Hoofdcategorieën

[RSS] Index » Nieuws » Core » Wetenschap » Beveiligingsexperts uiten twijfels over DigiD

Beveiligingsexperts uiten twijfels over DigiD

Door Caroline Schröder, zaterdag 15 april 2006 00:04
Bron: Het Parool, views: 17.994

DigiD voor burgersHet Genootschap van Informatiebeveiligers (GvIB) zegt in Het Parool weinig vertrouwen te hebben in DigiD. Het GvIB heeft kritiek op het feit dat een gebruikersnaam en wachtwoord voldoende zijn om met DigiD de belastingaangifte te ondertekenen. Het genootschap wijst op het bestaan van zogenaamde keyloggers waarmee gebruikersnaam en wachtwoord makkelijk te achterhalen zijn. De Belastingdienst verwijt het GvIB naïviteit als het denkt dat de aangifte alleen op echtheid gecontroleerd wordt via DigiD. Ook het ingevoerde rekeningnummer wordt nagegaan en er wordt gecontroleerd op dubbele aangiftes. Er zijn nog geen gevallen bekend waarin DigiD misbruikt zou zijn voor criminele doeleinden laat de Belastingdienst desgewenst aan Het Parool weten. Ontwikkelaars bij DigiD hebben inmiddels een methode bedacht waarbij de digitale handtekening aan een code wordt gekoppeld die per sms wordt verzonden. Volgens de belastingdienst zou dat een goede optie kunnen zijn voor de toekomst. Criticasters zien daarin een bevestiging dat de huidige methode niet optimaal zou zijn.

Volgende 00:05
Vorige 23:51

Categorieën

Gerelateerde artikelen

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 56 reacties zichtbaar560 Neutraal: 55 reacties zichtbaar55+1 Meerwaarde: 39 reacties zichtbaar39+2 Verplicht leesvoer: 27 reacties zichtbaar27
«  1  2  3  »

Door alt-92, zaterdag 15 april 2006 00:09

Score: 2
Tijdens de Technet briefing Identity Management met Rafal Lukawiecki vorige week kwam dat ook al ter sprake.
Er waren daar wat afgevaardigden van onder andere het ministerie van Justitie. Die verdedigde zich ook met de opmerking dat "dit pas de eerste stap was" en dat men binnenkort met een uitgebreidere authenticatiemethode zou beginnen.
De reacties van de spreker en van de overige aanwezigen waren nou niet bepaald overweldigend te noemen....

Door :murb:, zaterdag 15 april 2006 00:26

Score: 2
Het is nou niet iets waar ze net mee op de proppen komen. In de folder die ik kreeg, als ik mij goed herinner, werd er al gesproken over verschillende beveiligingsniveaus, waarvan de username+password gewoon de laagste was. Aangezien belastingaangifte enkel een informatie verstrekking is aan de overheid, voor een deel ook ter bevestiging van informatie die ze al hebben, vind ik het niet zo bezwaarlijk dat het enkel met een passwoord is beveiligd. Het wordt anders wanneer ik mijn persoonlijke gegevens kan wijzigen, kan gaan stemmen etc., maar zo slim zijn ze volgens mij ook nog wel.

Door alt-92, zaterdag 15 april 2006 01:08

Score: 2
Laat ik het anders stellen:
Die beveiligingsniveaus is allemaal leuk en aardig, maar dat moeten ze gelijk invoeren en niet in stapjes.
Nu wekt men een verkeerde indruk ('t is nog niet af) en dat voor een overheid waarvan functionarissen af en toe nog wel eens wat digitaals kwijtraken...

Het is een vertrouwenskwestie, en het vertrouwen van de eindgebruiker in een dergelijk systeem is van groot belang voor het slagen van een project van deze grootte.

Door Adm.Spock, zaterdag 15 april 2006 14:57

Score: 1
Op zich is er niks mis mee dat ze die beveiligingsniveau's in stapjes invoeren: de toepassingen waarvoor een hoger niveau vereist is, zijn nog niet beschikbaar. En dat het dus nu nog niet waterdicht is... dat is idd een kwestie van vertrouwen.

Overigens: Het opzetten van een systeem dat waterdicht is kan technisch gezien al wel, maar de baten daarvan wegen nog niet op tegen de kosten.

Door Janoz, zaterdag 15 april 2006 21:40

Score: 1
Het gaat er niet om dat het nog niet af is, het gaat er om dat ze voor de huidige functies nog geen sterkere authenticatie nodig achten.

Ikzelf ben zijdelings betrokken geweest bij de implementatie van een digitaal locet van een gemeente. Het hele rechten systeem is een stapel credentials.

Als ik alleen mijn naam en geboortedatum opgeef mag ik een paar dingen. Geef ik ook mijn adres of mijn sofinummer op dan mag ik al meer dingen.

ZO werkt het ook met digid. (sterker nog, het systeem was ermee gekoppeld). Voor simpele dingen is gebruikersnaam en wachtwoord genoeg. Het zou best kunnen dat er biometrische gegevens gekoppeld worden. Dan zou je naast je gebruikersnaam en wachtwoord ook een vingerafdruk moeten afgeven als je bij het gemeentehuis je rijbewijs komt halen.

Het bestaat al en het is er al. Het is echter nog helemaal niet rendabel om nu vingerafdruk lezers of tokens uit te delen aan de bevolking. De daadwerkelijk aan digid gekoppelde diensten verlangen die hogere authenticatie niveaus nog niet.

Door Chucky Lee, zaterdag 15 april 2006 01:58

Score: 2
DIGiD een GOED id.
beveiligd genoeg en waarom??
omdat niemand met jou gegevens de belastingdienst er rijker op wil laten worden
dus hooguit een tehoge terug gave bezorgd.
valt dat niet op heb je mazzel zegt de Belasting dat het niet goed is dan sta je sterk (het mag ook nog met het papiertje, digid is namelijk nog niet waterdicht.)

bank zaken is weer wat anders, maar als iemand jou aangiften misbruikt word hooguit de eigenaar van sofinummer XXXXXXXXXXXX er beter van en niet de misbruiker

Door mawashigeri, zaterdag 15 april 2006 13:55

Score: 2
Todat een grapjas jou digitaal wil jennen en telkens (automatisch) een foute versie van je aangifte gaat versturen.
Kan jij iedere keer gaan uitleggen dat het en ander was...

Door hiostu, zaterdag 15 april 2006 16:51

Score: 0
ik vul tijdens mijn belasting aangifte ook mijn bankgegevens in, waarop ik het bedrag bij eventuele teruggaaf wil hebben.....

Door IndoBoy, zaterdag 15 april 2006 00:10

Score: 2
De Belastingdienst verwijt het GvIB naïviteit als het denkt dat de aangifte alleen op echtheid gecontroleerd wordt via DigiD. Ook het ingevoerde rekeningnummer wordt nagegaan en er wordt gecontroleerd op dubbele aangiftes.
Dat noem ik toch niet echt een beveiliging. Als de achternaam weet en de voorletters dan heb ik dus in feite genoeg.

Door jcvw, zaterdag 15 april 2006 08:55

Score: 2
Dan heb je zelf nooit daar rondgekeken, want je kiest zelf je gebruikersnaam en password. Je kunt als Piet Jansen dus heel goed quertyuiop als userid kiezen.

Door BackSlash, zaterdag 15 april 2006 15:17

Score: 2
Jij hebt je duidelijk niet in DigiD verdiept. Op de site kies je een gebruikersnaam met een tijdelijk wachtwoord. Je krijgt naar je huisadres per post een activatiecode opgestuurd. Als je die invoert op digid.nl kies je pas een definitief wachtwoord.

Oftewel, iemand kan pas met jouw DigiD account gaan kloten als ie jouw post gaat onderscheppen. Met alleen het tijdelijke wachtwoord kun je niet inloggen bij overheidsinstanties.

Door orange.x, zondag 16 april 2006 17:57

Score: 0
Zelfs dan kan die niet kloten, want in die brief staat namelijk je gebruikersnaam niet :)

Ik heb het net vorige week aangevraagd maar zolang ik het niet activeer kan ik er, en ook niet iemand anders, er gebruik van maken.

Gezien de wat negatieve publiciteit ben ik ook van plan om het nog even niet te activeren.

Gewoon een systeem als wat de SNS Bank hanteert invoeren, dat werkt echt superrelaxed en is naar mijn mening bijna niet te kraken. Uiteindelijk alles wel maar dr gaat wat meer tijd overheen he :)

Door Appesteijn, zaterdag 15 april 2006 00:11

Score: 0
Mja, lekker makkelijk. Er zijn weinig beveiligingsmethodes die wel 'bestand' zijn tegen een keylogger. Of je moet heel Nederland met een keygenerator oid uit gaan rusten. Ook zijn de meeste deelnemers van de GvIB grote consultancybedrijven die zeker graag deze opdracht hadden uitgevoerd...

Door alt-92, zaterdag 15 april 2006 00:15

Score: 0
Daar gaat het niet eens om.

Als je als overheid dit soort initiatieven neemt moet je er juist voor zorgen dat je elke twijfel over de veiligheid en beveiliging van je authenticatiemethodes wegneemt.
Een username/password methode is dan te basic en schept geen hoge verwachtingen.
Ik begin er dan ook nog niet aan om een digID te gebruiken tot ze me kunnen overtuigen van de juistheid van de huidige aanpak.

