image

Nieuwste versie DigiD-app voorzien van extra beveiligingscontrole

vrijdag 19 september 2025, 11:10 door Redactie, 48 reacties

DigiD-beheerder Logius heeft een nieuwe versie van de DigiD-app uitgebracht die is voorzien van een extra beveiligingscontrole genaamd key attestation. "Hiermee kan DigiD controleren dat een cryptografische sleutel op het gebruikte apparaat is aangemaakt en veilig opgeslagen. Zo weet DigiD zeker dat deze sleutel hoort bij het apparaat dat gebruikt wordt om in te loggen", aldus Logius in de release notes van de laatste versie.

Volgens de DigiD-beheerder ondersteunen bijna alle smartphones key attestation, op sommige oudere of goedkopere modellen na. "In dat geval kan de ID-check niet opnieuw of voor het eerst uitgevoerd worden. Wel kan er nog steeds worden ingelogd met de app bij organisaties die geen ID-check vereisen. Als de ID-check wel al eerder is uitgevoerd, dan blijft deze voorlopig geldig."

DigiD biedt verschillende betrouwbaarheidsniveaus, die bepalen hoe zeker een organisatie kan zijn over de identiteit van de gebruiker. Het basisniveau bestaat uit een gebruikersnaam met wachtwoord. Dan is er het middenniveau waarbij de gebruiker kiest voor inloggen met de DigiD-app of voor een sms-controle. Als derde is er het substantiële niveau. Dit niveau is bijvoorbeeld vereist wanneer er met extra privacygevoelige gegevens wordt gewerkt. Om deze gegevens in te zien is er een eenmalige ID-check van de gebruiker nodig.

De DigiD-app kan worden opgewaardeerd naar het substantiële betrouwbaarheidsniveau. Hiervoor moet er eenmalig een extra controle (ID-check) van het paspoort, rijbewijs of identiteitskaart aan de app worden toegevoegd. Op telefoons met een NFC-lezer controleert de DigiD-app de gegevens op de chip van het identiteitsbewijs. De gegevens worden vervolgens gecontroleerd. In de nieuwste versie van de DigiD-app is het mogelijk om de ID-check uit te voeren met alle Nederlandse reisdocumenten. Ook wanneer deze bijvoorbeeld is uitgegeven in het buitenland. Dit komt doordat DigiD nu gebruikmaakt van het nieuwe Basisregister Reisdocumenten (BR). Dit register bevalt alle Nederlandse reisdocumenten.

Reacties (48)
19-09-2025, 11:22 door Anoniem
Als security professional had ik altijd al twijfels over hoe veilig DigiD nu precies is. Het feit dat dit nu pas toegevoegd wordt versterk dat gevoel. Hoogtijd dat DigiD open standaarden zoals Passkeys gaat ondersteunen. Veiliger en privacy vriendelijker omdat er geen app met telemetrie meer nodig is.
19-09-2025, 12:13 door Anoniem
Door Anoniem: Als security professional had ik altijd al twijfels over hoe veilig DigiD nu precies is. Het feit dat dit nu pas toegevoegd wordt versterk dat gevoel. Hoogtijd dat DigiD open standaarden zoals Passkeys gaat ondersteunen. Veiliger en privacy vriendelijker omdat er geen app met telemetrie meer nodig is.

Want Passkeys (in een browser) is veiliger dan een app? Waar sla je de private sleutel van de Passkeys dan op?
19-09-2025, 12:14 door Anoniem
Ik gebruik DigiD in combinatie met een sms code, werkt uitstekend.
Voor mij niet al die apps op mijn telefoon, zeker niet nu ik denk aan een Fairphone met e/OS.
19-09-2025, 12:38 door Anoniem
En zo worden we nog beter verbonden met onze mobieltjes zodat onze overheid ons nog beter kan controleren. Zonder mobieltje besta je straks niet meer.
19-09-2025, 12:48 door Anoniem
En met een brief naar je woonadres is alles weer te resetten. Moet ook wel anders kan je nooit meer bij de overheid inloggen als je telefoon stuk gaat. Waar de secret key voor key attestation uniek en eenmalig in is opgeslagen.
19-09-2025, 13:06 door eMilt
Wanneer gaan ze nu eindelijk eens meerdere profielen toevoegen aan de app? Mijn ouders (allebei zonder smartphone) hebben één iPad en kunnen nog steeds niet allebei de DigiD app gebruiken.
19-09-2025, 13:07 door Anoniem
Door Anoniem: Als security professional had ik altijd al twijfels over hoe veilig DigiD nu precies is. Het feit dat dit nu pas toegevoegd wordt versterk dat gevoel. Hoogtijd dat DigiD open standaarden zoals Passkeys gaat ondersteunen. Veiliger en privacy vriendelijker omdat er geen app met telemetrie meer nodig is.

Ik zie niet in waarom de app veiliger zou zijn met "hardware backed key attestation" dan met het opslaan van de keys in de app zelf, mits die app goed gebouwd is. Het principe van DigiD is prima veilig en voor zover ik kan inschatten gebeurt het onderhoud ook goed en transparant. Niets mis mee.

Maar wat ze nu gaan doen is niet meer beveiliging toevoegen, maar het Google ecosysteem verplichten. Want hardware key attestation heb je alleen op telefoons waarbij de bootloader gelocked is. Google probeert dit al tijden verplicht te maken voor Google play services (banken apps werken vaak al niet zonder). En nu help onze overheid een handje door defacto alle custom roms (ook al zijn ze 10× zo secure als iedere andere, zoals GrapheneOS) uit te sluiten van het gebruiken van DigiD.

Zeer, zeer kwalijke zaak.
19-09-2025, 15:59 door Anoniem
Door eMilt: Wanneer gaan ze nu eindelijk eens meerdere profielen toevoegen aan de app? Mijn ouders (allebei zonder smartphone) hebben één iPad en kunnen nog steeds niet allebei de DigiD app gebruiken.

Is dat een tekortkoming van de DigiD app of van het OS?
19-09-2025, 16:01 door Anoniem
@13:07 door Anoniem:
En ik wilde net vragen of ze inmiddels alle Google-tracking-zooi uit de app hebben gehaald, maar ik vrees dat die vraag door jouw comment al zo'n beetje wordt beantwoord. Hoogstwaarschijnlijk niet dus :(
19-09-2025, 16:40 door Anoniem
Door Anoniem: En ik wilde net vragen of ze inmiddels alle Google-tracking-zooi uit de app hebben gehaald

De DigiD app maakt géén gebruik van Google trackers, maar bevat slechts 1 crash reporter, namelijk die van Sentry.io

https://reports.exodus-privacy.eu.org/en/reports/nl.rijksoverheid.digid.pub/latest/


De DigiD app zelf verzamelt wel enige geringe statistieken, maar die kun je in de app desgewenst zelf uitschakelen:

Menu > Instellingen > Statistieken > [Aan|Uit]
19-09-2025, 16:54 door Anoniem
DigiD?..

Ga nooit naar de DigiD...
19-09-2025, 16:59 door Anoniem
Door Anoniem: Ik zie niet in waarom de app veiliger zou zijn met "hardware backed key attestation"

Mocht men er in slagen om Android of iOS op afstand te kraken, dan hebben ze zonder je hardware niets aan je sleutels.
19-09-2025, 17:24 door Erik van Straten - Bijgewerkt: 19-09-2025, 17:31
Door Anoniem: Als security professional had ik altijd al twijfels over hoe veilig DigiD nu precies is. Het feit dat dit nu pas toegevoegd wordt versterk dat gevoel. Hoogtijd dat DigiD open standaarden zoals Passkeys gaat ondersteunen. Veiliger en privacy vriendelijker omdat er geen app met telemetrie meer nodig is.
Voor een toepassing als DigiD heb je NIETS aan passkeys.

De overeenkomst tussen DigiD en een passkey is dat een private key veilig (als het goed is) wordt opgeslagen.

Het verschil tussen authenticatie middels DigiD en een passkey is dat die eerste noodzakelijkerwijs gebaseerd is op een BSN, een uniek identificerend getal (binnen Nederland); ik noem dit absolute authenticatie. Terwijl een passkey gebaseerd is op pseudonieme authenticatie. Of, zo je wilt, relatieve aurhenticatie - gaat het om dezelfde entiteit die het account aanmaakte, daarbij al dan niet eerlijk persoonsgegevens verstrekkend.

Bovendien bestaat er geen mogelijkheid om passkeys te blokkeren (bijv. na diefstal van je smartphone).

Daarnaast zijn passkeys overhyped en betekenen tot nu toe, vooral voor doorsnee gebruikers, vendor-lock-in.

Een mogelijk onderschat voordeel van DigiD is dat je daarmee uitsluitend op sites kunt authenticeren die op veiligheid zijn gecontroleerd (naast dat alleen sites voor DigiD in aanmerking komen indien de organisatie daarachter BSN's mag verwerken).

Ten slotte zijn passkeys onder iOS/iPadOS potentieel een ramp (1) en onder Android kun je ze onverwacht allemaal in één keer kwijtraken (2).

(1) iPhone/iPad zonder vingerafdruk
Nb. ik vermoed dat precies ditzelfde geldt voor iDevices met "Face ID" waarbij dit is uitgeschakeld, maar dat heb ik nooit getest (bij gebrek aan toegang tot dat soort apparaten).

Conditie: als ik géén vingerafdruk instel op mijn iPhone of iPad met vingerafdrukscanner (of een eerder ingestelde verwijder), en iemand die mijn pincode heeft afgekeken en mijn iPhone/iPad steelt, óf als die dief de iPhone /iPad in ontgrendelde toestand steelt (denk ook aan kinderen die een filmpje mogen kijken of een spelletje mogen spelen) kan die dief inloggen op al mijn accounts die zijn beveiligd met wachtwoorden (mits opgeslagen in de Apple Passwords/Wachtwoorden app) en in een deel van mijn accounts die zijn beveiligd met passkeys.

Die dief kan zélfs inloggen op https://account.apple.com - nl. als volgt:

a) Start Safari en open https://account.apple.com;

b) Scroll naar en druk op "Log in";

c) Als de bijna schermvullende box met "Log in met Apple" getoond wordt: druk op "Ga door";

d) Kleine box met "Log in met Apple": druk rechtsboven op (X);

e) Druk in het veld "E-mail adres of telefoonnummer" en druk vervolgens onderaan op "Gebruik passkey".

Tadaa... (geen pincode en geen biometrie nodig).

#AppleIsEvil: "this is by design (it is not a bug, nor a vulnerability)"

(2) Android met sync passprase
Als je niet wilt dat Google al jouw wachtwoorden (opgeslagen in de Passwords app) kent kun je deze versleutelen met een "synchronization passphrase". Vreemd genoeg zit die instelling nog steeds in Chrome.

Nb. díe versleuteling is weer iets heel anders dan de "versleuteling op het apparaat" die de Passwords app aanraadt - want daarmee kun je nog steeds al jouw wachtwoorden bekijken in https://passwords.google.com (en dus kan Google daar ook bij).

Even afgezien van het probleem dat ik, op dit moment met mijn Google Pixel 6 Pro () nergens kan inloggen met passkeys (foutmelding: "An unknown error occurred while talking to the credential manager" - ik ben niet de enige met dit probleem) speelt het volgende.

In Chrome -> Instellingen -> mijn account (bovenaan) open ik "Versleuteling":
De standaardversleuteling van Google gebruiken voor de wachtwoorden in je Google-account (o)

Je eigen wachtwoordzin gebruiken om alle Chrome-gegevens in je Google-account te versleutelen (  )
Die standaardinstelling wijzig ik door voor de onderste regel te kiezen, waarna ik een "wachtwoordzin" (passphrase) 2x moet invoeren (dat doe ik).

Stel nu ik ben die wachtwoordzin vergeten of ik wil deze wijzigen. Dan stuurt de Google help (online en lokaal) naar https://chrome.google.com/sync ("Chrome data in your account") met de instructie om onderaan op "Delete Data" te drukken. Onderaan staat:
This will delete your Chrome data
that has been saved in your Google
Account. This might delete some
data from your devices.
                                                [Delete data]

Iedereen die denkt dat hun passkeys veilig op hun smartphone staan, heeft dat fout. Door op die knop te drukken raak je namelijk al je passkeys kwijt (indien er meerdere Android apparaten aan dat account gekoppeld zijn, op al die devices).

Als je geluk hebt kun je nog wat wachtwoorden terugvinden door in de Passwords app (die "Google Play Services" blijkt te heten als je van aktieve app wisselt) naar Instellingen te gaan, rechtsboven op "jouw account" te klikken en dan te kiezen voor "Wachtwoorden beheren op dit apparaat".

#GoogleIsEvil: "this is by design (it is not a bug, nor a vulnerability)"

Conclusie
#BigTechIsEvil: "Passkeys: gevaarlijker en ingewikkelder kunnen we het niet maken - GFY".

(Nog los van de snake oil dat asymmetrische cryptografie de belangrijkste beveilingsfeature zou zijn).
19-09-2025, 23:05 door Anoniem
@Erik van Straten
Een uitgebreide reactie, maar je haalt nu wel heel veel dingen door elkaar.

In het verhaal over absolute authenticatie met BSN maak je geen onderscheid tussen identificatie en authenticatie. Een DigiD account is gekoppeld aan een BSN (identificatie) en een inlog middel gekoppeld aan het DigiD account (authenticatie). Wanneer een passkey gekoppeld zou worden aan het DigiD account is er volgens je eigen definitie ook sprake van absolute "authenticatie". Hierin is geen verschil tussen de DigiD app of een passkey. Voor het verhaal over de onmogelijkheid van het blokkeren van passkeys gaat hetzelfde op. Als ik een DigiD app op een gesloten telefoon kan blokkeren, dan is dat net zo goed mogelijk met een passkey gekoppeld aan een DigiD account. Volgens mij is de bron van deze verwarring wederom het onderscheid tussen identificatie en authenticatie. De DigiD app geeft je geen DigiD account. Het is puur een inlog middel gekoppeld aan een DigiD account.

Zorgen over een vendor-lockin van een open standaard met diversiteit aan implementaties, ten opzichte van de DigiD app waarvan er maar 1 is, laat ik even voor wat het is.

Het dreiging scenario van een unlocked telefoon die wordt gesloten en waarom dat een risico zou zijn, kan ik mij in vinden. Ik betwijfel of de DigiD app beschermd is tegen dit scenario. Voor de volledigheid lijkt het mij handig om in de uitwerking van het passkey scenario expliciet te vermelden welke user presence en user verification flags ingesteld worden. Dit maakt namelijk uit voor het niveau van authenticeren en de vraag of het gebruik van de passkey op signing moment bevestigd moet worden met een pincode of biometrie. In de huidige schets van de iPhone wordt voorgesteld dat dit niet hoeft, maar dit kan met passkeya gewoon afgedwongen worden.

Verder zie ik in de uitleg over het kwijt raken van de passkeys juist de reden dat deze veiliger zijn dan de DigiD app. Van de DigiD app kan je er namelijk maar 1 installeren, terwijl een goede implementatie van lasskeys meerdere inlog middelen kan koppelen. Dat geeft redundantie die de DigiD app niet heeft. Dit in aanvulling op een goede account recovery uiteraard.
20-09-2025, 00:11 door Anoniem
Door eMilt: Wanneer gaan ze nu eindelijk eens meerdere profielen toevoegen aan de app? Mijn ouders (allebei zonder smartphone) hebben één iPad en kunnen nog steeds niet allebei de DigiD app gebruiken.

Dat moeten ze NOOIT toevoegen.

Met alle -terechte- voorlichting om dat je DigiD Heel Erg Persoonlijk is moet je natuurlijk geen feature bouwen die zegt "is OK om lekker de app te delen" .
Ook al kun je (beloven) het in-app te scheiden, het is gewoon totaal de verkeerde boodschap . Mensen met dit specifieke probleem lossen het maar zelf op.


Je ouders kunnen een paar workarounds gebruiken.

* budget/kringloop/2e hands smartphone of tablet kopen alleen maar voor "de andere" DigiD . (en eventueel "andere bankapp" ) .
Lekker in de la leggen en voor niks anders gebruiken.
Qua security is daar, voor dit type gebruik , helemaal niks mis mee.

* De ene gebruikt de DigiD app, en is door de ander gemachtigd op alle soorten DigiD .
(als ze toch samen een iPad gebruiken en ook nog 100 jaar getrouwd zijn maak je mij niet wijs dat er "privacy" speelt ) .
Alleen pech als er net een DigiD-instantie is die nog geen machtigingen ondersteund die ze moeten gebruiken; maar de meeste overheidszaken ondersteunen het.


* Overstappen op een Android tablet want daar bestaat het concept meerdere users wel .

* Eentje gebruikt DigiD met sms (en dat kan zelfs gesproken naar een vaste lijn gaan ). Ook dat is , voor dit type gebruik, helemaal prima .
20-09-2025, 00:17 door Anoniem
Door Anoniem: En met een brief naar je woonadres is alles weer te resetten. Moet ook wel anders kan je nooit meer bij de overheid inloggen als je telefoon stuk gaat. Waar de secret key voor key attestation uniek en eenmalig in is opgeslagen.

Ook zonder key attestation is nog wel eens een reset nodig.
Gewoon nieuwe telefoon genomen en pas maanden later weer eens digid nodig en bedacht dat dat op de oude stond .
Of zonder app, en natuurlijk password vergeten .

user enrollment/reset is een lastig proces om waterdicht in te richten.
20-09-2025, 08:33 door Anoniem
Fijn zo'n epistel over Passkeys. Wat heeft dit nu met key attestation te maken?

Ik heb even wat verder onderzoek gedaan naar key attestation. Dit artikel van GrapheneOS is wel interessant.
https://grapheneos.org/articles/attestation-compatibility-guide

Als ik het goed begrijp gaat het dus meer om Google certified hardware.
https://www.android.com/certified/
En het lijkt erop dat elk AOSP OS dus de API kan gebruiken.

Ook vond ik nog deze interessante app, waarmee je kan testen of en hoe key attestation werkt op je device.
https://play.google.com/store/apps/details?id=io.github.vvb2060.keyattestation

Misschien valt het dus allemaal wel mee hoezeer de DigiD app nu meer afhankelijk is geworden van Google. Het device is blijkbaar toch al certified door Google.
20-09-2025, 09:19 door Anoniem
Door Anoniem:
Door Anoniem: Als security professional had ik altijd al twijfels over hoe veilig DigiD nu precies is. Het feit dat dit nu pas toegevoegd wordt versterk dat gevoel. Hoogtijd dat DigiD open standaarden zoals Passkeys gaat ondersteunen. Veiliger en privacy vriendelijker omdat er geen app met telemetrie meer nodig is.

Ik zie niet in waarom de app veiliger zou zijn met "hardware backed key attestation" dan met het opslaan van de keys in de app zelf, mits die app goed gebouwd is. Het principe van DigiD is prima veilig en voor zover ik kan inschatten gebeurt het onderhoud ook goed en transparant. Niets mis mee.

Maar wat ze nu gaan doen is niet meer beveiliging toevoegen, maar het Google ecosysteem verplichten. Want hardware key attestation heb je alleen op telefoons waarbij de bootloader gelocked is. Google probeert dit al tijden verplicht te maken voor Google play services (banken apps werken vaak al niet zonder). En nu help onze overheid een handje door defacto alle custom roms (ook al zijn ze 10× zo secure als iedere andere, zoals GrapheneOS) uit te sluiten van het gebruiken van DigiD.

Zeer, zeer kwalijke zaak.
Door Anoniem: @13:07 door Anoniem:
En ik wilde net vragen of ze inmiddels alle Google-tracking-zooi uit de app hebben gehaald, maar ik vrees dat die vraag door jouw comment al zo'n beetje wordt beantwoord. Hoogstwaarschijnlijk niet dus :(

Hardware attestation is een generieke Android feature en geen probleem voor GrapheneOS, op social media zie je ze juist vaak hardware attestation promoten. En bij GrapheneOS lock je de bootloader ook opnieuw na installatie, zodat dit niet misbruikt kan worden voor fysieke attacks tegen je GrapheneOS installatie.
Het zou wel problematisch zijn als niet hardware attestation maar de Play Integrity API zou worden gebruikt, dan worden custom ROMs wel uitgesloten. En dat bied weinig veiligheid omdat telefoons die een pasr jaar aan security updates missen daar gewoon doorheen komen. Bij hardware attestation kan de appmaker hier zelf een grens voor instellen.

Door Anoniem: Ik gebruik DigiD in combinatie met een sms code, werkt uitstekend.
Voor mij niet al die apps op mijn telefoon, zeker niet nu ik denk aan een Fairphone met e/OS.
Ik zou zeker niet teveel apps op e/OS installeren nee. Vooral niet apps waar gevoelige informatie in staat. Ze (e/OS) lopen erg achter met zelfs de basic security patches voor Android, ook voor Chromium (die als WebView door veel apps gebruikt wordt). Google apps en MicroG krijgen hogere privileges dan andere apps. Ze hebben user tracking in hun updater. Zelfs Google en Apple ondersteunen lokale speech-to-text maar e/OS stuurt je audio rechtsstreeks naar OpenAI…
20-09-2025, 13:58 door Anoniem
Door Anoniem: Ik gebruik DigiD in combinatie met een sms code, werkt uitstekend.
Voor mij niet al die apps op mijn telefoon, zeker niet nu ik denk aan een Fairphone met e/OS.

Idem hier. Heb zelfs geen smartphone maar een simpele GSM.
Motivatie:
Een (1) 'honeypot' (in overdrachtelijke zin) mijn computer dus met Linux Mint (Niets is onaantastbaar) vind ik wel genoeg risico.
21-09-2025, 10:26 door Anoniem
Is DigID als app op je telefoon nu wel of geen goed idee? Voor de leek(die ik ben) op dit gebied zou het fijn zijn als iemand daar kort op kan reageren.
21-09-2025, 12:20 door Anoniem
Door Anoniem: Is DigID als app op je telefoon nu wel of geen goed idee? Voor de leek(die ik ben) op dit gebied zou het fijn zijn als iemand daar kort op kan reageren.
Zo lang je een veilige telefoon hebt (nog regelmatig security updates ontvangt): Ja.
Inloggen met de app is de meest veilige methode. Indien je telefoon niet meer fatsoenlijk ondersteund wordt: inloggen met SMS aanzetten als standaard bij DigiD.
21-09-2025, 13:27 door Anoniem
Door Anoniem: Is DigID als app op je telefoon nu wel of geen goed idee? Voor de leek(die ik ben) op dit gebied zou het fijn zijn als iemand daar kort op kan reageren.
Als je je DigiD account goed wil beveiligen, dan heb je de DigiD app nodig. Je hebt daarin geen andere keuze. De vraag of de DigiD app wel of geen goed idee is, is met die verplichtstelling geen relevante vraag meer.
21-09-2025, 14:44 door Anoniem
Door Anoniem:
Door Anoniem: Is DigID als app op je telefoon nu wel of geen goed idee? Voor de leek(die ik ben) op dit gebied zou het fijn zijn als iemand daar kort op kan reageren.
Als je je DigiD account goed wil beveiligen, dan heb je de DigiD app nodig. Je hebt daarin geen andere keuze. De vraag of de DigiD app wel of geen goed idee is, is met die verplichtstelling geen relevante vraag meer.
Je kan ook met sms inloggen.DigID is niet verplicht. sms kan ook. Geen idee van veilig of niet, maar lees net dat een goed up to date telefoon sms prima is
21-09-2025, 15:18 door Anoniem
Door Anoniem:
Door Anoniem: Is DigID als app op je telefoon nu wel of geen goed idee? Voor de leek(die ik ben) op dit gebied zou het fijn zijn als iemand daar kort op kan reageren.
Zo lang je een veilige telefoon hebt (nog regelmatig security updates ontvangt): Ja.
Inloggen met de app is de meest veilige methode. Indien je telefoon niet meer fatsoenlijk ondersteund wordt: inloggen met SMS aanzetten als standaard bij DigiD.
Dank je
Helder. Je kan gelukkig kiezen tussen sms en App
21-09-2025, 15:49 door Erik van Straten
Door Anoniem: In het verhaal over absolute authenticatie met BSN maak je geen onderscheid tussen identificatie en authenticatie. Een DigiD account is gekoppeld aan een BSN (identificatie) en een inlog middel gekoppeld aan het DigiD account (authenticatie).
Ongeacht van wat je las in mijn betoog:

Een BSN heeft één doel: unieke identificatie van een Nederlander (geen gedonder met anders gespelde namen, gewijzigde achternaam na scheiding enzovoorts).

DigiD is inderdaad bedoeld voor authenticatie (check of jij de door jou geclaimde identiteit hebt) op websites - uitsluitend van organisaties die BSN's mogen verwerken (de feitelijke authenticatie, de verificatie van de geclaimde identiteit, vindt plaats op servers van Logius: op https://*.digid.nl).

Door Anoniem: Wanneer een passkey gekoppeld zou worden aan het DigiD account is er volgens je eigen definitie ook sprake van absolute "authenticatie". Hierin is geen verschil tussen de DigiD app of een passkey.

De verschillen zijn juist enorm, in elk geval geldt:

1) Je hebt de keten langer gemaakt (nieuwe schakel = toename risico's);

2.a) Een passkey kan welliswaar elders gekoppeld zijn aan een BSN maar staat daar verder volstrekt los van. Ik heb geen idee waarom dit een voordeel zou zijn, tenzij je meer privacy wilt door verder te pseudonimiseren (met als prijs grotere risico's op identiteitsfraude en minder detectiemogelijkheden daarvan);

2.b) Eén van de doelen van WebAuthn is dat voor elk webaccount een uniek (passkey) sleutelpaar wordt gegenereerd - juist om het probleem van hergebruikte (voor méér dan 1 account) wachtwoorden te elimineren;

2.c) Als je per BSN-verwerkende website een passkey zou moeten aanmaken, sloop je het concept van federated logon en wordt het een onoverzichtelijke puinhoop met tig passkeys als DigiD-vervanger;

3) In principe kun je (onder iOS/iPadOS) passkeys zeer eenvoudig met anderen delen. In toenemende mate kun je ook passkeys exporteren naar andere "wachtwoord"-managers. Het risico dat kwaadwillenden digitaal minder vaardige mensen overhalen om hun passkey(s) te exporteren naar de passkey-manager van een cybercrimineel zou groot zijn. Vanzelfsprekend kan een crimineel aan de deur je ook overhalen om jouw paspoort af te staan zodat die crimineel dat tegen diens smartphone aan kan houden, maar dat kan niet als die crimineel veilig (voor hem/haar) in Sint Petersburg zit;

4) Passkeys verhelpen NIET het (verderop) door Logius genoemde "CookieMonster" probleem, wat hen (passkeys, maar ook FIDO2 hardware keys) een stuk minder veilig maakt dan geclaimd;

5) Passkeys zijn bedoeld voor pseudonieme (relatieve) authenticatie op elke willekeurige website (hoe slecht beveiligd ook) met een website-certificaat (hoe zwak ook); DigiD bedient een veel kleinere doelgroep;

M.b.t. punt 5: alle "op DigiD aangesloten" websites (en beherende organisaties) moeten aan strenge beveiligingseisen voldoen.

Uit https://www.logius.nl/onze-organisatie/logius-rapporteert/jaarverslag-2024/altijd-veilig-verbonden:
Organisaties die DigiD gebruiken moeten jaarlijks een ICT-beveiligingsassessment laten doen. Met deze assessments houdt Logius toezicht op de DigiD-aansluitingen, zodat het een veilig en betrouwbaar inlogmiddel blijft voor alle mensen die online zakendoen met publieke organisaties. In totaal worden 3435 diensten met DigiD ontsloten. In 2023 moesten 758 diensten verbeteringen treffen, 14 deden dat niet of niet tijdig en zijn (tijdelijk) afgesloten.

Uit dezelfde pagina:
Incidenten en online aanvallen afslaan
Logius beschikt over een professionele crisis- en calamiteitenorganisatie die afgelopen jaar in totaal 176 incidenten heeft afgehandeld.

6) Als ik jou goed begrijp wil je middels passkeys Logius als derde partij schrappen. Dat is zeer onverstandig, want de vereiste "2-zijdige TLS" (tussen de BSN-verwerkende-website en server(s) van Logius) maakt AitM (Attacker in the Middle) aanvallen extreem lastig uit te voeren, terwijl centrale monitoring en eventueel onmiddellijk ingrijpen dan onmogelijk zijn.

Nb. met "2-zijdige TLS" zijn zelfs "legitieme" proxies (zoals van Cloudflare en Fastly - ordinaire MitM's = Man in the Middle, TLS interceptie dus) onmogelijk - tenzij de private key en (client) certificaat op die proxy server worden geïnstaleerd (wat weer grote risico's met zich zou meebrengen).

Als je bedoelt dat je met één enkele passkey op https://digid.nl zou moeten kunnen authenticeren: WAT IS DE MEERWAARDE DAARVAN t.o.v. bestaande mogelijkheden? (Ik zie alleen maar nadelen).

Aanvullende statistieken (gequote, alleen voor geïnteresseerden):
Uit https://www.logius.nl/onze-organisatie/logius-rapporteert/jaarverslag-2022/werken-aan-de-veiligheid-van-de-digitale-overheid:
Om te voorkomen dat mensen de dupe worden van cybercrime zoals phishing zijn er in 2022 meer dan 1800 websites en apps offline gehaald of nooit online zichtbaar geweest. Hierdoor is de kans dat criminelen er met gevoelige gegevens vandoor gaan een stuk kleiner geworden.
Dat klopt indien "een stuk kleiner" uitgelegd wordt als "een druppel op een gloeidende plaat".

Uit dezelfde pagina:
In 2022 heeft Logius 2974 DigiD-accounts ingetrokken vanwege mogelijk misbruik.

Uit https://www.logius.nl/onze-organisatie/logius-rapporteert/jaarverslag-2023/het-complete-jaaroverzicht-2023:
Om identiteitsfraude te voorkomen sluit Logius preventief jaarlijks DigiD-accounts af die mogelijk betrokken zijn bij identiteitsdiefstal. In 2023 heeft het Logius 6.791 DigiD-accounts ingetrokken vanwege mogelijke fraude of misbruik.
Dit hogere aantal werd mede veroorzaakt door de ruim 3000 accounts die in het kader van Operatie Cookiemonster zijn verwijderd.

En uit https://www.logius.nl/onze-organisatie/logius-rapporteert/jaarverslag-2024/altijd-veilig-verbonden:
Om te voorkomen dat mensen de dupe worden van cybercrime zoals phishing zijn er in 2024 meer dan 146 websites en apps offline gehaald of nooit online zichtbaar geweest. Hierdoor is de kans dat criminelen er met gevoelige gegevens vandoor gaan een stuk kleiner geworden.
[...]
In 2024 heeft Logius 9724 DigiD-accounts ingetrokken vanwege mogelijk misbruik.

iOS, iPadOS en Android passkeys zijn een PUINHOOP
En onder iOS/iPadOS (versie 18.7) is het NOG ERGER dan ik dacht: na het weer toevoegen van een vingerafdruk op mijn iPhone, was de situatie van de bovenste drie knoppen onder 'Instellingen' -> "Touch ID en toegangscode" als volgt:
GEBRUIK TOUCH ID VOOR:
iPhone-ontgrendeling AAN
iTunes Store en App store UIT
Autom. invullen wachtw. UIT
De default instelling in die laatste regel heeft tot gevolg dat ik, ondanks geconfigureerde vingersfdruk, op een toestel met ontgrendeld scherm nog steeds zonder enige vorm van lokale authenticatie kan inloggen op https://account.apple.com.

M.b.t. Android: na mijn vorige comment heb ik een tijd zitten experimenteren met passkeys op mijn Pixel 6 Pro. Soms kan ik er, na het aanmaken, kortstondig mee inloggen, maar al snel werkt dat niet meer. Dit is volstrekt onacceptabel.

Conclusie
M.i. moet je zelf eens goed nadenken voordat je met een idee komt. Het komt beslist ook voor dat ik "back of the envelope" ideeën drop, maar (hopelijk) vertel ik dat er dan altijd bij. In elk geval is het mijn streven om niet denigrerend te reageren ("maar je haalt nu wel heel veel dingen door elkaar") als iemand zorgvuldig onderbouwt waarom ik uit mijn nek lul.
21-09-2025, 15:58 door Erik van Straten
Door Anoniem: Is DigID als app op je telefoon nu wel of geen goed idee? Voor de leek(die ik ben) op dit gebied zou het fijn zijn als iemand daar kort op kan reageren.
Mijn grootste bezwaar is de "kopietje paspoort modus" waarbij je éénmalig een identiteitsbewijs tegen de smartphone aan moet houden.

Dit schreeuwt om misbruik (zie ook punt 3 in mijn reactie hierboven: iemand die jouw paspoort tijdelijk, met wat voor smoes dan ook, in handen krijgt, kan dat -vermoed ik- op haar/zijn smartphone doen: correct me if I'm wrong).

Zolang ik geen DigiD app gebruik, kan het dus alleen maar om een identiteitsfraudeur gaan als die app ineens in gebruik wordr genomen en gekoppeld wordt aan mijn identiteit.

Verlies nooit je identiteits/rijbewijs uit het zicht!
21-09-2025, 19:00 door Anoniem
Door Erik van Straten:
Door Anoniem: Is DigID als app op je telefoon nu wel of geen goed idee? Voor de leek(die ik ben) op dit gebied zou het fijn zijn als iemand daar kort op kan reageren.
Mijn grootste bezwaar is de "kopietje paspoort modus" waarbij je éénmalig een identiteitsbewijs tegen de smartphone aan moet houden.

Dit schreeuwt om misbruik (zie ook punt 3 in mijn reactie hierboven: iemand die jouw paspoort tijdelijk, met wat voor smoes dan ook, in handen krijgt, kan dat -vermoed ik- op haar/zijn smartphone doen: correct me if I'm wrong).

Zolang ik geen DigiD app gebruik, kan het dus alleen maar om een identiteitsfraudeur gaan als die app ineens in gebruik wordr genomen en gekoppeld wordt aan mijn identiteit.

Verlies nooit je identiteits/rijbewijs uit het zicht!
Dus beter een sms als ik je juist begrijp
21-09-2025, 22:33 door Anoniem
Door Erik van Straten:
Door Anoniem: Is DigID als app op je telefoon nu wel of geen goed idee? Voor de leek(die ik ben) op dit gebied zou het fijn zijn als iemand daar kort op kan reageren.
Mijn grootste bezwaar is de "kopietje paspoort modus" waarbij je éénmalig een identiteitsbewijs tegen de smartphone aan moet houden.

Dit schreeuwt om misbruik (zie ook punt 3 in mijn reactie hierboven: iemand die jouw paspoort tijdelijk, met wat voor smoes dan ook, in handen krijgt, kan dat -vermoed ik- op haar/zijn smartphone doen: correct me if I'm wrong).

Zolang ik geen DigiD app gebruik, kan het dus alleen maar om een identiteitsfraudeur gaan als die app ineens in gebruik wordr genomen en gekoppeld wordt aan mijn identiteit.

Verlies nooit je identiteits/rijbewijs uit het zicht!

Ja, je hebt het verkeerd.

Waarom lees je niks en ga je dan risico's zitten verzinnen en mensen zitten bang maken met een 'correct me if I'm wrong' disclaimer ?
(discussietruuk "just asking questions" ) .

Wat had je kunnen en moeten lezen ?
De handleiding "digid activeren" .

Als eerste moet de koppeling tussen jouw gekozen digid-login / password en jouw "echte" identiteit gemaakt worden.

Dat gaat met een papieren brief met activatiecode naar jouw adres in de BRP. (burgerlijke stand)

https://www.digid.nl/aanvragen-en-activeren/digid-aanvragen

je kunt dus NIET met alleen een paspoort/rijbewijs de digid app voor "die persoon" activeren .


En daarmee vervalt je verzonnen risico .
21-09-2025, 22:41 door Anoniem
Door Anoniem:
Door Erik van Straten:
Door Anoniem: Is DigID als app op je telefoon nu wel of geen goed idee? Voor de leek(die ik ben) op dit gebied zou het fijn zijn als iemand daar kort op kan reageren.
Mijn grootste bezwaar is de "kopietje paspoort modus" waarbij je éénmalig een identiteitsbewijs tegen de smartphone aan moet houden.

Dit schreeuwt om misbruik (zie ook punt 3 in mijn reactie hierboven: iemand die jouw paspoort tijdelijk, met wat voor smoes dan ook, in handen krijgt, kan dat -vermoed ik- op haar/zijn smartphone doen: correct me if I'm wrong).

Zolang ik geen DigiD app gebruik, kan het dus alleen maar om een identiteitsfraudeur gaan als die app ineens in gebruik wordr genomen en gekoppeld wordt aan mijn identiteit.

Verlies nooit je identiteits/rijbewijs uit het zicht!
Dus beter een sms als ik je juist begrijp

Nee, Erik zoekt niet op hoe Digid geactiveeerd wordt en verzint daarom risico's die er niet zijn.

(https://www.digid.nl/aanvragen-en-activeren/digid-aanvragen)

Natuurlijk is het verstandig om je paspoort/rijbewijs niet te verliezen of uit te lenen, maar daarmee is er GEEN risico dat een ander opeens "digid met jouw identiteit" kan activeren.
De aanvraag van een Digid-account/identiteit gaat met activeringscode brief (papier) naar je adres in de BRP , en NIET met alleen maar het tijdelijk bezitten van een paspoort van iemand.

SMS is ook - voor "normale" mensen qua risicoprofiel , ook prima. Maar dit verhaal is geen reden om SMS _bij voorkeur_ te kiezen.
Je voornaamste security actie moet zijn om de DigiD app met een (aparte) pincode te beveiligen of de biometrie van je telefoon .
22-09-2025, 01:28 door Anoniem
Door Anoniem: Is DigID als app op je telefoon nu wel of geen goed idee? Voor de leek(die ik ben) op dit gebied zou het fijn zijn als iemand daar kort op kan reageren.

Heel simpel : op gebieden waar je leek bent is het standaard advies van "de leverancier" volgen gewoon de beste keuze.
Voor Digid is dat "de overheid" , en die beveelt de App aan. (en terecht ).

Je doet er goed aan om de relevante tips (telefoon updaten qua patches - en een aparte pincode op de app gebruiken) ook op te volgen.

Als je je wilt afvragen in welke omstandigheden dat misschien soms geen goed idee - dan moet je zorgen dat je geen leek meer wordt door op zo'n domein erg veel kennis op te bouwen, en te leren welke afwegingen, voor/na delen er spelen en onder welke (meestal obscure/speciale) omstandigheden "hetzelfde als iedereen" doen voor jouw speciale geval niet handig is.
Er zijn erg weinig mensen voor wie dat echt relevant is. (en wat meer mensen die zichzelf bijzonder voelen en doen alsof het voor hen relevant is ).
22-09-2025, 09:06 door Anoniem
Door Anoniem: Ik gebruik DigiD in combinatie met een sms code, werkt uitstekend.
Voor mij niet al die apps op mijn telefoon, zeker niet nu ik denk aan een Fairphone met e/OS.

Alleen die SMS code is zo makkelijk te onderscheppen dat dit eigenlijk niet eens meer een beveiligingsmaatregelen mag zijn.
SMS wordt 'in the clear' verzonden en is dus op meerdere manieren te onderscheppen.
Het is dat er nog veel mensen geen degelijke MFA gebruiken waardoor SMS nog blijft bestaan als oplossing.

Als er dan al MFA wordt gebruikt, gebruiken ze daar veelal de grote gratis diensten voor en de vraag is of dat wel zo handig is. Niet dat die code te grabbel ligt, dat valt gelukkig wel mee. Maar de data die je daarin stopt is marketing.
Alles wat gratis is, ben jij het product ook al roepen ze heel hard van niet. Ergens zit een verdienmodel anders kunnen ze niet bestaan en dat verdienmodel ben jij.
Welke applicatie heb jij die token voor? Wat is jouw naam? Wellicht heb je nog meer gegevens ingevuld voor de benodigde back-up mogelijkheden. Die heb je allemaal cadeau gegeven in ruil voor jou gratis product.
22-09-2025, 10:40 door Anoniem
Door Anoniem:
Door Anoniem: Ik gebruik DigiD in combinatie met een sms code, werkt uitstekend.
Voor mij niet al die apps op mijn telefoon, zeker niet nu ik denk aan een Fairphone met e/OS.

Alleen die SMS code is zo makkelijk te onderscheppen dat dit eigenlijk niet eens meer een beveiligingsmaatregelen mag zijn.
SMS wordt 'in the clear' verzonden en is dus op meerdere manieren te onderscheppen.
Het is dat er nog veel mensen geen degelijke MFA gebruiken waardoor SMS nog blijft bestaan als oplossing.

En dat soort risico's is gewoon totaal geen issue als het gaat om een inlogcode waarmee oma kijkt hoe laat ze in het ziekenhuis moet zijn .
Of Henk-Kees bij DUO z'n stufi checked.

SMS is gewoon NIET door iedere jan lul te onderscheppen . Heb je een miljoen aan crypto coins staan - doe vooral geen SMS.
Ben je gewoon een leek die z'n toeslagen bekijkt - best, SMS is ook goed genoeg.
22-09-2025, 12:43 door Anoniem
Er zijn overigens banken zoals Argenta , Yapi Kredi en nog meer banken die met een sms werken naast gebruikersnaam en wachtwoord
Er zijn ook banken die alleen met inlognaam werken en wachtwoord. NN bijvoorbeeld
De laatste biedt overigens ook een app aan maar die verzamelt weer allerlei data
Wel vreemd dat ze dat gewoon doen vindt ik, dus blijkbaar is daar het besef niet ingedaald
DigID laat sms dus ook toe, ook via gesproken (bel)code
Hoewel misschien makkelijk te onderscheppen moet je ook wel heel snel zijn want na 10 seconden heb je die eenmalige code ingevuld en werkt ie al niet meer. Het blijft dus een relatief verhaal
Ik denk als je target bent, met veel geld of bitcoins dat je dan wel moet oppassen. Ik zou dan idd geen sms gebruiken
Het blijft dus genuanceerd afhankelijk van waar je inlogt.
De andere overweging is hoe afhankelijk je wordt van je telefoon met meer en meer apps
Zeker met plannen richten digitale ID en CBDC en CSS (Client Side Scanning)
Maar goed. Daar wordt nog over gestreden Hopelijk op een eerlijke transparante manier.
22-09-2025, 13:35 door majortom
Door Anoniem:
Door Anoniem:
Door Anoniem: Ik gebruik DigiD in combinatie met een sms code, werkt uitstekend.
Voor mij niet al die apps op mijn telefoon, zeker niet nu ik denk aan een Fairphone met e/OS.

Alleen die SMS code is zo makkelijk te onderscheppen dat dit eigenlijk niet eens meer een beveiligingsmaatregelen mag zijn.
SMS wordt 'in the clear' verzonden en is dus op meerdere manieren te onderscheppen.
Het is dat er nog veel mensen geen degelijke MFA gebruiken waardoor SMS nog blijft bestaan als oplossing.

En dat soort risico's is gewoon totaal geen issue als het gaat om een inlogcode waarmee oma kijkt hoe laat ze in het ziekenhuis moet zijn .
Of Henk-Kees bij DUO z'n stufi checked.

SMS is gewoon NIET door iedere jan lul te onderscheppen . Heb je een miljoen aan crypto coins staan - doe vooral geen SMS.
Ben je gewoon een leek die z'n toeslagen bekijkt - best, SMS is ook goed genoeg.
Inderdaad. Daarom blijf ik voorlopig lekker SMS gebruiken; die app komt er niet in (en aangezien ik die moet sideloaden omdat ik niet bij de PlayStore kan/wil, wat tegen de voorwaarden is) is dat op dit moment de enige mogelijkheid. Het enige gevaar dat je loopt bij SMS is SIM swapping; dat risico lijkt me relatief klein in mijn geval.

Overigens wil ik best wel overstappen naar een andere vorm van MFA bij inloggen DigiD (zoals via TOTP), zodat de kans op misbruik kleiner wordt, maar die mogelijkheid is er tot op heden niet.
22-09-2025, 18:40 door Anoniem
Door Anoniem: Als security professional had ik altijd al twijfels over hoe veilig DigiD nu precies is. Het feit dat dit nu pas toegevoegd wordt versterk dat gevoel. Hoogtijd dat DigiD open standaarden zoals Passkeys gaat ondersteunen. Veiliger en privacy vriendelijker omdat er geen app met telemetrie meer nodig is.

Precies, wat is er mis met OTP, is in veel gevallen voldoende
22-09-2025, 19:55 door Anoniem
Door majortom:
Overigens wil ik best wel overstappen naar een andere vorm van MFA bij inloggen DigiD (zoals via TOTP), zodat de kans op misbruik kleiner wordt, maar die mogelijkheid is er tot op heden niet.

Komt er hopelijk nooit.

Doe 's een security architectuur analyse van het openstellen van de API voor een protocol dat gebouwd is op een shared secret dat lekker makkelijk exporteerbaar is zodat veel clients het kunnen gebruiken ?

"hoe maken we DigiD onveilig: geef iedere account de kans om het onveilig te doen vanwege de paar freaks die hun client-zijde goed kunnen beheren" .

(TOTP - shared secret based one-time password - het shared secret is wat je kunt/moet backuppen om je authenticator-app makkelijk te kunnen verhuizen, of je voorkeurs-app ervoor te kunnen gebruiken ) .
22-09-2025, 20:15 door Anoniem
Door Anoniem:
Door majortom:
Overigens wil ik best wel overstappen naar een andere vorm van MFA bij inloggen DigiD (zoals via TOTP), zodat de kans op misbruik kleiner wordt, maar die mogelijkheid is er tot op heden niet.

Komt er hopelijk nooit.

Doe 's een security architectuur analyse van het openstellen van de API voor een protocol dat gebouwd is op een shared secret dat lekker makkelijk exporteerbaar is zodat veel clients het kunnen gebruiken ?

"hoe maken we DigiD onveilig: geef iedere account de kans om het onveilig te doen vanwege de paar freaks die hun client-zijde goed kunnen beheren" .

(TOTP - shared secret based one-time password - het shared secret is wat je kunt/moet backuppen om je authenticator-app makkelijk te kunnen verhuizen, of je voorkeurs-app ervoor te kunnen gebruiken ) .
Er zijn ook te veel authenticator apps die dit by default backuppen naar de cloud...
23-09-2025, 01:46 door Erik van Straten - Bijgewerkt: 23-09-2025, 01:58
Door Anoniem:
Door Erik van Straten: Verlies nooit je identiteits/rijbewijs uit het zicht!
Dus beter een sms als ik je juist begrijp
Nee, je begrijpt mij niet juist - of beter, juist niet.

Door Anoniem:
Door Erik van Straten: Verlies nooit je identiteits/rijbewijs uit het zicht!
Ja, je hebt het verkeerd.

Waarom lees je niks en ga je dan risico's zitten verzinnen en mensen zitten bang maken met een 'correct me if I'm wrong' disclaimer ?
(discussietruuk "just asking questions" ) .

Wat had je kunnen en moeten lezen ?
De handleiding "digid activeren" .
Ik geef grif toe: die heb ik ooit wel eens gelezen, maar al heel lang niet meer.

Maar wat daar wel of niet in staat kan nooit voldoende uitmaken om mijn bezwaar (dat er een modus bestaat waarbij je éénmalig een identiteitsbewijs tegen je telefoon moet houden - en er dús sprake is van een kopietje-paspoort) weg te nemen.

Door Anoniem: Als eerste moet de koppeling tussen jouw gekozen digid-login / password en jouw "echte" identiteit gemaakt worden.

Dat gaat met een papieren brief met activatiecode naar jouw adres in de BRP. (burgerlijke stand)

https://www.digid.nl/aanvragen-en-activeren/digid-aanvragen

je kunt dus NIET met alleen een paspoort/rijbewijs de digid app voor "die persoon" activeren .

En daarmee vervalt je verzonnen risico .
"Vervalt?!"

Toegegeven, het is niet altijd zó simpel: mijn overburen hebben een brievenbus aan de buitenmuur hangen - met een deksel zonder slot. Als zij er langsopen doen ze het (de?) deksel open om te kijken of er post in de bus zit. Zij hebben nóch een sleutel, nóch een hengel, nodig om bijv. een voor hen bestemde DigiD-brief uit die bus "te vissen".

Uit, I joke you not, de "Betrouwbare Courant" (PDF: https://vng.nl/sites/default/files/knowledge_base_compliance//160301_-_Naar_betrouwbare_persoonsgegevens_en_aanpak_fraude___Betrouwbare_Courant.pdf - met onze nationale gemeente-expert prominent op de voorpagina. Meer over hem i.r.t. gemeenten in een andere 'betrouwbare' courant, zie https://archive.is/4VQsF):
Identiteitsfraude met DigiD
Er komen regelmatig meldingen van fraude met DigiD, bijvoorbeeld bij (v)echtscheidingen waarbij de aanstaande ex-partners over elkaars inloggegevens beschikken en elkaar dwars zitten. Ook worden wel DigiD-codes op andermans naam aangevraagd waarbij de post wordt omgeleid (naar 'vakantieadres') of onderschept (postbode opwachten of brievenbus hengelen).
Het proces is 2FA, what could possibly go wrong?!

Voor de volledigheid, het kadertje in de "Betrouwbare Courant" gaat verder met:
Met de DigiD-code worden vervolgens verhuizingen doorgegeven, toeslagen aangevraagd, rekeningnummers voor uitbetaling veranderd, enzovoort.
Het CMI gaat bij dergelijke gevallen - vaak samen met instanties als Logius, Belastingdienst, UWV en gemeente - na wat er precies is gebeurd en doet haar best zaken te herstellen, indien nodig. Het slachtoffer wordt aangeraden een nieuw DigiD aan te vragen, sms-verificatie in te schakelen en bewijsmiddelen op te vragen bij bijvoorbeeld TNT Post voor kopie melding postomleiding, enzovoorts.
En het cirkeltje is weer rond: SMS to the rescue!

P.S. de passkey nitwit zwijg nu, of is zij/hij tevens de volgende wielheruitvinder:
Door Anoniem: Precies, wat is er mis met OTP ...
Naast mijn bezwaren tegen passkey(s) voor DigiD, nog stommer - want AitM.
23-09-2025, 10:22 door Anoniem
Door Erik van Straten:
Door Anoniem:
Door Erik van Straten: Verlies nooit je identiteits/rijbewijs uit het zicht!
Dus beter een sms als ik je juist begrijp
Nee, je begrijpt mij niet juist - of beter, juist niet.

Door Anoniem:
Door Erik van Straten: Verlies nooit je identiteits/rijbewijs uit het zicht!
Ja, je hebt het verkeerd.

Waarom lees je niks en ga je dan risico's zitten verzinnen en mensen zitten bang maken met een 'correct me if I'm wrong' disclaimer ?
(discussietruuk "just asking questions" ) .

Wat had je kunnen en moeten lezen ?
De handleiding "digid activeren" .
Ik geef grif toe: die heb ik ooit wel eens gelezen, maar al heel lang niet meer.

Maar wat daar wel of niet in staat kan nooit voldoende uitmaken om mijn bezwaar (dat er een modus bestaat waarbij je éénmalig een identiteitsbewijs tegen je telefoon moet houden - en er dús sprake is van een kopietje-paspoort) weg te nemen.

Door Anoniem: Als eerste moet de koppeling tussen jouw gekozen digid-login / password en jouw "echte" identiteit gemaakt worden.

Dat gaat met een papieren brief met activatiecode naar jouw adres in de BRP. (burgerlijke stand)

https://www.digid.nl/aanvragen-en-activeren/digid-aanvragen

je kunt dus NIET met alleen een paspoort/rijbewijs de digid app voor "die persoon" activeren .

En daarmee vervalt je verzonnen risico .
"Vervalt?!"

Ja - vervalt.

Want jij verzint dat een paspoort vasthouden genoeg is om de identiteit van die persoon in DigiD te stoppen.

En dat is niet waar.

En daar lul je maar weer omheen.


Toegegeven, het is niet altijd zó simpel: mijn overburen hebben een brievenbus aan de buitenmuur hangen - met een deksel zonder slot. Als zij er langsopen doen ze het (de?) deksel open om te kijken of er post in de bus zit. Zij hebben nóch een sleutel, nóch een hengel, nodig om bijv. een voor hen bestemde DigiD-brief uit die bus "te vissen".

Dat is weer een extra stap.

Ga je nu ook zeuren dat foute echtgenoten kunnen stelen en frauderen ?

Oh - natuurlijk.

NO SHIT.

Weet je - get a life. Tegen voldoende nabije foute insiders zoals partners, kinderen of huispersoneel is niks te doen.
Eventueel achteraf via het strafrecht.
Konden ze al in de steentijd .
En in de papieren tijd - bekende handtekening namaken , of sullige ouder gewoon laten tekenen voor iets.

Voor de normale lezers hier : als iemand even je rijbewijs vast gehad heeft , kan die NIET je DIgid overnemen.
23-09-2025, 13:17 door eMilt
Is dat een tekortkoming van de DigiD app of van het OS?
Ook van het OS inderdaad! Maar DigiD zou toch als doel moeten hebben om het voor zoveel mogelijk mensen bereikbaar te maken dus als het OS het niet ondersteunt dan zou DigiD dat toch moeten inbouwen.
23-09-2025, 13:26 door eMilt
Dat moeten ze NOOIT toevoegen.

Met alle -terechte- voorlichting om dat je DigiD Heel Erg Persoonlijk is moet je natuurlijk geen feature bouwen die zegt "is OK om lekker de app te delen" .
Ook al kun je (beloven) het in-app te scheiden, het is gewoon totaal de verkeerde boodschap . Mensen met dit specifieke probleem lossen het maar zelf op.

Natuurlijk is dit prima veilig te doen. Ik ben niet zo bekend hoe DigiD achter de schermen werkt maar ik ga er vanuit dat er wel iets als secret/private keys e.d. gebruikt worden. Die moeten nu ook veilig op geslagen worden en dat zal dus niet in een simpel SQLite database op file system zijn. iOS heeft o.a. de Keychain om dat veilig te doen is.
23-09-2025, 16:40 door Anoniem
Voor een leek zoals ik totaal niet te volgen
Zelfs expert bestrijden elkaar
OTP lijkt dus slecht maar wordt niet gebruikt bij DigID
Wel:
sms , MAAR is ook weer niet veilig want makkelijk te onderscheppen?
Dan de DigID app, die is dan toch OK?

Wie waagt het nog kort en duidelijk , want er moet toch een GEMEENSCHAPPELIJK INZICHT zijn
Het gaat in de discussie toch niet om: IK vind dit en JIJ vind dat en iedereen heeft recht op zijn mening en heeft dus gelijk
Dat is immers debielen logica
Dus hoe zit het nu???
Je kunt toch ook niet strijden over de vraag of 3 plus 6 NEGEN is?
23-09-2025, 16:43 door Anoniem
Logius: key attestation DigiD vereist geen Google Play Services
dinsdag 23 september 2025, 16:25 door Redactie

https://www.security.nl/posting/905841/Logius%3A+key+attestation+DigiD+vereist+geen+Google+Play+Services

De key attestation in de DigiD-app vereist géén Google Play Services, zo heeft DigiD-beheerder Logius laten weten.
24-09-2025, 02:03 door Erik van Straten - Bijgewerkt: 24-09-2025, 02:07
Door Anoniem 16:40: OTP lijkt dus slecht maar wordt niet gebruikt bij DigID
Precies. Want:

1) OTP's (One Time Passwords) zijn in principe niet persoonsgebonden. Dat is een voordeel (je kunt er pseudonieme accounts mee maken, waarbij je verder over jouw identiteit alles bij elkaar kunt liegen - voor zover je die moet specificeren), maar als het doel is om het voor cybercriminelen zo moelijk mogelijk maken om met jouw "absolute" identiteit te frauderen, dan heb jij hier niets aan.

2) Voor OTP zijn, naast SMS, "Authenticator"-achtige apps het meest gebruikt (TOTP, Number Matching en wie weet wat nog meer). De basis daarbij is een "shared secret" op de server en in de app (toelichting: *). De drie grote voordelen van zo'n shared secret t.o.v. een door een mens verzonnen wachtwoord zijn:

2.a) Het is lang (een getal van veel cijfers) en random gegenereerd. Daarom is een brute-force aanval zo goed als kansloos.

2.b) Het is "uniek", in die zin dat het niet wordt hergebruikt voor andere accounts van dezelfde "eigenaar". Dit is belangrijker dan bij wachtwoorden, omdat die laatste verhaspeld horen te worden opgeslagen op de server, terwijl zo'n shared secret "plain text" moet worden opgeslagen (als een hacker toegang krijgt tot de account-database op een server, kan zij/hij OTP shared secrets kopiëren, maar verkrijgt daarmee niet zomaar toegang tot accounts van de slachtoffers op andere servers.

3) Effectief is een OTP app een stomme wachtwoordmanager. Want "onder" de app "zit" een database met records, met in elk record op z'n minst de volgende velden:
• shared secret
• domeinnaam van de server

Dit soort wachtwoordmanagers zijn stom omdat zij (net als andere stomme wachtwoordmanagers, in tegenstelling tot WebAuthn gebruikende passkeys en FIDO2 hardware keys) NIET checken of de inlogger op de juiste server zit. Nee, dit laten dit soort apps voor 100% over aan PEBCAK's (Problem Exists Between Keyboard And Chair) - terwijl iedereen (met hersens) weet dat mensen massaal in phishing met nepwebsites trappen.

4) Oftewel: om het probleem van de waardeloze, door mensen gekozen, wachtwoorden op te lossen vertellen we ze NIET dat ze een wachtwoordmanager moeten gebruiken, want "dat is eng", "je bent een nerd" of "dat is een risico". In plaats daarvan laat big tech het gepeupel tóch een wachtwoordmanager gebruiken - die er anders uitziet en die niet zo genoemd wordt, met "2FA"/"MFA" als rechtvaardiging omdat de database gekoppeld is aan jouw smartphone. Uhm..., totdat jij die database overzet op jouw nieuwe smartphone, of een cybercrimineel jouw database overzet op (of kopieert naar) zijn of haar smartphone.

5) Maar er ging en gaat meer mis (en er bestaan nauwelijks bekende risico's als "time traveler attacks"), zie bijv.
https://security.nl/posting/778668/TOTP+Authenticators+drama
https://security.nl/posting/708673/Risico+%22Authenticator%22+apps
https://security.nl/posting/796402/MFA+aanval+via+html+bijlage
https://www.security.nl/posting/796707
https://security.nl/posting/904969/PhaaS+platform+RaccoonO365#posting905043

*) Bij TOTP gebruiken zowel de server als de app het actuele tijdstip en algoritme ("verhaspelen" van het tijdstip met het shared secret). Dat "verhaspelen" gebeurt m.b.v. cryptografische hashfuncties (zoals een HMAC). Erg technisch allemaal, zeer vereenvoudigd kun je dit als volgt zien ('ss' = shared secret):
TOTP = mod((ss+tijd), 1000000)
Met de "mod" (modulus) functie bereken je de rest na deling (met gehele getallen). Het resultaat is een getal van maximaal 6 cijfers, waarna er nullen vóór worden gezet om tot 6 cijfers te komen. In de praktijk zijn er problemen, zoals niet precies gelijklopende klokken, waardoor er oplossingen zijn gevonden (die niet altijd "optimaal" bleken (zie bijv. https://www.security.nl/posting/868913/Onderzoekers+konden+Microsoft+MFA+door+beperkte+rate+limiting+omzeilen).

Dat allemaal nog even los van de vraag of je OTP voor digid.nl wilt gebruiken, of juist voor élke website waarop je met DigiD inlogt (zie mijn argumenten bij mijn reacties op de passkeys freak).

Door Anoniem 16:40: sms , MAAR is ook weer niet veilig want makkelijk te onderscheppen?
Nee, "onderscheppen" in de zin van met radio-apparatuur (IMSI-catchers) aan de gang gaan, is niet makkelijk. Wat in de praktijk vaak wel eenvoudig blijkt is dat een cybercrimineel jouw telecomprovider belt en jouw telefoonnummer aan haar of zijn SIM-kaart laat koppelen. Uit 2018: https://www.rtl.nl/tech/artikel/4509851/sim-swapping-nederland-slachtoffers-hacken.

Door Anoniem 16:40: Het gaat in de discussie toch niet om: IK vind dit en JIJ vind dat en iedereen heeft recht op zijn mening en heeft dus gelijk
Oordeel zelf, kijk naar wie zich baseert op feiten en/of verwijzingen naar geloofwaardige nieuwsberichten (negeer gerust mijn "mening" in de vele eigen postings waar ik naar verwijs; check de externe links daarin). Of geloof anonieme blaaskaken.

Door Anoniem 10:22: Weet je - get a life.
Insgelijks (ik ga zo'n type als jij geen aanvalsscenario voorkauwen)
24-09-2025, 02:23 door Erik van Straten
Door eMilt:iOS heeft o.a. de Keychain om dat veilig te doen [...]
Ahum, veilig?

Bij kansrijke instellingen (welliswaar op een reeds ontgrendeld toestel - denk aan de kinderen! die een spelletje mogen spelen - of een dief die jouw foon -reeds ontgrendeld- uit jouw handen grist), zónder welke vorm van authenticatie dan ook, toegang hebben tot die Keychain?

(Zie onder "iOS, iPadOS en Android passkeys zijn een PUINHOOP" in https://security.nl/posting/905537 en daarvoor, onder "(1) iPhone/iPad zonder vingerafdruk", in https://security.nl/posting/905377).
24-09-2025, 09:23 door Anoniem
Beste Erik v Straten

Ik ben de leek.16:40 Dank voor je enorm uitgebreide antwoord.Het komt op mij over als iemand die weet waarover hij spreekt , inhoudelijk is het ook consistent.
Dus samenvattend is de DigID app het veiligst na toepassing van de voorstellen (key attestation) tot betere beveiliging zoals beschreven in de kop van dit artikel, dus inclusief eenmalige scan paspoort met de app. En het gaat hierbij dus om veiligheid (Privacy is een totaal ander onderwerp!)
en:
Zou je sowieso TOTP OTP sms afraden? (dit is een algemene vraag, los van de digID app) En wat zou je dan adviseren als extra beveiliging naast je WWoord in het algemeen, rekening houdende met heel belangrijke accounts (email bank) en minder belangrijke
Groet
K
24-09-2025, 14:25 door Erik van Straten
Door Anoniem: Ik ben de leek.16:40 Dank voor je enorm uitgebreide antwoord.Het komt op mij over als iemand die weet waarover hij spreekt , inhoudelijk is het ook consistent.
Dank!

Door Anoniem: Dus samenvattend is de DigID app het veiligst na toepassing van de voorstellen (key attestation) tot betere beveiliging zoals beschreven in de kop van dit artikel, dus inclusief eenmalige scan paspoort met de app.
Key attestation of niet, het blijft een kopietje paspoort.

Anders dan "gemakzucht" begrijp ik niet waarom je niet elke keer een identiteitsbewijs tegen je smartphone moet houden (uitlezen via NFC). Dat ná een initiële keer tijdens het initialiseren van de app.

Een log (kopie bij Logius) wanneer, met welk identiteitsbewijs, met welke exacte smartphone, versie van het OS, de doelsite waarop werd aangemeld — en wellicht nog meer —, kan worden gebruikt als indicatie van de betrouwbaarheid waarmee de betrokkene authenticeert. Zodra er sprake is van een andere smartphone, een ander identiteitsbewijs of een onverwachte doelsite (aanvraag studielening door een ouder iemand), wijziging van gegevens zoals telefoonnummer en/of adres en/of IBAN, of andere anomalies, daalt de betrouwbaarheid. Bij een te grote daling zou de DigiD tijdelijk kunnen worden geblokkeerd en zou de betrokkene opnieuw moeten bewijzen dat zij of hij is wie hij/zij claimt te zijn.

Door Anoniem: En het gaat hierbij dus om veiligheid (Privacy is een totaal ander onderwerp!)
Nee, privacy is niet een totaal ander onderwerp. Minder privacy leidt nagenoeg altijd tot een toename van jouw risico's - waaronder hartstikke security-gerelateerde (zie -discutabel- "privacy = 1/(misbruik risico)" https://security.nl/posting/676448).

Door Anoniem: Zou je sowieso TOTP OTP sms afraden? (dit is een algemene vraag, los van de digID app)
Ja, want het is absurd om zelfs maar te denken dat je het probleem van extreem zwakke wachtwoorden op zou kunnen lossen met eveneen zwakke authenticatie-oplossingen, waaronder TOTP wachtwoordmanagers of door gebruik te maken van brakke SMS. Daarmee ga je van iets meer dan 0FA naar minder dan 1FA.

Nb. laat je niks wijsmaken met 2FA/MFA. Veel meer dan 1FA wordt het namelijk zelden, want "session cookies" en vergelijkbare oplossingen: zie https://security.nl/posting/903841.

Toch m.b.t. de DigiD-app, ik ben van mening veranderd over SMS: INDIEN je, op verstandige wijze, een veilige wachtwoordmanager gebruikt die je zo lang mogelijke random wachtwoorden laat genereren (uniek voor elk account), en helemaal als die wachtwoordmamager checkt op domeinnamen, heeft 2FA middels SMS beslist WÉL meerwaarde (het risico op account-lockout neemt echter toe naarmate je meer factoren gebruikt).

Door Anoniem: En wat zou je dan adviseren als extra beveiliging naast je WWoord in het algemeen, rekening houdende met heel belangrijke accounts (email bank) en minder belangrijke
Ik ben al enige tijd van plan om een geactualiseerde versie van "Veilig inloggen" (https://security.nl/posting/840236) te schrijven (zie ook mijn aanvullingen verderop in die pagina, zoals https://security.nl/posting/876137 voor iOS/iPadOS-gebruikers).
24-09-2025, 17:31 door Anoniem
Door Erik van Straten:
Door Anoniem: Ik ben de leek.16:40 Dank voor je enorm uitgebreide antwoord.Het komt op mij over als iemand die weet waarover hij spreekt , inhoudelijk is het ook consistent.
Dank!

Door Anoniem: Dus samenvattend is de DigID app het veiligst na toepassing van de voorstellen (key attestation) tot betere beveiliging zoals beschreven in de kop van dit artikel, dus inclusief eenmalige scan paspoort met de app.
Key attestation of niet, het blijft een kopietje paspoort.

Anders dan "gemakzucht" begrijp ik niet waarom je niet elke keer een identiteitsbewijs tegen je smartphone moet houden (uitlezen via NFC). Dat ná een initiële keer tijdens het initialiseren van de app.

Een log (kopie bij Logius) wanneer, met welk identiteitsbewijs, met welke exacte smartphone, versie van het OS, de doelsite waarop werd aangemeld — en wellicht nog meer —, kan worden gebruikt als indicatie van de betrouwbaarheid waarmee de betrokkene authenticeert. Zodra er sprake is van een andere smartphone, een ander identiteitsbewijs of een onverwachte doelsite (aanvraag studielening door een ouder iemand), wijziging van gegevens zoals telefoonnummer en/of adres en/of IBAN, of andere anomalies, daalt de betrouwbaarheid. Bij een te grote daling zou de DigiD tijdelijk kunnen worden geblokkeerd en zou de betrokkene opnieuw moeten bewijzen dat zij of hij is wie hij/zij claimt te zijn.

Door Anoniem: En het gaat hierbij dus om veiligheid (Privacy is een totaal ander onderwerp!)
Nee, privacy is niet een totaal ander onderwerp. Minder privacy leidt nagenoeg altijd tot een toename van jouw risico's - waaronder hartstikke security-gerelateerde (zie -discutabel- "privacy = 1/(misbruik risico)" https://security.nl/posting/676448).

Door Anoniem: Zou je sowieso TOTP OTP sms afraden? (dit is een algemene vraag, los van de digID app)
Ja, want het is absurd om zelfs maar te denken dat je het probleem van extreem zwakke wachtwoorden op zou kunnen lossen met eveneen zwakke authenticatie-oplossingen, waaronder TOTP wachtwoordmanagers of door gebruik te maken van brakke SMS. Daarmee ga je van iets meer dan 0FA naar minder dan 1FA.

Nb. laat je niks wijsmaken met 2FA/MFA. Veel meer dan 1FA wordt het namelijk zelden, want "session cookies" en vergelijkbare oplossingen: zie https://security.nl/posting/903841.

Toch m.b.t. de DigiD-app, ik ben van mening veranderd over SMS: INDIEN je, op verstandige wijze, een veilige wachtwoordmanager gebruikt die je zo lang mogelijke random wachtwoorden laat genereren (uniek voor elk account), en helemaal als die wachtwoordmamager checkt op domeinnamen, heeft 2FA middels SMS beslist WÉL meerwaarde (het risico op account-lockout neemt echter toe naarmate je meer factoren gebruikt).

Door Anoniem: En wat zou je dan adviseren als extra beveiliging naast je WWoord in het algemeen, rekening houdende met heel belangrijke accounts (email bank) en minder belangrijke
Ik ben al enige tijd van plan om een geactualiseerde versie van "Veilig inloggen" (https://security.nl/posting/840236) te schrijven (zie ook mijn aanvullingen verderop in die pagina, zoals https://security.nl/posting/876137 voor iOS/iPadOS-gebruikers).
Dat is wel heel fijn Hier kan ik dus wat mee
Het zou eigenlijk super zijn als er een NL website zou zijn met professionele info over deze onderwerpen.Ik houdt deze website ook in de gaten (security.nl)
Groet!.
Dank voor de wegwijs. Ik gebruik idd wwoordmanger Bitwarden en ProtonPass
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.