Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 220 reacties

DigiD, het systeem om online in te loggen bij overheidsdiensten, moet two factor authentication gaan verplichten. Dat vindt het College bescherming persoonsgegevens. Criminelen kunnen na het wachtwoord te hebben buitgemaakt bij veel gevoelige gegevens.

Omdat via DigiD gegevens over belastingen of aanvragen van persoonsgebonden budget in te zien zijn, is een combinatie van gebruikersnaam en wachtwoord bij DigiD niet afdoende, redeneert het CBP. "Een extra veiligheidsvoorziening is noodzakelijk. Dit zou verplicht moeten worden voorgeschreven aan de instanties die zijn aangesloten bij DigiD. Daarbij kan gedacht worden aan de eis van een code via sms naast de gebruikelijke inloggegevens als gebruikersnaam en wachtwoord."

Deze tweetrapsauthenticatie is al in gebruik bij DigiD door middel van een code via sms, maar het is nu een optie die standaard niet aan staat. De overheid werkt al aan het zogenoemde Idensys, dat DigiD moet gaan opvolgen als inlogmiddel en die wel veiliger zou zijn door gebruik van andere vormen van tweetrapsauthenticatie. Dat systeem is echter nog niet breed in gebruik, al starten er wel tests eind dit jaar.

Het CBP komt met het advies naar aanleiding van de zaak rondom het Brabantse marketingbureau Digi-D. Door de gelijkenis van naam proberen veel mensen in te loggen bij het marketingbureau en DigiD-beheerder Logius trof dan ook duizenden wachtwoorden van DigiD-gebruikers aan in de logbestanden van het bedrijf. Die accounts zijn inmiddels gedeactiveerd en Digi-D heeft maatregelen getroffen om te zorgen dat ze niet meer kunnen gaan beschikken over wachtwoorden van mensen die hier per ongeluk inloggen.

Moderatie-faq Wijzig weergave

Reacties (220)

2FA met SMS is sowieso niet veilig als je de SMS'jes per smartphone ontvangt. Als een hacker mee kan lezen van je keyboard kan ie waarschijnlijk ook wel de smartphone op je netwerk hacken om de SMS te achterhalen, en wellicht zelfs de SMS message store te manipuleren zodat het niet opvalt dat ie iets heeft uitgevreten.

2FA voor dit soort serieuze doeleinden moet eigenlijk via een hardwarematige oplossing gaan welke elke 3-5 jaar geupgrade wordt. Denk bijvoorbeeld aan een random reader in combinatie met je paspoort o.i.d.

Ik heb een oude nokia 1110 op de kop getikt om dit op te lossen. De telefoon hangt niet aan enig netwerk en omdat het een nummer is wat ik niet gebruik voor andere dingen komen mensen het ook niet zo snel op het spoor. Helaas is de prijs voor veiligheid dus een paar tientjes per jaar (om het prepaid nummer te kunnen blijven gebruiken)

[Reactie gewijzigd door ocf81 op 8 oktober 2015 11:28]

Je nummer kan altijd uitlekken... je provider doet daar niet moeilijk over.
Er wordt wel vaker gelogen en smsjes zijn ook op te vangen via speciaal apparatuur.
Kan allemaal inderdaad. Maar dat is lang niet zo makkelijk als het sleepnet-stijl verspreiden van malware die dat kan en vervolgens dit alles te farmen vanuit je luie stoel. Dat kan nog veel makkelijker.
Klopt... maar vergeet niet dat providers vaak genoeg gegevens doorverkopen aan de hoogste bieder.
de eerlijke multinational moet nog geboren worden...
Daarom gebruik ik ook geen smart phone voor dit doeleinde. Al heb je mijn nummer, dan moet je nog tamelijk veel moeite doen om bij de SMS te komen. De beveiliging van de gemiddelde SMS server is denk ik nog wel beter dan jouw IT omgeving thuis. (Ik moet de eerste virusscanner voor kant-en-klare home routers nog tegenkomen)
De 2FA implementatie van DigiD is sowieso niet veilig omdat je codes die je per SMS krijgt meerdere keren binnen een korte tijd kunt gebruiken. Een simpele keylogger op een computer is dus genoeg om de 2FA code mee te onderscheppen, en daarmee binnen een paar minuten in te loggen. Daar merkt het slachtoffer helemaal niets van, want zijn eigen sessie blijft ook gewoon werken.

[Reactie gewijzigd door Xyrr op 8 oktober 2015 11:44]

Neem een prepaid abbo bij Simyo. Dat kost 5 euro en je moet welgeteld één sms per half jaar versturen. Daar kun je dus jaren mee doen.
Simyo is idd prima, maar er zijn er meer waarvoor dat geldt.
2FA met SMS is sowieso niet veilig als je de SMS'jes per smartphone ontvangt. Als een hacker mee kan lezen van je keyboard kan ie waarschijnlijk ook wel de smartphone op je netwerk hacken om de SMS te achterhalen
Waarom zou dat? Een keylogger op een desktop computer is heel iets anders dan het kraken van een smartphone waarbij de eerste door iedere 'idioot' gedaan kan worden en de tweede alweer stukken lastiger is.
Er zijn diverse toolkits die dat voor je kunnen doen. Het is tegenwoordig gewoon knutselwerk geworden.
Zo simpel is het natuurlijk niet. Uiteindelijk is alles te hacken, ook die random reader van je en ook die Nokia.

Hackbaarheid an sich is geen reden om iets wel of niet te doen. Als je met een middel een significante hindernis voor de hacker op kan werpen, dan kan het een nuttig middel zijn, ook al is het uiteindelijk kraakbaar.

Het is een afweging tussen veiligheid, betaalbaarheid en gebruiksgemak. Ik denk dat een sms op een smartphone daar best goed op scoort en dus is het dan een nuttige maatregel.

[Reactie gewijzigd door DJ Henk op 8 oktober 2015 12:40]

ik denk dat je de situatie danig onderschat als het om de veiligheid van SMS'jes op smartphones gaat. Er is al een redelijk aantal (real world!) voorbeelden van malware packages die dit kunnen. Dit is iets wat zelf al is gebeurt in de VS met hacks op banken.

In vergelijking daarmee is een nokia 1110 of een random reader véél minder makkelijk te hacken.

[Reactie gewijzigd door ocf81 op 8 oktober 2015 14:34]

Wat dacht je van:

Op je (verplichte) ID kaart / paspoort een uitleesbare chip (oh ja, die zit er al in) en een kaartlezer, probleem opgelost.

Dat je met een gestolen ID zo kunt inloggen is dan makkelijk te voorkomen door bij diefstal melding die betreffende kaart te blokkeren, aangifte van verlies of diefstal moet je sowieso doen.
Op je (verplichte) ID kaart / paspoort een uitleesbare chip (oh ja, die zit er al in) en een kaartlezer, probleem opgelost.
Zo moeten wij Belgen het doen om in te loggen op overheidssites (belastingen, btw, ...)
Het grote bezwaar van two factor vind ik dat ze bijna standaard en om je mobiele nummer vragen. Die wil ik juist zo min mogelijk delen en al helemaal niet aan partijen als google en facebook en liever ook niet aan de overheid.

Ben me er prima bewust van dat de kans dat die het toch wel kunnen herleiden groot is, maar dan nog geef ik het liever niet zelf actief. Net zo als ik bij ING altijd de verzoeken ' uw gegevens zijn nog niet compleet, we missen uw emailadres' negeer; geen mailadres bekend bij de bank betekent voor mij alle ING mail is nep.
Ze zouden gewoon moeten zorgen dat er meer mogelijkheden zijn dan sms. Je sluit nu automatisch alle mensen uit die geen mobiele telefoon heeft.
zoals opbellen met een pc of een open authenticatie applicatie (microsoft, google, etc.)

Of laten inloggen met twitter/Facebook/google/overige SAML account en een extra security code, zoals de aegonbank gebruikt.
Ik kan er naast zitten, maar sluit de overheid met het verplicht gebruik maken van een Digid ook niet alle mensen uit die geen computer/Internet aansluiting hebben?
Zover ik weet zijn alle zaken die met digid kunnen ook nog buiten internet af te handelen (lees na afspraak gemeentehuis of via aanvragen op papier).
Ik heb geen mobiele telefonie en heb nu al moeite om in te loggen op bepaalde websites, die twee traps ID verplichten. Soms moet dat maar een keer, zoals bij mijn zorgverzekeraar. Dan moet ik dus via de telefoon van een ander iets regelen.

Of een website waar je kunt controleren wie je medische gegevens inzag, ook daar moet je via een SMS inloggen.

Ik wordt dus nu al gemarginaliseerd in de samenleving. Straks schaft de overheid alle mogelijkheden uit die er nog bestaan. :(
Je kan ook gebruik maken van Authy of Google Authenticator, dit zijn gratis apps waarin je je two step verification accounts kan opslaan, waaronder die van Google en Facebook.
Dat wil je juist gescheiden houden. Dat de overheid niet persoonlijke gegevensverwerking zoals deze over laat aan commerciële instanties. Want via DigiD kun je in heel wat verschillende overzichten van mensen online bekijken wat commerciële instanties maar wat graag willen weten.
Google Authenticator is puur een app voor je mobiele telefoon die een code genereert. Het genereren van die code gaat offline en het hele protocol is een open standaard waarbij er geen enkele server van Google aan te pas komt (je kunt overigens ook prima alternatieve apps gebruiken als 2FA applicatie).

Overigens ben ik het verder met je eens dat de overheid niet afhankelijk moet zijn van dergelijke commerciele partijen voor authenticatie, dat lijkt me inderdaad om allerlei redenen onwenselijk.
Grappig.

Hebben we het over security en privacy en dan gaan we Google en facebook erbij halen.
De twee bedrijven die juist leven van onze prive gegevens........ 8-)
Je kan je accounts en je data goed beveiligen en toch Google en Facebook hebben.. :P
Echter niet ieder loginsysteem geeft de mogelijkheid om deze applicaties te gebruiken. Sommige systemen (zoals volgens mij ook DigiD) geven alleen de mogelijkheid om SMS te gebruiken.
Dat zie ik ook zo. De beste manier om je privacy te beschermen is om zo weinig mogelijk gegevens bekend te geven. Dus zeker niet je telefoonnummer. Dus als ze 2 factor willen dan graag met een soort randomreader in combinatie met je ID kaart. Als ze dat goed implementeren kan het hele username en passwoord verhaal weg.
Ik begrijp je neiging om je mobiele nummer geheim te houden, maar ik ben bang dat dat een verloren strijd is. Er hoeft maar één iemand te zijn die jouw nummer in zijn contactenlijst heeft staan op een Android telefoon, met je echte naam en/of e-mailadres erbij en in principe 'weet' google nu jouw 06-nummer.

Datzelfde geldt natuurlijk voor iPhones en Apple.

Tenzij je je nummer aan niemand geeft (dus ook niet aan je moeder, vrienden, baas, ...), is het bijna zeker dat op zijn minst Google en Apple jouw naam en e-mailadres aan jouw telefoonnummer kunnen koppelen, als ze daar zin in hebben.
" liever ook niet aan de overheid. "

De overheid heeft alles van je al, je bank nummer, je IP-adres, je NUMMERS etc.
echt alles.
"liever niet aan de overheid"
Waarom, als ik vragen mag?
Het is een beetje jammer dat er nog niet echt een goed systeem is voor een gewone burger om te weten of een site de site is die je denkt dat het is. We hebben certificaten, maar ik geloof niet dat er ooit iemand de certificaatgegevens opvraagt. De gemiddelde burger ramt in google iets als "belasting" of "uwv" en klikt op de eerste hit zonder verder nog maar iets te lezen of te controleren.

Het zou beter zijn als de overheid maar één site zou gebruiken, bv. overheid.nl, die je overal voor gebruikt. Dan zullen mensen ook eerder het adres gaan invoeren/bookmarken i.p.v. gaan googlen.

Daarnaast is 2-factor authenticatie natuurlijk een heel goed idee. Laten we dan voor een standaard kiezen i.p.v. een oplossing van een of andere dataslurper uit Sillicon Valley. Dit is zo'n standaard: Universal 2nd Factor (U2F).
Heb het altijd al vreemd gevonden dat ik kan kiezen tussen die twee. En omdat ik kan kiezen (en een crimineel ook), is het momenteel inderdaad nog niet veiliger om sms te kiezen = een overbodige optie.
Ik kies zelf dan voor de simpelste/snelste inlog optie.
Je kunt zelf ook instellen dat je altijd met sms verificatie moet inloggen.

Als je dit wilt doen, log dan in op "Mijn DigiD" (www.digid.nl). Daar staat bij de instellingen een linkje "Altijd extra sms-controle activeren".
Ter lering ende vermaak: Het is niet aan te raden via een linkje op een site (welke dan ook) naar digiD.nl gaan. Gewoon de url in je browser inkloppen! ;)

[Reactie gewijzigd door BUR op 8 oktober 2015 14:27]

Ter lering ende vermaak: Het is niet aan te raden via een linkje op een site (welke dan ook) naar digiD.nl gaan. Gewoon de url in je browser inkloppen! ;)
Dat is niet altijd even handig.
Sommige sites leiden jou door naar digid en digid meldt daarna terug naar de site dat je succesvol bent ingelogd en dus bent wie je zegt dat je bent en daarna kom je terug in de site die je als eerste bezocht.
Gelijk aanpassen!
Je kan afdwingen dat er altijd een SMS code nodig is om in te loggen. Zojuist nog even uitgeprobeerd, maar ik heb dit op mijn account zo ingesteld. Je moet even naar het kopje Altijd extra sms-controle gaan. (De directe link naar deze instelling is: https://mijn.digid.nl/voorkeur_inloggen) Als je dat inschakelt wordt er onafhankelijk van welk veld je op inlogt, altijd om een code gevraagd.

[Reactie gewijzigd door JKP op 8 oktober 2015 11:27]

Bedankt voor de tip, meteen geactiveerd!
Voor sommige instanties kun je niet kiezen en ben je verplicht two factor te gebruiken.
Inderdaad, ik kon bij DUO niet inloggen zonder SMS-verificatie, maar bij de Belastingdienst en de Gemeente Utrecht wel. Beetje vreemd vind ik zelf, gezien je bij de gemeente en de belastingdienst meer schade kan aanrichten in iemands leven dan via DUO...
Wellicht is de redenering dat "studenten" allemaal wel een mobiele telefoon bezitten?
Zou goed kunnen. Echter heb ik in de praktijk gezien dat er toch studenten zijn die, hoe onvoorstelbaar dat dan ook mag zijn voor de meeste mensen, geen mobiele hebben of willen.

Het advies dat DUO geeft? 'Tja, dan moet je maar het nummer van iemand anders gebruiken'. Men heeft het idee achter 2FA kennelijk nog niet zo begrepen. |:(
Geen telefoon willen? Dan doe je toch lekker alles via de post?
Tenzij het inmiddels anders is, werd die optie niet geboden. Inschrijven moet verplicht via internet, waarbij blijkt dat in de doelgroep waarvan je het minste zou verwachten al mensen zijn die stuk lopen op de huidige implementatie van 2FA.
Als dit probleem in de doelgroep studenten bestaat, dan is dit helemaal het geval in de andere (oudere) lagen van de bevolking.

Het breder inzetten van 2FA juich ik toe, maar dan moet er wel voor gezorgd worden dat dit gebeurt op manier waarbij iedereen er gebruik van kan maken. Zonder dat er kunstgrepen uitgehaald hoeven te worden, zoals gebruik maken van de telefoon van de buurman om een 2FA code te ontvangen.
Daarom probeer ik uberhaupt zulke zaken offline te houden..
Heel goed mogelijk, ja. Zelf ken ik eigenlijk geen jongeren zonder mobieltje, maar bij oudere mensen is dat een heel ander verhaal... bijvoorbeeld mijn vader heeft geen mobieltje, en zou bij een verplichting tot SMS-verificatie dus geen gebruik meer kunnen maken van zijn DigiD login.
Ja maar je oma wil ook de belastingen kunnen doen. ;)
Als ik ergens in wil loggen met DigiD en ik kies de optie zonder SMS, krijg ik de melding dat ik wel een SMS code moet invullen.

Aha, de instanties kunnen dat zelf verplicht stellen.
je kan ook zelf nog instellen dat het via sms moet. ongeacht welke optie je selecteert.
Nog beter, blijkt dat ik dat al had ingesteld. :)
DUO daar in tegen verplicht SMS 2 traps autorisatie wel, die blijkbaar is het een kleine moeite om het op alle overheidssites te verplichten.
Je kan in je DigiD account instellen dat jij altijd een SMS ontvangt. Ook al geef je bij het inloggen aan dat je alleen gebruikersnaam en wachtwoord wilt gebruiken om in te loggen. Even inloggen op je DigiD site en dan kun je dat zo instellen.
Precies dit, het mogen kiezen voegt toch helemaal NIETS toe aan de veiligheid. Als je nu initieel zou moeten kiezen en daarna enkel deze optie kunt gebruiken kon ik het nog begrijpen.
Sorry, maar mensen die op https://www.digi-d.nl/ gaan registreren om een DigiD aan te maken om op overheidsinstellingen te gaan inloggen, zijn blijkbaar echt niet in staat om overheidszaken via internet te regelen. Je leest dan dus écht niet op wat voor site je bent...
Het is misschien goed te bedenken dat onze samenleving inderdaad veel mensen kent die praktisch analfabeet zijn, verstandelijk beperkt, oud en niet meer in staat dergelijke dingen te leren etc.

De overheid is geen 'test' om alleen burgers die aan het ideaal voldoen geld en bescherming te bieden, juist de overheid zou die toegankelijkheid en veiligheid ook voor zwakke groepen veel beter moeten organiseren.

Veel mensen zijn niet in staat om hun zaken via internet te regelen. Ze hebben alleen soms verdomd weinig keuze aangezien de alternatieven steeds meer verdwijnen.
Zeker ook als je in het buitenland woont als NL'er.
Zo kan ik dus NIETS digitaal regelen zonder een DigiD account, en 3 maal raden waar ik moet zijn om een account aan te maken?
Juist, in NL. ;(
Er ligt een plan om een DigiD aan te kunnen vragen bij een ambassade of consulaat. Probleem is alleen dat je geen buitenlandse mobiele nummers kunt gebruiken. Zo ben je alsnog van bepaalde instanties digitaal afgesloten.

Sowieso als je in het buitenland woont, zit je tussen wal en schip. Je raakt een heleboel rechten kwijt maar ook plichten. Zelfs je Nederlanderschap is bizar genoeg niet tot in lengte van dagen gegarandeerd. Een paspoort alleen is daar schijnbaar namelijk niet per se afdoende bewijs van.

Voor mijn studieschuld mag ik bijv elk jaar verlaging van het maandbedrag aanvragen. In mijn 5,5 jaar buitenland heb ik bij DUO hemel en aarde moeten bewegen om dit voor elkaar te krijgen. Ze eisen namelijk een bewijs van inkomen en dat had ik simpelweg niet. Buiten de EU zijn dit soort zaken nu eenmaal heel anders geregeld dan hier. Net als een GBA: dat kennen veel Europese landen niet eens! Uiteindelijk is het gelukt, met veel pijn, stress en moeite. En alles met formulieren inderdaad. Maar wel telkens inscannen en mailen. Lekker veilig. ;) Maar het kwam tenminste aan!
Ik had het inderdaad ook over studieschuld. Het bedrag wat ik maandelijks aflos kan ik niet veranderen, want geen DigiD. Verhoging of verlaging.
Knap hoe je het toch gedaan hebt, maar ik heb zoiets van "ik laat het dan maar zo."

Wat betreft je betoog over Nederlanderschap; daar schok je me mee, en had ik geen idee van. En dat ga ik meteen uitzoeken. Ik kan me dat moeilijk voorstellen.
No way dat mijn paspoort niet genoeg is om (als ik het wil, in mijn geval na 13 jaar) weer terug naar NL te gaan.

Heb je je toendertijd wel uitgeschreven van de gemeente waar in woonde?
Voorzover ik weet kan je je bij terugkomst gewoon weer inschrijven bij elke gemeente welke je wilt.
Maar ik heb daar misschien verouderde kennis over.

Feit blijft: Dat je een DigiD niet in het buitenland kan aanvragen is dus misschien een "blessing in disguise" geweest. :)
Verlaging maandbedrag studieschuld was in voorgaande jaren gewoon een formulier dat je kon downloaden. Daar zat dan meteen een buitenland-formulier bij. Invullen, ondertekenen, bewijsmateriaal erbij, alles inscannen en emailen. Voorheen deden ze alleen maar aan post. Digitaal kon je niks regelen. Deze week heb ik het voor het eerst online volledig aangevraagd.

Wat je paspoort betreft. Officieel is dat bewijs dat je op de datum van afgifte de genoemde nationaliteit had. Alles wat daarna gebeurt, is een grijs gebied, juist als je bent uitgeschreven. Het ligt vast ook aan andere omstandigheden. Maar er zijn verhalen van Nederlanders die bijv de Indonesische nationaliteit hadden verkregen en ineens hun Nederlanderschap geschorst zagen. Eenzijdig opgezegd. Bam! Ik was ook uitgeschreven maar heb nooit problemen gehad.

Terugkeren naar NL is wel lastig. Ik heb geen recent arbeidsverleden dus een huurhuis kon ik op mijn buik schrijven. Ik heb noodgedwongen eerst bij een vriend ingewoond zodat ik mij tenminste kon inschrijven. Nu woon ik wonder boven wonder antikraak omdat zij alleen maar een recente loonstrook willen. Beetje kip en ei verhaal. Heel frustrerend. Weggaan is zo geregeld maar terugkeren heeft mij een jaar van mijn leven gekost. De maanden erna nog een paar jaar overigens. Ik blijf niet te lang in dit veel te gestreste, in zichzelf gekeerde landje. ;)

[Reactie gewijzigd door 2fish op 8 oktober 2015 21:33]

Tanx voor je reactie. Ga ik uitzoeken.
Wat betreft over NL: ik deel die gevoelens.
Yep, zwakbegaafd of minder (IQ =< 85), is zo'n kleine 16% van de bevolking.
Sorry, maar mensen die op https://www.digi-d.nl/ gaan registreren om een DigiD aan te maken om op overheidsinstellingen te gaan inloggen, zijn blijkbaar echt niet in staat om overheidszaken via internet te regelen.
Kan best wezen, maar de overheid is er ook voor die mensen. Dat is dan dus een reden om overheidsdienstverlening niet exclusief on-line te maken, of om het zo te maken dat ze het wel snappen. Je kunt ze in ieder geval niet domweg uitsluiten.
Aan de andere kant: stel dat ik een fysio-praktijk start en er de naam "belastingdienst" boven hang. Ik doe verder geen moeite om de belastingdienst na te doen qua huisstijl. Ik heb wat fitnessapparatuur staan, een wachtkamer met wat posters van het menselijk lichaam en alle gewrichten, spiergroepen, pezen, etc, een balie waar een meneer of mevrouw achter zit die de patiënten ontvangt, etcentra. Dan verwacht ik daar geen mensen die belastingaangifte komen doen en als ze al binnenstappen hebben ze in 1 klap door dat ze verkeerd zijn.

Waarom werkt dat soort common sense niet op internet? Doorgaans mogen mensen die het verschil tussen een fysiotherapeut en een belastingconsulent niet weten ook niet zelf aangifte doen cq. geld beheren. Op internet is dat toch niet anders?
Waarom werkt dat soort common sense niet op internet?
Common sense werkt prima op het internet, veel mensen hebben het gewoon niet genoeg. Klinkt wellicht wat negatief, maar is wel gewoon waar. Kijk maar naar buiten, een weg oplopen zonder te kijken bijv. is van dezelfde categorie domheid als wat jij of ThePhoenix beschrijft.
Vergeet niet dat als de overheid het heeft over digid zij het zo plaatsen: Digi-D.
Ja... dan gaan mensen naar www.digi-d.nl en niet digid.nl
(niet te vergeten dat digi-d eerder bestaat dan digid)
Als je zelf digid.nl had bezocht zie je dat ze daar spreken over DigiD. Ze gebruiken dus helemaal geen koppelteken?
Vroeger in de eerdere brieven was er altijd een koppelteken, ook in de reclames en reclamefolders.
Ja vroeger, waar hebben we het dan nog over?
Eerdere brieven... oudere mensen bewaren die vaak en wat doen ze dan?
Juist ;-)
Punt is ook dat common sense heel erg context afhankelijk is. Voor mensen (zoals tweakers) die veel websites bekijken is het vaak snel duidelijk dat je op een nep-site zit. Echter, veel mensen zijn veel minder met ICT bezig, en voor hen zien dingen er al snel hetzelfde uit (het springt er niet uit dat iets, bv. een url, niet klopt).

Ondanks dat ik zelf het idee heb dat ik redelijk goed met ICT om kan gaan is het mij ook wel eens overkomen, bij het aanvragen van een ESTA voor de USA. Site zag er in eerste instantie legitiem uit (en 1e hit op Google), maar bleek toch 'n nepsite te zijn. Achteraf was dat duidelijk, maar op dat moment niet.

Common sense is niet een vaststaand iets, maar wordt sterk door omgeving, tijdstip etc. bepaald.
Omdat wat jij als vanzelfsprekend en als common sense beschouwd dit voor veel mensen niet het geval is. Jij bent een Tweaker, jij verkeert veel met computers en computerinterfaces, zonder dat je het doorhebt zoek je naar onderscheidende kenmerken in computerinterfaces. Dit doe je zo geroutineerd dat je niet eens meer door hebt dat je het doet. Het maakt dan wat minder uit of dit een willekeurig computerprogramma is met een batterij aan functies of een web portal.

Wat je dus als common sense kenschetst is lang niet zo common dan je denkt. Hierboven wordt gesproken over zwakbegaafden als zijnde de groep die buiten de boot vallen. Heel veel mensen die door hun beroep weinig met computers hebben uit te staan en computers ook niet als hobby hebben vallen ook binnen deze doelgroep. Hun hersens zijn niet voldoende geadapteerd aan het interpreteren van computerinterfaces, en ze zijn vaak al wat te oud om dit nog makkelijk te leren, zeker als ze er niet voldoende mee in aanraking komen. Deze groep is groter bij stijgende leeftijd. Onze overheid stapt hier met haar DigID wat gemakkelijk overheen.

Toevallig deze week nog met iemand besproken hoe complex onze Nederlandse samenleving is. Naast de overheid met haar digitale portals zijn we tegenwoordig onze eigen verzekeringsadviseur, moeten we in de gaten houden of onze tandarts geen dubbele agenda heeft, of we nog wel aansluiten op de vele actuele overheidsregelingen, of we niet teveel sparen, of een te hoge hypotheek hebben, of de thuiszorg organisatie er niet met mijn geld van doorgaat, of het ziekenhuis over de zelfde informatie beschikt als het verpleeghuis van het oude familielid.

Ook bij digitalisering moeten wij onszelf niet als maat nemen om de functionaliteit op toe te snijden. Deze week had ik de gedachte dat het voor een categorie mensen niet wenselijk is dat ze zelfstandig met instanties communiceren. Een dergelijke stelling komt misschien wat bevoogdend over, maar ik zie op dit moment best mensen buiten de boot vallen, omdat ze maatschappelijk minder weerbaar zijn. Een van de aspecten aan deze weerbaarheid is je weg vinden bij alle instanties en het in stand houden van de contractuele verplichtingen die nu eenmaal in deze samenleving horen. Op gemeenteniveau consultants aanstellen die deze groep ondersteunen bij hun interactie met allerlei instanties zou denk ik een hele goede investering zijn. Een laten het alsjeblieft ambtenaren zijn, de recente excessen met (private) financieel beheerders in het achterhoofd hebbend. Zo kan worden gezorgd dat deze groep burgers maatschappelijk weerbaar blijft en wordt voorkomen dat ze in problemen terecht komen die voor ons als samenleving veel duurder uitpakken.

Dergelijk preventief beleid kost dus wat geld, maar levert in potentie ook meer geld op omdat het aandeel functionerende en bijdragende burgers ermee stijgt. Ik erken wel dat het wat sturen aan de achterkant is. Ook aan de voorkant is veel te winnen. Maak die samenleving minder complex. Nederland is best wat doorgeschoten met haar regelingen en bijbehorende uitzonderingen. Bij het opstellen beleid meer het accent op kwaliteit dan op kwantiteit. Ook moet er meer continuïteit komen in beleid. Als ik bij mezelf na ga dat ik regelmatig als oppassende burger weer door een ander hoepeltje moet springen vergeleken bij enkele jaren terug, dan voel ik dit gedrag bijna als geconditioneerd.
Dat vraag ik me ook weleens af. Mensen bestellen vaak bij louche webwinkels terwijl ze dat op straat nooit zouden doen. Geen weldenkend mens zal een paar nepnikes voor 100 euro van een willekeurige voorbijganger kopen. Maar als het een willekeurig voorbijkomende website is wordt de credit card getrokken.
Waarom werkt dat soort common sense niet op internet?
Op de een of andere manier voelen mensen zich overweldigd. Er is te veel informatie die ze niet begrijpen om op te nemen. Bang van alle enge verhalen over internet maar weten niet wat ze er zelf aan moeten doen en worden daardoor onzeker. Op een gegeven moment bereiken ze een grens en knapt er iets, rustig lezen en logisch redeneren is dan niet meer mogelijk. Volgens mij raken ze in "vechten of vluchten" modus.

De ene groep verstijft, kan niet meer lezen of redeneren en is volledig geblokkeerd. Dat zijn de mensen die de helpdesk bellen terwijl er precies op hun scherm staat wat ze moeten doen.

De andere groep gaat juist vol in de aanval, klikt overal op, dubbelklikt overal op, vult in alle tekstveldjes al z'n wachtwoorden in, opent alle menuutjes, verandert alle instellingen en accepteert alle veranderingen. Dat zijn dan weer de mensen waarvan je denkt "Hoe heb je het voor elkaar gekregen? Ik zou het niet met opzet zo stuk kunnen maken. De stront druipt hier van de muren."
Wat mij nog meer verontrust is dat de overheid niet de verbasteringen van digid.nl heeft geregistreerd. Met zo'n cruciaal systeem lijkt het me juist de moeite waard om dit dicht te timmeren!

Edit: Als je eenmaal met de naam DigiD wil blijven kan het ook uit om een waarschijnlijk dure schikkingszaak te voeren met het brabantse bedrijf en anderen.

[Reactie gewijzigd door sheane op 8 oktober 2015 11:00]

digid.nl (de echte website), was in 2002 al geregistreerd, dus verbasteringen registreren op dat moment had het probleem kunnen voorkomen.
Das ook maar een druppel op de gloeiende plaat.
Je kunt niet verzinnen wat je allemaal aan domein namen kunt registeren.
maakdigi-id.nl
aanvragen-digi-id.nl

Noem maar wat dingen. Er zijn zoveel varianten te verzinnen.

Maar wat ik het meest kwalijken vindt is:
als je op die site komt is er geen enkele reden om aan te nemen dat dit een overheidsinstelling is en zeker niet dat er DigiID gebruikt word.

Geen icoon van rijksoverheid en staat ook niet aangegeven dat je je Digi-ID moet gebruiken.

Ik zie naast het feit dat mensen niet lezen en dus niet eens in staat zijn een legetieme site te onderscheiden voor de correct in te voeren gegevens, is er natuurlijk wel een gevaar waar ik zelf nog niet over na heb gedacht.

Wat doe je als je ergens probeert in te loggen en je vergeten bent wat je inlog en wachtwoord is?
Nu ben ik misschien een hele simpele ziel, maar laat ik uit gaan van het meest voor de hand liggende antwoord: uitproberen.
Maar niets garandeert dat elke combinatie die ik uitprobeer (zelfs als ik op een legitieme site zit) dat ze die gegevens niet verzamelen en gaan proberen te gebruiken op andere sites.

Nog erger dus. Wie maakt er nu echt 100 verschillende logins aan voor al die verschillende sites om dat weer te voorkomen?

Ik denk dat de ENIGE, maar dan ook echt de enige optie is. Dat zo iets als Digi ID of Open ID of desnoods Facebook login echt breed gaat worden gedragen en de enige defacto inlog methode moet zijn.

En dat die diensten zorg moeten dragen voor:
- Two factor authentication
- System security hardening
- Veilige opslag, transport en etc
- Een vorm van intrusion detection zoals bij Google en Steam. Dat als je ineens ergens anders inlogt dat je ook nog eerst die nog appart moet authenticeren.

Wat je dan wel weer hebt is dat die dienst vervolgens theoretisch kan weten waar jij allemaal logins voor hebt en op inlogt.
Wordt het kennelijk tijd om meer reclame te maken voor bijv. KeePassX, als het zo ongebruikelijk is om veel paswoorden te hebben.
In de hoop dat het op andere systemen ook zo prettig gaat werken als in linux, ;-)
Zie je dat echt als oplossing?
Voor elke verschillende toepassing een ander wachtwoord?

Case: Keepass corrupt, als je logins kwijt.
Voor letterlijk meer dan 100 verschillende sites met wisselende mate van affiniteit voor dit onderwerp proberen je account terug te krijgen?

Case: op locatie met je mobiel
Ik kan er wel bij, maar moet hem met de hand over typen. En ik gebruik lange wachtwoorden met veel tekens

Case: keepass file word gestolen
Je moet dus voor 100 sites je wachtwoorden gaan aanpassen en je kunt niet centraal al die wachtwoordn intrekken tot je daar mee klaar bent. Het word dus een kat en muis spel wie het eerst is met elke site van een nieuw wachtwoord voorzien.

Case: ik ben op locatie, maar heb niets bij me.
Ik moet nu, accuut inloggen op een website of SSH login om er iets op te zetten. Ik heb een PC, maar kan niet bij mijn keepass file.
Wat dan? Je gaat of consequent "veilige" unieke wachtwoord gebruiken, die ga je niet onthouden tenzij je een fotografisch geheugen hebt of ze allemaal verianten van elkaar maakt met een bepaalde logica erin. Wat op zijn beurt weer een mogelijkheid is tot brute forcen.

Kortom... Ik ben het niet (helemaal) met je eens. Keepass en andere password safes zijn prima middelen om het een en ander te verbeteren. Het is alleen niet een totaal oplossing voor het probleem dat ten grondslag ligt aan wat er hier allemaal mis kan gaan.

Het idee dat je identificeert of de persoon ook echt de persoon is die je eerder hebt toe gelaten tot je systeem is de basis van de opdracht. Maar das geen eenvoudige. Zelfs mensen of honden om maar een voorbeeld te noemen zijn niet 100% in staat deze opdracht volledig correct te vervullen.

En in de digitale tijd waar je veel meer mogelijkheden tot het vervormen van je communicatie hebt, waar ook nog legitieme ruis kan optreden en je de gebruiker ook niet teveel wilt lastig vallen... Word het gewoon steeds lastiger om aan al die eisen te blijven voldoen.

[Reactie gewijzigd door NEO256 op 23 oktober 2015 11:50]

Ik pleit al jaren voor een 'internetbewijs'. Laat eerst maar eens aan het Ministerie van Informatisering (Waarom bestaat dat in godsnaam nog niet?) zien dat je daadwerkelijk capabel genoeg bent om je op het Internet te begeven.
Als ik kijk wat voor tests vanuit de overheid in het verleden gehouden zijn om mensen te testen op hun capaciteit en kundigheid met een pc of op het internet, dan heb ik daar ook totaal geen vertrouwen in. Iedereen kan zich nog wel herinnen dat dit soort tests voornamelijk een 'open geen bijlagen in je email' karakter hebben en de echt vernuftige valkuilen worden compleet gemist. En als je het wel redelijk waterdicht wil doen dan krijg je dus dat de helft of meer van het land feitelijk niet slaagt, wat ook niet echt goed is voor de kennisstaat.

Hoe weet je of je op de site zit waar je wil zijn? In het artikel wordt een mooi voorbeeld genoemd, maar voor hetzelfde geld zit je op een phishing site die (bijna) niet van echt te onderscheiden is. Hoe moeten dit soort mensen zich in godsnaam wapenen tegen kwade wil? Daar gaat een test of bewijs echt niet tegen helpen, daar is een combinate van kritisch nadenken, goed kijken, een berg ervaring en een berg kennis voor nodig. Realiseer je dat een groot deel van de bevolking al bij vereiste 1 door de mand valt.

Overigens, ben ik de enige die dit las:
beheerder Logius trof dan ook duizenden wachtwoorden van DigiD-gebruikers aan in de logbestanden van het bedrijf
en zich afvroeg waarom er wachtwoorden (ik neem aan plaintext) in logfiles worden weggeschreven?
via security.nl deed ik een phishing test... dat waren 15 vragen... van de 15 vragen zag ik dat er 13 een phishing site was.. en dat terwijl ik keek naar de belangrijkste punten zoals url en spelling... toch zou ik een aantal keren gepakt zijn geweest.
Dat viel mij dus ook op. Lijkt me een absolute no no!
En wat doen we met de helft van de bevolking die dan zakt? Geen internet meer? Lekker dan.
Zoiets was er al, het ECDL, European Computer Driving License.

Ik ben zelfs wel eens gevraagd of ik dat had, bij een sollicitatie. Daar moest ik wel even mijn wenkbrauwen bij optrekken als informaticus natuurlijk want het stelt niks voor. Als dat de maatstaf is voor ICT'ers bij zo'n bedrijf dan wil ik er niet werken want dan kan ik iedereen zijn werk gaan lopen doen :)
Wie moet daar controle op houden zodat er geen fraude plaats vind?
Wie gaat dat betalen?
Wat gebeurd er als je zakt en je wilt solliciteren?
Probeer maar eens een baantje te krijgen en je hebt niet eens een e-mail adres... wens je veel succes.
Beetje hetzelfde als een bewijs voordat je kinderen mag verwekken en opvoeden: zeer gewenst maar in de praktijk niet te handhaven tenzij je maatregelen wilt nemen die fors tegen de mensenrechten in gaan.
Mee eens.

Ik heb geen behoefte aan een sms functie, vaak zit ik achter mijn computer zonder telefoon. Ik ben wel in staat zowel gebruikersnaam als wachtwoord geheim te houden.
Nog nooit van keyloggers etc gehoord...

Two factor authentication is voor belangrijke zaken gewoon een must.
Er zijn inderdaad geen keyloggers op de mobiele OS'en. :P

Zo vertrouw ik al die third-party fancy keyboard apps totaal niet.
Hell, eigenlijk de standaard meegeleverde keyboard app op mijn phone ook niet. ;(
Maar wel die van je PC? Wat is het verschil?
Er is geen verschil, maar A-jay gebruikt dat (nietbestaande) verschil wel als een argument. Daar reageerde ik op.
Ik zie geen edit en geen genoemd verschil. Verkeerde reactie?
DieterKoblenz :
Ik heb geen behoefte aan een sms functie, vaak zit ik achter mijn computer zonder telefoon.

A-Jay :
Nog nooit van keyloggers etc gehoord...Two factor authentication is voor belangrijke zaken gewoon een must.

HMC:
Er zijn inderdaad geen keyloggers op de mobiele OS'en. :P

GJvdZ:
Maar wel die van je PC? Wat is het verschil?


Zucht-edit: Er zijn keyloggers op alle platformen.

[Reactie gewijzigd door HMC op 8 oktober 2015 16:58]

still, you've lost me.
A-Jay insinueert dat DieterKoblenz's logica niet zo slim is, want PC's hebben vaak last van keyologgers. Daarop antwoord ik dat onze smart phones volgens mij ook niet helemaal veilig zijn, tav de mogelijkheid dat er key loggers kunnen zijn.
Daarmee is A-jay's comment gerelativeerd. Dat is alles wat ik wilde doen. Maar die staat wel op +2, terwijl het verder niet informatief is.
Nog nooit van keyloggers etc gehoord...

Two factor authentication is voor belangrijke zaken gewoon een must.
Vaak genoeg van gehoord, vaak genoeg moeten verwijderen bij kennissen, etc.

Two factor authentication is in een aantal gevallen geschikt, persoonlijk heb ik géén behoefte aan sms. Ik gebruik een yubikey voor mijn password manager.
Daar gaat het dus niet om. Mensen zullen altijd fouten maken, ongeacht hun intellect. Het is dus zaak dat een service, als die door de overheid wordt gefaciliteerd, zo goed mogelijk werkt voor alle lagen in de bevolking.

Je kunt wel roepen dat mensen niet in staat zijn om iets te kunnen, maar dat gaat altijd zo blijven in alle sectoren. Blijkbaar is het systeem wat is opgezet niet goed genoeg om dit op te vangen, dat is een probleem.
Klopt, maar die mensen die daar toch terecht komen zijn over het algemeen niet de standaard PC gebruiker, het is tegenwoordig niet meer zo makkelijk om zonder DigiD te werken, bij het UWV kan het volgens mij niet eens meer zonder. Er zijn zelfs mensen die niet eens kunnen SMS'en.

Ik snap dan ook niet dat ze de gewone papieren afwikkeling zo moeilijk moeten maken.
Ik snap, eerlijk gezegd, niet, waarom ze dat domeinnaam mogen gebruiken.
Het is een vrij standaard marketing actie.. ocht.. "we weten eigenlijk niet echt iets.. meh dan gebruiken we maar iets van een ander." Chiphol doet me er ook aan denken, maar dat was weer iets anders.

Ik zou zelf.. als Nederlands burger.. verwachten dat de overheid dubieuze zaken als digi-d.nl aanpakt.
Dus het lijkt me absoluut niet vreemd, dat mensen daar gaan proberen in te loggen. (heb niet gekeken naar de website)

Kinderlijke marketing mag best aangepakt worden.. we hebben momenteel al minder maandverband reclames.. nu nog even de simpele naam diefjes aanpakken. (of de eigenaar van dat bedrijf moet Dig Issaac Dirksen heten ofzo en marketeers/sales lui zijn in staat hun naam te wijzigingen daarvoor.. lees Dotcom.)
Wat een onzinverhaal, digi-d.nl is sinds februari 2003 geregistreerd terwijl de naamvoering van DigiD pas in oktober 2004 inging. Check je feiten eens voordat je post.
Ik heb het inderdaad niet onderzocht, maar vooralsnog hadden ze wel even de gelijknamige kunnen controleren/afsluiten.
Als er maar een jaartje tussen zit, is de kans ook groot dat het nog steeds om een simpele marketing actie gaat.

Meeste overheidsplannen zijn vrij ver van te voren bekend, als je weet waar je moet kijken.
De kans is alom nog aanwezig
Jaartje? Dik anderhalf zul je bedoelen. De kans is inderdaad aanwezig, maar bestaat alleen uit pure speculatie zonder ook maar een enkele aanleiding tot.

Wat beter zou zijn geweest is dat de overheid het domein destijds al had afgekocht, zoals ook met de euro en euro.nl is gebeurd.
Jah.. mijn eerste punt vervalt (waarschijnlijk).. ik had de aanname echter gemaakt, omdat ik niet zo snel zie, waarom ze uit zichzelf digi-d.nl hadden genomen.
Toegegeven.. DigiD wegdenkend.. is het wel een leuke naam.

Ik vind het echter bezwaarlijk, dat de overheid niet pro-actief is hierin, want je wilt hiermee gewoon onduidelijkheid voorkomen.
Geen idee of banken dit bijvoorbeeld wel doen.. in-g.nl enzo?
Het probleem is dat bedrijven (zeker als deze sales/marketing gefocust zijn).. woekerprijzen gaan rekenen, als ze weten dat hun naampie gewild is.
Maar het is tegelijkertijd niet eerlijk om de domeinnamen op te gaan eisen, als deze al eerder bestonden.

Misschien zou je ze op zijn minst kunnen verplichten een melding te plaatsen "Ben je op zoek naar DigiD van de overheid, ga dan hierheen!".
Dit zie je vaker bij sites, die hun naam gedeeltelijk delen met een andere. (zonder dat dit verplicht gesteld is).
Gezien de cookiebar kennelijk er doorheen komt.. zou dit ook moeten kunnen.
Digi-d heeft zelfs via rechtszaken gewonnen dat digid.nl feitelijk te laat is gestart.
De overheid wilde die site sluiten, maar rechters zeiden keer op keer en terecht nee.
Had de Staat maar eerder moeten beginnen en geen reclames moeten maken met de term digi-d als logo.
Ik ging wat te kort door de bocht.. (geen grote fan van de meeste marketing buro's) :p

Mja.. hoe lullig het klinkt.. hadden ze gewoon een andere naam moeten verzinnen i.p.v. DigiD, of van te voren goede afspraken moeten maken.

Ik vraag me af, hoe de overheid geprobeerd heeft digi-d.nl te sluiten.
Is dit een beetje normaal gegaan? (oftewel met een normale vergoeding er tegenover)

Men vraagt vaak veels te veel voor een domeinnaam, maar een overheid, die -tig zaken aanspant en verliest.. zal duurder zijn.
Nee, zover bekend alleen via rechtszaken... maar dat blijft de Staat verliezen omdat digi-d.nl eenmaal eerder actief was.
Dat is kapitalisme wat de overheid graag zo ziet in de samenleving, moeten ze niet janken als het ook tegen ze werkt.
Wat beter zou zijn geweest is dat de overheid het domein destijds al had afgekocht, zoals ook met de euro en euro.nl is gebeurd.
Dat is praktisch onmogelijk.

Er zijn zoveel varianten op namen van sites te verzinnen dat er altijd wel eentje door slipt.

En dan hebben we het nog niet eens over domeinen die reeds (lang geleden) zijn aangekocht door andere partijen. Zéker als die betreffende partijen niet willen verkopen is dat moeilijk en/of een dure business.
Bovendien werkt een verplichting dergelijke domeinnamen op te kopen ook speculatie in de hand.

Daar wordt je als belastingbetaler al helemaal niet blij van.
Het is waar dat digid.nl al in 2002 geregistreerd was, dus dat de naam al ergens bekend moet zijn geweest in 2003. Echter dat het om een marketingtruc gaat lijkt mij onwaarschijnlijk. Dat je een digitaal ontwerpbureau digi-d noemt, is verre van onbegrijpelijk en dat je niet bepaald bezig bent met een uitrol van DigiD, die nog moet komen, is ook verre van onbegrijpelijk.

Het lijkt me een hele slechte marketingtruc om mensen die op een overheidssite in willen loggen, naar jouw digitaal ontwerpbureau te sturen.

(Wat voor mij onbegrijpelijk is, is dat mensen hier hun gegevens van DigiD hebben ingevuld, die moeten behoorlijk hersendood zijn geweest. Echt waar, duizenden???)

De overheid had in 2002 ook digi-d.nl en andere vergelijkbare domeinnamen moeten claimen, want voor hetzelfde geld hadden kwaadwillenden digi-d.nl geclaimd om zo mensen hun wachtwoord afhandig te maken.
Nou.. het probleem is..
Zelfs dit soort slechte marketingtrucs werken zeer zeker.
Als je aandacht weet te krijgen door simpelweg irritant te doen (niet gerelateerd verder aan dit bedrijf), dan kan je er meestal veel beter uitkomen.
Meeste reclameburo's staan op de tafels te dansen, als ze de Loden Loekie (ofzo?) krijgen voor meest irritante reclame.

Ik ben opgegroeid met computers.. Ik tekende ruimtescheepjes op papier, maar tegelijkertijd zat ik ASCII animaties te 'programmeren' in een Basic taal. (ben 33 trouwens nu)
Bepaalde mensen, waarvan er zeker een hoop zijn, zijn zo compleet onbekend met het digitale tijdperk.. dat ze het echt niet zullen zien.
Het is nog steeds wat stom, omdat de website wel overduidelijk niet-overheid is.. maar ja.
(tijdens helpdesk bij een bedrijf was mijn eerste vraag altijd "zit de stekker erin" en die vraag was ook echt nodig)

Mijn opmerking wegens de naam is ook niet echt gegrond, want ik vind digi-d zelf ook een leuke naam.
Had zelf (nog steeds eigenlijk) Digital Habits als bedrijfsnaam.. en die lijkt er ook wel een beetje op.
Ja want DigiD was er eerder dan Digi-D... Gewoon onzin wat je niet zegt natuurlijk.
Het mooiste van Digid... de wachtwoord vergeten functie... eenmaal op de laatste knop geduwd krijg je een bericht, uw nieuwe wachtwoord wordt per post opgestuurd... |:(
Je krijgt je wachtwoord niet thuisgestuurd. Je moet online al een nieuw wachtwoord kiezen, en die kan je vervolgens activeren met de code die je thuis krijgt gestuurd.
Vervelend, ben ik met je eens maar wel veilig.
Veilig ? er staat nog net niet met grote letters op de brief dat me wachtwoord van Digid in de brief zit. Er is een rede dat banken zijn gestopt met pinpas & pincode op te sturen.

Nu krijg je je pinpas thuis en je pincode moet je bij de meeste banken ophalen op kantoor.
In die brief staat een code en daarna moet je nog de sms code invullen voordat je een nieuw wachtwoord kan invoeren. En de brief wordt in Groningen per koerier bezorgt welke jou identiteitsbewijs controleert.
die brief wordt absoluut niet via koerier bezorgt. Dat is een envelop met groot digid erop.

Heb dat sms gebeuren namelijk al 5x aangezet omdat ik steeds niet binnen het termijn activeer :)

En brieven zijn weer uit een brievenbus te hengelen.

Waarom je SMS moet activeren met een code per brief is me een raadsel. Het is net zo veilig om een code naar die mobiel te sturen of per email te versturen. In alle gevallen is die te onderscheppen.
In Groningen en Amsterdam Zuidoost wordt het per koerier bezorgt om een einde te maken aan grootschalige fraude door het uit de brievenbus vissen van enveloppen. https://www.rijksoverheid...sicogebieden-thuisbezorgd
nooit geweten dat groningen zo'n criminele stad is :)
dit zouden ze gewoon in het hele land moeten doen. Dat brievenbus hengelen komt volgens mij overal voor.
Hier staan een boel onzin posts bij elkaar. Zoals eerder gemeld krijg je helemaal geen wachtwoord per brief thuis. Wel een activatiecode. Je wachtwoord vul je zelf online al in.

De brief krijg je per gewone post thuis en daar staat geen overheidslogo op. Slechts de melding "vertrouwelijk" op een verder neutrale, witte envelop.

De overheid is niet achterlijk.
Maar dat is ook nadat er bleek dat tientallen inlogcodes zijn ontvreemd en daarmee uitkeringen zijn aangevraagd die naar de rekening van (de katvangers van) de dief gingen.
SMS code? Mijn mobiel nummer hebben ze niet....
dan moet je wel een mobiel hebben. krijg je die gratis van de regering? en wat als je met z'n tweeën samen met één mobiel doet? of je je nummmer om een of andere reden - bv stalking - moet veranderen?
nee het wordt hard tijd dat digid ten grave wordt gedragen en bijgezet in de crypte van overheids IT fiasco's
dan moet je wel een mobiel hebben. krijg je die gratis van de regering?
Om het over een computer nog maar niet te hebben... :X

Wat stel jij dan voor, ophalen bij het gemeentehuis? Maar de overheid heeft naaktlopen verboden, dus dan krijgen we ook gratis kleren!?

Het is niet mogelijk om een systeem te hebben dat 100% veilig is; er zal altijd ergens een onvolkomenheid inzitten. Het is niet mogelijk om een systeem te hebben dat voor 100% van de bevolking te gebruiken is (denk aan digibeten, analfabeten, zwervers (hoe ga je iemand zonder adres post sturen?), mensen die doof én blind zijn, etc. etc.). En dan wil jij naast 100% veilig en 100% bruikbaar ook nog eens dat er geen kosten aan verbonden zijn...!? (Overigens, zelfs als je iedereen een gratis mobieltje geeft, dan zijn er weer andere mensen die gaan klagen dat het van hun belastinggeld wordt betaald, dus dan is het nog steeds niet goed.)

Klagen dat iets niet goed is is makkelijk; veel interessanter: doe eens een tegenvoorstel, hoe zou het volgens jou dan wel moeten werken?
Wat stel jij dan voor, ophalen bij het gemeentehuis?
nou, bv zoals in belgie of estland, waar je je identiteitskaart kunt gebruiken om je ook op het web te identificeren. samen met je wachtwoord heb je dan een voldoende sterke manier en is een sms oid niet meer nodig. de benodigde reader is in die aantallen spotgoedkoop, werd in duitsland zelfs kado gegeven bij een computertijdschrift.
en als het in belgie en estland al jaren kan, kan niemand me uitleggen waarom een stel betweters in nederland in hun oneindige wijsheid een aggenebbisch systeem als digid er door konden drukken .....

[Reactie gewijzigd door PetervdM op 9 oktober 2015 14:36]

Nee, maar als aanvaller moet je dan wel de mogelijkheid hebben om post te onderscheppen, iets wat bij het overgrote meerendeel van de digitale aanvallen niet het geval zal zijn. Met die redenatie is twee staps authenticatie ook niet veilig, omdat een aanvaller ook de telefoon van het slachtoffer kan bemachtigen.
Maar dan hebben ze je DigiD gebruikersnaam toch nog niet?

Een keylogger op je PC werkt sneller om gebruikersnaam/wachtwoord van iemand te onderscheppen.
Ik kreeg eerst de pinpas en dan pas de pincode in de bus :P
Veilig ? er staat nog net niet met grote letters op de brief dat me wachtwoord van Digid in de brief zit. Er is een rede dat banken zijn gestopt met pinpas & pincode op te sturen.

Nu krijg je je pinpas thuis en je pincode moet je bij de meeste banken ophalen op kantoor.
Huh?
Als ik een nieuwe pas krijg van DE Bank, dan kan ik mijn oude pincode blijven gebruiken.
En bij een nieuwe rekening met pasje mag je op kantoor zelf de pincode verzinnen.
Totdat je geen brief op de post krijgt en je weer 5 werkdagen verder bent (want zolang kon het duren). Zelf meegemaakt bij de CZ. Het is een schijnconstructie betreffende veiligheid die voornamelijk irritatie en vertraging oplevert.
Met briefgeheim en de toelichting van anderen lijkt me dit analoog alternatief wel veiliger als een SMS. Dus die schijn is er voor mij niet. Het ongemak deel ik wel maar ik weet zelf niet een betere oplossing zeker waar zoveel veiligheid nodig is. SMS lijkt me hier inderdaad niet voldoende. Een ander alternatief zou zijn dat je de code ophaalt bij de gemeente maar dat lijkt me net zo irritant.
Mooie is ook dat het zo'n onmogelijk wachtwoord moet zijn met hoofdletter, nummers, speciale tekens en 12 karakters, dan de helft van de (oudere) mensen het op papiertje schrijft die naast het scherm blijft liggen..
Op zich geen probleem. Zo lang je maar niet vernoemd wat je gebruikersnaam is, waarvoor het is en bij voorkeur "gecodeerd" op schrijft. Bijvoorbeeld beginnen vanaf het vierde teken en de eerste drie tekens als laatste opschrijven. Of je voegt je iets toe op het papiertje terwijl die helemaal niet in je wachtwoord zit.
De meeste mensen die het nodig vinden om hun persoonlijke wachtwoorden op papier te schrijven zullen ook net zoveel moeite hebben met het onthouden van coderingen etc. Daarnaast zijn gebruikersnamen vaak makkelijker te bemachtigen of te raden dan het wachtwoord zelf. Onder aan de streep is het een schijnbeveiliging die je iedereen moet afraden ipv aanraden ;)
En daarom vind ik handmatig codes invoeren en onthouden niet meer van deze tijd.

Een token met een vingerafdrukscanner of een soort Rabo scanner. Hoef je geen codes te onthouden (hooguit je pincode) maar geen moeilijke cryptische wachtwoorden.
vingerafdrukken kan je zo namaken... daar hoef je geen specialist voor te zijn.
Het gaat er niet om of je de gebruikersnaam kan achterhalen, maar dat je niet weet waar dat wachtwoord voor is. Ideaal is als het wachtwoord op zich niet als een wachtwoord te herkennen is.

Voordeel van de genoemde voorbeelden van codering is dat je alleen dat hoeft te onthouden en niet afhankelijk ben van technologie. Dus je hoeft niet met software te werken en hoeft ook niet 10-50 verschillende wachtwoorden te onthouden. Ideaal voor een leek die eigenlijk "niks te verbergen" heeft.

[Reactie gewijzigd door Deveon op 8 oktober 2015 12:16]

Dat schiet op - het gros van de bevolking gebruikt een DigiD exact één keer per jaar - om de belastingaangifte mee te ondertekenen. Tegen de tijd dat je hem dan weer eens nodig hebt ben je al die kunstgrepen allang weer vergeten...
Inderdaad! Ik heb het dan ook gewoon opgeschreven. Ik wordt gek van al die wachtwoorden.
In alle eerlijkheid: een schriftje is best een veilige manier van wachtwoordopslag - je moet immers fysieke toegang hebben tot het huis om dat te gebruiken. Zolang mensen op zichzelf wonen en er niet veel onbetrouwbare verzorgers over de vloer komen lijkt het me redelijk veilig.
Ja dat is ook bijzonder achterhaald zo'n onzinnig wachtwoord, juist vanwege het effect dat jij beschrijft. Het is allang duidelijk dat twee simpele woorden combineren die niets met elkaar te maken hebben een veel sterker wachtwoord vormen. Ik bedenk zo bijvoorbeeld "bevlogenniersteen" of "gebakkenpelikaan". Dat is makkelijk te onthouden. Daarom schrijf je het niet op en is er geen mens die het ooit zal kunnen raden.
als je 2-traps hebt geactiveerd kan je instellen dat je het ook via e-mail kan ontvangen(na 2-traps verificatie).

Overigens is het ook via digid in te stellen dat altijd een 2-traps verificatie plaats moet vinden. Heb ik ook gedaan voor de extra veiligheid.
De vraag is alleen hoe ze dat willen gaan afdwingen. Wat als je geen mobiele telefoon hebt, kun je dan ineens geen digitale aangifte meer doen?
* himlims_ mompelt iets over wachtwoorden per post
Ik heb wel eens gesproken met een partij die DigiD niet wilde gebruiken om in te loggen op een overheidssysteem. Het grootste bezwaar daarbij was niet zozeer dat wachtwoorden per post worden verstuurd maar dat de DigiD gegevens opgestuurd worden zonder dat er identificatie nodig is.

Hun idee was om bij de DigiD gegevens niet langer per post te versturen maar op te halen bij het postkantoor. Voordat je de gegevens krijgt moet je je dan eerst legitimeren. Dat zou al een hele verbetering zijn, je voorkomt dan wachtwoorden per brievenbus post en je kunt gelijk verifieren of iemand wel de "eigenaar" is van deze login gegevens.

Probleem blijft denk ik dat veel mensen geen DigiD willen of kunnen gebruiken, denk aan ouderen of gehandicapten die wel belastingaangfite moeten doen maar dit zelf niet kunnen. Het zal dus nooit helemaal veilig worden omdat je met machtigingen moet blijven werken.
bij het postkantoor
Vertel eens, wat is dat een postkantoor? Gemeentehuis (=overheid) lijkt mij in dit verband overigens logischer.

Bij de eHerkenning variant is de beveiliging/verificatie voor hogere niveau's wel wat strikter, daar wordt fysiek de identiteit van mensen gecheckt.
[...]

Vertel eens, wat is dat een postkantoor? Gemeentehuis (=overheid) lijkt mij in dit verband overigens logischer.
En ook zo lekker handig te combineren met kantoortijden. |:(

Voor bereik/bruikbaarheid is een postbalie in een lokale supermarkt die tot 20:00 of 21:00 open is veel handiger. Ja, dat is mogelijk minder veilig, maar het systeem moet ook bruikbaar blijven voor de werkende bevolking.

[Reactie gewijzigd door The Zep Man op 8 oktober 2015 11:56]

Ja, dat is mogelijk minder veilig, maar het systeem moet ook bruikbaar blijven voor de werkende bevolking.
Ik weet niet hoe het elders is geregeld maar in de gemeentes waar ik heb gewoond was er minimaal een avondopenstelling die gelijk is aan de openingstijden die jij noemt van supermarkten.

Postkantoren bestaan niet, het zijn servicebalies in supermarkten bemand door supermarktpersoneel. Als je echt veiligheid in het vaandel hebt is dat verre van een ideale oplossing.
Het stadskantoor hier heeft gewoon een avond-opening, op koopavond, en dat zal vast voor meer gemeenten gelden. Identificatie in handen van derden geven lijkt me juist niet gewenst. Daarnaast heeft de overheid het verplicht aan werkgevers om hun werknemers een aantal verlofdagen per maand te geven, dus er is altijd een mouw aan te passen.
Postkantoren zijn tegenwoordig instore. Onder aan de streep maakt het niets uit, je krijgt dezelfde service en mogelijkheden.

Overigens zou ik liever zien dat het via een postkantoor gaat dan via de gemeente. De meeste gemeente hanteren onmogelijke tijden voor de servicebalie (bijvoorbeeld alleen maandagochtend tussen 7 en 9 uur) etc. Een postkantoor heeft vaak schappelijkere tijden waardoor de overlast direct stukken lager is.
Dan zou ik het niet eens meer ophalen. Bij gemeentehuis zou je gewoon kunnen identificeren en gelijk een wachtwoord kunnen krijgen. Hoef je ook geen 5 dagen te wachten.

Volgens probleem is dan wel dat gemeentehuizen vaak alleen nog op afspraak te bezoeken zijn en geen vrije inloop meer kennen.
Die mensen zal je altijd houden. Net zoals je nu nog analfabeten hebt. Toch gaat 99% van de communicatie van en naar de overheid schriftelijk. Niet willen gebruiken vindt ik geen geldig excuus. Ik wil geen belasting betalen, daar trekt de overheid zich ook niets van aan.
en het niet kúnnen gebruiken dan?

Je hebt de plicht om aangifte te doen, maar dan moet de overheid ook de papieren aangifte wel mogelijk houden.

Bovendien, zolang de fiscus zelf nog papieren formulieren blijft toezenden of verplichten, en voornamelijk nog op papier communiceerd, kun je niet van de burger verlangen dat deze ineens alles digitaal gaat doen.
Niet willen gebruiken is geen excuus? Dat is wel een beetje kort door de bocht. En helemaal als je dit soort berichten voorbij ziet komen. DidiD is gewoon een zeer slecht beveiligd product dus het lijkt mij niet meer dan logisch dat mensen het niet willen gebruiken.
Ik heb wel eens gesproken met een partij die DigiD niet wilde gebruiken om in te loggen op een overheidssysteem. Het grootste bezwaar daarbij was niet zozeer dat wachtwoorden per post worden verstuurd maar dat de DigiD gegevens opgestuurd worden zonder dat er identificatie nodig is.

Hun idee was om bij de DigiD gegevens niet langer per post te versturen maar op te halen bij het postkantoor. Voordat je de gegevens krijgt moet je je dan eerst legitimeren. Dat zou al een hele verbetering zijn, je voorkomt dan wachtwoorden per brievenbus post en je kunt gelijk verifieren of iemand wel de "eigenaar" is van deze login gegevens.

Probleem blijft denk ik dat veel mensen geen DigiD willen of kunnen gebruiken, denk aan ouderen of gehandicapten die wel belastingaangfite moeten doen maar dit zelf niet kunnen. Het zal dus nooit helemaal veilig worden omdat je met machtigingen moet blijven werken.
Je slaat volgens mij de spijker op zijn kop! Vermoedelijk wordt de meeste fraude gedaan met DigiD's die al direct niet in handen komen van de aanvrager die niet de persoon is die hij zegt dat hij is (het is voor bv echtgenote, kind, vriend(in) of bejaarde).
Die aanvrager, die dan optreedt als (soms zelfbenoemde) zaakwaarnemer, geeft dan ook maar het telefoonnummer op wat hem goed uit komt.
SMSverificatie bij bv zorgverzekeraars is dan nutteloos.

Fraude door het stiekum afhandig maken van digiD (mits die zeker-weten aan de unieke SoFinr-persoon is verstrekt) door bv hacken lijkt me zéér zeldzaam.
In risico wijken word het bezorgd per koerier en niet via de normale post.
Dan is het nog steeds onbetrouwbaar.
Tuurlijk is het niet de meest veilige manier van wachtwoord verspreiding, maar had je iets anders verwacht van de overheid en hun ICT reputatie?
Een SMS verplichten is toch niet zo'n groot issue?

Of is het probleem dan dat mensen veel van mobielnummer veranderen en daardoor geen toegang meer hebben tot DigiD, of zo?
Mijn moeder heeft helemaal geen mobiele telefoon, dus geen 06 nummer. En gesproken SMS berichten via vaste telefoon zijn dramatisch om te beluisteren..

DigiD wordt door ontzettend veel overheidsdiensten gebruikt en vooral de oudere generatie heeft niet altijd een mobiele telefoon. Voor de stufi is het geen probleem omdat je heel erg goed moet gaan zoeken om een student/leerling te vinden welke geen mobiele telefoon heeft..

Echter als bij de DigiD jouw 06nummer bekend is, zou een sms verificatie nummer verplicht moeten zijn. Mocht je ooit van nummer veranderen, dan zou je eenzelfde procedure kunnen doorlopen zoals de 'wachtwoord vergeten' procedure. De brief welke je dan ontvangt bevat dan een speciale autorisatie code welke samen met je bestaande username/password eenmalig toegang geeft tot je gegevens en waar je dan je 06nummer kunt wijzigen. Uiteraard dient DigiD dan zowel naar de oude als het nieuwe nummer een bericht te sturen. Zou dan bijvoorbeeld binnen 72 dagen een persoon de autorisatie code van het oude nummer gebruiken, dan zou het account direct disabled moeten worden en de persoon per post een brief moeten ontvangen dat hij/zij naar het gemeentehuis moet (met legitimatie) om het account weer te activeren en ter controle van het 06 nummer..
Een simpele Nokia plus prepaid hoeft je maar een paar euro per jaar te kosten... Al gebruik je hem enkel en alleen voor de sms verificatie dan is het al dubbel en dwars waard.
Naar mijn mening is de sms ook niet helemaal veilig. Stel dat ze je op kpn.nl bijvoorbeeld hacken kunnen ze je sms'jes lezen en inloggen. Mij lijkt een soort scanner net als je van de rabobank hebt veel veiligger, maar dan b.v. persoonsgebonen ipv met een pasje.
Lijkt me niet echt schaalbaar, loop je zometeen met 20 van die apparaatjes rond om maar overal in te kunnen loggen :)

Ik zou persoonlijk Google Authenticator een mooie optie vinden, software token gewoon op je smartphone. Werkt al met aardig wat diensten...
Google Authenticator is nog wel gevoelig voor phishing. En je hoeft niet 20 apparaatjes te hebben, een consortium van internetbedrijven heeft daar Universal Second Factor (U2F) bedacht. Je doet een PKI challenge/response met de website URL, o.a. Google, Dropbox en GitHub hebben het als optie toegevoegd en Microsoft werkt aan support in Windows 10/Edge. Zie https://www.youtube.com/watch?v=YSTsgldazSU voor een duidelijke presentatie.
Op digid kunnen ze wel al me gegevens zien en sommige ook wijzingen. Ik vind dat dit zelfs beter beveiligd moet zijn als mijn bankzaken. Zeker in de toekomst zullen overheidsdiensten als deze veel verder worden uitgebreid straks kan ik misschien wel allerlei naamsgeboden zaken regelen via digid of de opvolger. Dan mag ik toch wel verwachten dat dit zeer streng beveiligd is?
En dan hacken ze je computer en kunnen ze een man-in-the-middel attack uitvoeren. Uiteindelijk, als criminelen echt willen, komen ze toch wel binnen.

Sowieso blijft de mens de zwakste schakel.
Sinds wanneer kan je op kpn.nl je SMSjes lezen?
Voldoet Digid (Logius) eigenlijk wel aan de normen voor informatiebeveiliging (iso 27001,iso 27002) en worden ze daar jaarlijks op geaudit? Ik krijg zo het vermoeden van niet. En als ik dit verhaal zo lees lijkt de bevinding van het CBP erg op een toevalstreffer. Dat geeft te denken.
Ze laten hun leveranciers wel toetsen door de ADR en die audit is behoorlijk pittig.

Been there, done thast, got the project.
En waar baseer je dat vermoeden op?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True