Kabinet wil inloggen bij overheid met bankpas vanaf 2017 mogelijk maken

Nederlanders moeten vanaf 2017 kunnen inloggen bij de overheid met private middelen als een bankpas of een door het bedrijfsleven ontwikkelde app. Vanaf 2018 wil het ministerie van BiZa ook inloggen met DigiD via gechipte rijbewijzen en identiteitskaarten mogelijk maken.

De nieuwe manieren van inloggen op DigiD maken deel uit van het eID-beleid, waarin de overheid en bedrijven samenwerken om meerdere inlogmethodes mogelijk te maken die werken bij zowel overheidswebsites als private sites en webshops. Dit jaar zijn die methodes voor het eerst getest en minister Stef Blok van Wonen en Rijksdienst schrijft in een brief over het verloop van de testen.

Volgens de brief zijn de pilots goed verlopen. Het kabinet wil nu per 1 oktober beginnen met de stapsgewijze introductie van de nieuwe inlogmethodes. Volgens het ministerie zouden de nieuwe manieren van inloggen 'meer zekerheid bieden over iemands identiteit' en 'voldoen aan hogere betrouwbaarheidseisen'. Daarnaast zouden de nieuwe, veiligere manieren van inloggen het mogelijk maken om diensten uit te breiden en burgers bijvoorbeeld hun persoonlijke gegevens laten inzien. Andere diensten die minder uitgebreide toegang tot de overheidsomgeving en de gegevens van de burger nodig hebben, kunnen straks ook voorzien worden van een makkelijker inlogproces.

Wat niet helemaal duidelijk is uit de brief van minister Blok is of dit straks als gevolg heeft dat burgers aanvullende apparatuur als rfid- of nfc-lezers moeten aanschaffen om thuis in te kunnen loggen op de online omgeving van de overheid, of dat deze extra uitgebreide inlogmethodes beperkt zullen blijven tot gelegenheden waarbij dergelijke apparatuur bij de hand is, zoals bij een bezoek aan een bank. Er wordt nu in ieder geval nog niet gesproken over de distributie van 'random readers voor de overheid'.

Het Bureau ICT Toetsing, oftewel BIT, heeft zich in het verleden kritisch opgesteld over de complexiteit van het programma van de overheid. Volgens het bureau zou het programma daardoor vast kunnen lopen.

Update, 16:47: ten behoeve van de helderheid en leesbaarheid is dit artikel herschreven.

Lees meer

IT Banen

Reacties (159)

sir_huxley
25 augustus 2016 15:50

In de Scandinavische landen is dit al jaren mogelijk. Het systeem heet bankID.

Ik moet zeggen dat het erg goed werkt. Je gebruikt het hier voor o.a. je belastingaangifte maar ook tal van andere diensten.
Ieder bedrijf of dienst kan zich er als het ware bij aansluiten.
https://www.bankid.no/en/company/get-started/

Ik hoop dus dat het op dezelfde manier wordt uitgerold. ofwel Inloggen met je random reader of iets dergelijks.

[Reactie gewijzigd door sir_huxley op 25 augustus 2016 15:53]

WienerBlut
@sir_huxley • 25 augustus 2016 16:11

Hier in Oostenrijk is dat precies zo: https://www.buergerkarte.at/en/applications-card.html

One Card to rule them all... Je kan ermee naar de doctor, belasting aangifte mee doen, parkeerpas aanvragen etc. etc. etc.

Armin

Netwerk en systeembeheer

@WienerBlut • 25 augustus 2016 20:54

One Card to rule them all

Dat is handig, maar helaas precies het omgekeerde van wat de Nederlandse overheid probeert te bereiken. daar is het juist "many options to rule them all".

Het idee van een pasje met daarom de DigiD koppeling zodat je al je overheidszaken kunt doen, en alle andere semi-overheids zaken ook is handig. Het is zelfs privacy-verhogend wanneer goed uitgevoerd. Immers de drankhandel hoeft niet jouw hele rijbewijs of zo te hebben, maar krijgt enkel een signaal OK vs niet-OK bij de leeftijds-check. Net zoals nu ook bij DigiD een websiet enkele en token krijgt, en je echte inloggegevens enkel bij DigiD.nl.

Het Belgische systeem werkt ook in grote lijnen zo.

Maar het idee van dit Nederlandse systeem is dat ook bankpassen en talloze andere niet-overheidszaken erin kunnen meedoen. Dat geeft allerlei extra noodzaken tot afscheiding van de verschillende mogelijkheden (niet zomaar met je bankpas bij mijn medische gegevens bijvorobeeld) en dus extra authenticatie van de verschillende achterliggende systemen (bankpas vs overheids DigiD, plus extra complexiteit inclusief inherente risico op storing etc. Het nut daarvan echter is mij tot nu toe nog nooit echt duidelijk gemaakt. Het enige wat men tot nu toe kon voorstellen is dat inloggen op een commerciele webbshop makkelijker gaat.

[Reactie gewijzigd door Armin op 25 augustus 2016 23:27]

mbb
@Armin • 29 augustus 2016 16:13

Het lijkt me hardstikke handig voor verzekeringen, want als je denkt bij hun in te loggen met je code, log je eigenlijk de verzekering bij de overheid in met je code, en dan kunnen ze meteen hun dossier updaten.

En iedereen kan een systeem aanmaken dat pasjes verkoopt, en daarvoor toegang tot dit systeem krijgen, dan een 'backup' aanmaken van iedereen. En met 1 klik (opt-out) met je Facebook syncen.
denk ik..

Anoniem: 705078
@WienerBlut • 25 augustus 2016 17:58

Waarom wordt zoiets niet op Europees niveau ingevoerd om Europa nou eens echt Europa te maken? Dit systeem lijkt mij namelijk verdomde handig, maar nu gaat de Nederlandse overheid het wiel weer opnieuw uitvinden.. hoeveel miljoen zullen we nu weer over de balk gooien met ICT? Hoeveel jaar gaat het duren voordat het eindelijk eens werkt?
Ik zeg overkopen die handel

menke
@Anoniem: 705078 • 26 augustus 2016 19:36

Hier zit wel degelijk Europees beleid achter. Doel is om uiteindelijk "cross-border mutual recognition of eID means" mogelijk te maken.

Zie https://ec.europa.eu/digi...arket/en/e-identification

Anoniem: 705078
@menke • 26 augustus 2016 20:02

Kijk, daar hebben we wat aan! $_/-\o_$

arbraxas
@Anoniem: 705078 • 25 augustus 2016 18:09

Zodra wij net zoveel wegenbelasting als de duitsers betalen en de BPM afgeschaft word.
Maw, nooit. Daarvoor zijn de verschillen tussen de landen nog veel te groot en die zie ik niet zomaar verdwijnen.

mikesmit
@arbraxas • 25 augustus 2016 20:48

De belasting druk op de burgers in nederland is groter dan welk ander land. Misschien word het toch tijd om te emigreren

sympa
@mikesmit • 25 augustus 2016 21:53

OT maar ik reageer toch: kijk toch maar eens naar de cijfers van het CBS. https://www.cbs.nl/nl-nl/...ese-unie-bijna-40-procent
Ik weet dat er meer is dan inkomstenbelasting en sociale premies, maar ik betaal 100 keer zoveel inkomstenbelasting als wegenbelasting.
En als je kijkt wat de Belgen krijgen voor hun belastinggeld... amai...

Mr. Detonator
@mikesmit • 25 augustus 2016 21:54

De belasting druk op de burgers in nederland is groter dan welk ander land. Misschien word het toch tijd om te emigreren

http://www.welingelichtek...ng-met-andere-landen.html

Viince1
@mikesmit • 26 augustus 2016 13:03

Das niet waar! Scandinavische landen zijn nog net iets erger. Maar, daar zie je daar wel wel resultaat van je belastinggeld: goede scholen, goede voorzieningen vanuit de overheid.

Hier stroomt het belastinggeld inderdaad terug naar (de bestuurders van) Orinda en Capgemini via falende/corrupte IT-projecten.

Anoniem: 704848
@WienerBlut • 25 augustus 2016 17:25

One card to loose it all! ;-) Ik kan me nog een pilot herinneren in de jaren 90 op de Universiteit Twente met de OV kaart die ook college kaart, kopieerkaart en lunchkaart was. Heeft 2 jaar geduurd en daarna heb ik er niets meer over gehoord. En nee ik ga geen chip in mijn lichaam laten implanteren. Ze verzinnen maar mooi wat anders.

teacup
@Anoniem: 704848 • 26 augustus 2016 07:47

Waarom geen chip? Volgens mij toch echt de enige logische oplossing, en dat prikje daar kom je wel overheen. Al die losse spullen is het hopeloos rondschuiven van het probleem. Wat mij dwarszit is dat die objecten (wat het ook wordt) steeds aantrekkelijker worden om te stelen met al die combinatiefuncties. Ik lees een dergelijke oplossing als een gemak voor de betrokken organisaties, maar als een risico voor haar gebruikers.

Ik begrijp echt niet dat er niet vol wordt ingezet op biometrie. Zou je verschillende biometrische metingen met elkaar combineren, dan wordt dat steeds moeilijker om te faken. Een chip in toevoeging hierop kan ook worden gebruikt voor opslag van het eigen EPD, zodat die informatie ook niet verspreid opgeslagen ligt in allerlei medische databases op naar mijn verwachting slecht beveiligde locaties.

Voor iedereen die de neiging heeft om biometrie niet als veilig genoeg te noemen, wil ik de vraag stellen of een bankpas dan moeilijker te omzeilen is? Ook biometrie is nog te combineren met een pin of andere codes. Meerdere biometrische kenmerken tegelijkertijd scannen zou die meerfactorbeveiliging toch al vertegenwoordigen? Ik kan wel een reden verzinnen waarom biometrie niet enthousiast wordt omarmd, het is duur, en misschien is de techniek nog niet helemaal volwassen, zolang een klein percentage mensen nog niet worden herkend. Maar duw er dan wat harder tegenaan, in plaats van de energie verliezen in heilloze tussenoplossingen.

ZeKritik
@teacup • 26 augustus 2016 10:41

Irisscan is te faken met hoge resolutiefoto van het oog (of mogen we nooit meer goed in de camera kijken tijdens een foto?). Vingerafdruk is nog makelijker te kopiëren ben behulp van een vingerafdruk (of mogen we niks meer aanraken?). Het grootste probleem met biometrics is dat de data wordt opgeslagen (zoals je foto en vingerafdruk door de VS bij de grens en ze willen niet zeggen wat ze met die data doen en hoe lang ze het bewaren), en je nooit meer je "inloggegevens" kunt wijzigen als de beveiliging een keer op straat komt te liggen (USB stick, hack, etc.). Zelf DNA is al een tijdje te kopiëren. Dus biometrische inloggen is leuk voor Facebook met iOS enzo, maar juist daarom volstrekt onveilig. Tenslotte is mijn privacy en gezondheid mij meer waard dan hele veilige belastingaangifte.

AlienFrank

@ZeKritik • 26 augustus 2016 14:40

Fujitsu heeft een handpalm scanner gemaakt die dacht ik ook kan zien of bloed circuleert (weet ik niet zeker meer) http://www.fujitsu.com/us/solutions/business-technology/security/palmsecure/
Op die manier is het dus niet mogelijk om biometrische gegevens te faken lijkt me? Of is daar ook alweer een hack op gevonden?

ythehunter
@AlienFrank • 26 augustus 2016 16:06

Het probleem van al deze technologie is dat ze nooit direct kunnen meten of er bloed stroomt/een vinger op de scanner ligt/een oog voor de scanner gehouden wordt/etc. Ze nemen altijd een checklist waar iets aan moet voldoen (bijv ze voelen dat er een vloeistof in bepaalde banen, met een bepaalde snelheid stroomt; dat moet aangeven dat er bloedsomloop is) maar als je er maar genoeg tijd en geld insteekt kan je altijd een namaak maken die aan de specifieke checklist voldoet.

Timoo.vanEsch
@teacup • 26 augustus 2016 20:36

Omdat ik bijvoorbeeld mijn digitale identiteit (wat een cultureel iets is) ab-so-luut niet wil vereenzelvigen met mijn lichaam?
Of omdat ik regelmatig van land verander?
Moet ik dan telkens een nieuwe chip laten implanteren?
Of dat ik het een serieuze bedreiging vind dat die chips (rfid) te tracen zijn, whereever I go?

Neen, dank je de koekoek.
Ik wil graag in het bos kunnen verdwalen, zonder dat Google weet waar ik sta... Dat is een basisbehoefte van mij en voorlopig nog mogelijk. Na zo'n chip implantaat is dat voorgoed verleden tijd. Neen dank u.

Edit: nog iets. Nu stelen ze je portemonnee. Dan snijden ze een stuk uit je vel. Lekker; dan liever mijn portemonnee kwijt!

[Reactie gewijzigd door Timoo.vanEsch op 26 augustus 2016 20:37]

Anoniem: 704848
@teacup • 29 augustus 2016 09:46

@teacup Principle bezwaren. Iets met eerste artikel van onze grondwet waarin mijn recht op lichamelijke zelfbeschikking is gedefinieerd. Ik wil geen technologie in mijn lichaam. Ik wil het mss overwegen als het mijn leven kan redden, maar in deze samenleving waarin we toch al 24/7 worden gemonitord wil op zijn minst de optie hebben om zo af en toe off the grid te gaan en met zo'n chip in je wordt dat een onmogelijkheid. Daarmee zijn voor mij persoonlijk de praktische issues non-issues.

Anoniem: 704848
@teacup • 29 augustus 2016 09:47

Ik vind het argument dat je je moet laten chippen omdat de huidige alternatieven ook niet veiliger zijn een heel gevaarlijk argument. Dat klinkt als waarom spring jij ook niet in de sloot als de rest dat toch ook doet.

Melantrix

@WienerBlut • 25 augustus 2016 16:20

Waar ik dan even naar benieuwd ben, Wat gebeurd er als die ene kaart verloren gaat (aan de wc of aan een dief, dat even terzijde). Ik neem aan dat je dan nog wachtwoord e.d. nodig hebt om verder te komen, maar was wel benieuwd hoe dat dan precies gaat?

flippy
@Melantrix • 25 augustus 2016 16:26

bij verlies of diefstal word de geldigheid ingetrokken en kan je er niks meer mee, net als je bankpas.

Melantrix

@flippy • 25 augustus 2016 16:31

Maar tussen daadwerkelijk verlies en melding van verlies zit vaak een significante periode waarin je het systeem kan misbruiken. Ik neem dus aan dat de pas als tweede factor wordt gebruikt en je dus nog inlog gegevens nodig hebt, maar ik kan me voorstellen dat bij een groep gebruikers de inlog gegevens niet ver van hun pas zijn, aangezien de pas zo belangrijk is om overal in te loggen...

WienerBlut
@Melantrix • 25 augustus 2016 16:34

Je hebt net als bij SMS signatuur een password nodig.

Hier een linkje: https://www.buergerkarte.at/en/functions-card.html bij Step 2...

En oh, als je de kaart krijgt moet je hem nog wel even laten activeren bij bijv. het postkantoor... net als de activatie van je telefoon nummer.

edit: link toegevoegd
edit2: activatie

[Reactie gewijzigd door WienerBlut op 25 augustus 2016 16:39]

bozk
@flippy • 25 augustus 2016 16:35

Dan nog zal je daar snel achter moeten komen. Als ie gestolen is en je had hem laatste 48 uur niet nodig?

TheVMaster
@Melantrix • 25 augustus 2016 17:29

Beetje vergelijkbaar met je paspoort of rijbewijs...bij verlies wordt die ongeldig gemaakt.

Mizgala28
@sir_huxley • 25 augustus 2016 15:57

Dit soort systemen kunnen ook perfect werken, het is dat onze overheid en ICT gewoon niet samengaan.

