Ombudsman veegt de vloer aan met DigiD

DigiD, de inlogmethode om toegang te krijgen tot overheidswebsites, is een zeer zwak beschermd systeem. Dat stelt Nationale Ombudsman Alex Brenninkmeijer in een interview. Ook zouden slachtoffers niet goed worden geholpen.

Vorige week stelden beveiligingsonderzoekers dat DigiD een onveilig systeem is. De zwakheden van het inlogsysteem zouden onder andere liggen in het per post bezorgen van inloggegevens. Criminelen kunnen deze buitmaken en bijvoorbeeld toegang krijgen tot de Belastingdienst.

Een ander gevaar zou zijn dat het DigiD-systeem niet consequent een extra verplichte verificatiestap heeft ingebouwd, bijvoorbeeld via een sms-systeem of een apparaatje dat een willekeurige toegangscode genereert. Omdat veel consumenten gebruikmaken van dezelfde wachtwoorden op verschillende websites, lopen zij risico. Het Ministerie van Binnenlandse Zaken stelde echter dat de fraude met DigiD beperkt is gebleven tot enkele tientallen concrete gevallen. Ook zou het DigiD-systeem zelf niet zijn gekraakt. Het ministerie gaf wel toe dat er pogingen zijn gedaan om toeslagen van de Belastingdienst te krijgen op naam van een ander.

De Nationale Ombudsman gaat in een interview met het AD echter stevig in tegen het Ministerie van Binnenlandse Zaken. Volgens Brenninkmeijer klopt het geschetste beeld niet. "Uit de klachten die wij binnenkrijgen, blijkt dat het een zeer zwak beschermd systeem is. Voor mensen die verstand hebben van internetcriminaliteit, is het blijkbaar makkelijk om fraude te plegen". Brenninkmeijer stelt verder dat 'als de overheid een bank was, deze failliet zou zijn'.

Volgens de Nationale Ombudsman legt de overheid het probleem bij de burger neer, terwijl slachtoffers van DigiD-fraude bovendien niet goed worden geholpen. Slachtoffers zouden van het kastje naar de muur worden gestuurd en de dienstverlening zou te traag verlopen. Bovendien zou onduidelijk zijn wie precies eindverantwoordelijk is voor DigiD, mede omdat veel overheidsdiensten van het systeem gebruikmaken.

De eerste fraudegevallen rondom DigiD kwamen in april aan het licht, waarna ook Kamervragen werden gesteld. Criminelen zouden onder andere met het makkelijk te verkrijgen burgerservicenummer van slachtoffers een DigiD-code hebben aangevraagd. Binnenlandse Zaken heeft laten weten dat het werkt aan een veiliger DigiD-systeem op basis van eNik, de elektronische Nederlandse identiteitskaart.

IT-banen

Reacties (137)

Anoniem: 63940 8 augustus 2011 13:40

Voor iedereen waarvoor het een raadsel is waarom DigiD drie niveaus van authenticatie heeft, en vaak alleen de simpelste (username+password) wordt gebruikt, of zelf de gebruiker mag kiezen:

DigiD is niet meer dan een (verplicht sinds juli 2009) authenticatie-platform wanneer een overheidsinstantie zaken wil doen met een burger. Dus als bijvoorbeeld een gemeente een verhuizing wil door laten geven via internet, moeten ze hiervoor DigiD gebruiken.

Bij het inzetten van DigiD mag de gemeente ZELF kiezen welke authenticatieniveau ze gebruiken. Dit is meestal het basisniveau (username+password). DUO heeft er voor gekozen om een hoger niveau te kiezen, omdat je er financiële zaken kunt veranderen.

Het zou de in het geval van de Belastingdienst meer dan nuttig zijn om de aangifte en het aanvragen van toeslagen achter een zwaarder niveau te zetten. Hoger niveau betekent voor de gebruiker een hogere drempel en dus minder digitale aangiften. De precieze beweegredenen van de BD weet ik niet, maar het kan bijvoorbeeld te maken hebben met de toegankelijkheid van de aangifte (lage drempel) of de hogere kosten wanneer aangiften via post worden ingestuurd (kostenoverweging).

Het probleem met elke beveiliging blijft gewoonweg de gebruiker, die onverantwoordelijk omgaat met zijn of haar gegevens. In de begintijd van de pinpas schreven nog veel mensen hun pincode op de achterkant van hun pinpas, omdat het maar lastig te onthouden is. Dat zie je nu bij veel mensen met hun gebruikersnaam en wachtwoord ook, omdat het maar lastig te onthouden is. Dit heeft tijd nodig....

Oftewel een hoop poespas om niets....

[Reactie gewijzigd door Anoniem: 63940 op 24 juli 2024 03:03]

pheppy @Anoniem: 63940 • 8 augustus 2011 22:44

Ik zou me juist niet zo druk maken om aangiftes en toeslagaanvragen. Daarin staat heel veel informatie die de Belastingdienst kan controleren. Het lijkt me heel lastig om zo maar een geloofwaardige aangifte te doen voor een ander.
Ik ben meer bezorgd over de vertrouwelijke gegevens die de Belastingdienst tegenwoordig beschikbaar stelt. Met een DigiD gebruikersnaam en wachtwoord van een ander kan je zo in andermans gegevens kijken. Dat is op zichzelf vervelend. En met die gegevens kan je wel weer een geloofwaardige aangifte doen, bijvoobeeld met een zogenaamde nieuwe hypotheek (en nieuw rekening nummer).

Het zal niet zo eenvoudig zijn om iets beters te vinden. Die SMS optie lijkt een hoger niveau, maar de uitgifte gaat net als het wachtwoord gewoon via de post. En SMS lijkt nu ook niet meer een veilig keuze sinds de beveiliging gekraakt is. Alternatieven zijn waarschijnlijk duur en zullen niet zomaar door heel Nederland gebruikt worden. Terwijl toch iedereen aangifte moet doen of een toeslag aan moet kunnen vragen. Misschien dat een of andere chip in je rijbewijs of identiteitskaart wat kan doen. Maar daar zijn in onze buurlanden ook veel problemen mee zoals je in de linkjes van Burne kan zien. Misschien heeft iemand nog een heel creatief idee?

Anoniem: 360198 8 augustus 2011 11:06

Het allerergste is nog wel, dat je geen sterk wachtwoord kan gebruiken... Alleen letters en cijfers...

Bij het aanmelden bij DigiD zelf kan je wel een sterk wachtwoord proberen aan te maken, maar krijg je meteen het advies om dit niet te doen, omdat er onderdelen van verschillende overheidssites dit niet aankunnen...

vriesdude @Anoniem: 360198 • 8 augustus 2011 11:14

Het wachtwoord van DigiD moet aan de onderstaande eisen voldoen, dat lijkt me toch zeker wel een sterk wachtwoord;

Uit veiligheidsoverwegingen moet het wachtwoord aan deze eisen voldoen:
Minimaal 1 kleine letter [a-z]
Minimaal 1 hoofdletter [A-Z]
Minimaal 1 cijfer [0-9]
Minimaal 1 van de volgende leestekens:
[ - _ ! $ % & ' . = / \ : < > | ? @ [ ] ^ ` { } ~ ](geen spaties)
Minimaal 8 en maximaal 32 karakters
Mag niet de gebruikersnaam bevatten

GAIAjohan @vriesdude • 8 augustus 2011 11:17

Toch vreemd. Het wachtwoord van mijn digid bevat niet:

Minimaal 1 van de volgende leestekens:
[ - _ ! $ % & ' . = / \ : < > | ? @ [ ] ^ ` { } ~ ](geen spaties)

Verder wel compliant
Heb mijn wachtwoord inmiddels al een jaar of vijf.. Maartoch.. Volgens mij kon ik toen die eis hierboven niet eens invullen

[Reactie gewijzigd door GAIAjohan op 24 juli 2024 03:03]

Grrrrrene

@GAIAjohan • 8 augustus 2011 11:33

Klopt, mijn DigiD-ww heeft ook geen bijzondere tekens, dat kon destijds niet, misschien inmiddels wel

Het praktische probleem wordt op een gegeven moment dat je tegenwoordig overal wachtwoorden voor nodig hebt. Ik ben me volledig bewust van het feit dat je het veiligst zit als je voor alle sites, organisaties en bedrijven een apart (sterk) wachtwoord hebt, maar hoe ga ik dat in hemelsnaam onthouden? Om het echt veilig te houden, moet je de wachtwoorden ook ieder halfjaar (bijvoorbeeld) veranderen.

