Dat is nog steeds het advies - voor passwoorden op plaatsen waar "iedereen" kan proberen, en vaak kan proberen.
Of zelfs tientallen miljarden keren kan proberen als de lijst van versleutelde passwords leks.



Klopt ook.

Ja - het feit dat die app gekoppeld op JOUW telefoon staat , en die pincode niet "door iedereen op de wereld op de website van ing/gmail/bol.com" geprobeerd kan worden.

De pincode heeft als functie om (alleen) het misbruiken te blokkeren als jij iemand jouw telefoon heeft, en dan ook nog unlocked .

En die pincode blokkeert na vijf pogingen - en dan kun je niks meer behalve de app weer opnieuw installeren en koppelen.
Telefoons hebben de laatste jaren een 'secure enclave' speciaal code-processortje in/naast de chip waar dingen (zoals keycodes) in staan die ook niet meer naar buiten moeten kunnen komen.
De opties voor theoretische hackers om je telefoon open te pluizen en alsnog je bank-app te misbruiken zijn erg klein.

Net zoals je bankPAS ook "maar" vier cijfers heeft - maar dus ook blokkeert / ingeslikt wordt bij te vaak fout .

Telefoons zijn als "computer" heel erg veel beter beveiligd dan een 'gewone' desktop - omdat jij niet meer de "systeembeheerder" van je telefoon bent (dat is Apple of Google) - en de programma's van alles niet kunnen/mogen wat ze op een desktop wel kunnen.
Je bent hooguit 'applicatiebeheerder' .
Plus nog wat technische maatregelen zoals die secure enclave, het (moeten) gebruiken van 'veilige' programmeertaal voor de apps, apps die helemaal niks mogen zien van andere apps , en moeten gebruiken van een appstore waarin de apps door apple/google gecontroleerd worden die goed (tot behoorlijk goed) malicious apps weren.
Dat is bij elkaar een groot verschil met "klik om een app (programma) te installeren die _alles_ mag op het hele systeem"

Volgens mij werkt het zo.
De app en het onderliggende systeem is a.h.w. aangemeld bij de dienst/ site waar eerst wel het wachtwoord nodig was.
De pincode ontsluit de app alleen maar en gaat niet over het Internet en kan dus niet onderschept worden.
Bij elke inloggen via een browser met een wachtwoord gaat dit wachtwoord wel over het Internet en kan dus onderschept worden.
Dus is het eerste veiliger,

Simpele vergelijking:

Meestal vele pogingen voor wachtwoord (1 factor) vanaf het gehele internet te testen
vs.
3-5x poging voor pincode of lokale biometrie (1e factor) ++(en die lijk je te vergeten)++ die specifiek alleen op jouw mobiel met de reeds ingelogde app (factor 2) werkt.

Die 2e is dus meestal veiliger inderdaad. Maar blijf wel opletten waar je inlogt natuurlijk.
Voeg je aan de eerste ook sterke MFA / 2FA toe? Dan ben je weer gelijk aan elkaar.

yep.


Onderscheppen is niet echt het grootste risico - dat "ieder ander" het ook over Internet mag proberen is het risico.

Dat is wat er misgaat met te simpele passwords - niet dat ze onderschept worden (dat is even moeilijk of makkelijk bij een goed danwel een slecht password) - maar dat ze gevonden worden bij genoeg (automatisch) proberen.

Oke, ik heb nu de Digi-D app geinstaleerd en kan er mee inloggen. Echter, de optie om in te loggen met wachtwoord+sms blijft gewoon bestaan, nu dus naast de optie om in te loggen met de app.

Er kan dus nog steeds een brute-force aanval plaatsvinden op mijn Digi-D wachtwoord login optie? Zou het niet logisch zijn, en veiliger, dat wanneer je kiest voor inloggen met de app, dat je dan de optie inloggen met wachtwoord+sms kunt verwijderen?

