Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Autoriteit Persoonsgegevens: eID-stelsel vereist meer aandacht voor privacy

De Autoriteit Persoonsgegevens of AP heeft haar zorgen geuit over de ontwikkeling van het eID-stelsel. De AP vindt dat er meer aandacht moet zijn voor de privacyaspecten en het afhandelen van beveiligingsincidenten.

Dat heeft de AP in een brief aan de minister van Binnenlandse Zaken laten weten. De organisatie wil niet dat de minister verder gaat met de introductie van het eID-stelsel voordat het beveiligingsniveau van DigiD is verhoogd naar minimaal tweefactorauthenticatie.

De AP geeft de minister verschillende adviezen rond het verdere verloop van de ontwikkeling van het nieuwe stelsel waarbij overheid en bedrijfsleven samenwerken aan een standaard voor online identificatie. De dienst moet burgers toegang geven tot online dienstverlening van overheid en bedrijven.

De drie adviezen die de AP geeft gaan achtereenvolgens over 'privacy by design', incidentbeheersing en toezicht en beveiliging. Privacy by design houdt in dat al tijdens de ontwikkeling van producten en diensten aandacht geschonken wordt aan privacyverhogende maatregelen, iets dat volgens de AP bij het eID-stelsel niet het geval is. Zo moet er uitgegaan worden van dataminimalisatie, waarbij zo min mogelijk persoonsgegevens worden gebruikt.

Ook is er nog niet voldoende aandacht besteed aan het detecteren en afhandelen van beveiligingsincidenten. Hier moet van de AP nog meer aandacht aan besteed worden, onder andere rond de inrichting van intern toezicht hierop.

Omdat volgens de AP inloggen via DigiD nog onvoldoende beschermd is door minimaal tweefactorauthenticatie, moet dat beveiligingsniveau eerst omhoog voordat het eID-stelsel ingevoerd wordt omdat inloggen hierbij ook kan via DigiD. Onder beveiliging valt ook de mogelijkheid om snel en eenvoudig nieuwe beveiligingsmaatregelen door te kunnen voeren, ook aan de technische kant.

Een eerdere analyse van de Autoriteit Persoonsgegevens vond dat er te weinig rekening werd gehouden met de eisen van de Wet bescherming persoonsgegevens, zoals het gebruik van het burgerservicenummer of bsn.

Het huidige advies werd gevormd naar aanleiding van pilots met publieke en private authenticatiemiddelen waar onder andere TNO, Panteia en de RDW aan meewerkten.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Krijn Soeteman

Freelanceredacteur

Feedback • 27-09-2016 19:0265

27-09-2016 • 19:02

65 Linkedin Google+

Lees meer

EU-verordening voor grensoverschrijdend inloggen met eID is ingegaan Nieuws van 1 oktober 2018
Autoriteit Persoonsgegevens onderzoekt verwerking bsn in btw-nummers zzp'ers Nieuws van 14 juni 2017
UvA ontdekt beveiligingslekken in mogelijk alternatief voor DigiD Nieuws van 24 maart 2017
Gebruik DigiD neemt toe met 25 procent Nieuws van 21 december 2016
Vijf miljoen Nederlanders hebben MijnOverheid-account Nieuws van 12 oktober 2016
Toezichthouder waarschuwt site om privacyschending kinderen Nieuws van 11 oktober 2016
Autoriteit Persoonsgegevens: er lopen tientallen onderzoeken naar datalekken Nieuws van 7 oktober 2016
CPB: overheid moet een leidende rol spelen bij encryptie en authenticatie Nieuws van 6 juli 2016
Pilot elektronische id-kaart gaat van start in Den Haag Nieuws van 15 februari 2016
Pilot Idensys gaat van start in januari Nieuws van 30 december 2015
Gebruik DigiD stijgt met 21 procent Nieuws van 23 december 2015
Banken gaan inloggen bij webwinkels en overheidsdiensten mogelijk maken Nieuws van 22 oktober 2015
Maximaal 30.000 mensen kunnen meedoen met tests DigiD-opvolger Idensys Nieuws van 12 oktober 2015
CBP: inloggen bij DigiD is niet veilig genoeg Nieuws van 8 oktober 2015
Meer producten en artikelen
Privacy Netwerk en systeembeheer

Reacties (65)

-Moderatie-faq
-165063+138+24+31Ongemodereerd22
Wijzig sortering
+3onedutch
28 september 2016 00:44
privacy by design https://www.irmacard.org/events/ ben erg onder de indruk van de kunde!
+1DarkJack
27 september 2016 19:09
heeft NL dan geen eID zoals in BE? Of gaat dit over iets anders die dezelfde terminologie gebruikt?
+2pimvullers
@DarkJack27 september 2016 19:19
Nee, in NL hebben onze identeitskaarten en paspoorten wel een chip, maar deze is in principe enkel te gebruiken bij grenscontroles als extra check dat het om een echt document gaat.

We kennen wel Digid, dat is de gecentraliseerde login methode van de overheid. Dit is gebaseerd op gebruikersnaam en wachtwoord, al is er wel ook de mogelijkheid om SMS verificatie te doen. Dit is echter zelden verplicht.

Het eID-stelsel is een plan om een breder systeem op te zetten waarbij verschillende inlog methoden toepasbaar zijn, bijvoorbeeld via je bank. Dit heeft dus ook niet direct betrekking op een eID-kaart, al zou dat dan wel ook weer een optie zijn om mee in te loggen, of om met Digid te combineren.
+1668692
@pimvullers27 september 2016 20:22
", maar deze is in principe enkel te gebruiken bij grenscontroles"

Nee hoor hij is ook gewoon thuis uit te lezen ;)
+1l99030607l
@66869227 september 2016 22:29
ja dat klopt maar je kan dan niks met die data doen behalve uitlezen. het kan niet gekopieerd worden omdat die beveiligd is.
+1aadje93
@l99030607l28 september 2016 04:13
uitlezen is per definitie al kopiëren gezien je het uitgelezene elders kunt opslaan, echter je hebt er niets aan gezien het encrypted is, dat is wat je bedoelt denk ik ;)
+1668692
@aadje9328 september 2016 08:11
Het is niet encrypted, je kunt met de MRZ gewoon de chip-data decrypten...

"In deze MRZ is ook een aantal gegevens niet opgenomen. Bijvoorbeeld waar iemand woont. Daarnaast doet de MRZ dienst doen als "sleutel". Om de RFID-chip in het paspoort of ID-kaart uit te lezen, dient eerst met behulp van de data in de MRZ een sleutel berekend te worden."

bron: http://www.scanid.nl/nieu...dentiteitsdocumenten.html

*Edit*
Naast deze commerciele optie, zijn er ook apps voor met een android nfc telefoon, maar die kan ik zo 123 niet vinden.

*Edit 2*
Hier een artikel met link naar App'je
http://www.nfc-nederland-...ort-lees-de-nfc-chip-uit/

*Edit 3*
En het betreffende Appje direct:
https://play.google.com/s...nnovalor.nfciddocshowcase

[Reactie gewijzigd door 668692 op 28 september 2016 08:15]

+1Cuvall
@DarkJack27 september 2016 19:15
De al bestaande DigiD willen ze uitbreiden, maar bij deze DigiD is 2 factor authenticatie nog steeds optioneel voor de mensen helaas.
+1Meg
@Cuvall27 september 2016 19:16
Gaat dat ooit veranderen? Iedereen in mijn directe omgeving heeft geen 2FA actief voor bijvoorbeeld DigiD.
+1WhatsappHack

@Meg27 september 2016 19:36
Daar hebben wat pilots voor gelopen, maar het is de afgelopen tijd akelig stil rond dat onderwerp.

Ik geloof dat je wel kan forceren dat SMS-authenticatie altijd aan staat, maar 100% zeker weten doe ik dat niet.
+1Tormbo
@WhatsappHack27 september 2016 19:42
Voor zover ik weet heb je altijd en overal zelf de keuze of je enkel met je wachtwoord of met de combinatie wachtwoord+sms wilt inloggen. Dit is uiteraard te zot voor woorden, dit biedt geen enkele toegevoegde waarde behalve dat het een gemaskeerde beta-test is voor DigiD.
+1ninjazx9r98
@Tormbo27 september 2016 20:41
Die keuze lijk je te hebben maar is er in de praktijk niet. Ik heb SMS authenticatie al jaren aan staan, krijg de keuze iedere keer te zien bij het inloggen maar krijg altijd een SMS ongeacht m'n keuze en moet de code uit de SMS ook gebruiken. Zonder de code kan er niet ingelogd worden.
+2mddd
@ninjazx9r9828 september 2016 12:28
(Ook @supersnathan94)

Het is een centrale instelling dat je met SMS authenticatie wilt inloggen. Jij hebt dat dus aan staan. Nee, dan kun je inderdaad niet meer zonder SMS inloggen. Dat zou immers het hele nut laten verdwijnen: jij kiest dat je 2FA wilt en een aanvaller kan vervolgens alsnog kiezen dat niet te gebruiken.

Voor mensen die hun Digid op 'standaard' hebben staan (dus niet 2FA), die kunnen per keer dat ze inloggen kiezen voor een SMS of niet.

Het feit dat jij de keuze nog wel in beeld ziet staan komt neem ik aan, omdat op dat moment je nog niet ben ingelogd -- het systeem weet dus niet wat je voorkeur is.
0supersnathan94
@ninjazx9r9828 september 2016 09:01
Als je niet vrijwillig aangeeft altijd met sms 2FA te willen inloggen kan je gewoon met "Basis" username en password inloggen.
0ninjazx9r98
@supersnathan9428 september 2016 09:41
Zeg ik iets anders dan? Ik reageer op de uitspraak dat je altijd en overal de keuze hebt wat dus niet klopt.
0supersnathan94
@ninjazx9r9828 september 2016 10:06
Jawel. Alleen bij DUO moet je verplicht met 2FA inloggen. De rest geeft allemaal de keuze om ook met alleen username en PW in te loggen. Dus technisch gezien heb je wel een beetje gelijk, maar niet in de zin dat je niet de keuze hebt. Bij de meeste DigID toepassingen is die er namelijk wel.
0ninjazx9r98
@supersnathan9428 september 2016 11:26
En toch heb ik die keuze niet. Zoals gezegd heb ik SMS al jaren standaard aanstaan en ik kan helemaal nergens inloggen met alleen username en password. Ongeacht waar ik inlog moet en zal ik SMS authenticatie gebruiken. Ik kan gerust het vinkje niet zetten maar krijg zoals michiel_ ook al aangeeft altijd de melding dat ik SMS moet gebruiken en een seconde of wat later een code toegestuurd. Zie dit o.a. bij de gemeente, zorgverzekering, belastingdienst.
0supersnathan94
@ninjazx9r9828 september 2016 11:39
Ik zou dat dan even doorgeven als ik jou was. Klinkt als een bug. Ik kan namelijk wel gewoon inloggen zonder sms als dat niet vereist is.
0ninjazx9r98
@supersnathan9428 september 2016 11:46
Klinkt als een bug dat jij kan inloggen zonder SMS en als ik al een bug zou doorgeven zou het zijn dat er kennelijk instanties zijn die zich niet houden aan de wens van de gebruiker om in te loggen met SMS. Vraag me bijna af of we wel over hetzelfde praten, ik heb bij DigiD ingesteld dat ik altijd een SMS authenticatie wil, het zou van de zotte zijn als er vervolgens sites zijn waar ik zonder SMS kan inloggen. Jij hebt het echter over een vereiste van de site waar je heen wil, ik heb het over een vereiste van de gebruiker.
0supersnathan94
@ninjazx9r9828 september 2016 13:43
Dan heb je toch altijd de keuze of niet dan? Dat jij er voor kiest om 2FA standaard te hebben betekent niet dat de keuze er voor de rest niet is.

Als je dat niet standaard hebt afgedwongen kan je het altijd alsnog kiezen bij het inloggen, waarom weet ik niet (inloggen met user en pw werkt namelijk makkelijker en er is geen reden om dan alsnog voor sms verificatie te kiezen), maar dat boeit me ook vrij weinig.

Conclusie: Je hebt gewoon de keuze. Dat jij er voor kiest om die keuze eenmalig te maken doet niets af aan het feit dat je wel die keuze hebt.

Edit: het systeem weet echter nog niet dat jij dat hebt ingesteld dus de radiobutton is dan uiteraard wel aanwezig.

[Reactie gewijzigd door supersnathan94 op 28 september 2016 13:44]

0ninjazx9r98
@supersnathan9428 september 2016 13:49
Zucht, ik heb het toch helemaal niet over keuze voor de rest gehad?
De stelling is dat die keuze er altijd en overal is wat dus simpelweg niet waar is. Voor mensen die gekozen hebben voor 2FA is er geen altijd en overal keuze, die moeten altijd SMS gebruiken. Meer dan dat heb ik ook nooit beweerd.
0martinx76
@ninjazx9r9828 september 2016 20:40
Even om de discussie helder te krijgen

- je krijgt bij veel suites de optie om wel of geen SMS te gebruiken
- sommige sites (oa DUO en SVB) verplichten 2FA.
- Je kunt optioneel zelf instellen bij Digid dat je altijd 2FA gebruikt. Ook al geeft een Site je dan de optie zonder SMS dan nog lukt het niet zonder.
Deze optie kun je volgens mij ook weer uitzetten
+1Mizgala28
@Tormbo27 september 2016 20:45
Op Duo na, verplicht inloggen + wachtwoord + sms code.
0robvanwijk

@Tormbo28 september 2016 00:29
Voor zover ik weet heb je altijd en overal zelf de keuze of je enkel met je wachtwoord of met de combinatie wachtwoord+sms wilt inloggen.
Dat je die keuze op de inlogpagina krijgt heb ik ook nooit begrepen. Dat je die optie ook in de instellingen van je account hebt staan is een stuk nuttiger. Wat er gebeurt als je ergens wilt inloggen met DigiD:
Je opent de inlogpagina. Hierop kun je kiezen voor wachtwoord of wachtwoord & sms. Als je kiest voor alleen wachtwoord, dan wordt (als het wachtwoord klopt) gekeken of de dienst waarbij je wilt inloggen heeft gezegd dat er altijd een sms nodig is óf dat jouw account die instelling heeft. Als (minstens) één van de twee partijen dat zo ingesteld heeft, dan moet je daarna tóch door de sms verificatie heen, zelfs al heb je voor alleen wachtwoord gekozen.

Het is wat onhandig vormgegeven en de mogelijkheid om je account op two factor in te stellen had wel wat beter gepromoot mogen worden, maar als je eenmaal weet hoe het werkt, dan werkt het eigenlijk best wel prima.
+1michiel_
@WhatsappHack27 september 2016 19:46
Verplichte SMS-authenticatie is gewoon aan te zetten via Mijn DigiD:
https://mijn.digid.nl/inloggen_voorkeur
"Midden, ik wil inloggen met een extra controle via sms, ook wanneer Basis vereist is"

Als ik vervolgens probeer in te loggen met enkel naam/wachtwoord krijg ik de volgende melding:
"U heeft ingesteld altijd met niveau Midden te willen inloggen. U kunt niet inloggen zonder een juiste sms-code in te vullen."

[Reactie gewijzigd door michiel_ op 27 september 2016 19:48]

+1stresstak
@michiel_27 september 2016 20:01
Verplichte SMS-authenticatie is gewoon aan te zetten via Mijn DigiD:
Dat is het jezelf verplichten. Dus vrijwillig.

Ik heb geen sms. Sturen zij mij de code dan per brief of email ?
+1Meg
@stresstak27 september 2016 20:08
[...]

Dat is het jezelf verplichten. Dus vrijwillig.

Ik heb geen sms. Sturen zij mij de code dan per brief of email ?
Nee, maar iedereen heeft toch een SMS-functie op zijn of haar mobiele telefoon? Het zou gewoon ideaal zijn als een programma zoals Google Authenticator de 6 cijferige code kan aanmaken, wat ik voor de meeste programmas doen.
+1stresstak
@Meg27 september 2016 20:10
Nee, maar iedereen heeft toch een SMS-functie op zijn of haar mobiele telefoon?
Zou kunnen, maar ik heb geen mobiele telefoon.

:)
+1Sircuri
@stresstak27 september 2016 21:04
Wow, enkel een vaste telefoonlijn?
+1stresstak
@Sircuri27 september 2016 21:14
Wow, enkel een vaste telefoonlijn?
Ja, ze bestaan nog. :)
+1Thomqa
@stresstak27 september 2016 22:06
Naar de vaste telefoonlijnen kun je volgens mij ook gewoon smsjes sturen.
+1Jeoh
@Thomqa28 september 2016 00:51
Yep, dan krijg je het bericht gewoon voorgelezen.
+1aadje93
@stresstak28 september 2016 04:14
naar de vaste lijn kan ook, hij word dan door een computerstem voorgelezen, en woorden worden automatisch herkend meen ik te herinneren, anders worden ze gespeld voor je :)
0La1974
@stresstak27 september 2016 20:09
Wel internet geen SMS? Interessant.
+1stresstak
@La197427 september 2016 20:13
Internet, ja, zelfs met een XP computer.
Maar bij sms denk ik altijd aan telefoons.

En bij DigID denk ik aan belastingopgave die ik per pc doe met DigID zonder sms
0La1974
@stresstak27 september 2016 22:38
Ja ik snap je. Je hebt wel een pc (XP blijkbaar) maar geen mobiele telefoon. Zeldzame combi lijkt me.

Hoe heb je de afgelopen jaren belastingaangifte gedaan? Op papier zeker want XP wordt sinds IB 2014 niet meer ondersteund.

http://www.belastingdiens..._moet_uw_computer_voldoen
0stresstak
@La197427 september 2016 22:55
Ja ik snap je.
Niet helemaal. Ik heb meerdere apparaten met internet. Dus belasting zal geen probleem worden.
En geen enkel apparaat geschikt voor sms.
0jayjay_seal
@stresstak28 september 2016 11:28
Jawel.... de vaste lijn... SMS'en worden voorgelezen (zelfs naar een 0900 nummer, alleen het is te hopen dat je een snel menu hebt. SMS'en worden meteen voorgelezen (max 4x en daarna wordt de verbinding verbroken)..
0stresstak
@jayjay_seal28 september 2016 11:47
Jawel.... de vaste lijn... SMS'en worden voorgelezen
Ah, dat wist ik nog niet. Als het tzt nodig blijkt is het wel handig om te weten. Dank voor de info.

@ninjazx9r98.
Ik heb toch computers ? Alleen geen mobiel met sms.
0ninjazx9r98
@La197428 september 2016 09:44
Aangifte kun je ook laten doen, dan heb je helemaal geen computer nodig.
0stresstak
@Thomqa27 september 2016 22:14
Ja XP? Zou je niet eens denken aan alternatieve zoals windows 7 of 10 of Linux?
Tuurlijk. De reactie was op ''wel internet en geen sms''.
Ik heb internet op allerlei apparaten maar geen apparaten voor sms, zoals bijvoorbeeld een mobieltje.
En ja, er staat ook nog een bak met XP en internet. Ook deze moet af en toe van nieuwe progs voorzien worden. Hoewel Firefox binnenkort stopt en ook virusscanners ooit wel zullen uitsterven.
+1caspar M
@michiel_27 september 2016 20:12
https://www.wired.com/201...wo-factor-authentication/

SMS gebaseerde 2FA is geen veilige methode meer.
+1Orac
@caspar M27 september 2016 21:53
Buiten dat moet je voor 2FA via SMS je mobiele nummer prijsgeven. Voor DigiD is dat misschien minder erg, maar voor bijvoorbeeld Steam is dat voor mij een groot bezwaar.
+1Meg
@WhatsappHack27 september 2016 19:45
Je kan het inderdaad foceren, maar dat is vaak voor mensen teveel werk.
+1haroldsnel
@Cuvall27 september 2016 21:12
Er zijn al diensten zoals b.v.. DUO die het wel afdwingen sinds kort. Als je daar nu inlogt mag je bepaalde zaken alleen als je SMS authenticatie ook hebt aangezet. Dit betekend weer wel dat je eerst een brief thuisgestuurd krijgt met een extra controle code. Beetje omslachtig maar wel redelijk secure dus.
+1Sandor_Clegane
27 september 2016 19:16
Het jammere is dat DigiD al live is. De gegevens zijn al digitaal beschikbaar.
+2Armin

@Sandor_Clegane27 september 2016 19:26
DigiD is vooral een authenticatie ("inloggen") systeem. eID is in feite niet meer dan een uitbreiding van dat, waarbij echter de doelen niet geheel duidelijk zijn - want verschillende partijen hebben daar een andere visie over.

Of je gegevens veilig zijn staat daar los van, net zoals een veilige DigiD niet betekend dat de gegevens die je opvraagt (bijvoorbeeld studiefinanciering, uitkering, etc) ook veilig zijn

Bij eID is het probleem dat het aantal partners uitgebreid wordt, en ook commerciele entiteiten mee moeten kunnen doen. Je eID zou dan ook gebruikt kunnen worden om online te shoppen. Ikzelf heb veel vraagtekens bij het nut hiervan, maar los daarvan, is het evident dat hierdoor de privacy extra aandacht moet krijgen.

Immers overheidsinstellingen hebben doorgaans al allerlei wetgeving waar ze aan moeten voldoen, en belangrijk hebben je gegevens doorgaans al. Je DigiD bewijst enkel dat jij ook jij bemt. Maar bij eID commerciele activiteiten, kun je nu een situatie krijgen waarbij je gegevens verstrekt worden voor het eerst aan zo'n dere partij. Ofwel anders dan bij DigiD waar het vooral/enkel authenticatie is, is dan het idee dat er ook overdracht van gegevens naar zo'n nieuwe partij kan komen. Verlies of gaten in de veiligheid van eID zijn dan ook veel ernstiger dan verlies van DigiD.

Maar helaas lijkt de overheid vooral druk bezig zijn met het zo snel mogelijk uitrollen van eID, dan dat ze nadenken over de werkelijke gebruikers scenario's en bijbehorende veiligheid en privacy vereisten zoals de gebruiker wil ipv zoals de beoogde nieuwe deelnemers willen.

Ofwel ik vind dit goed nieuws, maar heb helaas het idee dat dit gewoon door zal denderen.
+1locke960
@Armin27 september 2016 20:40
Of je gegevens veilig zijn staat daar los van, net zoals een veilige DigiD niet betekend dat de gegevens die je opvraagt (bijvoorbeeld studiefinanciering, uitkering, etc) ook veilig zijn
Dat is niet het soort veiligheid dat hier bedoelt wordt, dat verandert in principe ook niet.
De kwestie is hoe veilig jou gegevens zijn bij de eID provider. Die gaat namelijk precies weten bij wie je inlogt en wanneer. Met dergelijke gegeven kun je een aardig inzicht in de persoonlijke levenssfeer van iemand krijgen.
Dat is het soort veiligheid en privacy waar het hier om gaat.

Daar is die 'privacy by design' dus voor nodig. Je ontkomt niet aan een vorm van logging en opslag van dergelijke gegevens, bijvoorbeeld ivm. eventuele bewijslast bij conflicten en dergelijke. Desondanks is serieuze aandacht voor dit onderwerp wel een vereiste, vooral ook omdat de realiteit is dat dit soort systemen in de toekomst niet te vermijden zullen zijn als je nog online actief wilt zijn, en mogelijk zelfs offline.

Daarnaast moet, als de 'privacy by design' mogelijkheden uitgeput zijn, de rest van de risico's met wetten en regelgeving worden afgedekt. Denk hier bijvoorbeeld aan gebruik van deze gegevens door de eIFD provider.
Mochten Google en Facebook zich ooit geroepen voelen een eID provider te worden, dan weet je dat het met de regelgeving niet goed zit. :P
+1Armin

@locke96027 september 2016 21:16
Dat is niet het soort veiligheid dat hier bedoelt wordt, dat verandert in principe ook niet.

Dat was ook mijn punt O-)

De kwestie is hoe veilig jou gegevens zijn bij de eID provider. Die gaat namelijk precies weten bij wie je inlogt en wanneer.

Dat weet die nu ook al. Het staat zelfs in je historie bij DigiD waar je allemaal ingelogd hebt. Nu verwijs je waarschijnlijk naar de mogelijkheid dat de authenticatie functie zélf overgenomen gaat worden door een 3rd party, maar dat is nu ook al zo. DigiD besteed het immers vandaag de dag uit aan Digidentity hetgeen een commercieel bedrijf is.

Je hebt wel gelijk dat daar over nagedacht moet worden, maar dat lijkt me een inherent iets: je moet de identiteits-controleur zelf vertrouwen.

Ik maak me meer zorgen om de toegang van de 'brokers' in eID dan de 'identifty provider' zelf. Maar ik moet nog zien of er veel brokers zullen zijn die niet ook identiteits-provider zijn. En bij een identiteits-provider moet je je eerst aanmelden alvorens je gegevens daar zijn (muv DigiD/Digidentity voor overheidszaken wat dat wordt gemigreerd).

Ik denk dus dat eID enkel success zal hebben als standaard-platform, maar de systemen verder vooral hun eigen weg zullen gaan. Dat is goed nieuws, want mijn aller grootste angst is eerder dat iemand die leverancier X hackt kan inloggen bij de overheid terwijl ik enkel leverancier Y gebruik en geen behoefte heb mijn gegevens aan leverancier X te geven.
+1Sandor_Clegane
@Armin27 september 2016 19:41
Dit is dus gewoon Oauth, maar dan voor de overheid?

Een derde partij geeft aan dat jij bent wie je zegt dat je bent.

Ah en ook met gegevens transfer. Is wel handig, nu moet je overal je gegevens inkloppen. Klinkt als pandora's box.........

[Reactie gewijzigd door Sandor_Clegane op 27 september 2016 19:43]

0Vendar

@Armin28 september 2016 11:05
Ik heb ooit begrepen dat als de overheid in bed ligt met bedrijven dat fascisme is. Ik heb een tijdje terug geprobeerd die visie terug te vinden maar op wikipedia staat dat niet beschreven.

Misschien ben ik niet de enige die denkt dat een identificatie.autorisatie systeem t.b.v. de overheid niets te maken dient te hebben met het bedrijfsleven? Ik wil niet inloggen via hetzelfde systeem bij overheid en bedrijven.

Het is me ook hier duidelijk dat de overheid in bed ligt met de corporatie.
+1henkjann
27 september 2016 20:23
Wat gaat die 2de factoor dan precies worden? Toch niet een 06-nunmmer mag ik hopen. 8)7
+1Meg
@henkjann27 september 2016 20:49
Wat gaat die 2de factoor dan precies worden? Toch niet een 06-nunmmer mag ik hopen. 8)7
Dat hoop ik ook niet. Het zou mooi zijn als het iets is zoals de Google Authenticator doet, een code van 6 cijfers die 30 seconden werkt en daarna veranderd. Echter denk ik dat voor de DigiD 6 cijfers erg weinig is en verwacht ik iets langers nodig is met eventueel een eigen applicatie.

Hudige DigiD sms-codes zien er zo uit: "SJ2K26VV8" of "ST4NFT5J8". Wat me opvalt is dat elke begint met een "S". Je zou toch verwachten dat dergelijke codes gewoon een random eerste letter hebben zoals een "Q"?
Beide geposte codes komen uit mijn SMS inbox.
+1ongekend41
@Meg27 september 2016 21:28
Alle 8 codes die ik nog heb beginnen ook met "S". Ben benieuwd hoe random de overige tekens zijn.
0Meg
@ongekend4127 september 2016 21:30
Zover ik kan zien, is dat wel random met de 4 berichten die ik heb. Het blijft echter wel vreemd, dat het begint met een "S" of zou het een betekenis hebben?
0Triblade_8472
@Meg28 september 2016 07:05
Wellicht SMS zodat als er een andere 2FA optie bij zou komen deze wellicht de H van Hardware Token krijgen?
0supersnathan94
@Meg28 september 2016 09:08
Kheb er hier ook 5 met een 'S'. Erg raar als je het mij vraagt.
0Dorank
@henkjann28 september 2016 10:25
Als ze eens een beetje zinnig zouden nadenken zou eID de 2de factor kunnen zijn:
1- username
2- een challenge/response doormiddel van het signen van de challenge met het eID van de burger.
+1jjeggink
27 september 2016 19:10
Goed dat onafhankelijke partijen met kennis van zaken hier dicht op zitten en met aanbevelingen komen, voordat dit live gaat. De overheid en ict-projecten, dat is zelden een gelukkige combinatie.
+1DarkSide
27 september 2016 19:33
Het is goed dat hier naar gekeken wordt. Ben helemaal niet tegen dit soort dingen. Maar met wel goed geïmplementeerd worden. Veelal blijken achteraf toch zaken niet helemaal goed afgeschermd te zijn.
In het geval van persoonsgegevens is dat geen fijn idee.
De overheid heeft zelf wel boetes over datalekken en overschrijding van de wet bescherming persoonsgegevens.
Maar wil, naar mijn idee, duur soort implementaties te snel live laten gaan.
0Stevel
27 september 2016 20:33
Het grote probleem hierbij is dat je de identity providers (IdP) waar je kan inloggen (CreAim, KPN, ...) allemaal moet vertrouwen. Dit zijn echter commerciële bedrijven. Zelfs voor wie geen klant is, kan de identity provider aangeven dat die persoon is ingelogd.

Elke IdP-beheerder kan - mits kwaadwillendheid - zich voordoen als eender wie. Zij zijn het immers die aangeven wie er is ingelogd. Ik wil niet weten wat er gebeurt als een van die bedrijven in buitenlandse handen valt... (Oh wacht, KPN is nog maar 10-15% in nederlandse handen!).

Als die IdP dan in de toekomst aan je belastingen, je bankrekening, je medische dossiers etc. kan, hoop ik niet dat er vb. verzekeraars ook IdP worden (en dan de ziekteverzekering persoonlijk berekenen volgens de informatie uit je medische dossier, ook al zeggen ze hier niks van). Opnieuw, dit vereist enige kwaadwillendheid en is natuurlijk strafbaar, maar dat wil niet zeggen dat er zoiets niet 'per ongeluk' kan gebeuren.
0Budha
@Stevel27 september 2016 23:46
Eerlijk gezegd heb ik er ook helemaal geen behoefte aan dat de overheid betrokken is bij mijn interactie met commerciële partijen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True