Laten we dan 's met DigiD beginnen: een sterk wachtwoord van 12 tekens, met hoofd- en kleine letters, cijfers en speciale tekens. Maar dat wachtwoord kun je opvragen cq. laten resetten met je e-mail adres, dus daar moet ook minstens zo'n sterk wachtwoord op en natuurlijk een andere dan DigiD. Ohja, en dan moet je voor je desktop, laptop, telefoon en tablet ook een wachtwoord instellen, want die slaan het e-mail wachtwoord op.

We zullen toch iets anders moeten bedenken voor al die wachtwoorden, want er komen er steeds meer bij. En een heel sterk (32 tekens bijvoorbeeld) wachtwoord wil ook niet, want dan ben je weer gevoelig voor keyloggers

wizzkizz @Grrrrrene • 8 augustus 2011 11:42

De eerste, gemakkelijke, oplossing is natuurlijk het gebruiken van een programma als KeePass. Dat kan wachtwoorden en allerlei zaken voor je onthouden en is bestand tegen keyloggers.

Verder heb ik ook een PasswordCard in mijn portemonee zitten. Voor toegang tot KeePass (samen met natuurlijk een keyfile) en sites waar ik op elke willekeurige plek toegang tot wil hebben, ook als ik geen toegang heb tot mijn KeePass. In de laatste categorie is e-mail een voorbeeld.

edit:
Ik zie ook de relatie tussen lange wachtwoorden en keyloggers niet zo. Altijd als je een wachtwoord (kort of lang) intypt en er is een keylogger aan de gang, ben je de sjaak. Zorg dat zo iets niet op je devices zit

[Reactie gewijzigd door wizzkizz op 24 juli 2024 03:03]

Anoniem: 63747 @wizzkizz • 8 augustus 2011 12:31

Thanks voor de tip van passwordcar ... handig !!

Buggle @wizzkizz • 8 augustus 2011 14:09

Wizzkizz, ik wil je heel, heel, heel erg hartelijk bedanken voor het aanbevelen van KeePass. Dit is de ontbrekende schakel geweest en wat mij betreft de oplossing voor alle door uses veroorzaakte wachtwoordproblemen. Ik zal niet rusten voordat iedereen die ik ken dit programma gebruikt.
Ben er nu enige momenten mee aan het spelen geweest, en dat programma is extreem handig, zeer veilig (volledig op security gericht) en werkt vrijwel vlekkeloos. De grootste voordelen die mij zo opvallen:

Het programma kan voor -ieder- wachtwoordvragend object gebruikt worden, van browser tot programma
Je kunt je passwords automatisch in laten tikken door de auto-type functie
Je kunt passwords automatisch laten genereren met allerlei opties
Er zit een sync-optie in voor de database en een backup functie. Ik sync mijn database nu via Dropbox, vind ik wel zo handig.

Ergo: je hoeft geen wachtwoord meer te onthouden behalve je masterkey, en daardoor kun je je wachtwoorden zo ingewikkeld, lang en random maken als je zelf wilt

[Reactie gewijzigd door Buggle op 24 juli 2024 03:03]

jeanj @wizzkizz • 8 augustus 2011 13:19

Goede tip!

BeosBeing @wizzkizz • 8 augustus 2011 14:22

Tja, dan moet je echter niet in de tussentijd je PC moeten herinstalleren, niet gebruik maken van meerdere PC-systemen (Desktop+17"notebook +10"netbook) en een telefoon met WiFi.

@Grrrrrene
Te moeilijk en je vergeet het, te makkelijk en het is te makkelijk te raden, kortom het is nooit goed.

Verder dien je inderdaad iedere zoveel tijd je password te veranderen, maar als je het helemaal volgens de regels doet (die sommige systeembeheerders dan ook verplicht opleggen) dan mag je als nieuwe password niet je vorige gebruiken (bv 3 maanden lang "MijnPassword" en daarna 3 maanden "AnderPassword" en daarna terug "MijnPassword") zodat je er minimaal 3 moet gebruiken (soms zelfs niet dat van daarvoor, kom je op minimaal 4) en moet je password met meer als één teken verschillen van het vorige ("henk2" na "henk1" mag niet). Verder geld uiteraard dat het ene systeem eist dat je password minimaal 8 tekens lang is terwijl het andere systeem als maximum 8 tekens aan kan. (6 komt ook voor) en het ene systeem inlogt op het andere.

sysadm @BeosBeing • 8 augustus 2011 15:09

Dan is LastPass iets voor jou.
Hierbij worden je gegevens ge-encrypt bij Lastpass bewaard en van overal toegankelijk

Anoniem: 399807 @Grrrrrene • 8 augustus 2011 12:19

"We zullen toch iets anders moeten bedenken voor al die wachtwoorden, want er komen er steeds meer bij. En een heel sterk (32 tekens bijvoorbeeld) wachtwoord wil ook niet, want dan ben je weer gevoelig voor keyloggers"

Zo begint het. Wat is het gevolg van deze uitspraak? Er moet een beter systeem komen. En dan houd ik mijn hart vast. Want dat betekent dat iedereen aan de vingerafdruk lezer moet.

Nu gratis bij de nieuwe pinpas of gratis aan te vragen bij de Bleastingdienst.

En als het geen vingerafdruk lezer is dan wel een iris scanner of een ander truukje.

En dan is het wachten op de nieuwe fraude. Dan onderschept men de vingerafdrukken die via internet heen en weer vliegen.

Elke oproep tot meer veiligheid lijdt onherroepelijk tot nieuwe vormen van ict criminaliteit en fraude.

geerttttt @Anoniem: 399807 • 8 augustus 2011 12:36

Waarom wil iedereen toch het wiel telkens opnieuw uitvinden. De banken zijn toch ook geprivatiseerd gerelateerd aan de overheid? Laat gewoon je digid koppelen op verzoek aan je bankpas. Voor de enkele keer per jaar dat ik mijn digid nodig heb wil ik wel inloggen met mijn random reader.

Toff @geerttttt • 8 augustus 2011 15:02

Grappig, ik heb geen random reader... Oftewel, niet iedereen zit bij jouw bank.

Bovendien ben ik er tegen, om gegevens die niets met elkaar te maken hebben te koppelen. De bank weet mijn Burger Service Nummer ook al, want ze moesten ooit zonodig van de overheid een kopie opeisen van mijn legitimatiebewijs. Straks mijn BSN als bankrekeningnummer?

Durandal @Toff • 8 augustus 2011 21:35

De overheid weet jouw banknummers ook al hoor.

julby @GAIAjohan • 8 augustus 2011 11:36

Inderdaad, die van mij ook niet. Dit is blijkbaar pas later ingevoerd maar het is nu niet verplicht alsnog aan deze eis te voldoen.

Het is de vraag of ze dit nu alsnog kunnen achterhalen (of een wachtwoord aan deze eis voldoet? Ik mag toch aannemen dat de wachtwoorden versleuteld zijn opgeslagen

Een optie zou dan nog zijn om alle wachtwoorden, gekozen voor het invoeren van bovenstaande eis, opnieuw te laten kiezen. Minimale hoeveelheid werk voor de gebruiker en het verhoogt de veiligheid toch weer een stukje.

Toff @julby • 8 augustus 2011 15:05

Verhoogt het de veiligheid, als 1 positie sowieso een cijfer moet zijn?

stresstak @Toff • 8 augustus 2011 16:01

Verhoogt het de veiligheid, als 1 positie sowieso een cijfer moet zijn?

Het verhoogt vermoedelijk de veiligheid als ik nu ineens leestekens moet toevoegen en verschil in kapitalen onderkast. Nog los van de cijfers. Mijn waqchtwoord is van het oude type, dus alleen letters en cijfers, en nog allemaal kleine letters ook. Voor verbetering vatbaar met de nieuwe eisen

RocketKoen @vriesdude • 8 augustus 2011 11:37

En vervolgens is je wachtwoord zo ingewikkeld dat een groot aantal mensen op alle websites hetzelfde wachtwoord gebruikt, of hun inlog gegevens op een post-it aan de monitor hebben hangen.

