Op zich goed dat de belastingdienst betere beveiliging eist, maar het blijft mij een doorn in het oog dat er voor 2FA geen alternatief is dat werkt zonder afhankelijkheid van een telefoon. Iets zoals een hardware token zou denk ik een goed alternatief zijn.

Niet al te lang geleden wilden ze nog de controle via de "vaste" telefoon afschaffen. Dan was de overstap naar het worden van een autonome burger een optie geweest.

Overheid haat burger, burger (h)erkent de overheid niet meer.

SMS... pffff, veel onveiliger dan een 2FA app met gegenereerde codes.
Ik ben vast niet de eerste die aan een stenen tijdperk refereert qua Nederlandse overheid en Cyberveiligheid...

Als men geen SMS op de telefoon zelf wilt ontvangen kan men altijd een externe MiFi-router kopen met daarop SMS functionaliteit via een webinterface, doe ik zelf ook, niet dat dit het gevaar op simswappen verminderd, dat gaat veelal via social engineering, maar het is wel minder vervelend voor mensen die het nummer van hun eigen smartphone niet willen verbinden aan overheidsdiensten.

Met de vaste telefoon werkte dit jaar fantastisch voor mijn belastingaangifte.

Niet dat ik een keuze had.

Lekker op papier doen. Scheelt een hoop gedoe...

Volgend jaar: "Belastingdienst verplicht DigiD-app voor inloggen".

Ooit ergens opgepikt dat het bij het ontwikkelen van producten gaat over een gouden drie-eenheid
- usability
- security
- features
... maar je mag er maar 2 kiezen. Inderdaad zal 2FA via SMS minder veilig zijn dan een hardware token. Maar iedereen heeft een telefoon, iedereen weet wat SMS is.Je hoeft er geen proces voor op te tuigen, geen licenties voor te betalen en de drempel voor hackers is best hoog. Want ga jij met je USRP bij tante Bep in de voortuin liggen totdat ze eindelijk een keer inlogt op haar "Mijn Toeslagen" omgeving?

In denemarken doen ze dit wel goed. Daar MAG je een app gebruiken maar kun je ook kostenloos een hardware token krijgen, zelfs eenthe met grotere letters en eentje die het opleest voor blinden. Zo morilijk is het niet!

Helaas (!) is er voor mijn systeem geen DigiD-app, dat is het nadeel wanneer je tot een minderheid behoort.......

Ja haar douw alles in een APP waarmee big tech alles volgt. Een SMS zit in een andere technisch kring.

SMS, is inderdaad iets minder veilig dan andere 2FA opties, maar een overheid MOET ook rekening houden met mensen die daar niet mee om kunnen gaan. Daarom is de optie bieden om van SMS gebruik te maken, meer noodzaak.

Veel mensen beseffen niet hoeveel concessies de overheid moet doen, om voor elke burger toegankelijk te blijven. Dat is namelijk een wettelijke verplichting.

Het feit dat dit 2FA genoemd wordt, geeft al het onbegrip aan:
het is 3FA, want om in te loggen heb je nodig:
1. naam
2. wachtwoord
3. SMS code

On gebruik te maken van DigiD moet je dus 3 dingen weten.
In die zin is een code via SMS niet zo onveilig, want zonder de eerste twee kun je nog niets.

Het opslaan van zowel je naam als wachtwoord op je computer en dan met name je telefoon
is dan wel een bedenkelijke factor.

Begin zo langzamerhand te vermoeden dat 2FA alleen maar is om mensen verplicht continu met een tracking device rond te laten lopen en connected zijn.

Vandaar ook die push naar al die apps, lekker allemaal continu data harvesten van de mensen in de matrix. Het moet toch gewoon normaal mogelijk blijven om geen telefoon te hebben of deze alleen incidenteel te gebruiken, wat is dit voor wereld?

Ik als ambtenaar, zou toch wel graag willen weten waarom je het idee hebt dat de overheid burgers haat. Soms gaan er dingen niet goed, maar heel vaak gaat het ook wel goed. Wat zou een overheid winnen, met het haten van burgers? Ziet u dan een soort elitegroep voor zich, die samenkomt en bespreekt hoe de burger met een volgende stap te tergen?

Overigens kan ik u melden dat het worden van "een autonome burger", een hoax is. Een hoax waaraan veel malafide bedrijven, veel geld verdienen, ten koste van de burger, die denkt autonoom te kunnen worden. Lees ook het artikel in Trouw:
https://www.trouw.nl/verdieping/nederland-bestaat-niet-over-de-worsteling-met-de-autonome-burger~be9ae1fd/

U kunt als burger in Nederland NIET autonoom worden en dat is maar goed ook, want anders zouden we verzanden in een anarchie, waar het recht van de sterkste geldt.

Belachelijk dat de DigiD app alleen werkt wanneer Google op de smartphone aanwezig is. heel raar.

Misschien begrijp je het zelf niet helemaal.
De combinatie gebruikersnaam/wachtwoord, is hetgeen wat je weet.
de 2FA bestaat uit iets wat je hebt, dus je telefoon in het geval van SMS of app.

Ik begrijp juist heel goed dat 2FA verwarrend jargon is.

De realiteit is namelijk dat je drie dingen moet invoeren om in te loggen.
Wat betekent dat als iemand de inlogcode voor SMS ontvangt nog verder niets kan
zonder die `naam' en `wachtwoord'.
Bovendien denk ik dat als iemand jouw sim heeft overgenomen
je dan helemaal geen SMS meer krijgt op je telefoon.
Dus dan merk je gelijk dat er iets mis is.
Dus zo onveilig is SMS als "extraFA" niet.

Je demonstreert in ieder geval dat het heel verwarrend voor jou is. ;-)

Kijk nog eens naar het DigiD-inlogscherm voor als je SMS gebruikt. De gebruikersnaam is zichtbaar als je hem intypt, het wachtwoord is verborgen. Bij de gebruikersnaam is het niet erg als een ander die meekijkt het kan zien, bij het wachtwoord wel. Je moet die gebruikersnaam inderdaad weten om in te kunnen loggen, maar de beveiliging wordt niet verzwakt als een ander hem ziet, daarom is hij gewoon zichtbaar.

De factoren zijn dingen waarvan de bedoeling is dat alleen jij erover kan beschikken. De gebruikersnaam is niet geheim. DigiD zelf kent hem bijvoorbeeld ook. De gebruikersnaam telt daarom niet mee als factor.

Er zijn drie typen factoren: iets dat je kent, iets dat je hebt en iets dat je bent. Het idee van 2FA is dat je een combinatie van twee van die typen moet inzetten om toegang te krijgen. Het aantal dingen dat je moet invoeren is niet waar het om gaat.

Iets dat je kent is een wachtwoord of pincode. Iets dat je hebt is een apparaat of bij een SMS een telefoonnummer waarvan je moet bewijzen dat je er inderdaad over beschikt. De SMS-code wordt naar je telefoonnummer gestuurd, en jij kan bewijzen dat je over dat telefoonnummer beschikt door de ontvangen code in de webpagina in te typen. Bij gebruik van een app is de toegang aan een security key gekoppeld die uniek is voor de smartphone waarop die app draait. Iets dat je bent tenslotte is biometrie, een vingerafdruk of gezichtsscan of zo.

Inloggen op DigiD met SMS is 2FA omdat er twee van deze dingen gebruikt worden: een wachtwoord om te bewijzen dat je iets kent en een SMS om te bewijzen dat je over je telefoonnummer beschikt.

bijzonder dat ik hem ook op mijn ipad heb draaien.

Overheid haat onbewust burgers. Individuele ambtenaren denken graag dat ze het goed willen doen voor de burgers totdat een burger "lastig" is = niet doet wat ambtenaren bedacht hebben dat ze moeten doen. Moet je kijken hoe ambtenaren reageren als een burger kritisch is... Welke onbewuste of toch wel een ietsiepietsie bewuste truukjes ze dan gebruiken om als overheid toch hun zin door te drukken.

Autonomie is niet hetzelfde als anarchie. Autonome burgers betekent dat je als ambtenaar respectvol moet samenwerken met burgers. Dat willen (bijna alle) ambtenaren niet zodra die burgers een eigen wil tonen en dan roepen die ambtenaren "Dat is anarchie!" omdat ze zelf even niet 100% de controle hebben.

En oh ja... ik ben ambtenaar dus dit zeg ik niet hardop op mijn werk want dan zou ik er snel uitliggen. Zeg maar "functie elders" nu dat het toch gaat over "Mijn toeslagen".

Dat is dus al een bedenkelijk aanname, want als iemand je gebruikersnaam niet weet kan die niet succesvol inloggen, ook al heeft die een wachtwoord en SMS onderschept.
Dat DigiD mijn gebruikersnaam weet, is inderdaad bedenkelijker, maar als ze mijn wachtwoord niet kunnen achterhalen, til ik daar niet zo zwaar aan.

Waar het mij dus om gaat, is dat je drie dingen moet invoeren om succesvol in te kunnen loggen:
je gebruikersnaam, wachtwoord en SMS-code die je krijgt via DIgiD.
In dat licht bezien is SMS echt niet zo onveilig als vaak gesteld wordt, zeker als je niet inlogt met de computer in je telefoon maar met een andere computer.

Bij Logius (zie hun site) vinden zij het heel normaal om data/persoonsgegevens te delen met Google. Dan is daar uiteraard ook totaal geen noodzaak om dit aan te passen.
Zoveelste 'bedrijf' dat de privacy van de klant ondergeschikt vindt.