtwoord.....
Test eens een mijns inziens goed wachtwoord van 24 tekens, iets als "3/]lS+kfh_¿RC0w1w4j%5X" (zo maar een voorbeeld hoe mijn wachtwoorden zijn opgebouwd). Volgens https://veiliginternetten.nl/wachtwoordkraak-test/ zou het 7 quintiljoen (1 quintiljoen = 1.000.000.000.000.000.000.000.000.000.000) jaar duren voordat het is gekraakt.
Uiteraard maak ik die niet zelf maar gebruik KeePass een (grartis beschikbare) wachtwoordmangger die niet op het internet wordt opgeslagen als b.v. LastPass maar op een plaats die je zelf bepaald, b.v. een USB-stick (voor de zekerheid op meer plaatsen opgeslagen want, database met versleutelde wachtwoorden beschadigd of kwijt is echt weg!)
"3/]lS+kfh_¿RC0w1w4j%5X " is als wachtwoord bij de ING niet toegestaan...
Logisch. Een vraagteken op de kop staat nergens op een toetsenbord.[/quotuote]Logisch. Een vraagteken op de kop staat nergens op een toetsenbord.
Zie ik de logica niet van in, temeer daar bijvoorbeeld [ ] { } | / ook niet zijn toegestaan en in ieder geval op mijn toetsenbord staan.
04-07-2023, 11:38 door Anoniem
Ik ben ontzettend kwaad en gefrustreerd dat het hebben van een smartphone en ook het digitaal vaardig zijn verplicht zijn. Ik ben ongeveer 15 jaar uit de running geweest en heb daardoor een enorme achterstand waarvan ik niet weet hoe / of ik die ooit nog kan inlopen. Ik loop tegen de 50 jaar.
07-08-2023, 16:58 door Anoniem
Door majortom:
Door Anoniem:
Door Erik van Straten: Niet alleen is de DigiD app alleen via de app stores van Apple en Google te verkrijgen

Een Murena heeft in de Lounge een anonieme Google account, zonder trackers. Via die anonieme Google account kun je de DigiD, CoronaCheck en bank app kosteloos verkrijgen. Eventuele trackers in die apps kun je onder /e/OS blokkeren.
Ik draai zelf /e/OS maar weet niet of ik kritieke applicaties (zoals DigiD of bank apps) via die weg wil gebruiken. Je moet dan weer onbegrensd vertrouwen hebben in deze tussenproxy.

Analysis of the /e/OS app installer, part 1 [updated: 2022-10-09]
https://web.archive.org/web/*/https://nervuri.net/e/apps

In May 2022, seven months after this article was [first] published [2021-10-29], the /e/ team launched App Lounge, a rewrite of the app installer which downloads applications directly from Google Play. In the follow-up I address the changes that it brought.

This article has been discussed on: The F-Droid forum
https://forum.f-droid.org/t/an-analysis-of-the-e-os-app-installer/15700


Analysis of the /e/OS app installer, part 2 [updated: 2023-03-29]
https://web.archive.org/web/*/https://nervuri.net/e/app-lounge

The main thing that differentiates /e/ from [GrapheneOS, CalyxOS, DivestOS, LineageOS or Replicant] is its well-integrated suite of cloud services, offering many of the conveniences provided by a Google account, but with the same pitfall of storing your data in plaintext on someone else's computer. [This can be rectified by using EteSync].

This article have been discussed on: /e/ Foundation forum
https://community.e.foundation/t/a-critical-review-of-the-app-lounge/44468


Samenvatting

De App Lounge biedt voldoende bescherming tegen spoofing van apps. Dit geldt echter alleen voor native apps. PWA's zijn een aparte discussie. Naast native apps van Google Play en F-Droid biedt de App Lounge ook progressive web apps (PWA's), wat nog een beveiligingsrisico vormt. Concluderend: de App Lounge stuurt Google meer dan genoeg informatie om de meeste apparaten te identificeren, zelfs in de zogenaamde "anonieme modus". De /e/OS ontwikkelaars moeten zoveel mogelijk van deze informatie vervalsen om device tracking door Google te verhinderen.
08-08-2023, 12:20 door Anoniem
Door Anoniem:
Analysis of the /e/OS app installer, part 2 [updated: 2023-03-29]
https://web.archive.org/web/*/https://nervuri.net/e/app-lounge

[...] storing your data in plaintext on someone else's computer. [This can be rectified by using EteSync].

Daar wordt aan gewerkt. Murena wil op termijn de Murena cloud backup van end-to-end encryptie voorzien:

https://community.e.foundation/t/murena-e-os-roadmap-for-2023-and-beyond/49507

Murena.io [...] we are still working on adding End-to-End Encryption, although it’s a long-term project.

De App Lounge heeft ook (nog) geen ingebouwde "Play Protect", maar daarin valt zelf in te voorzien door met de App Lounge de Hypatia scanner van F-Droid te installeren. De optie als real-time AV-scanner moet men handmatig activeren.

https://f-droid.org/en/packages/us.spotco.malwarescanner/
14-08-2023, 11:40 door Anoniem
Door Anoniem: [...] storing your data in plaintext on someone else's computer.

EteSync - Secure Data Sync
Secure, private and end-to-end encrypted calendar, contacts and tasks sync

https://f-droid.org/en/packages/com.etesync.syncadapter/

Om deze app te gebruiken, moet je of een EteSync account hebben (betaalde hosting) of een eigen server opzetten.
02-11-2023, 14:01 door Anoniem
Door Anoniem:

tweaker Cerberus_tm schreef op 22 maart: Op mijn telefoon weigert de Digid-applicatie de qr-code te lezen.

Een DigiD koppelcode is inderdaad nog problematisch. Dat ligt vermoedelijk aan de veiligheidsmaatregelen van DigiD zelf, dat een "afwijkend" Andoid systeem met microG detecteerd.

Dat euvel is inmiddels opgeslost: de DigiD koppelcode kan nu wél gebruikt worden voor het uitlezen van de QR-code.

Logius: DigiD-app werkt nu ook zonder QR-code scanner van Google
donderdag 2 november 2023, 11:23 door Redactie

https://www.security.nl/posting/816928/DigiD-app+werkt+nu+ook+zonder+QR-code+scanner+van+Google
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.