Maar verder natuurlijk wel jammer dat de gemiddelde online game beter beveiligd is dan de overheid.

_Thanatos_ @vriesdude • 8 augustus 2011 12:52

Dat zijn ook kul-eisen. Met dit soort eisen krijg je gebruikes die een woord pakken, het laten beginnen met een hoofdletter, en er "1!" ofzo achter zetten. Dit soort regeltjes zijn te gedateerd. Als je dan ECHT een wachtwoord moet hebben, eis dan dat het wachtwoord een niet-uitspreekbare reeks van willekeurige letters afgewisseld met cijfers en leestekens is.

De site zou zelfs enkele voorbeelden kunnen geven.

vinnixx @vriesdude • 9 augustus 2011 02:33

@ vriesdude:
ik moet je toch corrigeren:
[ - _ ! $ % & ' . = / \ : < > | ? @ [ ] ^ ` { } ~ ] <= deze tekens mogen juist niet gebruikt worden; is wel vaker zo.

Anoniem: 296748 @Anoniem: 360198 • 8 augustus 2011 11:22

Met letters en cijfers kan je hele goede wachtwoorden bedenken hoor! Je moet alleen iets meer tekens ervoor gebruiken.

Bovendien gaat je DigiD als het goed is op slot zodra je te vaak gokt, dus brute-forcen wordt lastig (al was het maar omdat er via internet ingelogd moet worden).

Maar als je echt denkt dat het zo makkelijk is, gok maar even welke string voor deze hash (RipeMD160) heeft gezorgd...
67853b834a4285ae3b5895fea4916305e43f5df7
Ik heb het je makkelijk gemaakt; alleen letters a tm/ f en cijfers.
Knock yourself out!

De zwakte in dit systeem is dat het HEEL belangrijk is. Als het dus maar een pietsie beetje te hacken is, is het al een groot probleem. Een systeem dat niet belangrijk is mag best wat foutjes/minpuntjes hebben, daarom heeft Gmail geen TAN codes en wachtwoorden die per post verzonden worden

Ik vind het een beetje vreemd dat de Ombudsman de post geen goede manier vind om wachtwoorden te versturen. Vergeleken met de meeste andere methodes die enigszins uitvoerbaar zijn (telefoon, mail of direct op de website laten zien) is het namelijk een hele veilige methode.

De enige manier die mij een significante beveiligingstoename lijkt, is twee brieven sturen; een met een gebruikersnaam naar de aanvrager, en een met het wachtwoord naar het gemeentehuis. De aanvrager moet vervolgens (met identificatie) naar het gemeentehuis om zijn wachtwoord op te halen.

(of wachtwoord opsplitsen in twee delen, en dan dezelfde procedure)

TAN codes verplichten is teveel gedoe voor oudere mensen, dat zou ik pas over ca. 5 tot 10 jaar verplichten.

Cid Highwind @Anoniem: 296748 • 8 augustus 2011 11:28

Ik weet niet precies hoe het met de post wordt verzonden, maar de kans is groot dat dit dus niet in een blanco enveloppe gebeurt. Alleen daarom al is het dus makkelijk te onderscheppen. Net zozeer als waarom ik mij nog steeds afvraag waarom sommige ticketorganisaties concerttickets verzenden met in het adresvenster duidelijk aangegeven dat het om tickets voor een event gaat. De post wordt hier voor 100% vertrouwd, je hebt echter maar één corrupte bezorger nodig voor een schandaal.

Mastha-Hacker @Cid Highwind • 8 augustus 2011 11:49

Het DigiD wachtwoord word in een prachtige witte envelop met oranje binnenkant verstuurd. Daarop staat groot het DigiD logo. Goed herkenbaar dus..

(als ik mij goed kan herinneren)

Ik heb overigens wel symbolen in me DigiD wachtwoord. Kheb hem nu 2,5 jaar..

THM0 @Mastha-Hacker • 8 augustus 2011 11:59

Je kiest zelf je wachtwoord en gebruikersnaam op de Digid site. Vervolgens wordt er een activatiecode opgestuurd via de post. Als je deze hebt ontvangen log je in met het eerder gekozen username/wachtwoord en dien je de activatiecode in te vullen. Daarna is je account pas actief. De envelop is neutraal. Vorige week toevallig dit proces doorlopen.

geerttttt @THM0 • 8 augustus 2011 12:39

Ik kan me herrineren dat er iets als vertrouwelijk op de envelop staat. Hij heeft in ieder geval genoeg kenmerken om te herkennen.

GewoonWatSpulle @geerttttt • 8 augustus 2011 13:11

En er zitten knal oranje papieren in kan je ook deels door de envelop zien.

stresstak @Cid Highwind • 8 augustus 2011 16:12

Net zozeer als waarom ik mij nog steeds afvraag waarom sommige ticketorganisaties concerttickets verzenden met in het adresvenster duidelijk aangegeven dat het om tickets voor een event gaat
je hebt echter maar één corrupte bezorger nodig voor een schandaal.

Ik krijg inderdaad alle kaarten vorr het hele uitgaansseizoen in een keer in een enveloppe toegestuurd. Zo'n kaartje of 30-40 Tot nu toe gaat dat goed.
In een grijs verleden vond mijn (amro)bank het ook normaal om blanco eurocheques via de post te versturen. 25 stuks a 300 gulden. Gejat in het postkantoor bij de sortering en allemaal netjes afgeschreven, spullen voor gekocht. Handig, slaris/betaalrekening voor maanden onbruikbaar, Te beginnen in de kerstperiode.

Digid gebruik ik overigens maar 1x per jaar voor de belasting. En in het begin vroeg ik jaarlijks een nieuwe aan.

Anoniem: 408389 @Anoniem: 296748 • 8 augustus 2011 14:12

Waarom niet zo'n RaboReader reken machien dingetje (waar je je bankpas in moet steken)? We hebben toch een paspoort met een chip? Of link het aan je bankpas. Die kastjes zijn super handig

-Username invoeren op website.
-Bankpas of paspoort chip in zo'n paslezer (zoals van de bank)
-Dan je pin (of password) in dat kastje invoeren (dan kan niemand het keyloggen).
-En het nummer dat die paslezer voor je genereerd in de site invoeren.
-Desnoods dan nog een sms krijgen.

Daar zou ik ontzettend blij mee zijn. Het is een stuk makkelijker want dat kastje ben ik nog nooit kwijt geraakt en die papiertjes altijd wel. Geen onzin met de post en 5 dagen wachten. De websites hoeven geen moeilijke wachtwoorden aan te kunnen. ect, ect.

sysadm @Anoniem: 408389 • 8 augustus 2011 15:16

Dat zal wel een kosten issue zijn.
Ik weet hoeveel zo'n reader kost, noch hoeveel digid's er zijn, maar het eerste zal wel ergens tussen de 50 en 100Eur liggen en het aantal digid's beslist boven de 5 miljoen.
En wanneer je iedereen dit zelf laat betalen is het land te klein

Xerion404 @sysadm • 8 augustus 2011 22:08

Die kunnen echt zo duur niet zijn, als ik naar de bank ga voor een nieuwe random reader dan krijg ik die gewoon zonder dat er verder naar gevraagd wordt.

Anoniem: 171072 @Anoniem: 360198 • 8 augustus 2011 11:13

Waar ik me het meest erger is dat als je tijdje niet inlogt je wachtwoord verloopt, dat is op zich niet erg zou je denken, maar zodra dat gebeurd moet je je opnieuw inschrijven / registeren, dat wordt dus minimaal 5 werkdagen wachten.

Een drama als je het aan mij vraagt.

Gert @Anoniem: 171072 • 8 augustus 2011 11:55

Tja, als iemand ergens een papiertje laat slingeren met inloggegevens en dat wordt na een jaar misbruikt is het ook weer niet goed.

humbug @Gert • 8 augustus 2011 12:03

Mijn probleem is meer dat je zodra je niet meer in nederland staat ingeschreven het onmogelijk is zo'n ding te krijgen. Niet heel handig als je hem voor van alles en nog wat nodig hebt.

geerttttt @humbug • 8 augustus 2011 12:41

Het leuke is dat het er nu zoveel eisen aan zitten dat ik het wachtwoord van digid maar naar mezelf gemailed heb om het te kunnen onthouden. Ik denk dat 45% van de gebruikers dit doet, het mailen of opschrijven ergens (postit op de monitor?).

Bottom line, lastigere wachtwoorden zijn niet perse beter. Bovendien is je username geblokkeerd na een x aantal pogingen dus bruteforce is toch kansloos. Ik snap dan ook niet echt waarom er zoveel eisen aan het wachtwoord zitten.

bamboe @geerttttt • 8 augustus 2011 13:12

Laten we wel realistisch blijven, hoe zwaar wil je een verplicht wachtwoord gaan maken voor iets wat je zo goed als nooit gebruikt, want de meeste mensen gebruiken amper hun DigiD. Met uitzondering van werklozen heb je hem maar 1x nodig per jaar om je belasting aangifte in te sturen.
En dan als je met spoed een nieuwe DigiD moet hebben om je belasting aangifte op tijd in te sturen, kom voor een verrassing dat het een week of langer duurt voordat je de nieuwe login gegevens binnen hebt per post.

Een login naam en wachtwoord dat je 1x per jaar moet gebruiken dat onthoud je niet en dat schrijf je op, nog erger nog je bewaard je briefje ergens in je belasting administratie omdat je anders na een jaar het papiertje niet meer terug kan vinden.

Heeft het dan nut om allemaal vreemde tekens etc te gaan gebruiken?

[Reactie gewijzigd door bamboe op 24 juli 2024 03:03]

Caelorum @bamboe • 8 augustus 2011 13:39

Met uitzondering van werklozen heb je hem maar 1x nodig per jaar om je belasting aangifte in te sturen.

Ik ben niet werkloos maar heb hem toch echt gedurende het jaar minstens 5 keer per jaar nodig. Toevallig in de afgelopen 3 maanden het meer dan 30 keer kunnen gebruiken voor uitreksel aanvragen bij de gemeente, Studielink zaken, belastingzaken, etc.

Vastloper @Caelorum • 9 augustus 2011 08:52

Ik weet niet hoe het met studielink zit, maar voor een uitreksel van de gemeente heb je hem niet nodig je kan ook gewoon naar het gemeentekantoor gaan. Zeker als je je wachtwoord niet meer weet zou ik daar geen nieuw digid voor aanvragen en een week wachten. Overigens scharen de meeste mensen studenten nog niet onder de grote groep werkende bevolking. Ook al werken ze vaak al wel. Een full-time baan zonder studie is toch echt iets anders. En dan heb je inderdaad maar 1 keer per jaar je digid nodig dat bleek ook al uit een onderzoek een tijdje terug.

Caelorum @Vastloper • 9 augustus 2011 09:44

Voor de belastingdienst heb je het zover ik weet ook niet nodig, maar handig is het wel. Dus in principe heb je em nooit nodig.

Overigens kunnen studenten ook prima een fulltime baan erbij hebben hoor

johnbetonschaar @geerttttt • 8 augustus 2011 18:40

Het leuke is dat het er nu zoveel eisen aan zitten dat ik het wachtwoord van digid maar naar mezelf gemailed heb om het te kunnen onthouden.

Dat is ook wat mij echt gigantisch irriteert. Ik kan niet een van mijn eigen sterke wachtwoorden gebruiken omdat daar tekens inzitten die niet toegestaan zijn, maar ik kan ook niet 1 van mijn zwakke wachtwoorden gebruiken omdat die niet aan de debiele wachtwoord eisen voldoen. Resultaat: ik moet een wachtwoord kiezen dat ik steevast vergeet (al 3x gebeurd) en moet een nieuwe DigiD aanvragen. Ik heb inmiddels dus al 4 verschillende DigiD accounts gehad waardoor ik ook nog een keer mijn inlognaam niet weet, omdat ik de ene keer een . heb gebruikt tussen voor en achternaam, de andere keer een _, weer een andere keer helemaal geen scheidingsteken. Wat nu wat is weet ik inmiddels al niet meer, en dat wordt straks dus weer gokken bij de aangifte. Het alternatief is opschrijven of naar mezelf mailen, maar dat is volgens mij toch echt een stuk fraudegevoeliger.

Ik heb ook nooit begrepen waar die idiote wachtwoord eisen nou voor nodig zijn, als je 3 keer een verkeerd wachtwoord intiept wordt de account vanzelf al gelocked en krijgt de houder een waarschuwing. Gezien het feit dat mensen die DigiD gemiddeld maar 1 of 2 keer per jaar gebruiken zou een veel beter 'beveiliging' zijn dat je van elke actie die je uitvoert een e-mail bevestiging krijgt, mocht je dan 'gehackt' worden, dan weet je dat meteen.

pwghost @geerttttt • 8 augustus 2011 20:53

heb ik wel een mooi programma voor ewallet werkt perfect kun je al je wachtwoorden in opslaan en jij hoeft maar 1 wachtwoord te onthouden

kun ookk gewoon wachtwoord sleutels laten genereren door ewallet is ook mooie functie

mad_max234 @humbug • 8 augustus 2011 18:49

Mijn probleem is meer dat je zodra je niet meer in nederland staat ingeschreven het onmogelijk is zo'n ding te krijgen. Niet heel handig als je hem voor van alles en nog wat nodig hebt.

Je kan volgens mijn ook geen burgerservicenummer(voorheen sofinummer) krijgen als je geen Nederlanders burger bent, heel logisch dus dat je ook geen DigiD krijgt want dat is hetzelfde maar dan digitaal.

DigiD is alleen voor Nederlandse burgers en alleen voor identificatie bij overheidsinstellingen, buitenlanders(dat ben je als je niet ingeschreven staat als nederlandse burger, al is je afkomst nederland) moeten via andere weg contact leggen en identificeren, staan immers niet ingeschreven in nederlandse systeem dus valt er niks te identificeren.

[Reactie gewijzigd door mad_max234 op 24 juli 2024 03:03]

Jaco69 @mad_max234 • 8 augustus 2011 20:25

Je burgerservicenummer hou je levenslang. Ook niet Nederlanders of Nederlanders die niet in Nederland geboren zijn kunnen in veel gevallen een sofinummer krijgen bij de belastingdienst.

DigiID is juist handig als je in het buitenland bent en bijvoorbeeld je geboorte akte nodig hebt of je belasting aangifte wilt invullen. Belachelijk dat je het dan niet kan aanvragen.

Zolang je een Nederlands paspoort hebt ben je volgens mij Nederlands staatsburger. Ook al sta je bij geen enkele Nederlandse gemeente ingeschreven. Maar je kan wel gelijk hebben want zodra je weer ingeschreven wil worden in een Nederlandse gemeente moet je bij vreemdelingenzaken zijn.

keslr @Gert • 8 augustus 2011 12:43

Als iemand al een papiertje gebruikt, dan ligt dat thuis in een kast.

Volgens mij is opnieuw aanvragen i.h.a. onveiliger.

Edit: mijn Digid is ooit verlopen geraakt. Ik heb toen hierover contact gehad met Digid, en toen werd mij verteld dat het besluit om wachtwoorden te laten verlopen een politiek besluit was, en niet een uit het oogpunt van beveiliging.

[Reactie gewijzigd door keslr op 24 juli 2024 03:03]

BeosBeing @keslr • 8 augustus 2011 14:08

Logisch, een DigiD dat meer als een jaar niet gebruikt wordt, heeft de desbetreffende persoon waarschijnlijk niet nodig. Deze gebruikt geen DigiD, bv omdat hij gebruik maakt van een belastingconsulent die de aangifte voor hem doet, of de desbetreffende persoon heeft de DigiD-code vergeten en inmiddels een andere aangemaakt.

Zou dat niet gedaan worden, dan bleven al die ongebruikte oude DigiD's tt in eeuwigheid in dat systeem staan. Zelf vind ik die periode van één jaar wel kort, vooral in het begin gebruikte vrijwel niemand het DigiD neer als één keer per jaar (IB-aangifte) en ook nu is dat voor veel mensen zo, omdat deze bij steeds meer diensten nodig is, verandert dat nu langzaam.

Zelf heb ik in het begin, ook opnieuw een (andere) DigiD-code-aangevraagd omdat ik
- het wachtwoord had gewijzigd in iets dat bij het inloggen niet herkent werd (spatie via <alt>+3-cijferig nummer)
- na een jaar het wachtwoord was vergeten,
- enz,

Tegenwoordig heb je DigiD nodig voor o.a.
- IB-aangifte
- kindgebonden budget
- aanvragen & wijzigen kinderopvangtoeslag,
- aanvragen & wijzigen zorgtoeslag en huurtoeslag
- aanvragen theorie-examen bij CBR voor rijbewijs
- machtigen rijschool voor aanvragen praktijk-examen bij CBR
- donorregistratie
en bij SVB, en UWV en DUO.

ASS-Ware @BeosBeing • 8 augustus 2011 15:11

Logisch, een DigiD dat meer als een jaar niet gebruikt wordt, heeft de desbetreffende persoon waarschijnlijk niet nodig. Deze gebruikt geen DigiD, bv omdat hij gebruik maakt van een belastingconsulent die de aangifte voor hem doet,

Iets te kort door de bocht, denk ik.
Als ik vorig jaar mijn belastingaangifte in januari deed en dit jaar in maart, dan heb ik dus een probleem, maar ik heb de digid wel degelijk nodig.
Bovendien, al zou iemand anders je aangifte verzorgen, dan nog heb je je digid af en toe nodig voor gemeentelijke zaken.
Hij zou nooit moeten verlopen, het wachtwoord wellicht, maar de digid niet, hij is en blijft immers persoonsgebonden, net als je BSN.

[Reactie gewijzigd door ASS-Ware op 24 juli 2024 03:03]

keslr @ASS-Ware • 8 augustus 2011 16:22

Het vreemde van Digid is dat je wachtwoord verloopt als je 'm bijna nooit gebruikt.

Maar als je je Digid veel gebruikt, is de kans op (digitale) onderschepping groter. En in dat geval verloopt het wachtwoord juist niet.

En als je je wachtwoord dan zo weinig gebruikt dat hij verloopt, dan wordt de kans op onderschepping weer groter gemaakt omdat je een nieuwe moet gaan aanvragen.

En wat is het verschil in schade bij een onderschept tijdelijk wachtwoord vergeleken met een onderschept eeuwig wachtwoord? Niet veel denk ik. Gemiddeld heb je 3/4 jaar de tijd om het onderschepte tijdelijke wachtwoord te misbruiken. Edit: als het al verloopt, sterker nog, als ik het wachtwoord maar regelmatig misbruik, dan verloopt het niet....

Of je moet met eenmalige codes gaan werken, zoals bij banken. Maar dat is een heel ander verhaal.

[Reactie gewijzigd door keslr op 24 juli 2024 03:03]

keslr @BeosBeing • 8 augustus 2011 14:40

Je Digid verloopt na anderhalf jaar. Wij hadden er ooit een aangevraagd vanwege aanvragen kinderopvangtoeslag. Vervolgens pas weer nodig 2 jaar later vanwege een wijziging.

En als dan je digid is verlopen is het simpeler om de boel gewoon telefonisch te gaan regelen dan om een nieuwe digid te gaan aanvragen.

Maar dat betekent NIET dat de desbetreffende persoon zijn digid niet meer nodig heeft. Sterker nog: je hebt 'm nodig, omdat er steeds meer zaken wel via digid worden geregeld.

Er bestaat helemaal niet zoiets als ongebruikte oude digid's. Al die ID's zijn gekoppeld aan adressen en burgerservice nummers. Die mensen bestaan dus gewoon zolang ze niet overlijden. Er is geen sprake van een vervuild systeem, zoals bijvoorbeeld bij oude prepaid nummers.

En dat betekent dat het verlopen van die wachtwoorden complete nonsens is. Verzin gewoon een willekeurig riedeltje, schrijf het op, en stop het ergens in je administratie. Gaat i.h.a. een leven lang mee.

[Reactie gewijzigd door keslr op 24 juli 2024 03:03]

geerttttt @Anoniem: 171072 • 8 augustus 2011 12:34

Ik snap niet dat je moet wachten op een inlogcode via de post. Ten eerste is dat makkelijk te onderscheppen en bovendien neem ik aan dat ze daar toch wel de adresgegevens behorende bij elk digid nummer beschikbaar hebben om te verifieren.

De post van digid duurt altijd dagen. Bovendien als ik het bsn nummer weet van de buurman kan ik zo een code aanvragen van hem. Dan loop ik morgen en overmorgen even langs zijn brievenbus en pluk ik zo zijn code er tussenuit.

Ze kunnen je nog beter je adres laten invullen ter verificatie en de complete code van je ID kaart op de achterkant laten invullen o.i.d. Lijkt me een nog betere verificatie dan het binnen een week opsturen via de post.

Anoniem: 140398 @geerttttt • 8 augustus 2011 12:43

aan de activeringscode heb je niks als je de gebruikersnaam niet hebt. Hou dus ook altijd je digid gebruikersnaam geheim (digid dus niet waar anderen het kunnen zien). Digid wordt na een aantal (3?) foute inlogpogingen geblokkeerd.

poepkop @geerttttt • 8 augustus 2011 19:16

Bovendien als ik het bsn nummer weet van de buurman kan ik zo een code aanvragen van hem.

En dat is nog eens doodeenvoudig te vinden ook, als hij een bedrijf heeft is namelijk zijn sofi + nummer van bedrijf zijn kenmerk bij de kvk.

Eagle Creek

@Anoniem: 360198 • 8 augustus 2011 11:15

Totaal belachelijk.

En wat ik ook vreemd vind: op sommige sites kun je zelf kiezen of je wel of geen SMS-authenticatie wil gebruiken. Dat doe je niet in de instellingen v/d site, maar tijdens het inloggen!

Een hacker die je wachtwoord heeft kiest dan dus altijd voor de sms-loze authenticatie. (en we weten zelfs dat sms-verkeer te onderscheppen is, hoewel het dan al weer een geavanceerdere aanval wordt)

marking

@Eagle Creek • 8 augustus 2011 11:36

De DUO heeft wel als eis dat je met SMS moet inloggen. Doe je dat met alleen je wachtwoord, heb je maar beperkte toegang tot je gegevens.
Dit vind ik ene uitstekende manier.

Anoniem: 399807 @marking • 8 augustus 2011 12:36

Maar ik heb geen GSM.

ytterx @Anoniem: 399807 • 8 augustus 2011 13:46

Dan kan je je zaken nog steeds doen per brief. Had een mail gestuurd over dit probleem werd wel vrij snel geholpen..

Zunflappie @Anoniem: 399807 • 8 augustus 2011 13:51

Precies. En me oma ook niet, dus SMS ontvangen wordt moeilijk.

Daarbij werkt dat DigID ook niet goed op Opera 11....

airell @Anoniem: 360198 • 8 augustus 2011 11:11

Waarschijnlijk hebben die allemaal een ander 'sterk' wachtoord opmaak. De grootste gemene deler zal wel 'letters en cijfers' zijn...?!

edit:
zoals vriesdude meldt, is er wel een sterke optie verplicht...

[Reactie gewijzigd door airell op 24 juli 2024 03:03]

miw @Anoniem: 360198 • 8 augustus 2011 11:24

En zelfs als een sterk password gekozen kan worden, dan nog zijn er andere elementen in het systeem waardoor attacks mogelijk zijn. Wellicht zou een dergelijk zwak systeem nog bruikbaar zijn als de schade in geval van misbruik bij de overheid zou komen te liggen. Dan is een snelle detectie en herstel in het belang van de beheerder van het systeem en kan zelfs een zwakke beveiliging in de praktijk goed werken. Het risico bij de eindgebruiker neerleggen is vaak het meest slechte idee in een beveiligingssysteem.

Passeridae @Anoniem: 360198 • 8 augustus 2011 11:15

Echt jammer zo'n systeem.

[Reactie gewijzigd door Passeridae op 24 juli 2024 03:03]

Rockvee2 @Anoniem: 360198 • 8 augustus 2011 13:09

Ik kan wel een wachtwoord zoals dit doen : cug5781WbiK1biMfehON

Niemand die dit kan kraken lijkt mij.

En het is ook een in wachtwoordmanager opgeslagen dus ik kan het altijd terugvinden

Speedway4 @Anoniem: 360198 • 8 augustus 2011 17:54

Apart, mijn wachtwoord bestaat uit leestekens, letters en cijfers.

(zie dat dit al eerder was opgemerkt...)

[Reactie gewijzigd door Speedway4 op 24 juli 2024 03:03]

ANW @Anoniem: 360198 • 8 augustus 2011 19:49

Een wachtwoord kan met alleen letters en cijfers best sterk zijn, het moet dan een grotere minimum lengte hebben. "LeukerKUnneNWeheTn1etm4ken" of "waarheppikmundigidlatuslingurusins2010"

Anoniem: 279033 8 augustus 2011 11:08

DigiD is vrij waardeloos ja. Tijdens mijn studententijd af en toe gebruikt en nu alleen voor de jaarlijkse aangifte maar het is belachelijk hoe makkelijk je andermans gegevens kan verkrijgen.

Ortep

@Anoniem: 279033 • 8 augustus 2011 11:55

Oh ja? Probeer mijn gegevens eens op te vragen.

Dat kan je dus niet, je hebt geen idee wat mijn usernaam daar is en je hebt ook geen idee wat mijn password is.

Het grote probleem is het volgende (lees het artikel)

Omdat veel consumenten gebruikmaken van dezelfde wachtwoorden op verschillende websites, lopen zij risico.

Daar is niets tegen opgewassen. Je kan je voordeur van panserstaal maken, beveiligd met 22 sloten van digitaal tot speciale sleutels. Maar als je die sleutels onder de mat voor die deur legt, samen met een briefje met de passwoorden, kan een dief zo naar binnen.

Digid is nog steeds niet gekraakt. Wat wel gebeurd is, dat mensen hun gegevens rondstrooien en vooral niet nadenken. Zo van regel jij dat maar even, mijn usernaam en password zijn.....
Er is één geval bekend van iemand die op een andermans account kon inloggen en dat kwam omdat hij per ongeluk een verkeerde usernaam gebruikte (gewoon zijn eigen achternaam met een letter er bij, daar zijn er vele van) en ze hadden alletwee hetzelfde veel te simpele password. Waarschijnlijk 'geheim' of zoiets.

[Reactie gewijzigd door Ortep op 24 juli 2024 03:03]

tERRiON @Ortep • 8 augustus 2011 13:06

Volgens mij bedoelt GetBack dat de toegevoegde waarde van DigiD in de buurt van het nulpunt ligt.

Verder bepaalt het "niet gekraakt zijn" niet of de beveiliging op orde is of niet. Als dat werkelijk maatgevend is dan hoef ik ook geen sloten meer op mijn auto te hebben. Immers, in mijn auto is nog nooit ingebroken of iets uit mijn auto gestolen terwijl ik veelvuldig vergeten ben mijn auto af te sluiten.

Verder hoeft er niet perse "ingebroken" te zijn om misbruik te maken van DigiD. Beveiliging gaat verder dan dat.

jeanj @Ortep • 8 augustus 2011 13:15

Met iemands BSN en adres gegevens is het mogelijk een (nieuwe) digid aan te vragen.

Het enige wat je moet kunnen doen is de post met je nieuwe digid onderscheppen die naar het adres gaat.

Ik zeg niet dat het gemakkelijk is, maar bv een postbode zou dit kunnen doen (hebben die nog vaste diensten?). De postbode kan ook aan je BSN komen door bv je salaris strook te onderscheppen. Of iemand kan je brieven bus leeg maken/hengelen. Ideaal moment is als mensen op vakantie zijn..... Een ander mogelijkheid is de post doorstuurservice

airell 8 augustus 2011 11:07

Er is wel een extra verificatie stap via SMS!

http://www.digid.nl/burger/zekerheidsniveaus/

"Heeft u bij uw DigiD aanvraag, ook uw mobiele nummer opgegeven? Dan heeft u DigiD met sms functie, oftewel zekerheidsniveau Midden. U wordt dan gevraagd om naast uw DigiD gebruikersnaam en wachtwoord een eenmalige transactiecode in te toetsen. Die code ontvangt u dan binnen enkele seconden als sms bericht op uw mobiele telefoon."

edit: quote opmaak

[Reactie gewijzigd door airell op 24 juli 2024 03:03]

MicGlou @airell • 8 augustus 2011 11:11

Dat is een keuze... het is toch gewoon simpelweg idioot dat je dus als burger mag kiezen welk niveau van beveiliging je nodig vind?

DigiD heeft drie verschillende zekerheidsniveaus: Basis, Midden en Hoog. Hoe hoger het zekerheidsniveau van uw DigiD, hoe sterker de overheid erop kan vertrouwen dat u het bent. En hoe meer we met elkaar via het internet kunnen regelen.

En dat is wat ze er zelfs bijzetten! Hoezo 3 niveaus? Dus de overheid gaat al rekening houden met eventuele identiteitsfraude oid als je niet van het hoogste niveau gebruik maakt... he whut?! Ronduit belachelijk gewoon...

airell @MicGlou • 8 augustus 2011 11:13

Niet iedereen heeft een GSM om sms op te ontvangen...

MicGlou @airell • 8 augustus 2011 11:43

Dat begrijp ik... maar dat het alleen al mogelijk is, vind ik al vrij bizar... Zoiets moet gewoon vanaf de start een goed kloppend systeem zijn... of het nu wel of niet met gebruik van SMS is... dan moeten ze er maar beter over nadenken.

PolarBear @MicGlou • 8 augustus 2011 11:14

Ik kan mij best voorstellen dat er meerdere niveaus zijn. Alleen lezen van data kan je best met wachtwoord alleen beveiligen, wil je wat wijzigen heb je meer nodig (bijvoorbeeld SMS).

Anoniem: 342992 @airell • 8 augustus 2011 11:09

Ja ook echt, bij DUO/studielink moet je inloggen met een wachtwoord én sms

mystic101 @Anoniem: 342992 • 8 augustus 2011 11:23

Nee hoor. Ik gebruik bij studielink nooit een sms maar altijd de eenvoudige login met alleen het wachtwoord.

Thunderwolf1989 @mystic101 • 8 augustus 2011 12:48

Voor studielink idd niet, voor DUO wel.

Moest laatst dus, voor het afmelden (studie voltooid) dus eerst aanmelden voor de sms functie (x sms + wachten op verificatie) en dan weer inloggen (weer x sms). Een week verder eer dat het geregeld was.. Lekker hoor. Maak het of standaard met sms functie of houd gewoon de optie om het zonder (evt. zonder digid als het moet) te doen.

kozue @airell • 8 augustus 2011 11:13

Fijn is dat, als je je telefoon kwijt raakt. Kun je ook niet meer bij alle overheidssites. Bovendien hoeft niet jan en alleman mijn telefoonnummer te weten.
Net als dat facebook wat tegenwoordig sms verificatie ondersteund.... facebook is wel de laatste die mijn nummer krijgt

Caelorum @kozue • 8 augustus 2011 11:24

Bij de meeste providers kan je online nog wel je smsjes bekijken. Daarnaast kan je altijd nog een nieuwe DigiD aanvragen. Kost wel weer 5 werkdagen, maar uiteindelijk lukt het wel

cyberstalker @airell • 8 augustus 2011 11:12

Het artikel spreekt hier ook van het ontbreken van een verplichte verificatiestap. Het is dus wel mogelijk om hiervan gebruik te maken, maar dat is niet verplicht voor iedereen aangezet.

Robtimus @airell • 8 augustus 2011 11:16

Maar deze stap is niet verplicht. Ik heb tot nu toe nog elke keer kunnen kiezen of ik een extra SMS wil of niet, en als ik kies voor niet (wat ik vrijwel nooit doe) dan kan ik alsnog gewoon inloggen. Deze stap zou dus verplicht moeten worden ipv optioneel, volgens de ombudsman.

Maniakje @airell • 8 augustus 2011 11:16

geen extra verplichte verificatiestap

Het vreemde is dat die extra stap vaak optioneel is.

Bijvoorbeeld als je inlogt bij www.studielink.nl, krijg je na het invoeren van je gebruikersnaam en wachtwoord de keuze of je ook nog een code per SMS wil krijgen. Kies je daar niet voor, dan ben je direct ingelogd. Ik heb dit altijd al vreemd gevonden, want als de SMS code niet verplicht is dan voegt het nul komma nul veiligheid toe.

Edit: pffft, tijdens het typen zijn er boven mij een stuk of 4 reacties met dezelfde strekking verschenen.

[Reactie gewijzigd door Maniakje op 24 juli 2024 03:03]

Anoniem: 321370 @airell • 8 augustus 2011 11:11

Je krijgt idd de keus om een sms te krijgen. Maar dit is niet verplicht en bestaat nog niet zo lang.

PolarBear @Anoniem: 321370 • 8 augustus 2011 11:13

Nou SMS authenticatie bestaat al een hele tijd hoor, zeker al een jaar of 3.

stresstak @airell • 8 augustus 2011 16:17

Er is wel een extra verificatie stap via SMS!

Mits je een mobiel hebt en het nummer hebt doorgegeven.
En ik heb beide niet.

blobber 8 augustus 2011 11:43

Het Ministerie van Binnenlandse Zaken stelde echter dat de fraude met DigiD beperkt is gebleven tot enkele tientallen concrete gevallen

We hebben een slecht slot in uw voordeur geplaatst, maar tot nu toe zijn er nog nauwelijks inbrekers geweest, dus gaat u maar rustig slapen.

Ortep

@blobber • 8 augustus 2011 12:00

[...]

We hebben een slecht slot in uw voordeur geplaatst, maar tot nu toe zijn er nog nauwelijks inbrekers geweest, dus gaat u maar rustig slapen.

Nee, we hebben een heel behoorlijk slot in uw voordeur geplaatst. Sterker nog, het is nog nooit opengebroken. Gaat u maar rustig slapen. Het verdient wel aanbeveling de sleutel niet onder de mat te leggen en ook niet in de bloempot. Oh ja...geef ook geen kopietjes van de sleutels aan alle buren en bekenden.

DAN kunt u rustig slapen.

[Reactie gewijzigd door Ortep op 24 juli 2024 03:03]

Anoniem: 125738 @Ortep • 8 augustus 2011 12:25

En zo was de OV-chipkaart ook nog NOOIT gekraakt... Tot het gekraakt werd. En zo was het PSN nog NOOIT gekraakt... Tot het gekraakt werd.
Oftewel: Het feit dat iets nog nooit is gekraakt, is wel de slechtste reden om iets niet beter te gaan beveiligen en nota bene ook nog eens rustig te gaan slapen.
Oh ja, voor een slot in je voordeur ben je zelf verantwoordelijk, niet de overheid.

curry684 @Anoniem: 125738 • 8 augustus 2011 13:22

Je snapt de analogie niet: de overheid is er niet verantwoordelijk voor als ik m'n passwords aan iedereen en z'n moeder vertel en in een post-it op m'n computer plak met username erbij.

De zwakste schakel in iedere beveiliging is de mens, en dat is het fundamentele probleem: hoe vaker je een password moet veranderen, en hoe sterker de eisen aan het password, hoe exponentieel groter de kans dat de eindgebruiker hem opschrijft of relatief zwakke passwords gaat 'nummeren'. Het onderliggende probleem is dat iedere weldenkende volwassene in Nederland snapt dat het niet slim is om je sleutel voor de deur in het zicht te leggen, maar mensen met minder ICT-affiniteit nog immer anno 2011 de grootste moeite hebben om dezelfde mate van 'boerenwijsheid' op hun online security toe te passen.

De belangrijkste stap in een goed beveiligd systeem is opvoeden van de gebruiker. Ik durf rustig te wedden dat als ik 100 mensen random uit het telefoonboek bel met afgeschermd nummer en als "medewerker van het ministerie van Binnenlandse Zaken namens DigiD" vraag om het DigiD username en password van de ontvanger ik een succesrate van 5 tot 20% krijg. En daar is geen softwarematige beveiliging tegen opgewassen.

BeosBeing @curry684 • 8 augustus 2011 15:28

...De zwakste schakel in iedere beveiliging is de mens, en dat is het fundamentele probleem: hoe vaker je een password moet veranderen, en hoe sterker de eisen aan het password, hoe exponentieel groter de kans dat de eindgebruiker hem opschrijft of relatief zwakke passwords gaat 'nummeren'. ...

Kijk, day is de zwakke schakel. Dat opvoeden is nodig, mensen hebben het besef niet, maar als je het voor hen te ingewikkeld maakt, zoals je het aangeeft, dan gaan ze het zelf makkelijker maken zodat het voor he minder ingewikkeld wordt, bruikbaarder wordt, en meestal is dat op een manier die onveiliger is als een minder streng systeem,

TAN-codes op een lijst is handig, maar gebleken onveilig, juist door dat ontbreken van die opvoeding. Mensen konden er niet mee omgaan, waren daarvoor te dom, enz, maar mits op de juiste manier gebruikt een goed systeem. Daarbij was het bedoeld als alternatief voor mensen zonder GSM.

De random reader (Rabo) of e-dentifier (ABN) is ook onhandig, maar mensen accepteren dat omdat ze er niet omheen kunnen. Het systeem met TAN-codes via SMS zit er tussenin.

De belangrijkste stap in een goed beveiligd systeem is opvoeden van de gebruiker. ...

Tja, en dat is dus iets waar te weinig tijd in gestoken wordt, immers kost het geld en 'we willen de klant niet onnodig lastig vallen'.

Er wordt wel eens gesteld dat een goede beveiliging identificatie bestaat uit 3 dingen, iets dat je bent (naam/identiteit), iets dat je weet (password) en iets dat je hebt (bankpas, gms) In dat opzicht was* het TAN+SMS-systeem perfect. Voor het systeem van Rabo en ABN hoef je niets te weten, maar moet je twee dingen hebben, een bankpas én een apparaatje waarvan je de laatste
- net niet bij je hebt (ligt thuis)
- niet werkt (batterij leeg, koffie gemorst)
*totdat men de procedure vereenvoudigde voor het opnieuw aanvragen van vergeten username en password.

Ervan uitgaande dat iedereen een id-kaart moet hebben, zou men die kunnen gebruiken als het 3e element (iets dat je hebt), en in België wordt dat gedaan, echter het probleem is dat die zichtbaar is gekoppeld aan de identiteit waardoor dus het eerste en het derde onderdeel samenvallen en daarboven, is het voor criminelen nu veel eenvoudiger om in plaats van deze te kraken, gewoon bij iemand weg te roven. Het zwakke punt is dan niet meer de electronische beveiliging, maar de bezitter, die slachtoffer wordt van zakkenrollen tot beroving met geweld waartegen je dus helemaal niets kunt doen. Wordt je wakker in het ziekenhuis, is je identiteit gestolen.

Dan is een systeem waarvan we weten dat er gaten in zitten, en waar we dus niet blind op vertrouwen, zo gek nog niet eens.

stresstak @BeosBeing • 8 augustus 2011 16:30

TAN-codes op een lijst is handig, maar gebleken onveilig, juist door dat ontbreken van die opvoeding.

De random reader (Rabo) of e-dentifier (ABN) is ook onhandig, maar

Ik dacht dat je ook de random reader van iemand anders kunt gebruiken (ik weet het niet, ik heb er geen) ? Dat kan met mijn papieren lijst met tancodes in elk geval niet.

Rmg @blobber • 8 augustus 2011 12:47

Als je een voordeur hebt waar tig duizenden hackers zich op concentreren is dat niet eens een heel slechte score

tim427 8 augustus 2011 11:08

Een ander gevaar zou zijn dat het DigiD-systeem geen extra verplichte verificatiestap heeft ingebouwd, bijvoorbeeld via een sms-systeem of een apparaatje dat een willekeurige toegangscode genereert.

Ik krijg juist wel altijd een verficatie-sms (DUO / IB-Groep). Belastingdienst volgens mij ook per sms. Er zijn een aantal overheiswebsite (Studielink) waar die SMS niet nodig is maar wel de mogelijkheid heeft om te kiezen! Dit betreft, in mijn ogen, een minder spannende website (waarom zou iemand mijn behaalde diploma's en studie gerelateerde inscrhijvingen willen aanpassen?)

MicGlou @tim427 • 8 augustus 2011 11:12

Aanpassen...?! Wat dacht je van gegevensdiefstal, dat de persoon met jou diploma's gaat solliciteren e.d.?

Wortelsoep @MicGlou • 8 augustus 2011 11:25

Bij mijn weten is een diploma nog steeds een papiertje hoor. Op mijn studielink kun je niets van diploma's vinden, die liggen veilig opgeborgen.

tim427 @MicGlou • 8 augustus 2011 11:42

Ik zeg: Minder spannend (dus niet: compleet onbelangrijk)

Maar je kunt van een gemiddeld persoons-profiel kun je al opbouwen vanuit een LinkedIN en andere social-networks

Murk 8 augustus 2011 11:35

He? Aan de activeringscode alléén hebben criminelen niets, ze moeten ook nog gebruikersnaam en wachtwoord weten, en die staan niet in de brief vermeld. Ik zie wat dat betreft het probleem niet.

Waar ik wel een probleem in zie is de minieme authenticatie bij het maken van mijn 'online ID'. Alle gegevens die ik moest invullen, zijn van mijn identiteitsbewijs te lezen. En die gegevens heeft onder andere mijn werkgever dus ook. Behalve het adres waar de activeringscode heen moet, en daar kan een kwaadwillend persoon dus een ander adres invullen.

Of is het niet zo erg als dat ik denk dat het is?

siepie77 @Murk • 8 augustus 2011 11:45

Wat ik begrepen heb is dat je zodra je de gegevens van je buurman hebt (NAW, BSN en geboortedatum) je voor hem een wijziging kunt doorvoeren in zijn belastinggegevens en het met je eigen digi-d kunt ondertekenen. Uiteraard heb ik dit niet zelf getest :-)

Ortep

@siepie77 • 8 augustus 2011 12:22

Zelfs al is dat zo, dan nog weet de belasting dienst WIE die wijziging heeft doorgevoerd, je hebt immers je eigen DigiD gebruikt. Dat is ongeveer net zo slim als iemand zijn GSM/Randon reader lenen en geld over maken vanaf zijn rekening naar jouw eigen rekening. Joepie...je het geld gestolen en iedereen weet dat jij het hebt gedaan

Wat je waarschijnlijk bebdoelt is dat je een belasting aangifte voor een ander kan doen, die kan je dan machtigen dat te doen en jij kan hem ondertekenen met je eigen DigiD. Dat zie je bv in gezinnen waar een van de partners alle belasting zaken regelt en ook invult.

[Reactie gewijzigd door Ortep op 24 juli 2024 03:03]

siepie77 @Ortep • 8 augustus 2011 13:02

Zo zou het moeten zijn, maar kennelijk ziet de belastingdienst niet met welke Digi-d de wijziging is doorgevoerd of althans ze melden het niet of doen er niets mee zolang niemand piept. Mijn buren hebben dit probleem. Het rek.nr waarnaar de kinderopvangtoeslag overgemaakt moet worden is volgens de belastingdienst met behulp van hun eigen digi-d gewijzigd in april, terwijl dit niet klopt aangezien ze dit niet zelf hebben gedaan. De digi-d site, waarop je je laatste gebruik kunt zien, geeft aan dat de laatste wijziging met behulp van hun eigen digi-d gedaan is in maart toen ze de jaarlijkse aangifte deden en niet in april....

Durandal @Ortep • 8 augustus 2011 21:46

Random Readers zijn uitwisselbaar.

Rmg @siepie77 • 8 augustus 2011 12:44

mja als je iemands naw, bsn en geboortedatum hebt. + de mogelijkheid om zijn post te onderscheppen kan je voor hem een digid aanvragen, activerenscode onderscheppen en dan fraude plegen

ik vind persoonlijk de kans niet heel groot, ik bedoel ik weet me eigen bsn niet eens laat staan dat iemand anders het weet

Murk @Rmg • 8 augustus 2011 13:28

Een ID kaart is maar een klein dingetje, even makkelijk kwijt te raken als een pinpas. En daarop staat alle info die een kwaadwillend persoon nodig heeft.

Nee, ik acht de kans op zo'n situatie niet groot. En voor mij persoonlijk al helemaal niet, want ik raak nooit iets kwijt, en ben nog nooit bestolen.
* Murk klopt af

Maar zoals ik al zei staan de benodigde gegevens ook bij je werkgever(s) in de systemen, dus waterdicht is het allerminst. (mits je dus zomaar een ander adres kunt invullen bij het maken van een digid account zodat daar de activeringscode heen gaat, dat heb ik nog niet geprobeerd)

[Reactie gewijzigd door Murk op 24 juli 2024 03:03]

Toff @siepie77 • 8 augustus 2011 15:54

Wat ik begrepen heb is dat je zodra je de gegevens van je buurman hebt (NAW, BSN en geboortedatum) je voor hem een wijziging kunt doorvoeren in zijn belastinggegevens en het met je eigen digi-d kunt ondertekenen.

Dan zou je met ieder willekeurig DigiD kunnen ondertekenen, zoals vroeger bij de belastingaangifte (ik ondertekende jarenlang de aangifte van mijn echtgenote met mijn DigiD). Je eigen DigiD gebruiken voor fraude is niet heel slim inderdaad, al kan je natuurlijk altijd gaan roepen dat je DigiD gestolen is.

Iblies 8 augustus 2011 11:11

Wel een domme reactie van de minister. Er bestaat al een dergelijk systeem, bij onze Zuiderburen. En die hebben het al heel lang. Daar doe je bijna alle overheidszaken mee.
Kwestie van kijken wat je wilt gebruiken, in Bels is het echt heel uitgebreid, en copy paste. Echt niks nieuws onder de zon.

burne @Iblies • 8 augustus 2011 11:44

http://www.nieuwsblad.be/...l.aspx?articleid=8H2SOQH4

Uhuh, geen nieuws onder de zon bij de zuiderbuurtjes.

Hoe zou het in het oosten zijn?

http://pgzlog.wordpress.c...identiteitskaart-gehackt/

Goed. Let's go west, daar is het vast beter:

http://www.dailymail.co.u...programme-false-data.html

Dang! Het is overal kut!

Tjeerdtq 8 augustus 2011 11:28

Ik mis nog de kosten van dit DigiD.
Ik kan alleen een artikel vinden van 2008

Edit: Ook in 2008 een artikel door Tweakers

8,7% van de gebruikers in 2008 is zijn/haar wachtwoord vergeten.

Ik heb thuis een vriendin die elk jaar een nieuwe DigiD moet aanvragen voor de belasting aangifte. De code schrijft ze dan in een agenda, die in Januari vervangen gaat worden. Omdat ze niets met ICT heeft heeft ze ook moeite met het wachtwoord onthouden.

[Reactie gewijzigd door Tjeerdtq op 24 juli 2024 03:03]

Ortep

@Tjeerdtq • 8 augustus 2011 12:32

Smile, de oplossing is simpel...schrijf die code op het belasting biljet wat je toch al bewaart. Dat ding moet je immers 5 jaar bewaren. Schrijf de DigiD er niet bij, ze kan vast wel een usernaam onthouden. Daar zal ze er wel meer van hebben. Desnoods haar eigen naam, die kan ze vast wel onthouden

Boekenworm 8 augustus 2011 17:22

Even iets anders, welke andere bedrijven gebruiken ook Digid ?
Ik weet dat ik bij Agis via mijn Digid kan aanloggen om mijn polissen te bekijken maar mag dat zomaar ? Onthoud Agis mijn username, password ?
Agis is een commerciele verzekeraar. Wat hebben die te zoeken met Digid ?
https://mijn.agisweb.nl/login/LoginController.jpf

jobr @Boekenworm • 8 augustus 2011 20:37

Userid en password worden alleen opgeslagen bij DigiD. Alle andere partijen die DigiD gebruiken om in te loggen beschikken niet over het userid/wachtwoord.
Alleen het burgerservicenummer wordt doorgegeven.

Op dit item kan niet meer gereageerd worden.

Ombudsman veegt de vloer aan met DigiD

Lees meer

IT-banen

Reacties (137)

Sorteer op:

Weergave: