Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 172 reacties
Submitter: CyberDonky

De Nederlandse overheid heeft een app uitgebracht om in te loggen op DigiD zonder wachtwoord. Gebruikers moeten hun gebruikersnaam invoeren, een qr-code scannen en een pincode invoeren. De app werkt in combinatie met een aantal overheidsdiensten.

DigiD-appOm in te loggen met de DigiD-app moeten gebruikers de functionaliteit eerst activeren. Dat is mogelijk door via de normale weg op de DigiD-website in te loggen en bij 'inlogmethoden' de app te selecteren.  Vervolgens wordt een qr-code getoond die gescand moet worden met de app. Controle via sms moet geactiveerd zijn om de app in te kunnen schakelen.

Inloggen met de DigiD-app kan op dit moment bij DUO, Belastingdienst Toeslagen, Studentenreisproduct, Studielink, Mijn DigiD en DigiD Machtigen. Later dit jaar komen daar volgens de overheid meer organisaties bij, maar welke is nog niet bekend.

Met de app is het niet meer nodig om een wachtwoord in te vullen bij de diensten. Ook hoeft er geen verificatiecode ingevuld te worden. Het inloggen werkt met het scannen van de code en het invullen van een vijfcijferige pincode, die door de gebruiker zelf wordt ingesteld.

De door Logius ontwikkelde app werkt op Apple-apparaten met iOS 9.0 of nieuwer en op Android-toestellen met Android 4.4 of hoger. De app is te downloaden in de iTunes App Store en Google Play Store.

Moderatie-faq Wijzig weergave

Reacties (172)

Inloggen met de app is in mijn ogen een hele verbetering als je DigiD wil gebruiken vanaf een mobiel device zelf. Persoonlijk heb ik ingesteld dat ik altijd in wil loggen met DigiD-niveau Midden (WW + SMS). Dus als ik wil de inloggen vanaf mijn iPhone moest ik altijd switchen naar de SMS app om de code met veel gehannes te kopiëren om deze vervolgens in Safari weer te plakken.

Bij gebruik van de app hebben ze gelukkig een URL scheme ingebouwd en ziet de site van DigiD dat ik vanaf een mobiel device werk en geeft me de mogelijkheid om de DigiD app te openen vanaf hun pagina. Dat vind ik een grote verbetering.
Het gaat alleen niet goed als ik werk vanuit een privé-sessie van de browser. Vermoedelijk leunt het geheel nog ergens op cookies ofzo?

Verdere verbeterpunten:
  • Geef aub de mogelijkheid om gebruik te maken van biometrie om in te loggen in de app in plaats van een 5 cijferige code. Kijk naar de bankensector
  • Maak het mogelijk om je 5 cijferige code te veranderen
  • Verzamel niet standaard gebruikersstatistieken, maar vraag het me gewoon netjes even
  • Maak het mogelijk om meerdere devices te vertrouwen in plaats van één en maak het mogelijk om de trust per device op te zeggen in plaats van de hele app te deactiveren.
    óf ga werken met pushberichten die je naar de app leiden ipv een QR code te scannen
  • Maak het koppelen van de app direct beschikbaar vanuit het inloggen. Nu moet je er specifiek voor naar Mijn DigiD. Dat kan ook met wat hyperlinks eenvoudiger gemaakt worden, maakt de adoptiesnelheid ook groter
Maar hoe moet ik dan inloggen op bijv. belastingdienst op bijv. Chrome / Opera op mijn telefoon ?
Ik gebruik geen 'mobile' user agent omdat de webpagina's dan te beperkt zijn.
Maak het mogelijk om meerdere devices te vertrouwen in plaats van één
Wil je daarmee zeggen dat app authenticeren, Titanium Backuo maken en op een ander toestel terugzetten niet werkt, of werkt het alleen niet als je de app op een ander toestel ook authenticeert?
Helemaal mee eens. Gewoon inloggen met touch ID net zo makkelijk. Of een verificator app dat je een pop up krijgt net als bij outlook.com ''goedkeuren of weigeren''.
Laat ze eerst maar eens verplichten met 2FA in te loggen. Dat je nog steeds de keuze hebt tussen met of zonder SMS code in te loggen gaat mij de pet te boven.
FYI als je inlogt in DigiD kan je aanzetten dat 2FA altijd aan moet staan voor je account, dus je kan het voor jezelf wel gewoon aanzetten.
Die keuze is aan de authenticating party. Die kan aangeven of een wachtwoord genoeg is of dat 2fa moet worden gebruikt.
Je vergeet de belangrijkste: de klant-consument bepaalt!

(Persoonlijk wil ik geen 2FA omdat ik mijn telefoon niet wil koppelen aan van alles en nog wat.)

Professionals moeten meer denken vanuit de consument. De wildgroei aan 'oplossingen' maakt me knettergek. Een aantal keren per jaar wil men weer een nieuw halfbakken idee tot de nieuwe 'standaard' bombarderen.

Ik kan alleen een nieuwe STANDAARD accepteren die even solide en duurzaam is als mijn huisadres.
Als ie klaar is hoor ik het wel...
Het mooie van standaarden is dat er genoeg zijn uit te kiezen (vrij naar A.S.Tanenbaum).

Over je huisadres: Dat is halverwege de jaren '70 van de vorige eeuw voor het laatst veranderd: Toen heeft het een postcode gekregen. Al heeft lang niet ieder huis een postcode (https://nl.wikipedia.org/wiki/Postcode).
Welke woonhuizen (dus niet op een camping ofzo) hebben in NL geen postcode?

Verder worden er wel adressen veranderd voor hetzelfde huis.
Laatst nog gelezen over een straat die van twee kanten doodlopend wordt omdat er een nieuwe hoofdweg wordt aangelegd.De reden schijnt te zijn dat hulpdiensten niet aan de verkeerde kant willen uitkomen.
In Nederland heeft zelfs elk bos en weiland in ieder geval postcode cijfers. De letters komen pas bij de brievenbussen. Campings hebben een brievenbus dus ook een complete postcode.

Alleen bij gemeentelijke herindeling worden de nummers aangepast. Bij straatnaam verandering worden de letters wel eens veranderd. Al zijn dag Nederlandse regels dus zijn er uitzonderingen :)
Maar het blijft gewoon kut. Log je in zonder 2FA kun je bij je zorgverzekering de helft van de dingen niet inzien, moet je weer opnieuw inloggen mét 2FA. Als je gewoon standaard met 2FA mét authenticator apps doet (hoef je ook de 50MB grote app niet te downloaden zodat je weer een app hebt die je amper gebruikt).
SMS is nou ook niet echt een veilig medium. Liever TOTP implementeren wat een stuk veiliger is
Niet als je SMS binnenkomt op hetzelfde (gehackte) apparaat als waar je 'app' op draait; bye-bye 2e-factor
Nee sms is onveilig omdat het gewoon afgeluisterd kan worden omdat GSM onveilig is
Dan moet de SMS code ook op een buitenlands nummer werken, omdat in het buitenland (buiten EU) heb ik doorgaans een lokale SIM er in.
Kreeg eergister toevallig een mail van m'n zorgverzekeraar, dat je binnenkort alleen met sms erbij kan inloggen, Wel goed lijkt me.
Geen windows app? :?
Volgens de website van DigiD lijkt het er op dat deze nog wel zal gaan komen. Althans, zo zou ik de volgende quote interpreteren:
"Er is nog geen Windows-versie beschikbaar."

Link: https://www.digid.nl/nl/v...p-alle-mobiele-apparaten/

Maar zelf acht ik de kans zeer klein. Het wekt verkeerde verwachtingen.

[Reactie gewijzigd door CyberDonky op 29 maart 2017 09:40]

Geen BlackBerry app? :?
een uwp app zou ook op de miljoenen windows desktops werken
Daar voldoet de website voor.
Want op de telefoon staat geen browser? Zelfde argument kun je ook tegen Android of iOS app gebruiken toch?
Op telefoon werkt het nou eenmaal niet zo fijn.
En apps begonnen wanneer browsers kwart konden van wat ze tegenwoordig kunnen.
Hence there's a app for that mentaliteit.
Die Apps zijn er niet voor de gebruiker, maar voor de leveranciers. Het is veel makkelijker persoonlijke data te harken uit specifieke apps dan een generiek iets als een browser.
En de meeste browsers werken prima op een telefoon. Wel desktop user agent aanzetten en te telefoon in landscape zetten in de browser en het werkt hetzelfde als een computer.
En een snelkoppeing naar een website kun je bij de meeste browsers net als een aparte app gewoon op je schermachtergrond plakken, in iOS werkt dat in Safari ook.
Het WAP tijdperk anno 2003 is allang voorbij.

[Reactie gewijzigd door skatebiker op 29 maart 2017 12:20]

Yep, zoals de Android verstappen app die toegang tot je agenda nodig heeft 8)7
Gelukkig werkt de site op mobiel minstens net zo goed :)
Toch moet deze leverancier (overheid) de mobiele toegankelijkheid voor al haar burgers waarborgen, en met platform specifieke apps gaat dat natuurlijk nooit lukken, hoe groot die platformen ook zijn.

Voor DIGID zou veiligheid toch ook een heel belangrijk aspect moeten zijn. Ik weet hiervoor echt te weinig van het programmeren van webinterfaces, er zullen vast een hoop haken en ogen zijn, maar ik weet wel het en en ander van server side en cliënt side oplossingen. De controle van de veiligheid van apps met actieve componenten op al die verschillende smartphones met verschillende OS-versies is bijna ondoenlijk. Het gegeven dat desondanks deze apps zijn ontstaan wijst mij er dan op dat het belang voor mobiel gemak blijkbaar groter is dan het belang om dit veilig te doen. Of de afweging is helemaal niet bewust gemaakt, dit acht ik ook nog mogelijk.

Hoe minder de oplossing afhankelijk is van de variatie aan de cliënt kant hoe duurzamer en toekomstzekerder ze is. Ik begrijp deze app-invalshoek daarom als oplossing niet voor een interface die mobiele toegang voor al haar burgers op een veilige manier moet waarborgen. Onze overheid is niet zomaar een bedrijfje die haar doelgroep volledig afgedekt ziet binnen bijvoorbeeld de iOS gebruikers.
Hoe zie je dat voor je op een Windows desktop? Een QR-code scannen met je webcam?
Bijvoorbeeld. En uiteraard zijn er heel veel Windows laptops en tablets met ingebouwde camera. Uiteraard met meerdere devices. Het hoeft iig niet per se via een smartphone.
In Australië bijvoorbeeld, zijn Windows tablets nota bene Android tablets in verkopen inmiddels voorbij.

[Reactie gewijzigd door Tweaker1234 op 29 maart 2017 11:17]

Dus je gaat met een Windows laptop / tablet een QR-code scannen op je Windows desktop... Hahahaha... Hij blijft goed!

Mijn dag is weer geslaagd.
Tablet is sowieso niet raar. Daar maken mensen ook foto's mee.
Of tablet van een laptop scherm. Blijkbaar ben je nog niet verbaasd genoeg geweest hoe gebruikers hun devices gebruiken. En soms gebruik je simpelweg wat voorhanden is.
Gezien je voor deze app een QR code moet scannen, lijkt me gebruik op een desktop niet praktisch. Je moet dan een losse webcam hebben om op je monitor de code te scannen. Zo'n losse webcam heb ik al in jaren niet meer gezien. Op laptops zit de webcam sowieso in het scherm ingebouwd, dus daarmee ga je nooit het scherm zelf kunnen zien.

Ofwel, praktisch nut van de app op een desktop/laptop is verwaarloosbaar
Een smartphone is er voor bij. Laptops en tablets zijn dat vaak ook, Ofwel, praktisch nut van de app op een desktop (met losse cam) laptop en tablets zou zeker nuttig zijn. Maar ja, we kunnen een discussie hebben, maar we hebben toch geen zeggen.
Klopt, is alleen wel je hele idee van een two-factor weg als het op hetzelfde device zit :)

[Reactie gewijzigd door Bloederig op 29 maart 2017 11:23]

En geen SailfishOS app? Ik vind zo'n app in principe geen probleem, zolang het straks maar niet de enige manier van inloggen wordt. Dan begin je mensen buiten te sluiten die niet één van de ondersteunde platformen gebruikt.

En natuurlijk moet zo'n app eigenlijk gewoon open-source zijn. Dit is een app voor dan overheid die wij met onze belastingen subsidiëren, dan wil ik ook kunnen zien wat die wel niet doet op de achtergrond en hoe. Dan zou het ook nog eens naar veel meer platformen geport kunnen worden.
En geen SailfishOS app? Ik vind zo'n app in principe geen probleem, zolang het straks maar niet de enige manier van inloggen wordt. Dan begin je mensen buiten te sluiten die niet één van de ondersteunde platformen gebruikt.
Het zal nooit de enige manier van inloggen kunnen worden natuurlijk.
windows voor op de telefoon zou nog wel kunnen, maar dan moet wel geblokkeerd kunnen worden dat het een windows pc applicatie wordt. Dat is namelijk veel te moeilijk aan hardware te koppelen.
Het mooie van een goede UWP app is, dat je het op alle apparaten kunt installeren. Gewoon via een store, in een sandbox.
Tja, de meeste mensen gaan er wel vanuit dat iedereen wel een android/ios telefoon/tablet heeft. Al die laptops en tablets met windows 10 zijn niet belangrijk, laat staan windows mobile.
Maar dat is natuurlijk gewoon niet zo, en daar moet (al helemaal door de regering) niet vanuit worden gegaan.
Windows Phone is dood. Is al jaren zo. Als Windows Phone gebruiker zou je dat ondertussen toch moeten weten. Misschien 2% van de apps wordt nog uitgebracht op Windows Phone.
ik had het niet specifiek over windows 'phone', een goede uwp app werkt natuurlijk op de gewone windows 10
Windows 7 is groter dan windows 10, dus een gewone desktop applicatie is veel nuttiger dan een uwp app. En die werkt ook op windows 10.

[Reactie gewijzigd door Morgan4321 op 29 maart 2017 13:14]

Klopt, maar die worden niet door de belastingbetaler betaald. Deze app wel, dus verwacht ik dan ook als belastingbetalende WP10 gebruiker dat ze daar gewoon een werkende app voor leveren.
Als belastingbetalende Symbian gebruiker verwacht ik ook een app. Maar realistisch gezien, je kunt niet elk dood OS blijven ondersteunen. Dus ik verwacht geen Symbian, geen MS-DOS en geen WP10 app,
De enige telefoons in de pricewatch die nog op Symbian draaien zijn zeven jaar oude Nokia's, dus we kunnen veilig stellen dat dat nagenoeg niet meer verkocht wordt en niet meer ondersteund wordt.

Er zijn nog genoeg telefoons beschikbaar met WP10, en er komen er nog meer bij. WP10 wordt dus nog wél verkocht en wordt ook nog volop ondersteund.
Als jij 0,3% marktaandeel "volop" noemt moet je dat natuurlijk zelf weten, maar kijk niet raar op als iemand die er wat nuchterder tegenaan kijkt daar anders over denkt.
99% van de apps zijn sowieso crap, dus als van die 2% de helft geen crap is, zit je al goed 😊
Ik zou graag zien dat ze meer gebruik zouden maken van standaard totp (google)
Nu heb je straks een legio authenticatie apps op je telefoon staan.
Liever geen google op mijn overheidsdiensten, daar wordt ik heel kriegelig van.
TOTP is gewoon een open ding en is volledig offline te gebruiken. (de code is zelfs relatief simpel). Er zijn meerdere vendors die apps maken die middels TOTP werken, en die zijn dan ook allemaal door elkaar heen te gebruiken als je dat zou willen.

Zelf gebruik ik de app Authy. Die vind ik prettiger werken dan Google Authenticator.
Het probleem met Authy is dat al je OTAP accounts via de cloud gesynced/gesaved worden en dus in theorie 'gestolen' kunnen worden.
Ik weet niet helemaal zeker of dat enkel als een probleem gezien kan worden. Zelf gebruik ik zowel authy voor een aantal "minder belangrijke" OTAP-verificaties (zegmaar accounts die niet vervolgens mijn google account kunnen overnemen, bijvoorbeeld) en de google account valt daar weer buiten. Stel dat dus iemand mijn authy OTAP zou bemachtigen zou die alleen de 2factor hebben voor Facebook en Twitter bijvoorbeeld, maal ik een stuk minder om.
Stel ik raak mijn google OTAP kwijt heb ik daarvoor op 2 fysieke plekken backup-keys liggen. Zo zijn m.i. verschillende accounts op verschillende niveaus beveiligd.

We kunnen het m.i. dus ook als uitkomst zien, maar het is wel belangrijk dat mensen zich ook van de keerzijden bewust zijn :)
Dat 'probleem' is opt-in en kan je ook nog eens versleutelen met een wachtwoord.
Ik vraag me af hoe de back-end werkt maar de app zelf is opensource en op f-droid te krijgen. Ik vind nergens helaas wat er acherin de app gebeurd, is Google Authenticator echt van Google afhankelijk?
Nee, is zeker niet van google afhankelijk. Sterker nog er is geen backend. De app draait op je telefoon, en heeft verder geen communicatie. Dus zou ook offline moeten werken. Het genereerd aan de hand van de tijd en een QR code die je eenmalig hebt ingescand een token. Daar is geen backend voor nodig.
TOTP heeft 0,0 met Google te maken, er zijn honderden apps die als TOTP-authenticator werken, en Google maakt daar toevallig één (weliswaar populaire) van.

Door FUD te verspreiden over dit soort prima security-standaarden maak je de wereld elke keer een klein beetje onveiliger.
Ik vind dit geen FUD, ik ben zelf best techinsch maar ik wist ook niet dat het echt niets met Google te maken had, de app heet immers Google Authenticator dus zo vreemd is dat niet.
FUD is ook FUD als je het niet bewust doet, helaas.

Het past goed in een beeld van een 'evil Google' om dit maar te gaan roepen en het verder niet uit te zoeken voor je je reactie plaatst. Maar het roepen van dit soort dingen maakt het én moeilijker om TOTP mainstream te maken, én maakt het moeilijker om legitieme kritiek op Google te geven als ze dat een keer wél verdienen.

[Reactie gewijzigd door DCK op 29 maart 2017 13:12]

Ik denk dat Google wel input heeft gegeven voor de standaard. 0,0 is iets te ver door de bocht.
Je hebt alternatieve TOTP apps die geen Google gebruiken. Bijvoorbeeld Sophos Authenticator.
Ik zelf ben voor de modernere OTP apps. Dat als ik inlog de app een push geeft en mij om toestemming of weigering vraagt. ipv die irritante cijfertjes over te tikken.
Wij gebruiken op kantoor naar tevredenheid DUO (https://duo.com/). Inderdaad alleen een kwestie van accepteren of weigeren kiezen op de telefoon.
Offtopic: ik heb een dergelijke app niet kunnen vinden. Welke gebruik je hiervoor?
UNLOQ is vrij nieuw en werkt fijn. Echter wil je een iets bredere aanpak, is DUO (zoals hierboven vermeld) ook een optie. of Authy.

Zie AlternativeTo voor veel alternatieven.
Google kan dit ook, gebruik het tegenwoordig in plaats van Google Authenticator. Zie 2 step Verification phone prompts.
Ben ik helemaal met je eens! Het wordt alleen lastig om daar 1 standaard voor te creëeren. Wie gaat dan de autorisatie regelen? Hier komt ook het privacy aspect om de hoek kijken. Er is dan 1 partij die weet waar je wanneer inlogt. Wat gaan ze met die informatie doen? Van de 'ouderwetse' OTP apps weet ik in ieder geval zeker dat het offline gebeurt.
Dat gebruik ik ook en werkt helemaal handig in combinatie met een smartwatch. Inloggen, tap op je horloge en doooorrrr...
Telefoon blijft gewoon lekker liggen .. Erg fijn, geen gepiel met codes overtypen o.i.d.
Je logt in op een PC of een andere telefoon of wat voor apparaat dan ook, daar staat dat een notificatie wordt verstuurd naar je telefoon en dat je die moet goedkeuren. Op je telefoon verschijnt een notificatie met dat er op je account wordt ingelogd op wat voor een apparaat, dit kun je goedkeuren of afkeuren. Je horloge vangt de notificatie af. Dus je telefoon blijft op tafel liggen, je kijkt op je horloge, ziet de melding, swipet naar links, ziet goedkeuren, tikt, en je hebt de inlogpoging goedgekeurd.
+1 Ik heb er nu drie verschillende, gelukkig werken de meeste MFA's met de tools van Google en Microsoft.

Waarschijnlijk typisch de overheid, het wiel opnieuw uitvinden...
Waarschijnlijk typisch de overheid, het wiel opnieuw uitvinden...
Waarschijnlijk meer een geval van, in hoeverre wil je afhankelijk zijn van een comerieel bedrijf? Het gaat wel over DigiD, waarmee mensen zich authenticeren om bij strikt persoonlijke informatie te kunnen.
Ik kan op o.a. Office 365, Google en Facebook aanmelden met mijn Microsoft Authenticator app en heb daar niet elk hun eigen app voor nodig. De procedure is voor elk identiek, dat is gewoon een standaard.
Maar het gaat hier om een niet-commerciele instelling. Ik vind het niet zo'n ramp dat hier een aparte authenticator voor is ontwikkeld.

Voor een commerciele website of dienst mag het best via de spullenboel van Google, MS, Amazon et cetera, maar mijn overheidszaken wil ik niet via een (buitenlandse) multinational laten authenticeren (ook al gaat het alleen maar om het authenticatiestuk).
Bijna al die apps gebruiken gewoon TOTP, dat is een IETF Standaard (nummertje RFC 6238). Dit is wat Google authenticator bijvoorbeeld dus ook gebruikt, het is dus zeker niet door Google of Microsoft uitgevonden en volledig offline (er loopt geen data via Google of Microsoft of wie dan ook).
Misschien goed om een te lezen wat TOTP precies is voordat je er iets over schrijft. Lees eens : https://en.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm
Ik heb er nu al 16
En is dat echt nodig? Ik heb zelf een tal van accounts werkende via Authenticator van Lastpass, ook websites die beweren dat je alleen hun eigen app kan gebruiken.
De Nederlandse overheid heeft een app uitgebracht om in te loggen op DigiD zonder wachtwoord.
Oh, lekker makkelijk :) Kom maar op met die app.
Gebruikers moeten hun gebruikersnaam invoeren, een qr-code scannen en een pincode invoeren.
Wauw, ingewikkeld heah, laat maar zitten.

Ik dacht eigenlijk dat de hele goegemeente het er toch wel over eens was dat die vingerafdrukdingen wel fucking handig en veilig zijn.

[Reactie gewijzigd door zovty op 29 maart 2017 09:19]

Chrome onthoudt mijn gebruiksnaam en wachtwoord. Dat vind ik pas makkelijk. :P

Verder valt het me steeds meer op dat zelfs vanuit overheidswege geen moeite meer wordt gedaan om voor Windows Mobile apps te ontwikkelen. Het OS lijkt door vrijwel iedereen te zijn afgeschreven.

[Reactie gewijzigd door P. vd Loo op 29 maart 2017 09:22]

Jawel, maar niet zo superveilig.

Ik snap dat ze two-factor-authentication invoeren, dat is veiliger. Maar zo'n QR code scannen is valse veiligheid, dat is geen tweede factor. En een pincode is ook onveiliger dan een wachtwoord. Dus kwa gemak en veiligheid gaan we met deze oplossing niet vooruit.
Ik ben het met je eens dat het veiliger is om twee-factor-authenticatie toe te passen, maar het grote probleem is dat het nu optioneel is. Als ik inlog bij de belastingdienst kan ik kiezen voor een SMS verificatiecode. Maar ik kan het ook weglaten. Dan heeft het dus absoluut geen meerwaarde.

Het draagt alleen iets bij als het verplicht wordt.
Het draagt alleen iets bij als het verplicht wordt.
Voor sommige overheidszaken is wachtwoord+SMS wel verplicht. Wat voor verwarring zorgt is dat de optie wachtwoord+SMS nog steeds wordt aangeboden als iets alleen maar een wachtwoord nodig heeft. Dat is nutteloos, want de doorsneegebruiker gaat niet meer moeite doen dan strikt noodzakelijk. Tevens voegt zo'n optie geen veiligheid toe.

Over het artikel:
Zelf zou ik iets kiezen als TOTP. Dat wordt ook wel Google Authenticator genoemd, maar heeft op zich niets met Google te maken. Het voordeel van TOTP is dat er voor elk platform applicaties beschikbaar zijn. Ook open-source, omdat het een open, onafhankelijk protocol is. Het zou de overheid sieren om eerst dit soort bestaande standaarden te omarmen voordat ze weer iets zelf gaan ontwikkelen dat onderhoud nodig heeft en dat niet beschikbaar is voor elk platform.

[Reactie gewijzigd door The Zep Man op 29 maart 2017 12:49]

Het zou de overheid sieren om eerst dit soort bestaande standaarden te omarmen
Tja typisch overheid toch? Stoere taal in de tweede kamer over alles Open Source, maar als ze zelf iets moeten ontwikkelen steeds het wiel opnieuw uitvinden. En dan zwaar falen, een 'enquete commisie' er maanden onderzoek naar laten doen en die dan als conclusie heeft dat het eigenlijk de schuld van alle dure consultants is (die ze zelf hebben ingehuurd)....

Bij de belastingdienst al jaren een puinhoop maar de IT werd wel hard aan gewerkt, door goede mensen ook. Maar ja die hebben ze er nu allemaal 'per ongeluk' met een dikke bonus uitgemikt dus die banen worden nu ook door consultants overgenomen...

En laat ik over de 'cookiewet' maar niet beginnen. Wat een faal...
Je kan er zelf voor kiezen om de sms-code verplicht te maken.
In de instellingen van je Digi-D zelf (dus niet op een random overheidssite of iets) kan je instellen hoe je wilt inloggen.

Als je inlogt op mijn.digid.nl kun je het "Voorkeur inlogniveau" instellen.
Indien je kiest voor 'Middel' is altijd de username+ww+sms code verplicht. Ook als je bij de betreffende site de standaard username+wachtwoord inlogmethode laat staan.

Ja, je moet hier zelf voor kiezen en staat volgens mij standaard niet aan.
Het heeft inderdaad pas een meerwaarde als de optie standaard aan staat.

[Reactie gewijzigd door MrTre op 29 maart 2017 10:27]

Let op: jouw link klopt niet: het is digid.nl, niet digi-d.nl - dat laatste is van een reclamebureau.
haha, oja, heb 'm aangepast.
Het idee daarvan is dat je in je account kunt aanzetten dat de sms code wordt gebruikt (altijd). Voordat je ingelogd bent kan het systeem dat echter niet weten en dus worden beide opties getoond. Ik ben het met je eens hoor, doe het dan niet, of maak het verplicht.
En die pin is in het midden van een text, je moet het dus overschrijven, of moeilijk doen met code selecteren, in iMsg pakt ie alleen het hele txt bericht.
ik kan de code vrijwel altijd netjes zien vanaf de notificatie en dus snel overtypen voordat hij weg is. Of bedoel jij een andere Pin? Ik kan hem prima kopiëren in iMessage hoor.
iMsg iOS, op iMac is het prima. Overtypen is prima, maar het lettertype van iOS maakt voor mijn slechte ogen lastig verschil tussen Iinux iinux linux (hoofdletter i, kleine i, en kleine l)
DigID gebruikt alleen hoofdletters. Dus 'I' en 'L'. Juist om die verwarring te voorkomen bij lettertypes `sans serif`. Dat heeft niet direct iets te maken met oude ogen, dat heeft er mee te maken dat sommige fonts exact dezelfde tekens gebruiken voor die letters.
Sorry, geen oude ogen, maar albinisme, nystagme (schuddende ogen) etc. Trust me, ben al jaren aan het vechten met UI/UX, want iedereen heeft zijn eigen manier van 'want dit voorkomt verwarring'.
Erg vervelend dat. Maar daarom ook de reden waarom je kleine letter i, hoofdletter O en de l varianten dus nooit mag gebruiken I.c.m. I, 0 (getal) en I (hoofdletter i).
Je kan het voor je eigen account instellen als verplicht. Ik ben het met je eens dat het als extra optie zonder dat je het hebt ingesteld als verplicht nergens op slaat. Ik moet nu gewoon altijd die extra code invullen omdat ik dat zo in mijn account ingesteld heb. 2FA is wel zo veilig, vooral bij dit soort overheidsdingen. Het kan heel veel echt geld kosten als een of andere hacker het lukt om mijn kinderopvangtoeslag naar een ander rekeningnummer te laten overmaken en e.e.a. direct op maximaal zet, om maar eens iets te noemen.
Je kunt op de DigiD websites ook instellen dat TFA afgedwongen wordt. Dan maakt je keuze op de websites niet uit en moet je altijd verifiëren met een SMS.

Wat ik jammer vind is dat ze deze functie zover weggestopt hebben. Als zelfs tweakers al niet van deze mogelijkheid afweten...
DigID had al two-factor (de SMS controle) die ook al verplicht was voor veel overheidsdiensten. Ik snap alleen niet zo goed waarom je de QR code geen two-factor vindt. Het wordt gekoppeld aan je toestel en het werkt alleen als je de PIN code weet.

1: Gebruikersnaam / Wachtwoord
2: Specifiek geactiveerd mobiel device en de gekoppelde PIN code.
Je hoeft je wachtwoord niet in te vullen bij gebruik van de app, alleen je username
Dat is wel een faal inderdaad.
Wat ook raar is dat niet elke site die digid gebruikt alle inlogmogelijkheden heeft. De site van digid heeft ze allemaal maar bijvoorbeeld de site van het cbr kan je alleen inloggen door je gebruikersnaam en wachtwoord.
Je voert de pin5 in op je device, dat device is je tweede factor.
Je kunt pas de QR scannen en valideren met je PIN als je telefoon met app een validatieprocedure heeft doorlopen. Dat is niet anders bij andere MFA tools of telebankieren apps. Pas als je ID van je telefoon bekend is, kun je gebruik maken van de authenticatie.
En het APK bestand is 88MB groot !
Dat zie je als je hem in de Play store download.
88MB voor niets meer dan een token ?
Ik heb een MobileSecurity token app om bij een klant in te loggen maar die is maar een paar MB groot.
EDIT: Bij telebankieren (Rabo) hoef je geen username in te vullen, alleen de random reader (equivalent met QR code) en je pincode.

[Reactie gewijzigd door skatebiker op 29 maart 2017 11:30]

Verder valt het me steeds meer op dat zelfs vanuit overheidswege geen moeite meer wordt gedaan om voor Windows Mobile apps te ontwikkelen. Het OS lijkt door vrijwel iedereen te zijn afgeschreven.
Dat zat er toch echt aan te komen. Er is gewoon geen plek voor nog een OS met bijbehorende ecosysteem. Ik zou liever zien dat alle 3 de OS'en een ecosysteem kunnen delen maar dat gaat natuurlijk nooit gebeuren, daarvoor zijn de ego's bij Apple en Google te groot.
Verder valt het me steeds meer op dat zelfs vanuit overheidswege geen moeite meer wordt gedaan om voor Windows Mobile apps te ontwikkelen. Het OS lijkt door vrijwel iedereen te zijn afgeschreven.
Het is gewoon een kosten/baten analyse. Alleen bejaarden en Tweakers gebruiken nog Windows Mobile en daar ga je dit niet voor ontwikkelen. Bejaarden lopen nog met een boog om digitale aangiftes heen óf kiezen er voor om dit te laten doen. Tweakers hebben gewoon de beschikking over één of meerdere PC's.
Tsja, net als voor ChromeOS en MacOS. En Linux. Inkoppertje. Welke groepen koppel je daar aan? ChromeOs voor puistenkoppen? Nee, dat is net zo flauw als jouw opmerking :X
Wees een beetje meer (open)mind123(ed) ;)
Ook voor ChromeOS, MacOS en Linux is het een kosten/baten analyse. Ik vind het een volstrekt normale gang van zaken dat er geen app voor die omgevingen beschikbaar is.

Edit: natuurlijk kunnen we al Android Apps in ChromeOS draaien, maar het nut van deze Android App in ChromeOS ontgaat me dus volledig.
Vingerafdrukken veilig? Terwijl je die overal achterlaat? Lijkt me niet.
To little, to late.. Er zijn volgens mij al betere alternatieven beschikbaar. Voor inloggen bij de belastingdienst t.b.v. de aangifte inkomstenbelasting heb ik gebruik gemaakt van iDIN (inloggen met je bank). Werkt perfect!
Hoe kan je gebruik maken van iDIN? Kan het nergens vinden.
Kwam het laatst ook tegen bij het doen van de belastingaangifte. Leek nog wel om een proef te gaan volgens mij.
Klopt, iDIN is eigenlijk hetzelfde als wat ze zelf op proef hebben met IDkaart en cardreader, alleen via het banksysteem.
Gebruik het ook bij mijn ziektekostenverzekeraar en hypotheekverstrekker. Op de een of andere manier vind ik dat een stuk veiliger. Pincode nodig en bankpas om in te kunnen loggen. En die dingen heb ik altijd bij me. Geen gezeik meer met lastig wachtwoord onthouden.
En straks als PSD2 actief is krijg je waarschijnlijk meteen de vraag of de belastingdienst toegang mag hebben tot je hele betaalhistorie. Nee dank u..
Als je die vraag krijgt heb je dus ook de mogelijkheid om met 'nee' te beantwoorden. ;)
De belastingdienst weet al lang welke rekeningen je hebt, en als ze willen/daar recht toe menen te hebben kunnen ze die historie zonder problemen inzien.
Een koppelingetje meer of minder maakt qua privacy weinig uit.
De belastingdienst heeft al toegang tot jouw betaalhistorie....
Wat is die kaartlezer optie dan, die in de afbeelding staat?
Dat is een pilot dat je met een aangepaste ID kaart in kunt loggen. Dat is even geleden in het nieuws geweest meen ik.

EDIT: Volgens mij is dat dit: Overheid zet in op DigiD-smartcards met nfc.

[Reactie gewijzigd door Xudonax op 29 maart 2017 09:20]

Zulke Smartcards worden bijv in Estland al een aantal jaar gebruikt om een aantal zaken te regelen. En dat werkt erg gebruiksvriendelijk.

Verder zie ik in het bedrijfsleven diverse smartcards op de financiele afdelingen waar ook zo'n systeem gebruikt wordt. Helemaal vlekkeloos werkt het daar niet, maar elk land heeft z'n eigen implementatie. En Daar valt of staat het bij.

OT: Mooie try out/vinding :)
Laten we dan a.u.b. een open standaard gebruiken, zoals FIDO. Dan kun je bv. een yubikey gebruiken.
Dat zijn tests met een equivalent van het Belgische eID.
Gebruikersnaam invoeren, vervolgens telefoon pakken, ontgrendelen, app openen, QR-scannen. Handig.
Zo gaat het met ING QR betalen ook ongeveer: gebruikersnaam+wachtwoord , app openen, QR-scannen, pincode invoeren.
ING heeft ondertussen wel vingerprint unlock. Dat maakt het al weer een stuk eenvoudiger.
Maar nog steeds niet zo eenvoudig als het zou moeten zijn. je moet nog steeds zelf je telefoon unlocken, app openen, unlocken, menu openen, scan optie openen, en dan scannen. En daarna moet je alsnog een pincode invullen.

Waarom stuurt ING geen pushbericht dat ik direct kan openen waarmee ik direct op de juiste plek ben in de app en direct erbij zie waar de opdracht vandaan komt (nog voor het scannen)?
ABN gelukkig ook. Inlogged even snel is een stuk prettiger geworden.
De ING zou een push notificatie kunnen sturen, dat is ook al een stuk sneller.
Klopt, gebruik ik ook niet om die reden. Hartstikke omslachtig allemaal.
Het kan handiger (vingerafdrukscanner), maar het gaat niet om handig. Het gaat om veilig.

Ik heb het zojuist eens getest. Het kost mij 7 seconden op mijn telefoon te ontgrendelen (middels vingerafdruk), de app op te starten (niet vanuit standby), de QR te scannen en de pincode in te voeren. Persoonlijk vind ik 7 seconden best acceptabel voor een veiligere oplossing en ik vind het zelf fijner dan wachten op een smsje en de code overtypen.
"[...] maar het gaat niet om handig. Het gaat om veilig."
Als je wil dat mensen het daadwerkelijk gebruiken zul je toch een middenweg tussen het handige en veilige moeten vinden. Persoonlijk vind ik dit systeem dusdanig weinig toevoegen qua gebruikersgemak dat ik er geen gebruik van maak. Maar goed, dat er keuzes zijn I guess?

[Reactie gewijzigd door n-evo op 29 maart 2017 13:06]

Dus nu moet je je pincode onthouden in plaats van je wachtwoord.
Nou dan hou ik het wel gewoon bij het wachtwoord. Wel zo veilig. Ik wil helemaal geen overheidsapp op mijn telefoon.
Bij installatie zie ik dat de app ruim 80 MB groot is. Voor Facebook vind ik dat al veel. Volgens mij moet het voor zo'n authenticatie-app binnen de 10 MB passen, als het even kan 5 MB...

Af en toe verlang ik terug naar floppies waar meerdere programma's op passen. Waar is de tijd gebleven dat 640KB geheugen genoeg was....
Vraag me af of het 90% framework is, of iets anders.. want wat moet er nu inzitten uberhaubt..
in het voordeel van de app zou ik zeggen dat ze alle benodigde libraries en afhankelijkheden hebben meegenomen zodat er geen vreemde (gehakte) libraries gebruikt worden. Daarnaast misschien een pgp-key of zo.

Misschien ergens een tooltje om te zien of het toestel 'ge-root' is, dat lijkt mij niet de bedoellling. Of er moet een hele virtualisatie-laag in zitten voor de app-beveiliging...

Maar ik hoop niet dat de hele uitleg er op film en in plaatjes in zit, dat is nergens voor nodig.
Ik zie een paar plaatjes, nog geen filmpje gezien in de app of de map ervan

edit:
Ah, maar wel een checkbox "anoniem gegevens verzamel van gebruik vd app" (piwik tracker client [collect analytics for remote piwik server])
En het lijkt gemaakt met Xamarin iOS development tool. (NOTICE file), https://www.xamarin.com/customers/government Ah, ze staan er ook als klant.

edit 2:
The app zelf is het grootste, en 46mb unpacked. De rest zijn html/png en normale iOS/OSX files binnen the .app package.

[Reactie gewijzigd door xiphoid op 29 maart 2017 10:08]

Zal wel een een of andere half gare html framework zijn, lekker goedkoop, kun je het voor twee platformen tegelijk ontwikkelen.
Een integratie van de Google Authenticator lijkt mij juist mooi.
Die heeft ook zijn/haar nukken c.q verbeterpuntjes:
- graag zou ik ze op meer dan 1 apparaat activeren. Dat blijkt niet te kunnen
- de 'handschake' kan worden uitgebreid met een barcode/qrcode
Je kan Google Authenticator op twee apparaten activeren door de QR-code te scannen of geheime sleutel op alle apparaten in te voeren.
Zie: https://support.google.com/accounts/answer/1066447?hl=nl
Veel makkelijker, ik maak met Titanium Backup een backup en zet die op een ander toestel terug. Dat werkt gewoon met Google Authenticator.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Samsung Galaxy S8+ LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One (Scorpio) Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True

*