Anoniem: 795373
@Mizgala28 • 25 augustus 2016 16:01

Helemaal mee eens. Het zijn misschien harde woorden maar ware woorden. Voor wie dit betwijfelt, kijk maar eens naar de volgende uitzendingen van Zembla.

http://zembla.vara.nl/dossier/uitzending/wie-is-de-mol
http://zembla.vara.nl/dos...ing/wie-is-de-mol-deel-ii
http://zembla.vara.nl/dossier/uitzending/de-spaghetticode

Zeker leuk om te kijken voor mij als ICT leek, helemaal leuk dus als ICT je werk is.

[Reactie gewijzigd door Anoniem: 795373 op 25 augustus 2016 16:01]

field33P
@Mizgala28 • 25 augustus 2016 16:46

Privébedrijven schijnen niet exact veel beter te zijn (hoewel ze wel een hele goede reden hebben om het te laten werken), het verschil is alleen dat iedereen verplicht is om overheids-ICT te gebruiken op de een of andere manier, en dat het op gemeenschapsgeld draait.

ZeKritik
@field33P • 26 augustus 2016 11:05

Waar het om gemeenschappelijke gaat zouden alleen opensource projecten toegestaan mogen zijn zodat het publiek er op mag schieten en meebeslissen wie de aanbesteding mag winnen. Beginnens met publieke evaluatie van het technisch ontwerp als onderdeel van de Rfx. Voorkom je dat een ambtenaar met te weinig verstand van zaken of te intieme persoonlijke relatie of voorkeur partij kiest. Dat proces kan en moet transparanter dan nu het geval ik.
Tenslotte zouden projecten met publieksgeld altijd fixed price moeten zijn en risico's volledig bij opdrachtnemer moeten liggen. Iedereen weet dat overheden te makkelijk hun portemonnee trekken. Er zijn daarom zat bedrijven die allemaal in de rij staan om overheidsinstellingen als klant te mogen hebben dus genoeg bedrijven die bereid zouden zijn fixed price te werken. Tenminste voor gelijkblijvende functionaliteit. Functionele wijzigingen duiden op slechte inschatting en komen voor rekening van opdrachtgever. Agile is prima als implementatiemethode maar niet voor verrekening van openbare aanbestedingen. Nu worst er vaak bewust te laag geboden en uiteindelijk 3x meer gevraagd dan het tweede bod dat de aanbesteding heeft verloren. Het is bron van veel corruptie en geldverspilling.

field33P
@ZeKritik • 27 augustus 2016 11:14

Waar het om gemeenschappelijke gaat zouden alleen opensource projecten toegestaan mogen zijn zodat het publiek er op mag schieten en meebeslissen wie de aanbesteding mag winnen

Ik denk dat je hier de meeste Nederlanders niet mee kan boeien.

Tenslotte zouden projecten met publieksgeld altijd fixed price moeten zijn en risico's volledig bij opdrachtnemer moeten liggen

Dit zeker. Of op basis van een DBFM-contract, waarbij er alleen betaald wordt bij resultaten.

jeroen_loeffen
@Mizgala28 • 25 augustus 2016 16:11

Het zou fijn zijn als ze een keer zouden zeggen: "goh, bij jullie werkt dat goed, mogen wij dat kopen?" in plaats van "we hebben de klepel zien hangen dus we kunnen dat zelf ook wel "

tweaker2010
@jeroen_loeffen • 25 augustus 2016 16:55

Punt is dat de onderliggende systemen anders zijn dan in het buitenland. Het is geen kwestie van een complete oplossing van de plank pakken. Nee het moet weer op speciale eisen worden ingericht en uiteindelijk wordt het weer een duur stukje maatwerk.

jeroen_loeffen
@tweaker2010 • 26 augustus 2016 10:31

Ik twijfel er niet aan dat het duur maatwerk wordt [met de nadruk op duur :-)] Ik bedoel voornamelijk dat ze niet vanaf scratch moeten beginnen met ontwikkelen en nadenken, maar een format pakken waarvan de basis stabiel is en de stomste fouten en kinderziektes al uit zijn. Juist omdat het altijd groter en ingewikkelder wordt dan je denkt kun je in het beginfase niet het eindtotaal overzien. Als je die stap over kunt slaan, bespaar je je tijd, geld en gezichtverlies...

ZeKritik
@tweaker2010 • 26 augustus 2016 10:53

Onderliggende systemen zijn ook slecht en zijn dezelfde maffiabedrijven die ook nu weer dit idee zo breed mogelijk verkopen aan ambtenaren die zich een oor laten aannaaien door grote bedrijven in snelle pakjes maar van te voren al van plan zijn om de projecten uit te laten lopen en 3x duurder te laten worden en daarna opnieuw te beginnen. Dat is het grootste probleem met openbare aanbestedingen van de overheid. Ene wie die partijen zijn die het gaan bouwen weet ik al, zijn altijd dezelfde oplichters. C.. K..

Jeroenneman
@Mizgala28 • 25 augustus 2016 16:00

Overigens is het daar ook begonnen als systeem van de banken, dus zonder overheidsbemoeienis.

wisselwerking
@Mizgala28 • 25 augustus 2016 16:39

Dat is niet alleen aan onze overheid voorbehouden. Zie https://en.wikipedia.org/..._custom_software_projects

477666
@Mizgala28 • 25 augustus 2016 16:25

Ook voor gamen

Remcoww
@sir_huxley • 25 augustus 2016 17:01

Dat is onder andere wat hiermee bedoeld wordt, banken bieden momenteel iDIN aan (https://www.idin.nl/), wat in webshops gebruikt kan worden. De overheid gaat het nu dus mogelijk maken dat dergelijke (niet door de overheid geleverde) methoden gebruikt worden om wel bij de overheid te identificeren. Ik neem aan dat het ook andersom werkt, en dat bijv. DigiD straks bij verzekeraars/woningbouwcorporaties etc. gebruikt kan worden.

DonChaot
@Remcoww • 25 augustus 2016 17:33

Dat kan al, je kan bijvoorbeeld bij CZ met je digid inloggen.

Cbr

@DonChaot • 25 augustus 2016 19:37

Dat komt omdat zij een publieksrechtelijke taak uitvoeren, de verzekeraar van je fiets kan nog geen gebruik maken van Digid.

ArtGod
@sir_huxley • 25 augustus 2016 16:46

Gebruikt Facebook dit systeem bijvoorbeeld in Scandinavië als authenticatie systeem?

sir_huxley
@ArtGod • 25 augustus 2016 17:10

Nee. Facebook is gewoon de normale Facebook login.

Het is helemaal niet zo'n dwingerig systeem.
Stel je wilt bij een Noorse overheidsinstantie (nav.no) inloggen. Je kunt dan kiezen voor bankID of het eigen inlogsysteem van de site zelf.
Kies je voor het eigen inlogsysteem dan kan je wel van een aantal delen van de site gebruik maken, maar je kunt bijvoorbeeld niet formulieren digitaal ondertekenen.
Je zult die dan moeten afdrukken en daarna met de post op moeten sturen.
Heb je echter bankID dan kun je online het formulier ondertekenen.

Het is dus je vrije keus.
Ik ben overigens enkel maar serieuze sites tegengekomen die dit systeem gebruiken.

Edgarz
@sir_huxley • 25 augustus 2016 18:21

De Nederlandse banken zijn hier ook al mee bezig. Ook in combinatie met diverse API's voor PSD2 en eCommerce toepassingen.

DAzN
@sir_huxley • 25 augustus 2016 18:54

Ter aanvulling.

BankID på mobil (BankID via je mobiele telefoon) is er nu ook. Een certificaat wordt geinstalleerd en gekoppeld aan je sim-kaart. Wanneer je wilt inloggen bij de overheid of willekeurig welke instelling deze dienst gebruikt, krijg je een random-code naar je telefoon gestuurd die je vervolgens moet goedkeuren.

Dit geldt voor bankhandelingen, overheid, maar ook andere zaken. Ik heb dus de volgende gegevens nodig in Noorwegen om in te loggen bij mijn bank:
- BankID på mobil (of een random reader)
- mijn persoonsnummer, dat je (net zoals BSN bedoeld was) zo min mogelijk deelt
- mijn mobiele telefoonnummer

Om BankID de eerste keer te activeren, dien je jezelf te legitimeren op het postkantoor. Vervolgens is jouw bank verantwoordelijk voor de verdere afhandeling.

Werkt prima.

Sircuri
@sir_huxley • 26 augustus 2016 12:44

Geweldig. En Nederland gaat dus het wiel weer opnieuw uitvinden? Als het in landen als Noorwegen en Zwitserland al zo werkt, waarom moet het dan weer hier onderzocht worden en getest worden.

hackerhater

@Sircuri • 26 augustus 2016 13:12

NIHS

JPDeckers
25 augustus 2016 16:36

Ik heb meegedaan met de eerste proef, met een eRijbewijs: kreeg een rijbewijs met RFID erin en een losse lezer. Kon daarmee inloggen bij digid sites. Moest wel een plug-in in Chrome en IE worden geïnstalleerd, en driver voor lezer...

Zodat ik bijv.
* niet meer op m'n iPad (waar ik 99% van m'n online gebruik op doe) kon digid-en
* maar moest vertrouwen op de plug-in
* op zoek moest naar eRijbewijs , hardware lezer en laptop als ik wilde inloggen
* geregeld niet meer kon inloggen als IE of Chrome was ge-update, moest toch weer ergens bij hun worden aangepast

Al met al een leuke proef, maar al snel weer met m'n gewone digid ingelogd.

RobinF
@JPDeckers • 25 augustus 2016 17:07

Zo klinkt het ineens toch heel omslachtig. Persoonlijk ben ik meer dan van het Random Reader idee waarbij je een code krijgt die je invult op de website (waardoor het op praktisch elk apparaat werkt)

Q-collective

25 augustus 2016 16:03

Erg interessant. Als dit systeem in de lucht is, is het dan mogelijk om op een veilige manier anoniem te stemmen?

Om te illustreren wat ik bedoel, een gedachte experiment van verkiezingen over een paar jaar:
1. Je opent de website (of app) stemmen.nl
2. Je wordt gevraagd om in te loggen, je gebruikt de Touch ID van je iPhone om in te loggen. Omdat Apple de login regelt, kan deze uniek en anoniem gebeuren.
3. Je brengt je stem uit.

Zou dat kunnen?

Edit 26-8-2016 14:45
Omdat ik mezelf wellicht wat onduidelijk heb neergezet, zie ik meteen veel "kan niet" reacties. Daarom heb ik even een kort plaatje in elkaar gezet over mijn voorbeeld. Volgens mij wordt hier gewoon voldaan aan unieke, anonieme en betrouwbare stemming. Waar gaat mijn denken dus mis?

Ik vind het wel een aardig gedachte experiment.

[Reactie gewijzigd door Q-collective op 26 augustus 2016 14:44]

Yariva
@Q-collective • 25 augustus 2016 16:27

Elektronisch stemmen zal nooit (wie weet ooit maar ik zet mijn geld er niet op) integriteit van de stemmer 100% kunnen verzekeren.

Jij logt in met je iphone met je vinger. Wie zegt dat jij je iphone dan niet aan mij geeft zodat ik jou stem kan gebruiken. Dit soort dingen halen de hele integriteit van stemmen onderuit.

RobinF
@Yariva • 25 augustus 2016 16:59

Elektronisch stemmen zal nooit (wie weet ooit maar ik zet mijn geld er niet op) integriteit van de stemmer 100% kunnen verzekeren.

Jij logt in met je iphone met je vinger. Wie zegt dat jij je iphone dan niet aan mij geeft zodat ik jou stem kan gebruiken. Dit soort dingen halen de hele integriteit van stemmen onderuit.

Let wel dat Elektronisch stemmen ook in een stemhokje kan. Dan misschien niet met je eigen telefoon (of juist wel) maar bijvoorbeeld met zo'n stemcomputer.

Yariva
@RobinF • 25 augustus 2016 17:05

Maar dan nog heb je een paar miljoen internet gebruikers die naar de pakketjes kunnen kijken en manipuleren. Je vergroot alleen maar je attack surface, waarbij wij met het huidige systeem maar een aantal mensen hebben die inzage krijgen in de stemmen op locatie.

Sircuri
@Yariva • 26 augustus 2016 12:50

Dat is iets wat ik niet begrijp. Waarom via internet? Een stemcomputer kan toch puur als losse computer in een stemhok staan? Niks verbinding met internet. Gewoon aan het einde van de dag de stemcomputer ophalen en uitlezen door fysiek een kabel te koppelen of iets dergelijks. Ik zie niet goed hoe dit onveiliger zou moeten werken dan een kliko container met een slot erop die ook na de stemronde wordt leeggemaakt en geteld.

hackerhater

@Sircuri • 26 augustus 2016 13:15

Omdat je niet kan garanderen dat er niet met die pc's geknoeid is.
Voor de rest : zoekfunctie. Deze discussie is al vaak gevoerd.

Sircuri
@hackerhater • 26 augustus 2016 13:44

Ja natuurlijk is deze discussie al vaak gevoerd. Wat wil je daarmee zeggen? Tweakers sluiten? Elke discussie is al eens eerder gevoerd.

hackerhater

@Sircuri • 26 augustus 2016 13:45

Dat ik geen zin heb de argumenten te herhalen.

unglaublich
@Yariva • 26 augustus 2016 10:31

Ach, ik kan toch ook met het rijbewijs en de stemkaart van m'n huisgenoot naar binnen wandelen bij het stembureau of valse stembiljetten deponeren? Altijd dat cliché dat digitaal stemmen nooit wat wordt... Analoog stemmen is net zo onveilig maar onterecht vertrouwd.

Yariva
@unglaublich • 26 augustus 2016 10:53

- De laatste keer dat ik checkte stond er een foto van je huisgenoot op dat rijbewijs, wat de eerste identificatie stap niet mogelijk zou moeten maken. Tenzij je gemachtigd bent tot het uitbrengen van zijn / haar stem, maar dit is dan ook met toestemming gegeven.

- Valse stembiljetten zou je, in theorie, niet kunnen dumpen omdat deze gewaarborgd zijn door het personeel. Hiernaast zijn er een beperkt aantal stembiljetten voor het dorp / de stad / de whatever wat jou 200 stembiljetten overhandigen erg lastig maakt. Dan blijft de optie tot het thuis uitprinten van 40.000 stembiljetten nog over, deze meenemen naar het lokale stembureau en deze hier, zonder dat iemand dit ziet, dumpen in de lokale stem container.

Ik persoonlijk vindt het gemakkelijker om het internet af te sniffen op zoek naar data pakketjes met destination IP = stemserver. Easy peasy waarbij niemand op je let.

Natuurlijk is het systeem niet 100% waterdicht, maar waarom zou je het huidige systeem op de schop nemen voor iets met minder garantie op integriteit.

/troll modus
Bovendien zou ik persoonlijk mijn stem liever toe vertrouwen aan een 86 jarige bejaarde dan aan de ICT systemen van de overheid. Maar dat is een ander verhaal

/end troll

unglaublich
@Yariva • 26 augustus 2016 11:06

Ja, sterk gefundeerde uitspraak: het internet afsniffen naar pakketjes met bestemming stemserver is makkelijk....

Waarom zouden alle internationale banken dan digitaal en over het internet werken terwijl het allemaal zo onveilig is en makkelijk af te luisteren?

Denk je dat het banken minder kan schelen als er wat gebeurt met mega transacties dan overheden met stemmen? Toch doen banken het al jaren via internet...

Dorank
@unglaublich • 26 augustus 2016 11:55

Het stem process dient anoniemiteit te garanderen voor de uitgebrachte stem (het enige wat iemand weet is of ik mijn stempas gebruik heb, of geldige stem heb uitgebracht weet niemand anders dan ik). Een banktransactie is het tegenovergestelde, de bank doet z'n uiterste best om de identiteit te verfieeeren en door te geven aan de keten.

Het ouderwets stemmen is inderdaad niet waterdicht, het aanpassen van 1 enkele stem is niet zo'n probleem als je in een huis woont met meerdere stemgerechtigden. Maar als je meer wil frauderen heb je een schaal probleem. Je moet voldoende stembiljetten regelen/stemmen ronselen. Je moet de stemcommissie omkopen en dat in een voldoende aantal stemkantoren.

Als ik bij een ISP werk is het simpel om een MitM te implementeren. Met wat injecties in onversleutelt verkeer kan ik een CA installeren bij mijn klanten etc, etc. Zeker het is niet simpel en hopelijk onmogelijk, maar 1 persoon kan op deze manier duizenden stemmen beinvloeden als er 1 zwakheid de keten zit.

Dorank
@Q-collective • 25 augustus 2016 16:52

Zou dat kunnen?

Heel kort en krachtig: nee.

Iets langer: het is onmogelijk om digitaal een anoniem stemprocess te garanderen zoals we dat nu kennen. En om onze democratie te garanderen heb je een volledig anoniem stemprocess nodig.

90710
@Dorank • 25 augustus 2016 17:45

Ja, en ondertussen maken mensen #stemfies in het stemhokje. Ik denk niet dat de stemhokjes moeten verdwijnen, maar ik vind wel dat er een mogelijkheid moet komen om online je stem uit te brengen. Helemaal in gemeenten waar er maar een klein aantal stemlokalen zijn en je soms uren in de rij staat. (zie referendum)

Cbr

@90710 • 25 augustus 2016 19:21

OT wellicht, maar: Ook na een stemfie (onder dwang bijvoorbeeld) kun je alsnog je eigen stem uitbrengen. Je hebt bij inlevering van je eerste stembiljet recht op een tweede (bij een vergissing bijvoorbeeld).

GekkePrutser

Politiek en recht

@Q-collective • 25 augustus 2016 16:27

Het is alleen anoniem als Apple niet meewerkt je gegevens te delen. Dus het is geen garantie op anonimiteit, het staat of valt met het vertrouwen in een commercieel bedrijf. Meerdere commerciele bedrijven zelfs, want niet iedereen heeft een smartphone van Apple.

Plus dat er een tweede reden is voor de stemhokjes en dat is dat er niet iemand achter je staat om je te dwingen om op persoon X te stemmen. Dat probleem ondervang je hiermee totaal niet.

Persoonlijk kies ik liever voor zekere anonimiteit m.b.v. de stembriefjes van nu, dan te hoeven vertrouwen op commerciele bedrijven die gedwongen kunnen worden om mee te werken en zelfs verboden kunnen worden om hierover te spreken.

itarix
@Q-collective • 25 augustus 2016 16:15

Het lijkt mij onwenselijk dat een externe partij zoals Apple dit gaat regelen. Als het echt anoniem is hoe weet je dan zeker dat iedere stem van een unieke persoon af komt?
politieke partij X belooft verplichte garantie op consumenten electronica te verkorten naar 3 maanden. = 300000 valse stemmen van Apple / andere externe partij

.

Zonder stemhokje zijn er ook nog andere problemen zoals mensen tijdens het stemmen onder druk zetten.

watercoolertje
@itarix • 25 augustus 2016 17:25

Daarnaast ben je volgens zijn voorbeeld niet volledig anoniem, Apple kan prima zien wie je gekozen heeft...

Nee dit soort dingen moet je eigenlijk al niet via internet willen en zeker niet verwachten dat commerciele partijen uit de USA de data strikt geheim gaan houden...

mashell

Politiek en recht

@Q-collective • 25 augustus 2016 16:29

Het kan niet want een derde kan weten wat je stemt. Maar waarom is er überhaupt de wens online te gaan stemmen? Zou het echt een grotere deelname brengen? Is 3x per jaar (in een slecht jaar) naar een stemhokje gaan teveel moeite. Misschien voor ouderen wel maar dat is nou ook niet de doelgroep die erg handig online is en als kleinzoon moet helpen met stemmen dan gaan er vast verdacht veel senioren piratenpartij stemmen. Zelfs voor mensen die ver weg wonen zijn er nu al oplossingen.

RobinF
@mashell • 25 augustus 2016 17:02

Het kan niet want een derde kan weten wat je stemt. Maar waarom is er überhaupt de wens online te gaan stemmen? Zou het echt een grotere deelname brengen? Is 3x per jaar (in een slecht jaar) naar een stemhokje gaan teveel moeite.

Persoonlijk denk ik van wel. Zelf zou ik wel stemmen via mijn telefoon of laptop terwijl ik nu niet de moeite neem om naar zo'n stemlokaal te gaan.
Dit is voor mij vooral omdat wanneer ik stem ik bijna niets wijzig aan het resultaat. Als ik hier dan een grote moeite voor moet doen, doe ik het niet. Maar zodra het stemmen zelf minder moeite is (oftewel, niet meer heen fietsen) zou ik wel stemmen gaan.

Sircuri
@RobinF • 26 augustus 2016 12:55

[...]

Dit is voor mij vooral omdat wanneer ik stem ik bijna niets wijzig aan het resultaat.

Als iedereen zo denkt, gaat er inderdaad niets veranderen. Daar gaat dus stemmen via internet voor jou ook niets aan veranderen. Want die moeite ga je niet nemen, omdat je vindt dat je stem niets uithaalt.

Dit is wel een van de redenen dat altijd de gevestigde orde verkiezing na verkiezing de meerderheid krijgt. Als er namelijk een stemplicht zou komen in Nederland, is de kans volgens mij vele male groter dat bijvoorbeeld een PVV de grootste wordt.

hackerhater

@RobinF • 26 augustus 2016 13:21

Dit snap ik persoonlijk niet.
Wat is de moeite om even langs te gaan die paar keer.
Als ik thuis werk fiets ik even langs, anders vertrek ik 10 min eerder en stop onderweg bij een stemlokaal

Anoniem: 781685
@Q-collective • 25 augustus 2016 16:16

als de overheid wat aanbesteed word het onbeschoft duur .
en het werkt van geen kant .
met de spin in het web Ordina
meerdere mogelijk heden .
meerdere manieren om de boel te hacken
ik heb totaal geen vertrouwen in de overheid

sympa
@Q-collective • 25 augustus 2016 22:02

Als je Apple vertrouwt... maar er moet wel een mechanisme zijn dat je geen 2 keer kan stemmen.
Als het alleen gaat om het inloggen op een site is het een stuk makkelijker. Je vertrouwt je 'identity provider' (in jouw geval Apple, ik zou eerder een Nederlandse bank kiezen) en je geeft bij het inloggen opdracht om aan de belastingdienst je volledige identiteit door te geven. Bij Tweakers zou ik dan kiezen voor 'geef een voor deze site uniek ID' - dan herkent Tweakers dat 'ik het ben' en herkent me.
Probleem is natuurlijk dat er altijd terug te halen is 'wie ik ben'. Dat vind ik niet erg voor Tweakers. Maar als het om verkiezingen gaat moeten we toch een stuk strenger zijn.
Je zou op deze manier prima veilig kunnen inloggen op Facebook. Met je bankpas. Zonder wachtwoorden te onthouden.

GekkePrutser

Politiek en recht

25 augustus 2016 16:20

Slecht idee.. Ik wil me helemaal niet overal bij zomaar elke website hoeven identificeren.

Als elke site dit straks kan gaan vereisen, kan je niets meer anoniem doen. Of onder een valse naam. Zo heet ik bijvoorbeeld niet echt 'Gekke Prutser'. Maar de meeste mensen gaat het niets aan wie ik wel ben. En de rest krijgt dat wel van mij zelf te horen.

Dit programma zou beperkt moeten zijn tot websites die daadwerkelijk je gegevens nodig hebben. De bank. Eventueel misschien een webshop maar zelfs die gaat het eigenlijk niets aan wie je echt bent, als je maar gewoon betaalt. Ik zie het voorbeeld van bijv. de slijter die alleen te zien krijgt of je boven de 18 bent en niet je geboortedatum. Maar ik mis een manier waarop je zelf kan bepalen wat je met wie deelt. Het zou niet elk forumpje of dingen als Facebook en Google e.d. moeten omvatten. Die maken al genoeg misbruik van de gegevens die ze hebben.

Overigens niets mis met 2FA (ik gebruik zelf ook smartcards voor de inlog op mijn servers), maar het feit dat het onlosmakelijk gekoppeld zit aan je identiteit vind ik een probleem.

[Reactie gewijzigd door GekkePrutser op 25 augustus 2016 16:22]

corset
@GekkePrutser • 25 augustus 2016 16:27

Voorlopig gaat dit ook alleen om de sites waar je al DigiD voor nodig hebt. Of ontwijk je deze ook omdat de overheid je dan kan volgen?

Ik zie echt geen problemen met dit systeem. Dat hele paranoïde privacy geneuzel snap ik nu ook wel. Maar ga nou niet bij elk idee roepen dat je "zo geschend wordt in je privacy"

GekkePrutser

Politiek en recht

@corset • 25 augustus 2016 16:30

Je zegt het zelf al: voorlopig. Er staat duidelijk in het artikel dat andere sites ook gewoon mee kunnen doen en de volgende stap is natuurlijk dat je niet meer in kan loggen op forum "X" zonder dit systeem. Als je denkt dat dit niet gebeurd: Zie bijvoorbeeld the post online waar je niet meer anoniem kan reageren, je moet dat doen via Facebook (en Facebook bant je als je niet je echte naam gebruikt). Ik kan me voorstellen dat ze daar al staan te likkebaarden bij dit systeem.

Dus ja ik vind het wel degelijk een stap in de richting van het schenden van de privacy (en bovendien de zoveelste). Bedenk ook dat dit plan niet op zichzelf staat, er wordt ook druk gezet op het aanbrengen van achterdeurtjes in chat apps zoals de laatste weken al meermalen in het nieuws is geweest.

De combinatie van die twee dingen maken dat het onmogelijk wordt om te verbergen wie met wie communiceert en wat er gezegd wordt. Dat vind ik wel degelijk een probleem.

Het is bovendien ook makkelijk te ondervangen: Verkoop ook gewoon anonieme inlogkaarten die net zo werken als de chip in een identiteitsbewijs zonder dat er een echte identiteit aan gekoppeld zit. Die kan je dan gebruiken voor de diverse fora en je echte identiteitskaart alleen voor gebruik met overheidsdiensten houden.

[Reactie gewijzigd door GekkePrutser op 25 augustus 2016 16:35]

corset
@GekkePrutser • 25 augustus 2016 16:32

Mee kunnen doen. Dus niks geforceerd. Als zo'n site dus mee doet, kiezen ze er 100% zelf voor.

Maar goed, doemdenken en paranoïa gaan goed samen hierin. Ik heb liever een wat realistisch beeld. Ik weet dat het kan veranderen, ik weet ook dat ik die sites dan gewoon niet hoef te gebruiken.

En nu al gaan klagen omdat het ooit zo zou kunnen gebeuren.. altijd makkelijk achter een toetsenbord, maar ik zie precies 0 van de privacy klagers ook echt stappen ondernemen ertegen.

GekkePrutser

Politiek en recht

@corset • 25 augustus 2016 16:43

Niks geforceerd vanuit de overheid. Maar je geeft elke website de mogelijkheid om identificatie te eisen. Een mogelijkheid die ze op dit moment praktisch gezien niet hebben. Of heb jij een kopie van je paspoort op moeten sturen voordat je je op een discussieforum aan kon melden? Hier geef je ze die mogelijkheid op een presenteerblaadje.

En wat voor stappen zou ik dan moeten ondernemen vind je? Behalve er tegenin gaan in discussies, het steunen van privacy organisaties (bits of freedom met name) en stemmen op (en lid zijn van) een partij die de privacy hoog in het vaandel heeft (de SP) kan ik niet zoveel doen.

[Reactie gewijzigd door GekkePrutser op 25 augustus 2016 17:00]

bwerg
@corset • 25 augustus 2016 17:11

Er worden genoeg alternatieven ontwikkeld die gezien kunnen worden als stappen naar verbetering. Leuk, die keuze, maar als je vanuit de overheid een systeem opzet mag je wel wat hogere eisen stellen. Dat de belangen van betrokken partijen (bedrijven, overheidsinstellingen, burgers) goed bekeken worden en goed in de infrastructuur verwerkt zit.

Als de overheid een Facebook 2.0 maakt, dan is dat toch ook niet prima onder het mom van "het hoeft niet"? Als het niet de juiste belangen vertegenwoordigt is het geen overheidstaak.

[Reactie gewijzigd door bwerg op 25 augustus 2016 17:16]

sympa
@GekkePrutser • 25 augustus 2016 22:11

Als de inlog-portal goed gebouwd is kan je opgeven wat je doorgeeft aan de site waar je naar toe gaat. Je moet de inlog-portal daar wel in vertrouwen. Al zou dat gedeelte ook in de chipkaart gestopt kunnen worden (maar dan moet je de maker van de chipkaart weer vertrouwen...).
Misschien moet het wel zo:

per site waar je pseudoniem op wil inloggen wordt een ID gegenereerd
dit pseudoniem wordt in de chipkaart gestopt en het komt er alleen uit bij communicatie met de bewuste site
uiteraard alleen als de chip is vrijgegeven met een pin
de inlogportal kan niet bij het pseudoniem komen; dat loopt versleuteld tussen chip en site waarOP je inlogt

fantafriday
25 augustus 2016 15:49

Dus iemand steelt mijn ID en mocht ervoor gekozen hebben mijn ID als inlog te gebruiken krijgt de dief er gelijk mijn DigiD bij. Aller minst handig voor bepaalde personen.

Hugo_ijslijk
@fantafriday • 25 augustus 2016 15:52

Lijkt mij dat dit een soort 2fa wordt. Dus naast je ID nog altijd een wachtwoord nodig.

Yzord

@Hugo_ijslijk • 25 augustus 2016 16:31

En wat is dan het verschil met het huidige systeem? Behalve dan dat ze zo anonimiteit willen verbannen op het internet. Want dat is de hele bedoeling van deze opzet. Een systeem die er voor moet zorgen dat je niet meer anoniem kan vertoeven op het net.

Maar als The Privacy Group gaan wij hier niet in mee. Dan maar geen keurmerk.

MartijnHavinga

@Yzord • 25 augustus 2016 16:39

Het verschil is dat het nu de overheid is die garant staat voor de correctheid van de gegevens, is wel handig als je bijvoorbeeld een online drankwinkel hebt en de overheid wil dat je kan garanderen dat je alleen aan mensen van 18 jaar of ouder drank verkoopt.

Yzord

@MartijnHavinga • 25 augustus 2016 17:08

Overheid, IT en garant staan = bulgaren en roemenen over de vloer. Beetje flauw, maar dat zijn vooralsnog de statistieken, sorry.

Maar vooruit, we geven ze maar WEER de voordeel van de twijfel, maar ik vrees de nieuwskoppen de komende jaren.

*positief blijven, Yzord......positief blijven *zen positie aannemend*

Edgarz
@Yzord • 25 augustus 2016 18:29

Anonimiteit op internet heeft dezelfde beperkingen als in het fysieke leven: als je iets wilt doen waarbij verificatie of authenticatie van je identiteit of leeftijd noodzakelijk is zult je je bekend moeten maken. Net zoals het moeten tonen van een rijbewijs als je tijdens het rijden daarom gevraagd wordt door de autoriteiten. Als je anoniem wilt zijn (en dat is altijd als zo geweest) zult je dus af moeten zien van bepaalde geneugten in het leven.

En op internet ben je zonder extra hulpmiddelen sowieso niet anoniem. Zo is het systeem ook niet opgezet.

Maar misschien moeten mensen niet de illusie hebben dan hun informatie of identiteit zo belangrijk is. En in het geval dat hier de rampspoed toeslaat en een repressieve dictatuur de plaats inneemt van de overheid dan is het erg lullig misschien dat er zaken vastliggen. Maar ook dat is altijd al zo geweest.

sympa
@Edgarz • 25 augustus 2016 22:15

Als zo'n systeem goed is opgezet komt het overeen met het tonen van je rijbewijs met de naam afgeplakt. Foto klopt, het is geldig, het is een rijbewijs, prima u kunt verder.
Wil je een pakketje afhalen dan moeten ze wel je naam zien, maar niet het gedeelte met 'buschauffeur' er op.
Als dat niet wordt gemaakt heb je inderdaad een systeem dat slecht is voor de privacy.
Als het goed wordt gemaakt heb je een systeem waarbij je juist privacy wint. Omdat je niet steeds een mailadres af moet geven voor elke site die je bezoekt.

SuperDre
@Yzord • 25 augustus 2016 20:26

Uhh, wat heeft dit nu te maken met algemeen internetten. Het gaat hier om inloggen op specifieke sites..

Yzord

@SuperDre • 26 augustus 2016 17:39

Laten we reëel blijven...ze zijn al langer op zoek naar een middel om iedereen op het internet door middel van legitimatie herkenbaar te maken. Dit is een aardige stap er naar toe. Maar goed, het kan nog jaren duren voordat dat realiteit wordt, maar dat ze er naar op zoek zijn is een feit.

fridgeman
@Hugo_ijslijk • 25 augustus 2016 18:45

een wachtwoord is geen 2FA.

WhatsappHack

Politiek en recht
Netwerk en systeembeheer

@fridgeman • 26 augustus 2016 01:02

Nee, maar de SMS-code die je kan forceren wel.

Dorank
@fantafriday • 25 augustus 2016 16:01

Ik neem aan dat er een PIN nodig is voor het unlocken van de private key op de smartcard.
Ik neem tevens aan dat de overheid even geshopped heeft en tot de conclusie is gekomen dat er landen om ons heen zijn die dit reeds hebben geimplementeerd zodat iedereen met een ID een smartcard heeft voor authenticatie en authorisatie in deze digitale wereld.
/sarcasm

niki_lauda
@Dorank • 25 augustus 2016 16:53

Klopt.Ik heb meegedaan in Eindhoven met het testen van het e-Rijbewijs. Dit was een verademing. Vond het jammer dat ik het moest inleveren.
Je houdt je E-rijbewijs tegen een reader aan dan je mag je pincode ingeven. Geen gedoe meer met ingewikkelde wachtwoorden en sms'jes

Pas ergens gelezen dat in Nederland in tegenstelling tot België en de BRD. relatief veel transacties gebeuren met DigiD.

[Reactie gewijzigd door niki_lauda op 25 augustus 2016 16:55]

SuperDre
@niki_lauda • 25 augustus 2016 20:27

Pin of wachtwoord, beide hetzelfde...

Dorank
@SuperDre • 25 augustus 2016 21:17

Strict genomen wel, maar in de volksmond is er een duidelijk verschil. Een PIN is over het algemeen beperkt tot een beperkt aantal cijfers. Aan een wachtwoord zijn meestal complexiteits eisen verbonden (en een passphrase is nog "complexer"). 3 keer een PIN verkeert invoeren en je bankpas (smartcard) is geblokeerd en je moet een nieuwe pas aanvragen (fysiek), een x aantal keer een wachtwoord verkeert invullen en je hoeft slecht de unlock procedure te doorlopen.

Voor de smartcard maakt het inderdaad niets uit, er wordt iets als PBKDF2 om een grote sleutel te genereren die vervolgens gebruikt wordt om de private key te unlocken op de smartcard.

HooksForFeet
@fantafriday • 25 augustus 2016 15:58

En dit scenario is niet naar voren gekomen tijdens de ontwikkeling, denk je? Natuurlijk gaat het zo niet werken, je zal er op z'n minst een tweede factor bij moeten hebben.

Ikke_Niels
@fantafriday • 25 augustus 2016 15:52

Dit was ook mijn eerste gedachte erbij.
Meerdere inlogmethodes meerdere hack mogelijkheden.

Andere diensten die minder uitgebreide toegang tot de overheidsomgeving en de gegevens van de burger nodig hebben, kunnen dan ook voorzien worden van een makkelijker inlogproces.

Deze is ook wel mooi: dus liggend aan wat je raadpleegt is je manier van inloggen toereikend, lekker gemakkelijk voor de burger...

Kalief
@fantafriday • 25 augustus 2016 17:43

Als je ID is gestolen blokkeer je die inlog toch gelijk?

fantafriday
@Kalief • 25 augustus 2016 17:50

Vrij lastig als je niet thuis bent. Maar ben geen ervaren digid inlog resetter.

Anoniem: 14038
25 augustus 2016 16:20

Het is uitermate belangrijk om op dit vlak overheid en prive bedrijven gescheiden te houden. Zoals al eerder opgemerkt is de combinatie ICT en overheid in grote projecten niet bepaald soepel gaat. Wanneer het hier fout gaat zal het lastig zijn om de verantwoordelijken te vinden, tot de orde te roepen en is er derhalve ook weinig druk om fouten te voorkomen.
Bedrijven hebben als doelstelling om winst te maken en de overheid heeft dit niet. Als je dan in de sfeer van prive gegevens gaat verkennen dan is er een zeer grote kans op belangenverstrengeling.

Er is tevens een zeer groot gevaar voor feature creep. Als de overheid om wat voor reden je persoonlijke gegevens in wil zien wordt het nog makkelijker om via 'een druk op de knop' al je gegevens bij prive instellingen in te zien. Er zijn nu al landen die toeristen toegang tot hun social media willen gaan vragen.

keesdewit
@Anoniem: 14038 • 25 augustus 2016 16:50

Ik zou me als ik jou was wat meer gaan verdiepen in het Idensys stelsel. Het is juist de combinatie van overheid en bedrijven die dit systeem tot een succes maken. Het is waar, bedrijven worden gedreven door een commercieel belang, maar dat is onder andere de reden dat deze partijen wel verantwoordelijkheid nemen. Ze doen er namelijk alles aan om dat belang in stand te houden. In dat opzicht is er juist veel druk om fouten te voorkomen. De uitwerking is een systeem wat goed werkt en op tijd klaar is.

arnovos
@keesdewit • 25 augustus 2016 21:10

Bravo voor het tijdig opleveren van Idensys. Hoeveel budget is er voor de komende tien jaar door elk deelnenend edrijf gegarandeerd voor onderhoud en innovatie. Nemen branchegenoten of garantiefondsen die betalingsverplichting over wanneer die bedrijven geen geld hebben. Welk rendement en in welke vorm is afgesproken met deze bedrijven op hun startinvestering?

Hoe zit het met garantie en aansprakelijkheid? Gaat de minister politieke verantwoordelijkheid nemen of alleen financiële?

Kortom: het is naïef om te denken dat oplevering een garantie biedt voor goede werking in de toekomst.

En als je denkt dat commerciële bedrijven en de overheid elkasr alleen positief aanvullen? Releningrijden kwam niet van de grond in Nederland: nu biedt een verzekeringsmaatschappij korting met zo een kastje in de auto. We lazen eerder deze week dat de Belastingdienst anpr-gegevens gebruikt voor belastinginning. Waarom zouden die data uit de kastjes niet overkopen van een commercieel bedrijf? Doen ze nu al met parkeergegevens en bankrekeningen in het buitenland. Tadaa, strenge regels die voor de overheid gelden omzeild.

[Reactie gewijzigd door arnovos op 25 augustus 2016 21:15]

keesdewit
@arnovos • 25 augustus 2016 21:27

Het afspraken stelsel staat hier beschreven: https://afsprakenstelsel.etoegang.nl/

Ik denk dat je daar het antwoord vindt op je vragen uit je eerste en tweede alinea.

In de laatste alinea vergelijk je appels met peren. Ik neem ook niet de stelling in dat de combinatie van overheid en bedrijfsleven altijd goed werkt, maar in dit geval heeft het een positieve uitwerking. Een goede werking voor de toekomst ligt voor de hand gezien de basis van Idensys een systeem is waar bedrijven al veel langer gebruik van maken, namelijk eHerkenning.

stresstak
@Anoniem: 14038 • 25 augustus 2016 17:29

Wanneer het hier fout gaat zal het lastig zijn om de verantwoordelijken te vinden, tot de orde te roepen

Dat is een kwestie van aanwijzen op voorhand. De verantwoordelijken zijn wat ministers en her en der projectleiders op persoonlijk titel.
Gaat het fout volgt er verwijtbaar ontslag zonder uitkering of bonus en een gerechtelijke procedure. Leg het maar vast. De hoogste bazen zijn de verantwoordelijken ook al zijn ze niet de daders.

Sjef Blok, bezint eer ge begint.!

HooksForFeet
25 augustus 2016 15:50

Ik begrijp er geen moer van. Aan het begin van het artikel gaat het nog over inloggen met identiteitskaart en rijbewijs, maar aan het eind wordt alleen gesproken over gebruikersnaam en wachtwoord/een sms/een USB-stick, enzovoort. Sterker nog, het artikel heeft een kop en inleiding die gaan over inloggen op DigiD met een identiteitsbewijs, maar vervolgens gaat het hele artikel enkel over Idensys, een inlogsysteem voor zowel overheids- als private websites, en wordt met geen woord meer over inloggen op DigiD met rijbewijzen of identiteitskaarten gerept.

[Reactie gewijzigd door HooksForFeet op 25 augustus 2016 15:51]

Blokker_1999

Politiek en recht
Netwerk en systeembeheer

@HooksForFeet • 25 augustus 2016 15:54

Zoals ik het lees is het een soort van OAuth systeem maar dan vanuit de overheid (met geverifieerde gebruikers).Je kan een bestaande identificatiemethode gebruiken (zoals je login van je bank) om je te identificeren. En de site waar je wenst in te loggen zal alleen de data krijgen die voor die specifieke site noodzakelijk is.

HooksForFeet
@Blokker_1999 • 25 augustus 2016 15:57

Dat denk ik ook, maar waarom is de kop dan niet "Overheid wil volgend jaar authenticatiesysteem voor overheid en bedrijven aanbieden"? Waarom wordt het inloggen met identiteitsbewijs niet besproken? Ik verwacht in een artikel met de huidige kop te lezen of ik dan een NFC-lezer aan m'n pc moet hangen om de chip in m'n paspoort uit te kunnen lezen, of iets dergelijks.

Fladder80
@HooksForFeet • 25 augustus 2016 16:55

Jup, filmpje van de pilot begin dit jaar: https://youtu.be/l_1ASCgTVBc

yuckfoe
@HooksForFeet • 25 augustus 2016 16:02

inloggen met een rijbewijs is met digid het zogenaamde niveau hoog. Dat is met wachtwoord en een card reader. DigiD valt onder Idensys, en bv eHerkenning volgens mij ook (soort digid voor bedrijven) idin is wat banken ontwikkeld hebben en is een authenticatiemechanisme bij andere partijen.

Auteur

Mark_88
@HooksForFeet • 25 augustus 2016 16:54

Ik heb het artikel herschreven. Dit moet korter, vollediger en duidelijker zijn. Excuus.

ArtGod
25 augustus 2016 16:33

Ik liep hier al jaren voor te waarschuwen: dat er een overheids systeem komt voor inloggen.Op het laatst kan je nergens meer inloggen zonder een door de overheid geverifieerde identiteit. Dit maakt anoniem blijven op het internet bijna onmogelijk.

Ik denk dat we dit systeem moeten gaan boycotten. Voor inloggen bij overheidsinstanties vind ik het prima, maar niet voor allerlei zaken daarbuiten zoals webshops, fora en sociale media.

[Reactie gewijzigd door ArtGod op 25 augustus 2016 17:16]

RobinF
@ArtGod • 25 augustus 2016 17:05

Voor inloggen bij overheidsinstanties vind ik het prima, maar niet voor allerlei zaken daarbuiten zoals webshops, fora en sociale media.

maar het is niet om in te loggen op webshops. Het is om bijvoorbeeld aan te geven dat jij wettelijk die sterke drank mag kopen bij die webshop. Netzoals dat dit in bijvoorbeeld de Albert Heijn gebeurt.

[Reactie gewijzigd door RobinF op 25 augustus 2016 17:05]

ArtGod
@RobinF • 25 augustus 2016 17:17

Het is een authenticatie systeem. Als de identiteit wordt gegarandeerd door de overheid dan voorspel ik je dat heel veel websites dit systeem gaan gebruiken.

keesdewit
@ArtGod • 25 augustus 2016 17:47

De webshop in dit geval ontvangt helemaal geen naam of iets anders wat herleidbaar is naar een natuurlijk persoon. Na de authenticatie zal de website een pseudo identiteit ontvangen die men zelf aan een profiel kan koppelen. Al jouw zorgen worden daarmee naar mijn mening teniet gedaan.

arbraxas
@keesdewit • 25 augustus 2016 18:13

En onze overheid gaat geen database aanleggen?

De AIvd en cornuiten worden al vochtig van alleen het idee van een dergelijke tracking.

keesdewit
@arbraxas • 25 augustus 2016 18:34

Ja, ze gaan geen database aanleggen want die informatie is niet in handen van de overheid. Het zijn de private organisaties die deze informatie in handen hebben, maar die zijn aan strenge regels gebonden en worden daar op geaudit.

[Reactie gewijzigd door keesdewit op 25 augustus 2016 18:46]

Petertjuh360
25 augustus 2016 17:42

Waarom een systeem van banken gebruiken als we DigID hebben? Hebben we net DigID, gaan we weer iets nieuws verzinnen. Laat banken dan DigID gebruiken en stel dit open voor meer partijen.

90710
@Petertjuh360 • 25 augustus 2016 17:50

Dat is exact wat ze hier doen

Ze breiden het alleen uit.

[Reactie gewijzigd door 90710 op 25 augustus 2016 17:50]

Petertjuh360
@90710 • 25 augustus 2016 18:02

Dank voor je toelichting!

Ik begrijp echter niet waarom je een extra inlogmethode wil toevoegen aan DigID. Dit zorgt ervoor dat er een grotere kans is dat er onbevoegd toegang kan worden verkregen tot je account (meerdere ingangen = meer punten waar het mis kan gaan). Daarnaast weet je op den duur niet meer waar wat staat.

ArcticLight
25 augustus 2016 15:55

Dus in plaats van dat ik met bijvoorbeeld een bol.com account inlog om wat te bestellen, log ik straks in met behulp van mijn ID kaart?

Ik voel er eigenlijk niet veel voor om de overheid nog meer inzicht te geven in mijn (online)gedrag.

Tijger
@ArcticLight • 25 augustus 2016 16:34

Nee, het enige kan zijn dat als jij bij Bol iets bested waar een leeftijdsbeperking op zit dat de authenticator terug geeft aan Bol dat jij dat wel of niet mag bestellen, dat kan gewoon met je iDEAL betaling worden meegestuurt.

ArcticLight
@Tijger • 26 augustus 2016 08:12

Dat weet Bol dan, maar de overheid kan dan toch wel zien dat ik bij Bol.com bestel?

Tijger
@ArcticLight • 26 augustus 2016 11:11

Dat hoeft niet per se, je kan dat inrichten op een wijze dat dit niet het geval is. Of dat ook gebeurt is vers twee maar ik denk dat als men hier een success van wil maken dat het een noodzaak zal zijn om de privacy te waarborgen.

1 2 3 4 Volgende

Op dit item kan niet meer gereageerd worden.

Kabinet wil inloggen bij overheid met bankpas vanaf 2017 mogelijk maken

Lees meer

IT Banen

Reacties (159)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden