Universele inlogcode voor overheidsdiensten per 2005

Ongeveer in de steentijd

Maar als ze per post een (aangetekende) brief naar je huis-adres sturen met daarin je wachtwoord dan valt het wel mee.

Ze sturen je pincode toch ook op naar je pstadres?

Ik ben het helemaal met je eens. Als dit systeem alleen op een pincode gebaseerd is zonder dat je ook een fysiek middel (pasje of hardware key) krijgt dat jou uniek identificeert is het intrinsiek onveilig en dus m.i. een zeer slechte investering

Maar de miljoenen die Nederland in PKI gestopt heeft zijn volgens mij alleen uitgegeven omdat we gedwongen waren het te doen door de veel strakkere Europese regelgeving op dit gebied.

Iig moet de Nederlandse overheid zich schamen met dit halfslachtige zwabberende beleid. Op dit punt doen de Belgen het veel beter (en slimmer ) dan wij.

Tjees, inderdaad. Het feit dat er al geen gebruik gemaakt wordt van eerder gedane investeringen vertelt mij al wel hoe amateuristisch dit allemaal geregeld is. Zeker weer één of andere erezaak van één of andere ambtenaar. Je zou toch verwachten dat in het informatietijdperk er één ministerie is die alle coordineert waardoor er geen wildgroei plaats kan vinden.

Wacht maar af, dit gaat een hoop geld kosten en er komt niks van terecht. Zo gauw je er belangrijke dingen mee kunt doen, dingen waarmee je geld kunt besparen (belasting, uitkering), is het lonend om het systeem te hacken. En dan is dat binnen een maandje gebeurd en is het hele systeem in één klap waardeloos geworden en het geld weg.

En dat terwijl een goed geimplementeerde PKI aantoonbaar veilig is! Een pincode is te moeilijk om te onthouden voor veel mensen, maar omdat hij zo kort is, schrijven veel mensen hem dus ergens op. Een opgeschreven geheim IS geen geheim.

Een digitale handtekening is te moeilijk om op te schrijven, dus de kans dat mensen het ergens laten slingeren is, zeg maar, 0. Wat je daarentegen wel weer moet hebben is een goede opslag van je sleutels, want onthouden is ook te moeilijk. Doe dat dan met een chipkaart of een USB key ofzo. Oplossingen genoeg. Een USB key met persoonlijke gegevens laat je niet zomaar rondslingeren. En desnoods zet je een pincode op de USB key. Die schrijven mensen dan wel weer op, maar als je die dan kwijt raakt heeft de dief nog niet je sleutels, want daar heeft hij dan je USB key voor nodig.

Vergeleken met de miljoenen die je toch al hebt uitgegeven, en de honderdduizenden die dit tot mislukken gedoemde project gaan kosten, is die paar tienduizend euro voor USB keys een schijntje.

De overheid zou een voorbeeld moeten nemen aan Rabobank Internetbankieren. Daar wordt een reader gebruikt waar een unieke sleutel in zit die met een pincode beschermd is. Vervang die reader door een makkelijker uit te lezen USB ding en wat software en je bent klaar.

Sterker nog, de software is er allemaal al.

Briljand idee om daar al je wachtwoorden op die bugMeNot.com site te zetten. Ziet er uit als een stelletje hackers en ze zijn pasgeleden bij hun laatste provider weggetrapt. Maar ze gaan vast heel voorzichtig met jouw wachtwoorden om hoor

ik zou het aantal mensen met een slecht geheugen niet onderschatten, eerlijk gezegd...

als ze ook gebruik maken van 1 (type) authenticatie server dan is dit best veilig... zolang verschillende organisaties deze servers zelf niet gaan draaien

Ga je toch niet overal hetzelfde wachtwoord gebruiken zeg, dat is alleen voor mensen met een slecht geheugen handig, verder niet.

Kun jij twintig verschillende 8 karakter random passwords onthouden dan?
Ik niet.
En een password dat (deels) systematisch is af te leiden van de site die je bezoekt is ook niet veilig.
Hoe doe jij dat dan?

Beveiliging
De NAV gebruikt krachtige versleutelingtechnologie om de op onze server verzamelde persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.

ik zou bijna weer vertrouwen in telebankieren krijgen

maar hebben ze het nu gefixt want ik zie de error niet op een 404 staan?

onder tussen ff aan het googlen geweest:
Volgens dit document van Surfnet draait de authenticatie site dus op een A-Select, Java en SSL, oplossing.

En hier de auteurs zelf.

Je eigen Burgerpin site maken? Het kan allemaal! Een mooie handleiding in het OpenDir Protocol... (dit zou toch eigenlijk naar geenstijl moeten...)
http://www.burgerpin.nl/Templates/Backup%20Burgerpin_templates/documen tatie.txt

Ik heb liever 1 plek die goed beveiligd is/wordt voor alle overheidsdiensten samen dan dat alle diensten onafhankelijk van elkaar iets dergelijks proberen aan te bieden waar het beveiligingsbudget per site stukken kleiner is.
Misschien is een combinatie mogelijk: een portal waar je voor moet inloggen, en vanaf daar kun je dan inloggen op de sites van alle overheidsdiensten?

Aha, ook http://uptime.netcraft.com/up/graph/?host=www.burgerpin.nl gekeken zag ik

29-Sep-2003 66.70.159.65

Zo, daar is men lang mee bezig geweest, als er nu pas een proefperiode begint...

Het probleem is dat sofi-nummers niet altijd uniek aan een persoon gekoppeld kan worden. Het is voorgekomen dat massa's asielzoekers hetzelfde nummer gebruikten...
[bron: computable <1 jaar geleden]

Een sofi-nummer is bedoelt zodat de overheid makkelijk gegevens aan een persoon kan koppelen (nl door het nummer), maar jouw sofinummer is bekend bij jouw werkgevers en voormalige werkgevers, staat op je identiteitsbewijs ed en is dus niet geschikt om je ook te authenticeren als die persoon: een heleboel mensen weten jouw sofi-nummer of kunnen daar makkelijk achterkomen.

Er zitten nogal wat problemen aan een centrale authenticatie database ruwweg zij die hetzelfde als aan een centraal electronisch identiteitsbewijs. Kortweg, database is nooit veilig te krijgen, het blijft altijd mogelijk om een valse identiteit geregistreerd te krijgen (via omkoping, diefstal, etc.), het geeft overheid veel meer controle over de burger, het lost geen probleem op dat niet al anders op te lossen is, etc.
Een slecht idee dus om hier als burger aan mee te werken.