Door Madcat, zaterdag 15 april 2006 00:15

Score: 2
Ik had er ook al problemen mee, ik had in mijn wachtwoord non-ascii chars zitten "&" en kon prima inloggen op de website.. maar toen ik aangifte wilde doen.. "uw wachtwoord is verkeerd" dus ik denken "naja zal wel aan mij liggen" dus nog een keer.. en nog een keer.. account geblockt..

ik zo .. shit.. was weer een tijdje verder dat ik er achterkwam dat het een bug was ipv dat het aan mij lag.
Ik vond het erg slecht van een programma van de belasting dienst, dat gaf me wel een stuk minder vertrouwen in de software!

maargoed de "electronische handtekening" was ook maar 5 nummers.. dus kan me indenken dat daar veel geboorte datums bij zaten. Dus tja wat is veilig.

Door Bl@ckbird, zaterdag 15 april 2006 00:26

Score: 2
Ik zou graag zien dat de overheid hier een tokensysteem voor gaat gebruiken. Een nieuw paspoort in de vorm van een creditcard en een smartcard reader code generator die je dan kan gebruiken. (Zoals de Rabobank dat reeds doet.)

Je kan dit systeem dan gebruiken -niet alleen bij de overheid-, maar ook bij andere sites waar je moet authenticeren. Een soort persoonlijk paspoort met SSL certificaat voor iedere burger.

Maar de visie bij de overheid ontbreekt om zoiets (inter)nationaal in te voeren.

Door Rukapul, zaterdag 15 april 2006 09:58

Score: 2
Visie? Weet je wel wat zoiets kost? Weeg vervolgens die kosten eens af tegen de baten. Kijk dan meteen ook even naar de resultaten van het Belgische initiatief nu een paar jaar na invoering: geen onverdeeld succes.

Een goed identity management systeem ondersteunt verschillende authenticatiemethoden. Per doeleinde zijn bepaalde methoden wel of niet geschikt. Een belastingaangifte versturen met username/password is zo gek nog niet, gezien het feitelijk alleen het versturen van informatie is en de bedragen meevallen. Belangrijk daarbij is wel wie het risico draagt: dat hoort in dit geval niet bij de eindgebruiker te liggen.

Belangrijkere ontwerpfout is dat tegelijkertijd met de belastingaangifte ook de identiteitsgegevens gewijzigd kunnen worden zoals rekeningnummer, omdat dit de echte fraude mogelijk maakt. Dit gebeurt bij voorkeur separaat, wordt gelogd, en vereist nauwgezette authenticatie en procedures. Dit kan best username/password zijn, maar zou bv een bevestiging naar de gebruiker kunnen inhouden.

Security heeft feitelijk weinig met techniek te maken, maar meer met het verschuiven van verantwoordelijkheid ;) (Om die te snappen stel ik voor dat iedereen z'n overeenkomst mbt electronisch banken met z'n bank nog eens naleest.)

Door Bl@ckbird, zaterdag 15 april 2006 16:31

Score: 0
Visie? Weet je wel wat zoiets kost? Weeg vervolgens die kosten eens af tegen de baten.
Die kosten vallen wel mee...
Ik zie er van komen dat ik voor elk bedrijf / instantie waar ik "zaken" mee doe, weer een tokensysteem moet gaan gebruiken, dan wel een usernaam / wachtwoord moet gaan onthouden.

Ik heb nu reeds al een tokensysteem voor de bank + diverse username's wachtwoorden van websites. Naarmate deze samenleving meer dingen online gaat regelen, komt er een wildgroei aan authenticatiemethoden. Hier zou een universele methode voor uitgedacht moeten worden. Een nieuw soort paspoort dat zowel online als offline werkt.

Hoewel je met DigiD alleen informatie kan inzien en niet kan wijzigen, zou ik ook graag hier een sterke authenticatie methode voor kiezen. (Meer dan een username / wachtwoord) Als in informatie van een persoon kan inzien, kan ik me voordoen als die persoon. Identity theft heet zoiets.

Door Janoz, zaterdag 15 april 2006 21:43

Score: 0
Digid heeft meerdere autenticatie niveaus. Het zou heel goed kunnen dat je je passpoort + smartcard reader kunt gebruiken om een hoger authenticatie niveau te krijgen. Het systeem is daarvoor wel ingericht. Zo visieloos was die overheid dus niet ;)

Door VisionMaster, zaterdag 15 april 2006 00:48

Score: 0
yeah, ik heb gezegd toen in de vorige berichtgeving over DigiD. username password is old-skool stuff. Er zijn veel interessantere mogelijkheden al lang op de markt.

Door Mexxus, zaterdag 15 april 2006 00:52

Score: 2
Ik heb zowiezo mijn twijfels bij één login combinaties die voor een groot aantal nogal officiele authenticaties gebruikt kan worden. Inderdaad, zo'n keylogger of iets dergelijks hoeft maar éénmaal de login combinatie te achterhalen, en een kwaadwillende heeft direct toegang tot een schat aan mogelijkheden. De belastingdienst moet z'n motto wat betreft het 'makkelijker maken' op het gebied van authenticatie niet al te ver doordraaien.. en dat doen ze nu wel een beetje...

Door T-MOB, zaterdag 15 april 2006 03:17

Score: 2
Ik heb zowiezo mijn twijfels bij één login combinaties die voor een groot aantal nogal officiele authenticaties gebruikt kan worden.
Alhoewel ik het hier vanuit theoretisch oogpunt met je eens ben zijn de praktische implicaties beperkt. Het gros van de PC gebruikers pakt namelijk toch voor elke login dezelfde gebruikersnaam en wachtwoord. Wijzigen van wachtwoord gebeurt ook alleen als het verplicht is, gewoon omdat dat het makkelijkst is. Het aanbieden van een gecentraliseerde login biedt dan het voordeel dat de authenticatie minder vaak hoeft plaats te vinden en dat dus het wachtwoord minder vaak te achterhalen is.

DigiD is overigens geen id ;) van de belastingdienst. Het wordt al langer gebruikt door het CWI en moet uiteindelijk uitgroeien tot het centrale identicatiemiddel voor alle digitale overheidsdiensten. Al in vroege nota's over "de digitale kluis" worden al uitgebreidere beveiligingsmechanismen besproken, bijvoorbeeld met behulp van pasjes en kaartlezers. Zodra je er meer mee kunt dan eenvoudiger gegevens opsturen wordt de strictere beveiliging echt wel ingezet.
Voor nu is het belangrijkste dat (alle) burgers wennen aan digitaal contact met de overheid. Door de informatie-uitwisseling tussen overheid en burger digitaal te laten plaatsvinden valt namelijk een hoop te besparen.
Voor de huidige toepassing van informatieverstrekking door de burger is de beveiliging ruimschoots afdoende. Het alternatief zijn immers analoge formulieren die je ook niet pgp-encrypted door een peleton marechausse naar de belastingdienst laat brengen...

Door Sir_Eleet, zaterdag 15 april 2006 01:05

Score: 1
De Belastingdienst verwijt het GvIB naïviteit als het denkt dat de aangifte alleen op echtheid gecontroleerd wordt via DigiD. Ook het ingevoerde rekeningnummer wordt nagegaan en er wordt gecontroleerd op dubbele aangiftes.
Lezen jullie dit wel?
Lijkt me redelijk veilig als het zo werkt.. want er zijn geen dubbele aangiftes mogelijk.

Door mietde, zaterdag 15 april 2006 01:39

Score: 1
En als jij je aangifte doet en iemand anders is je voor geweest?
Dan moet je al feedback krijgen anders heb je d'r niet eens weet van.

Door Chucky Lee, zaterdag 15 april 2006 02:06

Score: 1
in dat geval stuur je je papieren aangiften in en bel je de belastingdienst met een melding van een mogenlijke fout in het systeem.

Door Remus, zaterdag 15 april 2006 10:21

Score: 1
De laatste aangifte is de geldige aangifte. Erg handig als je bijvoorbeeld een dag later bedenkt dat je bent vergeten je nieuwe laptop als studiekosten op te voeren.

Door JaHallo, zaterdag 15 april 2006 01:50

Score: 1
Ontwikkelaars bij DigiD hebben inmiddels een methode bedacht waarbij de digitale handtekening aan een code wordt gekoppeld die per sms wordt verzonden.
Nou was ik al niet gecharmeerd van het DigiD vanwege de implicaties en de zeer matige beveiliging (wachtwoord only) maar als je ook nog moet sms-en dan is het voor mij waardeloos. De assumptie dat je wil/kan sms-en komt mij de strot uit.

Net zoals het betalen per sms als je ergens wil parkeren. Gelukkig heb ik geen auto en geen mobiel. }>

Zo'n smartcardreader is imo idd een betere optie.

Door MBMarduk, zaterdag 15 april 2006 09:43

Score: 0
Gelukkig heb ik [.....] geen mobiel. }>
Wow! Lucky bastard dat jij dat nog kan flikken!
«  1  2  3  »

Op dit item kan niet meer gereageerd worden.

Volgende 00:05
Vorige 23:51
VNU Media logo Powered by True

© 1998 - 2008 Tweakers.net - Alle rechten voorbehouden

Uitgever van: