Als security professional had ik altijd al twijfels over hoe veilig DigiD nu precies is. Het feit dat dit nu pas toegevoegd wordt versterk dat gevoel. Hoogtijd dat DigiD open standaarden zoals Passkeys gaat ondersteunen. Veiliger en privacy vriendelijker omdat er geen app met telemetrie meer nodig is.

Want Passkeys (in een browser) is veiliger dan een app? Waar sla je de private sleutel van de Passkeys dan op?

Ik gebruik DigiD in combinatie met een sms code, werkt uitstekend.
Voor mij niet al die apps op mijn telefoon, zeker niet nu ik denk aan een Fairphone met e/OS.

En zo worden we nog beter verbonden met onze mobieltjes zodat onze overheid ons nog beter kan controleren. Zonder mobieltje besta je straks niet meer.

En met een brief naar je woonadres is alles weer te resetten. Moet ook wel anders kan je nooit meer bij de overheid inloggen als je telefoon stuk gaat. Waar de secret key voor key attestation uniek en eenmalig in is opgeslagen.

Wanneer gaan ze nu eindelijk eens meerdere profielen toevoegen aan de app? Mijn ouders (allebei zonder smartphone) hebben één iPad en kunnen nog steeds niet allebei de DigiD app gebruiken.

Ik zie niet in waarom de app veiliger zou zijn met "hardware backed key attestation" dan met het opslaan van de keys in de app zelf, mits die app goed gebouwd is. Het principe van DigiD is prima veilig en voor zover ik kan inschatten gebeurt het onderhoud ook goed en transparant. Niets mis mee.

Maar wat ze nu gaan doen is niet meer beveiliging toevoegen, maar het Google ecosysteem verplichten. Want hardware key attestation heb je alleen op telefoons waarbij de bootloader gelocked is. Google probeert dit al tijden verplicht te maken voor Google play services (banken apps werken vaak al niet zonder). En nu help onze overheid een handje door defacto alle custom roms (ook al zijn ze 10× zo secure als iedere andere, zoals GrapheneOS) uit te sluiten van het gebruiken van DigiD.

Zeer, zeer kwalijke zaak.

Is dat een tekortkoming van de DigiD app of van het OS?

@13:07 door Anoniem:
En ik wilde net vragen of ze inmiddels alle Google-tracking-zooi uit de app hebben gehaald, maar ik vrees dat die vraag door jouw comment al zo'n beetje wordt beantwoord. Hoogstwaarschijnlijk niet dus :(

De DigiD app maakt géén gebruik van Google trackers, maar bevat slechts 1 crash reporter, namelijk die van Sentry.io

https://reports.exodus-privacy.eu.org/en/reports/nl.rijksoverheid.digid.pub/latest/


De DigiD app zelf verzamelt wel enige geringe statistieken, maar die kun je in de app desgewenst zelf uitschakelen:

Menu > Instellingen > Statistieken > [Aan|Uit]

DigiD?..

Ga nooit naar de DigiD...

Mocht men er in slagen om Android of iOS op afstand te kraken, dan hebben ze zonder je hardware niets aan je sleutels.

Voor een toepassing als DigiD heb je NIETS aan passkeys.

De overeenkomst tussen DigiD en een passkey is dat een private key veilig (als het goed is) wordt opgeslagen.

Het verschil tussen authenticatie middels DigiD en een passkey is dat die eerste noodzakelijkerwijs gebaseerd is op een BSN, een uniek identificerend getal (binnen Nederland); ik noem dit absolute authenticatie. Terwijl een passkey gebaseerd is op pseudonieme authenticatie. Of, zo je wilt, relatieve aurhenticatie - gaat het om dezelfde entiteit die het account aanmaakte, daarbij al dan niet eerlijk persoonsgegevens verstrekkend.

Bovendien bestaat er geen mogelijkheid om passkeys te blokkeren (bijv. na diefstal van je smartphone).

Daarnaast zijn passkeys overhyped en betekenen tot nu toe, vooral voor doorsnee gebruikers, vendor-lock-in.

Een mogelijk onderschat voordeel van DigiD is dat je daarmee uitsluitend op sites kunt authenticeren die op veiligheid zijn gecontroleerd (naast dat alleen sites voor DigiD in aanmerking komen indien de organisatie daarachter BSN's mag verwerken).

Ten slotte zijn passkeys onder iOS/iPadOS potentieel een ramp (1) en onder Android kun je ze onverwacht allemaal in één keer kwijtraken (2).

Nb. ik vermoed dat precies ditzelfde geldt voor iDevices met "Face ID" waarbij dit is uitgeschakeld, maar dat heb ik nooit getest (bij gebrek aan toegang tot dat soort apparaten).

Conditie: als ik géén vingerafdruk instel op mijn iPhone of iPad met vingerafdrukscanner (of een eerder ingestelde verwijder), en iemand die mijn pincode heeft afgekeken en mijn iPhone/iPad steelt, óf als die dief de iPhone /iPad in ontgrendelde toestand steelt (denk ook aan kinderen die een filmpje mogen kijken of een spelletje mogen spelen) kan die dief inloggen op al mijn accounts die zijn beveiligd met wachtwoorden (mits opgeslagen in de Apple Passwords/Wachtwoorden app) en in een deel van mijn accounts die zijn beveiligd met passkeys.

Die dief kan zélfs inloggen op https://account.apple.com - nl. als volgt:

a) Start Safari en open https://account.apple.com;

b) Scroll naar en druk op "Log in";

c) Als de bijna schermvullende box met "Log in met Apple" getoond wordt: druk op "Ga door";

d) Kleine box met "Log in met Apple": druk rechtsboven op (X);

e) Druk in het veld "E-mail adres of telefoonnummer" en druk vervolgens onderaan op "Gebruik passkey".

Tadaa... (geen pincode en geen biometrie nodig).

#AppleIsEvil: "this is by design (it is not a bug, nor a vulnerability)"

Als je niet wilt dat Google al jouw wachtwoorden (opgeslagen in de Passwords app) kent kun je deze versleutelen met een "synchronization passphrase". Vreemd genoeg zit die instelling nog steeds in Chrome.

Nb. díe versleuteling is weer iets heel anders dan de "versleuteling op het apparaat" die de Passwords app aanraadt - want daarmee kun je nog steeds al jouw wachtwoorden bekijken in https://passwords.google.com (en dus kan Google daar ook bij).

Even afgezien van het probleem dat ik, op dit moment met mijn Google Pixel 6 Pro () nergens kan inloggen met passkeys (foutmelding: "An unknown error occurred while talking to the credential manager" - ik ben niet de enige met dit probleem) speelt het volgende.

In Chrome -> Instellingen -> mijn account (bovenaan) open ik "Versleuteling":
Die standaardinstelling wijzig ik door voor de onderste regel te kiezen, waarna ik een "wachtwoordzin" (passphrase) 2x moet invoeren (dat doe ik).

Stel nu ik ben die wachtwoordzin vergeten of ik wil deze wijzigen. Dan stuurt de Google help (online en lokaal) naar https://chrome.google.com/sync ("Chrome data in your account") met de instructie om onderaan op "Delete Data" te drukken. Onderaan staat:

Iedereen die denkt dat hun passkeys veilig op hun smartphone staan, heeft dat fout. Door op die knop te drukken raak je namelijk al je passkeys kwijt (indien er meerdere Android apparaten aan dat account gekoppeld zijn, op al die devices).

Als je geluk hebt kun je nog wat wachtwoorden terugvinden door in de Passwords app (die "Google Play Services" blijkt te heten als je van aktieve app wisselt) naar Instellingen te gaan, rechtsboven op "jouw account" te klikken en dan te kiezen voor "Wachtwoorden beheren op dit apparaat".

#GoogleIsEvil: "this is by design (it is not a bug, nor a vulnerability)"

#BigTechIsEvil: "Passkeys: gevaarlijker en ingewikkelder kunnen we het niet maken - GFY".

(Nog los van de snake oil dat asymmetrische cryptografie de belangrijkste beveilingsfeature zou zijn) .