APPS zijn geboren uit het probleem dat een iPhone een zodanige k4t-resolutie had, dan een website bekijken op een iphone niet werkte. keek je naar security.nl, kon je net het security.nl logo zien voordat je moest scrollen.
Daarom zijn apps ontstaan, niet voor de gebruiker maar door tekortkomingen in de iphone.
Daarna is het als marketingwapen ingezet, in de trend van 'wij hebben al 200.000 apps voor iphone', symbian/android/enz hebben maar x aantal...
Op mijn motorola droid kon ik gewoon browsen, heck, op mijn nokia communicator kon ik dan al. En FAXen...

Anyway, apps op iphone zijn inherent gevaarlijker, omdat het data sync met apple, de api's gebruikt van apple, de dns servers gebruikt van apple en updates (lek/bugfixes) niet direct doorgevoerd kunnen worden omdat apple-agenten eerst moeten controlleren of er niet stiekem een sinterklaas afbeelding of tepel te zien is.

Dus apple = app altijd gevaarlijker.

Een App is veiliger als je het vergelijk met een browser op windows maar als je Firefox onder Linux gebruikt is het een ander verhaal.

Voor maximale veiligheid wel.
Voor maximale beschikbaarheid (je telefoon kwijt of elders terwijl je even wat met digid moet) niet .

Ongetwijfeld is de snelheid waarmee ge-brute-forced kan worden nogal beperkt voor digid .
Verder is je username normaal gesproken ook "geheim" (je hebt die zelf gekozen).

Externe aanvallers zijn gewoon niet het probleem. Een gehackte desktop waarop meteen de login+password gelezen worden is een groter risico . Daarvoor is dan de sms-2e factor de laatste barriere .

Zoveel onzin in een commentaar heb ik nog nooit gelezen.

Naast veiligheid is mijn inziens privacy ook een zeer belangrijk aspect. Verlies je dat niet uit het oog?

SMS kan in Mijn DigiD gewoon uitgeschakeld worden. Dan log je uitsluitend in met de DigiD-app.

Nee, volgens mij niet. Wat misschien wel kan is de sms optie (dus 2fa) uitschakelen, maar de optie om met een wactwoord in te loggen, met of zonder sms, kun je niet uitschakelen.

Leerzame discussie. Maar wat ik me nu afvraag: waarom blokkeren web-sites het inloggen ook niet na 3 (of 5) keer fout inloggen? Dan voorkom je toch een geautomatiseerd inloggend met 100-den of 1000-den pogingen?
Heb nooit begrepen dat waarom inloggen niet vaker wordt beperkt qua aantal pogingen.

Niet in de app maar wel op de website.

Ik dacht precies hetzelfde als opti (dat een korte pin minder veilig zou zijn), maar door jullie uitleg over de secure enclave en dat de pin lokaal blijft, snap ik waarom de app toch veiliger is.

Inloggen in Mijn DigiD kan niet met alleen maar een gebruikersnaam en wachtwoord, maar uitsluitend via 2FA, dus daarnaast met de DigiD-App of SMS of rijbewijs of ID-kaart.

Overigens wordt inloggen via DigiD met alleen een gebruikersnaam en wachtwoord steeds meer uitgefaseerd.
Als ik me niet vergis is dit thans bijna nergens meer mogelijk.

Soms gaan ze vertragen, dat je steeds langer noet wachten voor een volgende poging.

Maar vertel eens hoe leuk is het is als ik jouw usernaam ken , tien keer een dummy password geef , en jij dan nergens meer bij kunt ?

Als een kwaadwillende je account hackt en een ander wachtwoord instelt, kun je er zelf ook niet meer bij……..,

Hoe groot is de kans dat je telefoon gehackt wordt(en je Digid /bank app) TEGENOVER hoe groot is de kans dat je pc lek is PLUS hoe groot is de kans dat je wachtwoord wordt gehackt bij internet bankieren of digidieren?
Hoe veilig is je oudere Android..die geen security updates meer ontvangt
Het is gecompliceerder allemaal denk ik
Het blijft altijd een risico
ANGST
vertrouwen?

Echt dit is SECURITY.NL en we gaan nu net doen alsof we IDS/IPS gaan uitvinden.. tjeezus.

Ik heb het zelfs op mijn eigen interne nodes zitten!!