In een van de mogelijke opvolgers van DigiD zijn veiligheidsrisico's gevonden door een aantal onderzoekers van de Universiteit van Amsterdam. Het gaat om een pilot van een systeem van Digidentity, een bedrijf uit Den Haag.
Dat meldt de NOS op basis van een gesprek met de onderzoekers van de UvA. Een van de gevonden problemen is de mogelijkheid om geautomatiseerd in te loggen op de systemen. Daardoor kunnen in korte tijd veel inlogpogingen worden ondernomen, en stijgt de kans om het account binnen te komen. Uiteindelijk is de UvA niet binnengekomen op een account, maar schat zij in dat dat tussen de 7 uur en 48 dagen zou duren.
Ook slaagden de onderzoekers erin om de bijbehorende Android-applicatie te kraken. Hiervoor was echter wel roottoegang nodig, waardoor de methode niet toepasbaar is op veel Android-apparaten. Daarnaast zouden er nog andere 'slordigheden' zijn gevonden.
Het systeem dat Digidentity ontwikkelt als alternatief voor DigiD is nog niet af, maar wordt al wel gebruikt in een pilot. In een reactie stelt het bedrijf dat de gevonden beveiligingslekken al zijn gerepareerd, en benadrukt het dat een pilot juist is bedoeld om zulke problemen op te sporen. Digidentity was overigens ook betrokken bij de ontwikkeling van DigiD.
Er zijn verschillende alternatieven in ontwikkeling voor DigiD. Zo is er iDIN, waarmee gebruikers via hun bank inloggen. Idensys is een andere methode, en deze wordt ontwikkeld binnen een samenwerkingsverband van overheid en bedrijfsleven. Digidentity gebruikt het framework van Idensys voor zijn eigen systeem. Beide methoden worden momenteel in een pilot getest door de Belastingdienst.