Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 209 reacties

Het ministerie van Binnenlandse Zaken werkt aan een app die de codes kan genereren die nodig zijn om in te loggen bij DigiD met tweetrapsauthenticatie. Het systeem zou net zo veilig zijn als de huidige sms-codes. De app wordt verwacht in de tweede helft van 2016.

Julia Rademaker, woordvoerder van het ministerie van Binnenlandse Zaken, bevestigt tegenover Tweakers dat de app in ontwikkeling is. Ze verklaart dat er nog diverse opties worden overwogen, maar dat het in elk geval zal gaan om een app die codes genereert en die de huidige sms-controle kan vervangen. De controlemethode per sms is relatief kostbaar, aldus Rademaker.

De app zal daarmee ook een oplossing bieden voor gebruikers die hun telefoonnummer niet aan de overheid willen geven en om die reden momenteel geen tweetrapsauthenticatie gebruiken. Rademaker verwacht dat de app in de tweede helft van 2016 beschikbaar komt. Het is nog niet bekend voor welke platforms de app zal verschijnen.

Google en Microsoft bieden al apps voor tweetrapsauthenticatie bij hun diensten. Google Authenticator genereert een code, terwijl Microsoft-account een link toont waar gebruikers op moeten klikken.

Moderatie-faq Wijzig weergave

Reacties (209)

Waarom maakt DigiD geen gebruik van het Google Authenticator algoritme? Dat is een open algoritme dat iedereen kan implementeren en waar dus ook al meerdere apps voor bestaan.

Dat hoort relatief eenvoudig te implementeren te zijn aan de kant van de server, waarna gebruikers alvast kunnen kiezen voor een van de bestaande client-apps. Mensen die dat niet willen, wachten op de "officiele app".

Maar ik vrees dat er weer een of andere custom variant aan gaat komen die een poging gaat doen om het wiel opnieuw uit te vinden.
Google Authenticator is leuk, maar ik wil mijn identiteit niet te brabbel gooien en weggeven aan Google of andere derde partijen die daarmee niets te maken hebben. Aangezien dit best gevoelige data is, kan ik me voorstellen dat Google Authenticator juist niet gebruikt wordt.
Omdat het blijkbaar onduidelijk is hoe een tweetrapsauthenticatie app werkt hier een korte uitleg.

Stel, je hebt een website die met tweetrapsauthenticatie kan werken. Je bent daar ingelogd en je geeft aan dat je tweetrapsauthenticatie wilt gaan gebruiken. De website genereert dan een unieke code en koppelt deze aan jouw gebruikersaccount. Die code noem je een "secret key". Deze secret key zegt helemaal niets over jouw identiteit en ook niets over de telefoon die je gebruikt. Het is een volkomen willekeurige reeks van letters en cijfers.
De volgende stap is dat je een app nodig hebt die login codes gaat genereren (zoals Google Authenticator). Die app heeft diezelfde secret key nodig. De website toont een QR-code en deze scan je in met de app.
Vanaf dat moment zal de app iedere 30 seconden een login code voor je genereren op basis van die secret key. Als je wilt inloggen op de betreffende website dan doet die website precies hetzelfde. Hij genereert ook een code met diezelfde secret key. Als de code die jij afleest van je app en invoert op de website overeenkomt met de code die de website zelf gegenereerd heeft dan ben je ingelogd.

Hier zijn 2 dingen dus heel belangrijk.
1. De secret key is aan je account gekoppeld maar zegt helemaal niets over je identiteit. Mocht iemand die secret key bemachtigen dan kan hij daar helemaal niets mee, behalve zelf login codes genereren. Daar heeft hij niets aan omdat hij jouw gebruikersnaam en wachtwoord dan ook nodig heeft. Daarom heet het ook tweetrapsauthenticatie.
2. De app die je gebruikt heeft geen internet verbinding nodig en stuurt ook geen gegevens naar een website of server. Het enige wat die app doet is codes genereren aan de hand van jouw secret key en de klok op je telefoon.

Mocht je dus Google Authenticator willen gebruiken dan is dat volkomen veilig voor je identiteit en je overige persoonlijke gegevens. Google komt niet eens in de buurt van je data.
Niet alles wat afkomstig is van Google hoeft in de hemel geprezen te worden. Wij waarschuwen voor de man in de middle situaties. We weten allemaal dat Google zeer goed is in algoritmes. Wie zegt dat die secret keys niet in zeer complexe onherkenbare vooraf gegenereerde private keys zijn? Daar zul je nooit achter komen tenzij je als organisatie of geheime dienst over een kopie van de juiste algoritme codes beschikt. Voor nu is tweetrapsauthenticatie een andere dimensie van beveiliging waarborgen maar zal in de toekomst mogelijk ook achterhaald zijn om de bovenstaande redenen.
Je hoeft de app van Google niet te gebruiken. Er zijn talloze andere apps die hetzelfde protocol gebruiken. Je hoeft het niet eens op je telefoon te draaien, er zijn ook applicaties voor op je PC.
Inderdaad, ik gebruik Google met 2 stapt authenticatie. De app van Google gebruik ik niet. Het draait op mijn pebble watch.

De app is met meerdere platformen te gebruiken. Zoals apple, dropbox backblaze ë.a.

Hier een lijstje
https://twofactorauth.org/

[Reactie gewijzigd door DRaakje op 10 oktober 2015 08:39]

kleine toevoeging: Dat is ook hoe hardware security tokens funktioneren. Het verschil is dat er hier een app gebruikt wordt ipv. een secrity token.
Het is daardoor goedkoper maar ook onveiliger, software kan gekopieerd worden, een hardware token niet. In ieder geval niet zo makkelijk.
Ja en je hardware token kan gejat worden, die heb je immers altijd bij je. Dan heb je alleen nog de login gegevens nodig, klein detail.
De app van Google Authenticator is niet open source, je wil dus 2 factor authentication, omdat je extra zekerheid wilt, maar wie biedt jou de zekerheid, dat Google onderwijl niets met de info doet? :?

Overheidszaken hou je gewoon tussen jezelf en de overheid, daar wil ik never nooit een derde partij tussen hebben. Hoe mooi of leuk die TOTP / GA werkt. Aangezien Binnenlandse Zaken ook niet verteld hoe hun app eruit ziet (technisch gezien), vind ik vragen / verwachten dat Google Authenticator misschien een betere oplossing is ook een beetje voorbarig, omdat je gewoon niet weet hoe de app gaat werken.

[Reactie gewijzigd door CH40S op 9 oktober 2015 18:43]

Het algoritme is open source. Je kan zelf programma's schrijven die ook compatible zijn Google authenticator.
Zolang er niet eens bekend is hoe de DigiD app werkt, is het ook enkel gissen. Wie weet wordt het TOTP protocol ook wel gebruikt?
Ja precies. En dat alleemaal op onze kosten. Waarom moet dat weer een jaar (en waarschijnlijk ook weer een miljoen of wat) kosten terwijl de twee grootste software giganten allebei al een degelijke app hebben, die exact hetzelfde doet en wereldwijd door miljoenen mensen wordt gebruikt? Dit is letterlijk het wiel opnieuw uitvinden en dat is net zo nuttig als een putjesschepper op zee.
Ik zou niet willen dat zoiets via een app door derden gaat. Dergelijke communicatie tussen mij en de overheid, wil ik geen derde partij bij betrokken hebben. Leuk, hoe dat TOTP werkt en dat dát deel niets verstuurd, maar dat wil niet zeggen, dat diezelfde variabelen niet gebruikt worden in (bijvoorbeeld) een AJAX request die wél zaken registreert en logt bij die partijen. En dat is iets, wat ik - zeker in mijn communicatie met de overheid - niet wil. Dan heb ik inderdaad liever dat de overheid zelf een app bouwt op basis van TOTP, dan weet je vrijwel zeker dat er geen andere dingen mee gebeuren. Dan kost het maar wat knaken meer. ;)

Ik begrijp overigens de perceptie best hoor, omdat de overheid en ICT projecten nu eenmaal niet echt goed samengaan, maar ja, de beste stuurman staan altijd aan wal. Daarbij is de overheid ook nog eens gebonden aan wetgeving (al dan niet Europees), we doen er hier op Tweakers vaak simpel over en nu ook weer (met een aanname die wellicht niet eens klopt): "Waarom wordt er geen Google Authentication (of TOTP) gebruikt?".

Dit is een aanname, omdat we niet weten wat de DigiD app gaat doen, wat die gebruikt, aangezien TOTP een open standaard is, kan dat immers zo geïmplementeerd worden, we weten het (nog) niet, dus het blijft een aanname, zolang er niets over naar buiten is gekomen.

Een ander punt is de (Europese) wetgeving, de overheid moet voor alles wat zij doen (want zij moeten wel elk dubbeltje verantwoorden) berekenen, wat men verwacht dat het gaat kosten. Als dat boven een bedrag is, dan moet het nationaal worden aanbesteed (ik dacht bij 10.000 euro t/m 49.999 euro). Vanaf 50.000 euro, is de overheid verplicht om het Europees aan te besteden.

Dat aanbesteden is ook een proces wat heel lang kan duren, wat ook nog eens aan diverse regels gebonden is. Het biedingsproces is niet iets waar je even simpel over kan doen en de vinger willekeurig bij een leverancier neer mag leggen, als die leverancier al mag volgens de regels van het aanbesteden.

Dus ja, vind je het gek, dat overheid projecten dan altijd zo lang duren? Kun je wel zeggen dat de overheid zichzelf hiermee vertraagt, maar aan de andere kant, is het schijnbaar ook de wens geweest ergens uit, om dit in te voeren (o.a. omdat de overheid goedkoper moest worden, maar toch bedrijven een eerlijke kans te geven om overheidsprojecten binnen te slepen).

En ja, in het verleden heb ik voor een ICT afdeling binnen de overheid (een gemeente) gewerkt en ik heb daar gezien hoe wetgeving best belemmerend kan zijn voor ICT binnen een gemeente.

[Reactie gewijzigd door CH40S op 10 oktober 2015 10:30]

Aanbesteden geldt alleen voor projecten die door externen wordt gemaakt.
Je kan ook zelf intern ontwikkelen, door een paar ontwikkelaars in te huren.
Weet ik, maar in de praktijk zag ik binnen de gemeente waar ik werkte, dat niet gebeuren en werd het liever aanbesteed.
die ontwikkelaars inhuren gaat ook via aanbestedingscontracten.
voor dergelijke communicatie ben je allang en breed afhankelijk van tig andere derde partijen. Als je dat al niet eens inziet dan kan ik net zo goed stoppen. De overheid was afhankelijk van een certificaat ahthoriteit zoals diginotar. Nou we hebben allemaal gezien hoe dat afliep.

Vervolgens moet deze data ergens in een database staan (en reken maar dat die niet ergens bij Mark onder z'n bureau staat).

Vervolgens moeten derde partijen als zorgverzekeraars en ziekenhuizen de boel op orde hebben. Anders liggen je gegevens alsnog op straat (en ja dat gebeurt vaak. Waarom denk je dat het CBP vanaf januari de regels flink heeft aangescherpt?).

Als je dus een punt wil maken over logging: welke browser gebruik je op welk OS? Op welk toestel intvang jij de smsjes? Je weet dat heel veel android apps toegang hebben tot je berichten en dat je daarmee dus jouw hele punt al direct de grond in boort?

Weet je overigens wat AJAX doet/is? Want ik zie de link niet met de code die GA genereert. Ajax staat voor Asynchronous Javascript And Xml. Ik snap dat je de parameters via een GET of POSt request door wil sturen naar een server, maar waarom asynchroon? Wat verwacht je terug wat zo groot is dat je er niet op kan wachten?

Bovendien is het nog steeds kompleet ongegrond.

De gegenereerde code is afhankelijk van een reeks karakters die op geen enkele manier gelinkt is aan jouw digID behalve de link bij digID zelf. Niemand kan dus aan de hand van de (30 seconden geldige) code bedenken dat het voor jouw DigID is. T kan net zo goed van Gmail of Hotmail zijn. Je hele argument is dus onzinnig in deze context en nergens op gebaseerd. Behalve dan op nieuwsgeving over diensten van Google zelf.

Ik weet hoe een aanbesteding werkt, maar ik weet ook dat het goedkoopste nooit het beste is. Dat is het vervelende. Uiteindelijk kost dat namelijk alleen maar meer. Dat hebben we al vaak zat meegemaakt helaas. Het is helemaal niet de wetgeving die het belemmerd maar de regels van de aanbestedingen die de boel verpesten.
Gelukkig noemde ik Ajax als voorbeeld en heb dat er ook expliciet bij vermeld. Ging mij er om dat het verzonden wordt, zonder dat je het wellicht merkt. Dus ja, ik zal vast weten wat het is, anders noem ik het niet als voorbeeld.
Slecht voorbeeld. Een simpele post is namelijk genoeg om alle info door te spelen mocht dat überhaupt interessant zijn.

Het gaat echter helemaal voorbij het punt dat zelfs een phone home functie in de Google's Authenticator nog steeds helemaal niks uithaalt. Zolang zij niet de overige gegevens hebben kunnen ze niks (vandaar ook 2 factoren). De kans is vele malen groter dat jij je inlog gegevens (username en pw) kwijtraakt via een slecht beveiligde database dan dat google een phone home functie hierin zet. Dan is het namelijk gelijk al zn klanten kwijt.
Kan jij een slecht voorbeeld vinden. Dat was even waar ik aan dacht, op dat moment. UIteindelijk begreep je toch wat ik bedoelde, of niet dan, want je probeert me nota bene nog te verbeteren ook. ;)
De kans is vele malen groter dat jij je inlog gegevens (username en pw) kwijtraakt via een slecht beveiligde database...
Hoe kan ík iets kwijt raken, als de (toegang tot) de database slecht beveiligd is? :? Een database, waar ikzelf geen tot toegang heb. Mag hopen dat er fatsoenlijke back-ups gemaakt worden, door diegene die de database wél beheert, helemaal kwijt is dus ook niet mogelijk.
Kwijt raakt als in dat iemand anders er mee aan de haal gaat.

Jouw username/password is vele malen minder veilig als de code van de Google authenticator of Ms validator for that matter. Je username is namelijk "publiek bekend" want veelal gewoon je naam. En veel gebruikers hebben een password wat ze vaker gebruiken. Dus reken maar uit
Het zal me niet eens verbazen als de overheid nu zelf het wiel opnieuw gaat uitvinden en met een compleet eigen tweestapsauthenticatie komt terwijl eigenlijk alles al klaar ligt.

Ik bedoel, de inschatting van driekwart jaar voor een app die ik in m'n eentje in een middag ontwikkel en implementeer... We zullen zien waar dit heen gaat.

--
Overigens gebruik ik de Google Authenticator voor veel verschillende diensten die allemaal hetzelfde algoritme gebruiken. Dit maakt het makkelijk voor mij als gebruiker, maar het wéér moeten installeren van een nieuwe app begint mij een beetje mijn neus uit te komen. Straks heb ik 4 apps op mijn telefoon, alleen om in te loggen in websites en andere apps.

*droomt* Zou ideaal zijn als iOS/iPhone fingerprint scan breder ingezet kon worden. Geen wachtwoorden meer onthouden, geen codes genereren, gewoon inloggen met je vingerafdruk.
In eerste instantie misschien als two-step-auth, maar later misschien überhaupt?!
Zoals ik al zei, het is een open algoritme waarvoor meerdere implementaties bestaan. Het algoritme is tevens relatief simpel en iedere enigszins competente programmeur zou een eigen implementatie in elkaar kunnen hobbyen.

Maar je kunt dus ook zo een open source app gebruiken die 100% compatible is. Het systeem staat bekend als "Google Authenticator" omdat dat verreweg de meest gebruikte implementatie is, maar het is eigenlijk TOTP (Timebased One-Time Password).
Maar dan gaat men vaak al snel gebruik maken van Google's eigen implemenatie en APIs, zeker op Android (want waarom het wiel opnieuw uitvinden?). En dan hang je ineens wel vast aan Google.
Microsoft heeft eenzelfde app gebaseerd op dezelfde standaard beschikbaar. Je zou hem zelf kunnen schrijven mocht je daar behoefte aan hebben, moet niet langer dan een paar uur duren
Wat is dat dan? Want om in te loggen bij mijn Microsoft account, maak ik nota bene gebruik van Google Authenticator.
Je kunt hem downloaden via https://www.microsoft.com...uthenticator/9wzdncrfj3rj, is qua functionaliteit identiek aan die van Google...
Je hoort Google en de anti-google mensen springen er op los. :) Ik ga toch ook niet zo reageren omdat C# op Linux vloeken is. Nee het werkt prima.
Ik geef alleen maar aan er ook niet-google oplossingen zijn, voor de "anti-google" mensen onder ons. En voor de helemaal alu-hoedjes geef ik zelfs aan dat zelfbouw een eenvoudige mogelijkheid is.
Ach, gelukkig proberen de mensen nu nog enigszins waakzaam te zijn (ondanks de hoeveelheid misinformatie)... had je het mediacircus moeten zien als het iAuth had geheten... dan had scepsis taboe geweest!
het is een open-source tool, en de implementatie is een standaard, en niet iets van google, je kan hier dus niet mee "vast" hangen, je hebt namelijk al alternatieven.

Vaak is privacy discussie goed bij google dingen, maar nu niet :)
Dan kan de overheid dus ook eventueel zelf een app baseren op het protocol en hoeft dat niet vanuit een bestaande app te komen.
Ja, maar dat is het mooie van een open protocol: je kunt elke app gebruiken die dat protocol ondersteunt. En omdat het protocol geen afhankelijkheden heeft, anders dan de huidige tijd en een secret key (die jij deelt met de plek waar je inlogt), zou je zelfs een app kunnen schrijven voor je favoriete programmeerbare calculator.

Google Authenticator is gewoon de bekendste implementatie op dit moment (die overigens niks opstuurt naar Google, want (a) dat hoeft niet, en (b) iedereen zou moord en brand schreeuwen). Alternatieven zijn bijv Authy, of de Microsoft authenticatie-app.
Zo'n app moet toch qr codes kunnen scannen? Hoe ga je dat doen op een rekenmachine?

En hoe zit het als je je telefoon of rekenmachine kwijtraakt? Hoe kun je je dan opnieuw authenticeren?
In plaats van de QR-code kun je die secret key ook op een andere manier (door een lang nummer in te tikken) in je app/rekenmachine krijgen.

Bij de meeste 2FA- krijg je een setje "noodcodes", waarmee je altijd kunt authenticeren (en die je dus in de kluis legt). Als je je app/rekenmachine kwijt bent, gebruik je een noodcode, stel je eea opnieuw in (nieuw secret), en reset je de lijst noodcodes. Andere opties zouden bijvoorbeeld kunnen zijn dat je een nieuwe brief moet aanvragen met QR-code.
QR codes zijn optioneel (de spec is hier) en slechts een makkelijke manier om de benodigde gegevens over te krijgen. Je kan de naam, het algoritme, aantal cijfers en het shared secret ook overtypen. Oa. Dropbox en Google bieden het aan.
Ja, maar de vraag is: waarom? wil jij graag belastinggeld verbranden zonder enig nut?

De google app werkt gewoon goed. En als die je niet bevalt, gebruik je een alternatief, waarom is er -nog- een alternatief nodig?
Ik hou graag hetgeen wat tussen overheid en mij gaat, tussen mij en de overheid (ik vertrouw dan apps van derden niet voldoende daarvoor, ondanks hoe het protocol zelf werkt). En nogmaals; wie zegt dat GA / TOTP niet gebruikt wordt hiervoor? :?

Als het protocol juist geimplementeerd is, kun je toch gewoon GA / FreeOTP / TOTP gebruiken? :? Ik zie het probleem niet, zie bijvoorbeeld Neko Koneko in 'nieuws: DigiD-app voor tweetrapsauthenticatie komt in tweede helft 2016'. :)

[Reactie gewijzigd door CH40S op 12 oktober 2015 11:05]

Het "probleem" is dat iemand jou en mijn centjes aan het gebruiken is om een ontwikkeltraject van een jaar in te gaan voor, voor iets wat, ten eerste al bestaat (in meerdere vormen),
en ten tweede, absoluut geen jaar hoeft te duren.

Ik zie hoe bedrijven te werk gaan bij de overheid, die zien dat als een grote subsidiepot met geld, die je alles wijs kan maken, en ze slikken het als zoete koek. Het is gewoon zonde.
Ik denk ook niet dat het ontwikkelen zelf een jaar duurt, zoals ik eerder al heb aangegeven, wordt het waarschijnlijk aanbesteed. Dat aanbestedingsproces duurt gigantisch lang, vooraleer er daadwerkelijk aan de slag gegaan kan worden, dan ben je zo al enkele maanden verder. Dan kan je eindelijk gaan ontwerpen (dat moet allemaal vanuit het project uiteraard ;)) en ontwikkelen en daarna moet het ook nog eens getest worden.

[Reactie gewijzigd door CH40S op 12 oktober 2015 12:31]

ontwikkeltraject was niet het goede woord van mij, laat ik het zo zeggen: Ze gaan er 1 jaar lang geld tegenaan gooien, voor iets wat al werkt en bestaat. Dit ruikt gewoon naar een partij die hier lekker aan gaat verdienen, terwijl ze weten dat dit niks voorstelt.

En ik ben niet de enige die dit denkt. Vele vinden het raar dat ze hier een jaar lang aan gaan werken, terwijl hier al bestaande werkende veilige oplossingen voor zijn.

En het is leuk dat allemaal mensen zonder verstand roepen dat ze andere programma's niet vertrouwen (en vooral Google natuurlijk). Maar ze zouden wel moord en brand schreeuwen, als de overheid een eigen autofabriek begint, zodat de auto's waar de ministers in rijden, in 'eigen beheer' zijn.
Zouden we dan ook niet zeggen: "weet je wat, rijd maar lekker in Toyota's rond." ?
Dat het zo lang duurt is niet zo raar; de overheid heeft het (o.a.) zichzelf zo moeilijk gemaakt met regels en wetten (zoals over het aanbesteden), omdat er een aantal zijn en/of waren, die per se wilde dat de overheid goedkoper werd. Dat is op deze manier (in theorie) wel wat er zou moeten gebeuren, de praktijk laat echter iets anders zien, spijtig genoeg.
Je hebt gelijk dat overheids projecten langer duren door dat traject (alhoewel dat ook wel sneller kan weet ik uit eigen ervaring met de overheid).

Het punt is alleen dat dat dus helemaal niet nodig is. Ze hoeven alleen het tweestaps-gedeelte te implementeren, en vervolgens aan te geven met welke apps je dit allemaal kan gebruiken. Die app vervolgens zelf ontwikkelen is gewoon overbodig.

In ieder geval zoals het in het artikel staat. Als die app nog veel meer moet kunnen, dan wordt het een ander verhaal. Maar als deze app echt niks meer is als een token-generator, dan is dit traject raar/jammer tijd- en geldverspilling.
FreeOTP (Android & IOS) is het open source alternatief van Fedora ervoor. App vraagt niet meer permissies dan nodig, en is op github te vinden. Hang je dus totaal niet vast aan Google :)
Maar dan gaat men vaak al snel gebruik maken van Google's eigen implemenatie en APIs, zeker op Android (want waarom het wiel opnieuw uitvinden?). En dan hang je ineens wel vast aan Google.
Microsoft heeft voor Windows Phone ook een authenticator uitgebracht die hetzelfde protocol gebruikt, werkt ook perfect met mijn google account. Je zit dus helemaal niet vast aan Google.
Google Authenticator is gewoon TOTP en is dus niet afhankelijk van Google. Je kan de Google authenticator app gebruiken zonder dat je verder ook maar iets met Google te maken hebt. Alles draait lokaal op je toestel, niets gaat via de servers van Google.
Misschien handig om te editen dat je met "Google Authenticator algoritme" de RFC 6328 bedoelt genaamd "TOTP: Time-Based One-Time Password Algorithm", een open compatible standaard die ook door andere organisaties als Microsoft, Dropbox, GitHub, OwnCloud en Yubico wordt gebruikt en aangemoedigd. Het is dé standaard op het internet als het gaat om tweetrapsauthenticatie.

Veel mensen hier combineren schieten terug in angst en onwetendheid zodra je de naam Google alleen maar noemt, blijkbaar.
Dat was vroeger wel anders, toen werd Google omringd met hartjes, sterretjes en alle dingen die goed zijn in het leven ;-) Terwijl Google altijd duidelijk is geweest over haar doel, Alle informatie verzamelen en toegankelijk maken.

Zo zie je maar weer hoe het tij kan keren. Nu is de partij die zo weinig mogelijk gegeven verzameld opeens de partij die we 'allemaal' bewonderen en vereren. Het zal wel een cyclus zijn vrees ik.
Breng de overheid nou niet op dat soort ideeen. Ex-google gebruikers moeten niks met Google te maken hebben en zeker geen backdoors in overheid of zorg platformen.
Nogmaals: Open algoritme waar al meedere apps voor bestaan.

Google Authenticator is slechts de meestgebruikte implementatie en daardoor de defacto naam voor het algoritme.
Nogmaals: Open algoritme waar al meedere apps voor bestaan.

Google Authenticator is slechts de meestgebruikte implementatie en daardoor de defacto naam voor het algoritme.
Tja, wie weet gebruikt de app de TOTP standaard wel. Weet jij veel... Dan is hier allerlei commotie om niks geweest... ;)
Dat maakt niet uit want de meest gebruikte wil in het algemeen niet zeggen dat iets kwalitatief beter is. Er is altijd ruimte voor verbetering.
Ruimte voor verbetering bij een app die enkel elke 30 seconden een random code toont? Ben benieuwd. Want meer hoeft zo'n app niet te doen.

[Reactie gewijzigd door xoniq op 9 oktober 2015 18:21]

Inderdaad, en anders gebruik je gewoon de Microsoft Authenticator/Verificator, of blijf je bij SMS. Het idee is een tweede optie aan te bieden voor mensen die SMS niet willen/handig vinden.

Mensen kunnen toch zo ontzettend zeuren ... 8)7
Dat kan ook niet, want Microsoft en dus wordt alles naar Redmond door gestuurd.
Dat is tenminste als je de door de Consumentenbond geadviseerde aluminiumfolie gebruikt voor dat hoedje.
Bijzonder..
"De app zal daarmee ook een oplossing bieden voor gebruikers die hun telefoonnummer niet aan de overheid willen geven en om die reden momenteel geen tweetrapsauthenticatie gebruiken."
Ik neem toch aan dat gezien het feit dat je een app installeert er op de een of andere manier opgeslagen wordt welke mobiele telefoon het betreft, ook met het oog op het per ongeluk verwijderen van de app?
Ik neem toch aan dat gezien het feit dat je een app installeert er op de een of andere manier opgeslagen wordt welke mobiele telefoon het betreft, ook met het oog op het per ongeluk verwijderen van de app?

Hoeft niet. Bij de meest gangbare standaarden van multi-factor authentciatie via een app zoals o.a. Microsoft en Google gebruiken, is het een eenmalige unieke code (vaak via een 2D barcode) die gescanned wordt. Deze werkt als eenmalige initialisatie vector. Uninstalleer je de app of laat je je telefoon in het toilet vallen, dan moet je de app opnieuw instellen en vervallen automatisch alle andere codes gebaseerd op een eerdere vector.

Het instellen moet natuurlijk vanuit een secure omgeving gebeuren. Bij Google/Microsoft vanuit het account menu dat pas bereikbaar is nadat je ingelogd bent (al dan niet met eerder ingestelde 2FA via andere methoden). Bij DigiD vanuit het huidige DigiD configuratie scherm bijvorobeeld.

Ik mag hopen dat de overheid hier gewoon een van die bestaande en bewezen standaarden gebruikt. Wellicht zelfs gewoon helemaal dezelfde standaard, zodat ik diezelfde app kan gebruiken ...

Uiteraard moet de afdeling DigiD wel nog controleren of die voldoet aan de de opgestelde wettelijke eisen van de andere overheidsafdelingen. Mochten die dat onmogelijk maken (ontbreken certificerring X,Y,Z) dan vrees ik dat het een eigen baksel wordt. En dan is een jaar nog kort.

EDIT: typos

[Reactie gewijzigd door Armin op 9 oktober 2015 17:58]

De Google Authenticator kun je dupliceren door er met bijvoorbeeld Titanium Backup een backup van te maken en te restoren op een andere Android apparaat. Is wel handig voor het geval je je telefoon voorziet van een nieuwe ROM en je je Google account weer wilt activeren op dat ding.
Je zou de app op een tablet kunnen installeren, of op een telefoon zonder simkaart (met gebruik van wifi). Aan de reacties op het vorige artikel over DigiD is te zien dat er vraag is naar een optie voor tweetrapsauthentificatie zonder het geven van een telefoonnummer.
Ik heb geen smartphone; ook niet van plan
Dan blijf je gewoon sms-authentificatie gebruiken, dat kan ook met een dumbphone of een vaste lijn.
als ze er dan maar wel een betaal dienst van maken, 10ct per ontvangen bericht ofzo. dan hoef ik tenminste niet voor zijn login te betalen.
sure betaal je dan wel voor een smartphone? De staat moet gewoon niet mogen verplichten wat we wel of niet bezitten EN mag er geen consequenties aan koppelen
Dat was inderdaad ook mijn reactie. Ik wil geen smartphone en ik vind bellen en te kunnen smszen meer dan voldoende.

Maar goed, we weten nog niets en een "App" is nog steeds een "Applicatie", net als bijvoorbeeld de Belastingdienst heeft (op Windows OS) voor je aangiftes.
Dat hoeft toch niet? De controle kan toch lokaal, dus in telefoon, gedaan worden?
Kunnen ze niet gebruik maken van de Google Authenticator of een Open Source-kloon daarvan?
Ik zit er niet op te wachten dat Google mijn BSN weet of te weten komt. Leuk, zo'n initiatief, maar wil niet zeggen dat het altijd maar toegepast kan worden. ;) En aangezien de overheid mijn BSN toch al weet, kan dat geen bezwaar zijn voor de privacy.

[Reactie gewijzigd door CH40S op 9 oktober 2015 16:37]

Google Authenticator is een implementatie van het open TOTP-standaard en daarbij is er geen communicatie tussen client en server. Er wordt aan de hand van een shared secret en de huidige tijdsstap* een code berekend. Als de ingevoerde code gelijk is aan de code die de server berekent, ben je binnen.

*: de huidige tijdsstap is de hoeveelheid blokken van 30 seconden sinds 1 januari 1970 UTC. Om problemen met niet gelijk lopende klokken op te vangen wordt vaak ook de code van een tijdstap voor en een stap na de huidige geaccepteerd.

Maar als je Google Authenticator echt niet vertrouwt is er bijvoorbeeld ook de compatible FreeOTP-app.

[Reactie gewijzigd door Rafe op 9 oktober 2015 19:21]

Alleen maak je je dan wel afhankelijk van een dienst van een Amerikaans bedrijf. Dan kan men imho toch beter zelf iets bouwen om een potentiële vendor lock-in te voorkomen. Zeker als overheid is het niet interessant om te veel vertrouwen op externe service providers om je communicatie met je burger mogelijk te maken, zelfs al krijgt die externe partij voor de rest geen data te verwerken.
Alleen maak je je dan wel afhankelijk van een dienst van een Amerikaans bedrijf

Nee, het is geen dienst. Er is geen communicatie met Google of enige server vereist.

Het is een wiskundig algorithme gebaseerd op twee inputs. Een unieke code (die typisch via een 2D barcode ingevoerd wordt, maar andere methoden zijn ook mogelijk) en de tijd.

Die unieke code wordt gegenereerd door het bedrijf zelf (Google, Hotmail, DigiD) op hun eigen websites. Er si dus geen communicatie met Google. Idem, als je de Windows Phone authenticator gebruikt (welke gebaseerd is op dezelfde standaard) is er geen communicatie met Microsoft.

Mooie van deze standaard is, dat er een app beschikbaar is voor zowel iOS als Android (namelijk Google Authenticator) en Windows Phone (Microsoft Authenticator) welke compatibel zijn. je kunt dus met de Microsoft authenicator je Google account beveiligen en op iOS met de Google Authenicator je Hotmail. Etc.
Microsoft heeft hier twee apps voor. Een voor persoonlijk gebruik, de Verificator, welke als TOTP werkt. De variant voor je zakelijke account (AzureAD) heet Authenticator. De Authenticator kan TOTP zijn, maar ook een directe link naar Azure AD hebben. Dit afhankelijk van de instelling voor MFA (per account).

Kortom je bedoelt "Microsoft Verificator" ipv "Microsoft Authenticator"
Nu gooi jij ze juist door de war O-)

Ik bedoel de app die heet (Microsoft) Authenticator. Deze is voor persoonlijk gebruik - o.a. Hotmail. Zie hier

De app die jij bedoelt is juist voor Offcie 365 en andere Azure accounts.Deze heet overigens niet Verificator, maar Multi-Factor Auth.
Ik zie dat Microsoft beide namen gebruikt. De app in Windows Phone wordt nu "Microsoft Verificator" genoemd. Net zoals de naam in de link/tekst bij het instellen vanuit je Microsoft Account. Dit in tegenstelling tot de screenshot in de app store waar "Microsoft Authenticator" staat.

Bij de Multi-Factor Auth app staat nu "Azure Authenticator" als naam.
Nieuwe tijden, nieuwe namen, en maar eens bij MS gaan navragen wat nu de echte namen zijn.
Na nog eens kjken, denk ik het oorzaak gevonden te hebben: De verwarring komt door lokalisatie. 8)7

De 'echte' naam is Authenticator, hetgeen vertaald is in het Nederlands als Verificator. Dat zie je als display naam wanneer de telefoontaal op Nederlands staat.

Dus voor mensen met de display/browser taal op Nederlands is het Verificator. Voor Engels of 'default' Authenticator.

_/-\o_
Wat begrijp je niet aan de eerste zin van Rafe?

Je maakt je afhankelijk van de implantatie die te vervangen is met behoud van compatibiliteit (gezien de open standaard) :) Oftewel Google maakt een verkeerde zet = exit en anderen implementatie is welkom ;)

[Reactie gewijzigd door watercoolertje op 9 oktober 2015 17:07]

Goed en duidelijk verwoord.
stop nou eens met een ander na praten, hij zeg toch dat het een implementatie van open standaard is....
en er gaan geen gegevens naar google.
Wat heeft het genereren van een authenticatietoken nu met je BSN of je privacy te maken? Weet je wel hoe dit werkt?

-edit- kijk naar Rafe voor uitleg.

[Reactie gewijzigd door bskibinski op 9 oktober 2015 16:43]

Ik begrijp het ook niet.. moet je dan speciaal hiervoor nog een aparte app installeren terwijl GA gewoon al perfect is? :?
GA is niet perfect, maar TOTP-based en werkt inderdaad prima met alles wat QR-baesd TOTP token inits doet. Dus stel dat DigiD dat ook doet, moet het gewoon werken.
Hoezo is GA perfect? Het is van Google. Een 3e buitenlandse partij die helemaal niets met communicatie tussen mij en de overheid van doen heeft.
GA communiceert niet met Google, het is gewoon een OTP token app.

@hieronder: volgens mij snap je niet hoe OTP werkt, of TOTP en HOTP in het algemeen. Het hele systeem werkt onder online communicatie, het is een algoritme dat op basis van eerder uitgewisselde parameters OTP's genereert. Heeft niets met communicatie buiten een gebruiker die wat kan lezen te maken. Er is dan ook totaal geen reden om zo'n app communicatie toegang te geven, en als ik een sniffer gebruik zie ik die app ook nul pakketjes uitpoepen over een netwerkverbinding.

[Reactie gewijzigd door johnkeates op 9 oktober 2015 17:00]

Je moet je maar op vertrouwen dat deze app niet met Google communiceert. Omdat je daar voor dit soort belangrijke zaken niet op mag vertrouwen (Snowdon, NSA, Google gebruiker profiling), moet de overheid een dergelijke app in eigen beheer maken (en als het even kan de source ervan openbaar maken).
Je moet je maar op vertrouwen dat deze app niet met Google communiceert

Als je daar bang voor bent kun je 2 dingend oen:

1) een Windows Phone nemen en de authenicator van daar nemen. 8-) Deze is namelijk 100% compatible met Google en visa versa kun je Hotmail via de Google authentciator beveiligen.

2) Een sniffer als Fiddler gebruiken en controleren wat de Google app doet. Behalve time-sync zal dat echter voorspel ik niets zijn. O-)
Een sniffer als Fiddler gebruiken en controleren wat de Google app doet.
Het gaat er niet om dat je met een sniffer zou kunnen controleren of Google deze app zuiver heeft geimplementeerd. Het gaat er om dat je geen app van een derde voor zoiets moet gebruiken. Dat is gewoon uit beveiligingsprincipe niet goed. Als je het zuiver zou doen en je gebruikt meerdere diensten, dan heb je meerdere, nagenoeg identieke, 2factor apps. Dan heb je als gebruiker de keuze er maar 1 te gebruiken. Maar als overheid zeggen, wij doen niks gebruik die van Google maar, is verkeerd. Dat legt vertrouwen op een plek waar je dat niet kunt onderbouwen.
Het gaat er om dat je geen app van een derde voor zoiets moet gebruiken

Dus alles zelf compileren?

Dat is gewoon uit beveiligingsprincipe niet goed

Die SMS en dat wachtwoord gaan ook over systemen van 3den.

Je moet altijd iets/iemand vertrouwen. En in dit geval gaat er geen data naar de maker van de app. Dus het ergste wat kan gebeuren is dat er ongeldige codes gegenereerd kunnen worden.

Maar als overheid zeggen, wij doen niks gebruik die van Google maar, is verkeerd

Dat zegt men dan ook niet. Men zegt, wij gebruiken deze standaard X en gebruik een app die die standaard ondersteund. De Google app is er één van, doch niet de enige.
Dat is niet anders dan de overheid die vertrouwd dat de TLS stack van Microsoft of iOS zich aan de standaard houd terwijl het communcieert met de servers van DigiD. Protocol is bekend en openbaar en controleerbaar. Implematie is in diverse vormen beschikbaar.

Wat is de exacte 'aanvalsvector' waar jij bang voor bent waarom de overheid haar eigen app (en ik neem aan dan ook protocol?) zou moeten ontwikkelen?
Je moet altijd iets/iemand vertrouwen.
En het liefst zo min mogelijk partijen.
Wat is de exacte 'aanvalsvector' waar jij bang voor bent waarom de overheid haar eigen app (en ik neem aan dan ook protocol?) zou moeten ontwikkelen?
Het mag best een bewezen openbaar algoritme zijn. Het aantal derden moet echter zo gering mogelijk zijn. Gewoon om aanvalsvecotren te voorkomen.
Hoe ik het lees: omdat de overheid niet de kwaliteit van de pennen waarmee haar documenten worden ondertekend kan waarborgen, moet de overheid besluiten haar eigen pennen te fabriceren.
Zo zou je dat kunnen zien. Maar uitbesteden aan een Nederlandse partij en de resultaten verifieerbaar maken kan natuurlijk ook. Maar zeggen: er zwerft al iets van een niet helemaal onomstreden buitenlandse partij op het internet, laten we dat gebruiken. Dat kan niet.
Uitbesteden aan de goedkoopste (want zo gaat dat bij overheidsbestedingen) Nederlandse bieder omdat? Hebben we niets geleerd van het wiel opnieuw uitvinden? OV-chip kaart? Er bestaan al tal van werkende authenticators die al jaren hun dienst bewijzen. Waarom zou de overheid weer geld verspillen aan een (half werkend) alternatief?
Zo gaat dat overigens niet bij overheidsaanbestdingen. Daar worden aanbiedingen beoordeeld.
Het maakt niet uit dat er al jaren werkende authenticators bestaan. Het maakt uit dat die externe authenticators niet geverifieerd kunnen worden. Voor je weet zit er bij de volgende update, die natuurlijk in de achtergrond geinstalleerd wordt, opeens een phone home functie in. Dit moet je als overheid gewoon in eigen hand houden.
Pfff laat me niet lachen. Uitbestedingen worden niet beoordeeld. Geen enkel bedrijf doet iets merkwaardigs waarvoor je dat bedrijf gaat kiezen.

De opdracht is duidelijk en het enige waar bedrijven op kunnen concureren is prijs. Dat de overheid vervolgens kiest voor duurkoop (want dat is het uiteindelijk) is dan een ander verhaal. Kijk naar de IT projecten van de afgelopen 10 jaar. 1 groot drama.

Die externe verificators zijn even goed veilig omdat het tweede token niet bij deze verificators bekend is. Een phone home functie is dan werkelijk waar niet nuttig. De informatie die ze daar uit krijgen is namelijk kompleet zinloos. Daar kan je helemaal niks mee.

Overigens zou ik mij eerder druk maken om je browser. Deze is immers ook niet door de overheid zelf gemaakt. En reken maar dat die wel een phone home functie heeft.

Oh en welke DNS server gebruik je?

Voordat er ook maar 1 letter is aangekomen bij "de overheid" ben je al langs tien anderen geweest waar je gegevens eventueel kunnen blijven hangen.
Voordat er ook maar 1 letter is aangekomen bij "de overheid" ben je al langs tien anderen geweest waar je gegevens eventueel kunnen blijven hangen
Daar hebben we encryptie voor.
En hoe veilig is die? Precies. Dat valt allemaal ook vies tegen. Gebruikersnaam/ password combi zijn niet veilig meer voor dergelijke constructies. De kans op phishing is enorm groot ook.
De overheid kan onmogelijk alles in de hand houden, dat is bullshit en het streven ernaar is mede oorzaak dat binnen de overheid velerlei IT projecten mislukken en/of grandioos uit de kosten gieren.

De overheid maakt overigens ook veelvuldig gebruik van server hardware, operating systemen, applicatie frameworks, content managers enz, enz, die ze ook niet zelf hebben gebouwd. Daarnaast stikt het bij de overheid van de externe IT consultants die vaak verregaande toegang hebben tot bovengenoemde systemen. Alles op basis van vertrouwen...

Het gebruik van TOTP biedt een extra laag van beveiliging tussen de gebruiker en de dienst. Zelfs al zou een TOTP applicatie data uitwisselen met 3rd party servers, dan is in het ergste geval de extra beveiligingslaag weg. Daarmee heeft de malafide TOTP bouwer een drietal 3 pogingen om jouw username en wachtwoord te raden. Het belang van een fatsoenlijke username en wachtwoord blijft, ook met TOTP gewoon van belang.

Voor mensen die bang zijn dat hun BSN op straat komt te liggen langs deze weg; het BSN komt op geen enkele wijze in wat voor client app dan ook; ook niet in de browser. De uitwisseling van BSN tussen Logius en de dienstaanbieder vindt plaats via een backchannel. Deze backchannel is beveiligd met PKIO certificaten. Het BSN wordt dus niet naar de client (dienstafnemer, burger) gecommuniceerd.
biedt een extra laag van beveiliging tussen de gebruiker en de dienst. Zelfs al zou een TOTP applicatie data uitwisselen met 3rd party servers, dan is in het ergste geval de extra beveiligingslaag weg.
En dat is dus gemakkelijk te ondervangen door als overheid zelf een app hiervoor te laten ontwikkelen.
Als je een app laat ontwikkelen vertrouw je ook op een externe partij. En hoever gaat je vertrouwen omtrent het gebruik van Operating Systemen en hardware van grote derde leveranciers binnen de overheid? Waar leg je de grens en waarop baseer je die? In die database van Oracle worden wel jouw BSN en GBA gegevens bewaard. Plus wat al niet meer aan persoonlijke informatie. En is Oracle wel te vertrouwen? En het CMS wat de link legt tussen jouw gegevens in die database en de webpagina die je gepresenteerd krijgt is ook niet door de overheid gemaakt. Het zal de eerste keer niet zijn dat op die manier persoonlijke gegevens risico lopen http://tweakers.net/nieuw...en-mogelijk-te-kapen.html.

Wat jij voorstelt is precies waarom IT projecten bij de overheid nooit van de grond komen. Voor simpele zaken waarvoor goede, kant en klare oplossingen bestaan, bepaalt iemand op basis van een onderbuikgevoel dat het wiel opnieuw uitgevonden moet gaan worden. Kosten-baten analyses worden veel te weinig gemaakt.

Ultieme veiligheid is zelden of nooit mogelijk. De kosten daarvoor zijn gewoon te groot, onder meer in financiële zin. Je moet dus ergens de balans vinden tussen veiligheid, gebruiksgemak en kosten.

Ten slotte; dacht je dat de overheid zelf de DigiD implementaties bij alle service partijen (o.m. gemeenten en zorgverzekeraars) doet? Nope, allemaal uitbesteed. En de zorgverzekeraars die van DigiD gebruik mogen maken, vertrouw je die wel met jouw gegevens?
Zelfs Logius, waar men het beheer van DigiD heeft de software betrokken van een derde partij...
Uit besteden is ook niet het probleem. Dat is normaal en ok. Iets wat al rondzwerft en waar je geen controle over hebt gebruiken is gewoon onverstandig. Stel de overheid zou de Google implementatie gebruiken. Google besluit een update te doen, nieuwe features in te voegen, het algoritme efficienter te maken etc. en het werkt niet meer met de infrastructuur van de Nederlandse overheid. Het gaat er niet om dat je apps van derden niet kunt vertrouwen, dat kun je als je er controle over hebt (dus contracten mee hebt) wel doen. Dus gewoon zelf een App laten ontwikkelen is gewoon verstandiger.
Roepen dat IT projecten bij de overheid nooit van de grond komen is gewoon naief en bezijden de waarheid. Omdat alle mislukkingen groot worden uitgemeten in de pers, de successen niet eens genoemd worden onstaat er een beeld dat het allemaal heel erg is, maar dat beeld is slechts perceptie.
Uit besteden is ook niet het probleem. Dat is normaal en ok. Iets wat al rondzwerft en waar je geen controle over hebt gebruiken is gewoon onverstandig. Stel de overheid zou de Google implementatie gebruiken. Google besluit een update te doen, nieuwe features in te voegen, het algoritme efficienter te maken etc. en het werkt niet meer met de infrastructuur van de Nederlandse overheid. Het gaat er niet om dat je apps van derden niet kunt vertrouwen, dat kun je als je er controle over hebt (dus contracten mee hebt) wel doen. Dus gewoon zelf een App laten ontwikkelen is gewoon verstandiger.
Daarom maak je gebruik van open standaarden. TOTP is zo'n open standaard https://tools.ietf.org/html/rfc6238. Google biedt met zijn Authenticator slechts een van de beschikbare implementaties. Microsoft biedt er ook een en er zijn ook complete open source implementaties.
De moderne DigiD implementatie zelf maakt ook gebruik van zo'n open standaard; SAML 2.0 . Het grote voordeel van het gebruik van dat soort standaarden is juist dat die niet zomaar worden gewijzigd, want dan valt het halve internet om...
Roepen dat IT projecten bij de overheid nooit van de grond komen is gewoon naief en bezijden de waarheid. Omdat alle mislukkingen groot worden uitgemeten in de pers, de successen niet eens genoemd worden onstaat er een beeld dat het allemaal heel erg is, maar dat beeld is slechts perceptie.
Ik haal mijn informatie niet uit de pers; ik heb enige tijd binnen de overheid IT projecten van dichtbij meegemaakt, zowel binnen de locale overheid als rijksoverheid en ik kan je vertellen dat het geen perceptie is, ik heb het als dramatisch ervaren! Ik heb diverse ambtenaren op dat vlak gesproken die er exact hetzelfde over denken. Even een korte resume van mijn persoonlijke ervaring:
Natuurlijk slagen er ook wel projecten, maar vrijwel altijd wordt er veel langer over gedaan dan in het bedrijfsleven gangbaar. Er werken regelmatig tientallen mensen, meerdere maanden aan zaken die in het bedrijfsleven door een enkeling in een week beter en betrouwbaarder wordt neergezet. Er worden pogingen ondernomen om agile projectmethodieken te gebruiken, maar men verzand in ellenlange discussies en gesteggel over van alles en nog wat.
Veel klussen worden 100% uitbesteed waardoor externe consultants vrijwel ongelimiteerd uren kunnen schrijven en niemand van de betreffende overheidspartij enige grip heeft op het geleverde. Voor onderhoud en wijzigingen moet de externe partij weer op de proppen komen.
Grote projecten worden niet zelden na maanden/jaren afgebroken omdat de handen gewoon niet op elkaar te krijgen zijn. Partijen die samen zouden moeten werken frustreren elkaar tot het uiterste.
Projecten met een grandioos royale deadline worden niet op tijd geleverd. Kosten worden vrijwel altijd overschreden.
Onzinnige eisen worden gesteld waardoor kosten skyhigh vliegen en logische, zinvolle zaken worden over het hoofd gezien.
Er is een chronisch tekort aan IT kennis bij de mensen die de beleidsbeslissingen nemen. Daardoor sluiten deze beleidsbeslissingen van totaal niet aan bij de werkelijkheid.

Maar enfin, nogmaals dit is mijn persoonlijke ervaring. Andere mensen mogen er wat mij betreft best anders over denken.
De keuze voor een open standaard is de juiste. Maar voor stabiliteit en betrouwbaarheid, altijd als overheid een eigen implementatie kiezen dat is mijn punt.
Voor wat je betreft je ervaringen bij de overheid. Ik ken het zelfde uit het bedrijfsleven. Het verschil is dat men bij het bedrijfsleven misschien wat sterker een kostenfocus heeft, sneller de stekker trekt en het onder de pet houdt. Daarentegen gelooft men in het bedrijfsleven soms heel naief dat de implemenatie van tool X de winst gaat verdubbelen.
Ja maar de kosten daarvoor zijn te groot.

Google gaat je dat geintje echt niet flikken, want wordt dat bekend dan zijn ze failliet. Als google die info door zou sturen en dat wordt opgemerkt dan is dat het einde van Google. Ze worden aan alle kanten kapot geprocedeerd door bedrijven en instanties en aan het andere eind gebruikt niemand hun diensten meer. Dus dat is wel echt het allerlaatste wat ze zullen doen.
Zo'n App kost de wereld niet. Als we zien wat Google nu allemaal al flikt denk ik dat we ons laten verblinden door de goede en gratis diensten.
Het is wel de overheid waar we het over hebben hea? Die zijn nou niet echt low budget bezig met ICT dingen.
dan schrijf je je eigen totp app, die ik vervolgens niet ga gebruiken omdat er vast weer bugs in zitten, er zijn al legio van totp apps kies er eentje uit als de overheid zijn werk doet werken ze toch allemaal het zelfde.
Nog steed lijkt het me logisch dat de overheid hier zelf een oplossing voor implementeert. Dan kunnen ze natuurlijk gewoon een bestaande open source oplossing gebruiken die ze zelf in een app gieten. Waarom er nog een half jaar voor nodig is blijft een raadsel.
Voor mij niet. Dat is immers hoe " de overheid" haar ding doet. Dingen bedenken die al lang bestaan en daar daan heel lang voor uit trekken en uiteindelijk alsnog vertraging oplopen.
Het lijkt me logisch dat ze zelf een app aanbieden voor mensen die nog nul apps hebben. Google Autenticator is niet speciaal, maar een time-based OTP app, die met alles wat ook TOTP is werkt (binnen bekende parameters qua timing en OTP lengte en algo).

Je kan in principe met elke OTP app die ook TOTP ondersteunt GA vervangen. Je kan op diezelfde manier GA gebruiken om alle andere TOTP apps te vervangen. Twee identieke TOTP apps op je telefoon hebben die slechts van andere vendors komen slaat uiteraard nergens op. Maar stel dat er een andere vorm van OTP gebruikt wordt of er verschillen zijn in de ondersteunde parameters, dan kan ik me voorstellen dat het zin heeft om meerdere apps te gebruiken. Stel dat je er een hebt die 6-cijfers lang is en TOTP doet, en een hebt die 8-karakers lang is en HOTP doet, dan moet je er twee hebben. Of je vervangt die twee door een app met vrije instellingen die ook nog eens TOTP en HOTP doet. Opties voor iedereen. Dat DigiD met een eigen app komt is niks mis mee, mensen die hun eigen OTP app willen gebruiken kunnen dat gewoon doen lijkt me.

Wat wel een issue kan zijn is de kans dat DigiD besluit geen OTP technologie te gebruiken of geen bestaande HOTP of TOTP methode te ondersteunen. Dat zou best stom zijn, want behalve als je last hebt van het NIH-syndroom zou je eigenlijk altijd de beste oplossing moeten nemen en niet het wiel opnieuw hoeven uitvinden.
Google Authenticator is open source en het algoritme is duidelijk beschreven. Bijv. Facebook heeft het geintegreerd, maar je kan ook gewoon de google Authenticator app gebruiken ervoor. Ik heb er ook Dropbox en een VPS host in staan.
Je maakt een grapje hopelijk?

Google (en Amerika in het algemeen) weet al veel te veel over ons Nederlanders/Europeanen, en dan wil jij ze ook nog alle echt persoonlijke gegevens toespelen? laten we het niet doen :/
Voor het gebruik van de Google Authenticator zijn geen persoonlijke gegevens nog een verbinding met een server nodig. De Authenticator is volkomen veilig voor je privacy en zou een prima en goedkope manier zijn voor iedereen die tweetrapsauthenticatie wil implementeren. Ik snap daarom ook niet waarom de overheid het wiel opnieuw moet uitvinden. Alsof overheidsprojecten al niet genoeg geld kosten.
Daarom zegt hij toch ook "Google Authenticator OF een Open Source-kloon"
Voorbeeld: FreeOTP
https://fedorahosted.org/freeotp/
Voordat iedereen met dit soort reacties komt (te laat zie ik al).
Google Authenticator hoeft niets van je account te weten, het genereert een one-time-password op basis van een vooraf ingestelde seed en de tijd. Als zowel je app als de server hetzelfde wachtwoord genereren, en de gebruiker die invoert, mag je naar binnen.
Het is dan ook niet echt een service, maar meer een algoritme.
Het is wel jammer/vreemd dat de huidige Android client niet opensource is.
Dat moet wel wenkbrauwen doen fronzen.
Hopelijk zit er geen ET-phone-home of achterdeur in.
jou wenkbrauwen fronzen best wel vaak :+ want windows osx/ios en veel aplicaties zijn niet opensource...
Al zou een ding naar huis bellen, het is een wachtwoord die 30 seconden geldig is. Dan moet je het originele account wachtwoord en gebruikersnaam ook nog hebben.
Zolang die app geen internettoegang heeft denk ik dat het een goede oplossing is.
Dan nog, Google komt in de buurt van m'n BSN, of ze het nou kunnen lezen of niet, "do not want!"
Je reactie getuigt niet van groot inzicht. Jij begrijpt niet alleen niet hoe TOTP werkt, maar ook al niet hoe DigiD werkt.
Voor de werking van TOTP kun je diverse bijdragen hier lezen...
Bij DigiD wordt het BSN zorgvuldig weggehouden uit de client-dienstaanbieder communicatie. Het BSN wordt alleen middels de zogenaamde backchannel tussen Logius en de dienstaanbieder uitgewisseld. Deze backchannel is beveiligd met PKIO certificaten. De BSN blijft op de systemen van de dienstaanbieder en wordt gekoppeld met een sessieid, die middels een HTTP-Only en secure cookie in jouw browser wordt geplaatst. De browser krijgt dus ook het BSN niet.
Google komt dus geen stap dichter bij jouw BSN met TOTP.
Dat betekent natuurlijk niet dat jouw BSN absoluut veilig is... de systemen van de dienstaanbieder (gemeente, rijksdienst of zorgverzekeraar) kunnen gehacked worden en zo kan jouw BSN worden buitgemaakt. Daar kun je je beter zorgen over gaan maken.
Google heeft momenteel een te sterke monopolie. Hun 'do not evil' beleid is recent ook aangepast dat kun je op dit moment als programmeur beter boycotten voor je eigen veiligheid en dat van anderen als persoonlijke gegevens op het spel staan.

[Reactie gewijzigd door donderdraak op 9 oktober 2015 17:03]

Google heeft nog steeds "Don't be evil" in hun code of conduct staat. Het nieuwe moederbedrijf, Alphabet, heeft dat alleen niet overgenomen.
Google zal inderdaad niemand in de fik willen zetten.

Ze willen wel graag weten als jij het wel wilt doen. Dan kunnen ze je wat gepersonaliseerde advertenties tonen van brandbare stoffen, gasbranders, lucifers, aanstekers...
Seriously. Een jaar voor een lullig appje?
Met een appje ben je er niet, je moet natuurlijk de site aanpassen en alle aangesloten partners informeren en die ook weer de tijd geven, je en zeker met dit moet je ook goed testen. Een jaar is op zich zo gek nog niet voor zoiets hoor.

Het is alleen jammer dat ze het niet gaan halen ;)

[Reactie gewijzigd door Aikon op 9 oktober 2015 16:35]

Dat zal best meevallen, ze hebben nu ook wijzigingen in de vorm van nieuwe versies te verwerken. De authenticatie wordt ook niet op de website van de partner gedaan, maar op een server van DigiD zelf. Het toevoegen van een een nieuwe vorm van authenticatie zal voor de partners dan ook niet veel betekenen.
Je hebt helemaal gelijk. De authenticatie wordt volledig bij Logius gedaan. Wijzigingen aan die kant, SMS 2-factor authenticatie, maar ook toevoegen van TOTP veranderen helemaal niets aan de verbinding tussen Logius en de dienstaanbieder.

Het enige mogelijke probleem is dat in de koppelvlak specificatie geen voorziening is opgenomen voor TOTP. De dienstaanbieder kan het gebruik van TOTP dus niet afdwingen bij de authenticatievraag, maar Logius kan dat natuurlijk wel. OP haar beurt kan Logius kan in de authenticatie response niet aangeven dat TOTP gebruikt is.
Er zijn in de koppelvlak specs momenteel slechts vier niveaus beschreven: password-protected-transport, mobile-two-factor-contract en smartcard-PKI. De laatste is nooit geïmplementeerd.
Je moet ook de DigiD infrastructuur aanpassen en vanaf 1 maart tot mei wordt er niets aan gedaan ivm de belastingaangiften.
Heb ooit een keer meegemaakt dat ik een bug gevonden had voor DigiD voor bedrijven (wat nu niet meer bestaat). Ze hadden meer dan een maand nodig te vergaderen om drie regels code aan te passen.
Dus een jaar is nog redelijk rapjes. ;)
Het moet iets opleveren!

Je zou bijna op nationaal niveau een consortium o.i.d. moeten oprichten, zodat zij met kennis beslissingen kunnen gaan maken.
De knakkers bij de overheid zijn niet in staat om toe te geven, wanneer zij niet de juiste kennis bezitten.
Met name Opstelten was om te huilen en vind het heel erg kwalijk, dat zo'n man niet de verantwoordelijkheid neemt. (vind eigenlijk dat een gevangenis straf terecht zou zijn. beslis je kritieke zaken zonder kennis zonder verantwoordelijkheid : ga maar zitten)
Je zou bijna op nationaal niveau een consortium o.i.d. moeten oprichten, zodat zij met kennis beslissingen kunnen gaan maken.
Dat nationaal consortium is er al, dat is namelijk de overheid! En iedereen met kennis van zaken weet dat je dit soort dingen niet overhaast kunt doen.
[...]

Dat nationaal consortium is er al, dat is namelijk de overheid! En iedereen met kennis van zaken weet dat je dit soort dingen niet overhaast kunt doen.
Ik ben blij dat er nog mensen zijn die er vertrouwen in hebben dat de overheid de juiste partij is en de kennis heeft om in IT projecten de juiste beslissingen te nemen. Het is ietwat naïef, maar wel schattig...

Er zijn binnen de overheid inderdaad mensen met kennis van zaken. Helaas zitten deze mensen veelal niet op plekken waar de beslissingen worden genomen. Vaak moeten deze mensen vechten tegen hele legers beleidsmakers, die elk met een ander belang en zonder kennis van zaken proberen het schip zo te laten varen dat bij eventuele averij hun niets te verwijten valt.

Als er één organisatie bewezen heeft niet in staat te zijn met IT projecten tot een goed einde te brengen, dan is dat de overheid. Helaas, je droom in duigen...
Als er één organisatie bewezen heeft niet in staat te zijn met IT projecten tot een goed einde te brengen, dan is dat de overheid. Helaas, je droom in duigen...
Zal ik eens een gewaagde uitspraak doen, of eigenlijk helemaal niet gewaagd: de overheid doet het op het gebied van IT beter dan het bedrijfsleven. Alleen bij de overheid is elke mislukking openbaar en in het bedrijfsleven wordt het veelal weggemoffeld.
Zal ik eens een gewaagde uitspraak doen, of eigenlijk helemaal niet gewaagd: de overheid doet het op het gebied van IT beter dan het bedrijfsleven. Alleen bij de overheid is elke mislukking openbaar en in het bedrijfsleven wordt het veelal weggemoffeld.
Ik zou hiervoor graag wat onderbouwing zien, want ik vind het nogal een holle stelling zo.

[Reactie gewijzigd door resma op 12 oktober 2015 22:18]

Die kun je natuutlijk niet krijgen want niet openbaar. Die info wordt niet openbaar. Maar als je bladen als de Automatiseringgids leest dan weet je dat er best veel mislukt in het bedrijfsleven.
Dat zal ook nog wel loslopen. De echte vraag is immers op het falen van die IT projecten aan onkunde op het gebied van IT ligt, of gewoon mismanagement. Het zijn namelijk niet alleen de IT projecten die in het honderd lopen. Veel andere projecten gaan ook grandioos onderuit, gaan gruwelijk over het budget heen of blijken achteraf niet nodig, gebrekkig of gewoon slecht uitgedacht.
Binnen de overheid zijn veel te veel partijen die niet het algemeen belang, maar een eigen belang dienen. Risico vermijdend gedrag, beslissingen zonder kosten-baten analyses, het is aan de orde van de dag.
Veel welwillende ambtenaren met verstand van zaken krijgen gewoon niets voor elkaar. Afdelingen waar honderden mensen werken krijgen in 5 jaar niet voor elkaar wat bij kleine startups in het bedrijfsleven door 10 man in 1 jaar wordt gerealiseerd.
De enige manier om binnen de overheid de boel vlot te trekken is een forse personele reductie op veel plekken. Ik denk aan zo'n 50%. Vooral beleidsmakers zijn er véél te veel. Bizar gewoon. Voor de samenleving is het veel goedkoper om die mensen een riante uitkering te geven dan ze en hun loon te moeten betalen en op te draaien voor de kosten van hun wanprestaties.
Ben ik ook voor, maar ook op Europees niveau: daar doen ze soms ook rare dingen terwijl mensen uit het vak het tegenovergestelde zeggen dat goed is. Maar 'ik ben minister' dus ik zal het wel weten :)
Mensen maken fouten, mensen weten niet alles.
Iemand, die beide niet erkent, zou niet actief mogen zijn in de politiek met gevangenis als straf.
Ik zou Opstelten minimaal 6 jaar geven; zijn ontwetendheid was echt te gevaarlijk voor het land.
Ach, je hebt hem ook maar 1x per jaar nodig.
Estland loopt hier redelijk op voorop, waarom baseren we Digi-ID niet veel meer hierop? Openheid van zaken zou nederland goed doen.
http://www.trouw.nl/tr/nl...tenlanders-mogelijk.dhtml
Ik denk juist dat we helemaal niet die kant op moeten gaan en dingen pas moeten gebruiken als het privacy-technisch in orde is. Met alle beveiligingslekken die nu in Android worden gevonden en waarvan het overgrote deel niet gepatched wordt vind ik internetbankieren op zo'n toestel al een riskante onderneming. Stop daar je BSN en andere overheidszaken in en je ziet bij de eerstvolgende Android malware uitbraak een golf aan identiteitsdiefstal. Tel hier bij op de combinatie Overheid-ICT en je kunt je lol op.
Daarnaast denk ik ook niet dat mensen die nu geen sms verificatie willen omdat ze hun nummer niet aan de overheid willen geven een app gaan installeren waarmee de overheid potentieel hun hele smartphone kan uitlezen. De andere helft van de personen die geen sms verificatie hebben, hebben waarschijnlijk helemaal geen (smart)telefoon dus gaan zo'n app uberhaubt niet installeren.
De nederlandse overheid is al bezig met een vergelijkbaar concept: http://www.eid-stelsel.nl/

Maar voorlopig zullen we het met de twee traps authenticatie moeten doen :P
Met eHerkenning (voorheen DigiD voor bedrijven) lopen al pilots met het buitenland.
En weer een app... Ik heb al bijna alles van m'n telefoon gegooid omdat alleen al de google apps steeds meer geheugen vreten. Een app die ik misschien 1 keer per maand nodig heb, komt er bij mij niet op!

SMS werkt toch prima? Maak mensen niet onnodig extra afhankelijk van een smartphone.
Het is maar wat je belangrijk vindt. Ik vind 2FA erg belangrijk. Daarbij hoeft een TOTP helemaal geen resources te gebruiken als de app niet actief is. TOTP is hardstikke simpel, zo'n app kan piepklein zijn. Veel meer waarde voor de bytes die het kost dan de meeste andere apps.
Het is meer dat ik het digid niet waard vind. Ik gebruik het bij nader inzien zo'n 2 keer per jaar. Een keer voor DUO en een keer voor m'n zorgverzekering. En we hebben al sms dus ik zie nogmaals de meerwaarde van een app niet. De Rabobank vind SMS ook nog steeds veilig genoeg en dat gebruik ik heel wat vaker.
Als je het over veiligheid hebt dan moet een telefoon ook alleen kunnen bellen en smssen :) primaire functies
Als ik de woordvoerder goed begrijp werken de sms-codes dus voldoende betrouwbaar, maar zijn ze te duur? Met een app i.p.v. sms sluit je iedereen van tweetrapsauthenticatie uit die geen smartphone (of een Blackberry) heeft. Dat is voor Google en FB niet zo'n probleem, maar voor een toegankelijke overheid voor iedereen tussen 18-80 is het niet ideaal. Bovendien is sms platformonafhankelijk en werkt het ook zonder WiFi, 3G of 4G. Kortom, misschien goedkoper, maar ook minder fool- en storingsproof.
Een TOTP app heeft ook geen netwerk nodig voor gebruik. Alleen de tijd op het device moet goed gelijk lopen, that's it.
Gelijklopen met? De tijd die de provider automatisch doorgeeft via de dataverbinding.
Met de algemeen gangbare tijd, of wereldklok. Kun je eens in de zoveel tijd even syncen (in de praktijk slechts eenmalig nodig) maar heb je per gebruik zeker geen internet of netwerk voor nodig.

Zie ook Google Authenticator. Werkt altijd, ook als je geen verbinding hebt. Het protocol heeft niets met internet van doen.
Dus af en toe is syncen wel nodig. |:( |:(
Dat kun je natuurlijk ook gewoon handmatig doen. Beetje ouderwets, maar goed, als je geen dataverbinding op je telefoon hebt maakt je dat niet zoveel uit natuurlijk. TOTP kijkt echt niet op de seconde hoor, als je er een minuut naast zit werkt het ook nog wel.
Leuk, maar hoe doen ze dat met die 30% (bron uit 2013: zal inmiddels iets kleiner zijn, maar nog steeds duizenden mensen.) die geen smartphone heeft?
Die kunnen denk ik wel gebruik maken van een smscode ...
Ow zo. Ik dacht even dat ze het als vervanging aanboden, maar het is dus als aanvulling.
...fout gelezen in de thread...

[Reactie gewijzigd door friend op 9 oktober 2015 16:50]

Dat zeg ik ook niet. Ik zeg dat de smscode een alternatief kan blijven voor mensen zonder smartphone.
Die kunnen zonder afspraak naar het gemeentehuis.
Google en Microsoft bieden al apps voor tweetrapsauthenticatie bij hun diensten. Google Authenticator genereert een code, terwijl Microsoft-account een link toont waar gebruikers op moeten klikken.
Ook Microsoft heeft apps die een code genereert:

https://www.microsoft.com...uthenticator/9WZDNCRFJ3RJ

https://www.microsoft.com...uthenticator/9NBLGGGZMCJ6
De Microsoft app is ook volledig compatible met Google authenicator
Want het is allemaal TOTP/HOTP
De app zal daarmee ook een oplossing bieden voor gebruikers die hun telefoonnummer niet aan de overheid willen geven en om die reden momenteel geen tweetrapsauthenticatie gebruiken.

Als emigrant, kan ik niet eens tweetraps authenticatie gebruiken omdat men alleen Nederlandse mobiele nummers accepteert. Dat terwijl ik toch wel degelijk, het zij sporadisch, moet inloggen op overheidswebsites. Bijvoorbeeld om te kijken hoe het staat met mijn AOW.

Laten we hopen dat bij deze het dan wel mogelijk is om deze tweetraps identificatie te gebruiken.
Dat probleem heb ik ook in het buitenland. Ik woon nu tijdelijk weer in NL en als ik straks weer vertrek houd ik maar gewoon mijn mobiele abonnement voor deze functie. Die zet ik dan op 2,50 per maand zonder internet. Dan raak ik het nummer nooit kwijt i.t.t. prepaid.

Eigenlijk zou je prima een buitenlands nummer op moeten kunnen geven als je dat met dezelfde methode kunt activeren bijv door een brief via de ambassade of consulaat waar je je dan moet legitimeren voor ontvangst.
Hint: KPN prepaid. Elk half jaar een keer gebeld worden is voldoende om je nummer en je beltegoed te behouden.

Ook ideaal voor een smartphone die je alleen gebruikt voor whatsapp en inkomende gesprekken...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True