Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Belgische providers en banken presenteren app voor identificatie op sites

Door , 39 reacties, submitter: cman

Vier Belgische banken en mobiele providers Proximus, Telenet en Orange hebben itsme gepresenteerd, de marketingnaam voor Belgian Mobile ID. Met de techniek kunnen Belgen zich op sites van bedrijven en overheden aanmelden.

ItsmeOm itsme te laten werken moeten gebruikers de app installeren en koppelen aan hun telefoon en mobiele nummer. Op sites kunnen ze vervolgens een melding laten sturen naar de app, waarna gebruikers het inloggen moeten goedkeuren en autoriseren met een code of vingerafdruk, blijkt op de site van itsme. De app stopt met werken als er een andere of geen simkaart in het toestel zit.

De dienst vereist dat gebruikers een simkaart hebben die kan werken met de dienst. Providers doen dat softwarematig en over-the-air, maar bij een op de vijf telefoongebruikers zal het een nieuwe simkaart vereisen.

Er zijn al enkele sites die werken met itsme. De bekendste daarvan is die van uitzendbureau Randstad, dat dinsdag een optie om in te loggen met itsme heeft toegevoegd. Het initiatief heeft de steun van de federale regering en het is de bedoeling om inloggen op overheidswebsites via itsme ook mogelijk te maken. De dienst komt voort uit Sixdots, een geflopte betaaldienst van de Belgische banken en providers.

Door Arnoud Wokke

Redacteur mobile

30-05-2017 • 18:34

39 Linkedin Google+

Submitter: cman

Reacties (39)

Wijzig sortering
Overheidsdiensten raadplegen via een app aangeboden door een commerciŽle entiteit, disaster waiting to happen?

Is er ergens een meer technische uitleg over het security/privacy gedeelte, vraag me toch af, hoe betrouwbaar dit allemaal is en al zeker of het nut heeft.
Dat is nu ook al zo met MyDigipass van Vasco. Kun je ook op elke overheidsapplicatie gebruiken om in te loggen.

Ik heb het geÔnstalleerd vandaag en er komen best wel veel foutmeldingen naar voor. Nog even afwachten dus :-)
Is er ergens een meer technische uitleg over het security/privacy gedeelte, vraag me toch af, hoe betrouwbaar dit allemaal is en al zeker of het nut heeft.
In de FAQ: https://www.itsme.be/nl/faq#faq-category-6 staan hierover wel grappige weetjes.
Overheidsdiensten raadplegen via een app aangeboden door een commerciŽle entiteit, disaster waiting to happen?
In Nederland kun als privť-persoon je heel veel overheids-gerelateerde dingen digitaal regelen via DigiD maar als bedrijf moet je daarvoor ook bij een commeciŽle aanbieder zijn.
Is er ergens een meer technische uitleg over het security/privacy gedeelte, vraag me toch af, hoe betrouwbaar dit allemaal is en al zeker of het nut heeft.
Ik vraag me af wat het nit is naast de eID-chip op de Belgische identiteitskaart, en ook hoe dit systeem omgaat met dual-sim-toestellen.
Als ik die FAQ bekijk valt het woord eIDAS op en het project is een implementatie van EU regulering. Dus een erg origineel idee is het niet, je kan het niet kwalijk nemen dat het Sixdots project weer werd opgevist. De EU moedigt zelfs publiek-private samenwerking aan om die mobile ID op zoveel mogelijk plaatsen te kunnen gebruiken.

Duitsland wil zo vroeg mogelijk haar eID kunnen gebruiken in andere EU lidstaten om de administratie eenvoudiger te maken:
https://www.bsi.bund.de/E...AS_notification_node.html

Een andere EU verordening liberaliseert digitale bankdiensten en in hun paniek proberen die alternatieve spelers al voor te zijn. Dus die stonden natuurlijk te springen om daar met een stevige overheidssteun in de spotlight te staan. Die Payconiq is ook onderdeel van hun strategie.

Dus ik denk dat het niet lang zal duren voor Nederland ook "toevallig" met zo'n applicatie komt in de nabije toekomst... De EU push is niet te mijden...
Mischien beter om het EU-wide te proberen, maar gaat natuurlijk lastigworden gezien niet eens elk EU-land standaard aan elke inwoner een identiteitskaart uitrijkt.

Lijkt me opzich nog wel wat hebben, hoeel het een potentieel negatieve invloed op de privacy van de gebruiker kan hebben als dit een vereiste gaat worden (wat ik niet verwacht tbh).
Zeer kwalijke zaak. Het wordt zo steeds laagdrempeliger om overal identificatie verplicht te maken. Online anonimiteit en privacy vind ik een groot goed en fundamenteel recht, en zeer bedenkelijk als daar met dit soort initiatieven aan gesjoemeld wordt.

En daar komt nog bij dat banken wel de LAATSTE partij zijn van wie we ons nůg afhankelijker moeten maken dan we al zijn. Dit zou nog meer macht en controle naar banken brengen dan ze nu al hebben, dat is juist het tegenovergestelde van wat er moet gebeuren.
Websites kunnen een dergelijk systeem al gebruiken aan de hand van bijv. https://azure.microsoft.c...ti-factor-authentication/ En ook aan de hand van een notificatie vanuit de app de toegang verlenen. Met een fallback naar gebeld worden, sms, en TOTP. Wat is dan de meerwaarde van nog zo'n app van een andere leverancier die alleen in BelgiŽ werkt als je klant bent van een van die mobiele providers? Is dit dan niet gewoon weggegooid geld van de federale regering terwijl ze zelf ook al een dergelijk systeem hebben (dacht ik) met hun eID?

[Reactie gewijzigd door mrdemc op 30 mei 2017 18:40]

De meerwaarde bestaat net uit de koppeling met je eID (eigenlijk gewoon verificatie van je nationaal nummer) en dat je daarmee dus ook kunt aanmelden op o.a. overheidsdiensten ipv je identiteitskaart boven te halen, je kaartlezer te gaan zoeken en hopen dat je die pincode nog weet.
Als je er al niet in slaagt om de 4 cijfers van de pincode voor je eID te onthouden, dan is dit systeem al helemaal geen verbetering: voortaan moet je 5 (vijf!) cijfers onthouden. En die cijfercode van 5 tekens volstaat om toegang te krijgen tot alle overheidsdiensten, je bankrekening en wat nog meer. Een cijfercode die een groot deel van de gebruikers op een post-it zal schrijven dat samen wordt bewaard met de smartphone of de portefeuille.
De pincode voor mijn eID is precies dezelfde als die voor mijn bankkaart, dus onthouden is geen enkel probleem. Voorts hebben veel toetsenborden (Cherry) gewoon een ingebouwde kaartlezer, dus gedoe met zoeken of kabels is er ook niet.

Voor mij hoeft dat itsme voorlopig nog niet. eID voor overheidssites en Bancontact voor online shoppen (zelfs Aliexpress accepteert Bancontact), meer heb ik niet nodig.
Probleem met de eID lezer is dat je java moet installeren.
Op mijn werk pc gaat dit dus al niet want wij gebruiken een specifieke (verouderde -kuch veilig kuch- versie).

Dus ik moet een andere computer opvissen en die heb ik niet altijd mee. Dus op zich is het nog wel handig.
Wat is dan de meerwaarde van nog zo'n app van een andere leverancier die alleen in BelgiŽ werkt als je klant bent van een van die mobiele providers?
Dat is uiteraard zo goed als 100% van de doelgroep. Er zijn maar weinig mensen die geen smartphone hebben maar wel willen inloggen op een website.De mensen die op een Belgische website willen inloggen zijn meestal ook gewoon belgen en belgen hebben nu eenmaal vaak een sim kaart van 1 van de 3 belgische providers.
Heel het punt van de app was ook om niet afhankelijk te zijn van facebook of google voor het gemakkelijk en semiautomatisch inloggen. Een nobel streven lijkt me.
Is dit dan niet gewoon weggegooid geld van de federale regering
gezien ze er niet in investeren lijkt me dat niet direct het probleem te zijn...
Er zijn maar weinig mensen die geen smartphone hebben maar wel willen inloggen op een website.
Dan ben ik toch 1 van die weinigen ;)

Los daarvan, zelfs ŗls mijn GSM een smartphone was, dan had ik nog steeds het probleem dat mijn SIM-kaart van mijn werkgever is, en niet van mijzelf.
(En mijn nummer technisch gezien ook, het zit in de bundel van mijn werkgever en ik krijg het terug als ikj het bedrijf verlaat/moet verlaten)

Ik zal vast niet de enige zijn die als enige telefoon een telefoon (met SIM) van de zaak heeft.
Zonder met te verdiepen in de technische details, lijkt het me onwenselijk om je login daaraan te verbinden.
Immers:
* De app stopt met werken als er een andere of geen simkaart in het toestel zit.
* De dienst vereist dat gebruikers een simkaart hebben die kan werken met de dienst... bij een op de vijf telefoongebruikers zal het een nieuwe simkaart vereisen.
De mensen die op een Belgische website willen inloggen zijn meestal ook gewoon belgen en belgen hebben nu eenmaal vaak een sim kaart van 1 van de 3 belgische providers.
Er zijn genoeg uitzonderingen hoor. Ik ken iemand die via een Belgisch uitzendbureau werkt bij een bedrijfje net over de grens. En iedere keer als dat uitzendbureau het contract verlengde moest ze dat goedkeuren met de eID van haar Belgische ID-kaart, dat ze niet heeft omdat ze Nederlandse is en in Nederland woont.

Er zijn bij ons in de streek best veel mensen die over de grens werken en dus daar IB-aangifte moeten doen (en pas daarna dat in NL kunnen doen).,
Heel het punt van de app was ook om niet afhankelijk te zijn van facebook of google voor het gemakkelijk en semiautomatisch inloggen. Een nobel streven lijkt me.
Voor overheidsdiensten lijkt met dat afhankelijkheid van een Facebook of andere dergelijke partij niet alleen ongewenst is maar zelfs ontwettelijk.
Is dit dan niet gewoon weggegooid geld van de federale regering terwijl ze zelf ook al een dergelijk systeem hebben (dacht ik) met hun eID?
Volgens de media is dit een initiatief van Belgische banken en telecombedrijven. De overheid heeft hier financieel niet veel mee te maken. Je hebt enkel wat politici die dit aangrijpen om zichzelf in the picture te zetten, wat voor verwarring kan zorgen op dat vlak...
Wat is dan de meerwaarde van nog zo'n app van een andere leverancier die alleen in BelgiŽ werkt als je klant bent van een van die mobiele providers?
Nou, mischien dat het niet van een amerikaans bedrijf is dat er een gijzelingsstrategie op zn klanten voert?
Je moet dit soort diensten zien als basale infra in een land. Dat wil je in de eerste plaats zo veel mogelijk binnenshuis houden. Verder wil je dat het een open standaard is waar verschillende leveranciers aan meewerken en niet slechts 1 bedrijf dat ook nog eens aan de andere kant van de wereld gevestigd is en waaqr jij je als land dan maar aan moet schikken.
Maw, een poging om een gefaald miljoenen project deels te herbruiken. Ik die er allesinds niet aan mee. De eID is al niet de veiligste oplossing en dit lijkt me nog een stuk minder veilig.
Hey Blokker,

Kun je aangeven wat je precies bedoeld met "hergebruiken"? Is het een architectuur/ infrastructuur die reeds voor een ander doel is gebruikt? En is het vergelijkbaar met het Nederlandse Idin?

[Reactie gewijzigd door Eagle Creek op 30 mei 2017 18:40]

Op het eerste zicht lijken ze inderdaad wel wat van elkaar weg te hebben. Met dat verschil dat het hier niet zozeer de bank is die je identiteit bevestigd maar dat de app gewoon vanuit een consortium komt bestaande uit de Belgische grootbanken en telecomproviders waarbij de verificatie niet gedaan wordt door de bank maar alsnog de eID noodzakelijk is voor de eerste verificatie van de identiteit.

--edit--

Het artikel geeft aan dat dit platform ontstaan is uit het geflopte Sixdots project. Het lijkt me dan ook dat ze het consortium achter dat project in leven hebben gehouden en het personeel en infrastructuur gewoon hebben ingezet voor de ontwikkeling van deze app. Die gedachte alleen al maakt mij niet blij.

[Reactie gewijzigd door Blokker_1999 op 30 mei 2017 18:44]

Hmmm, ik heb mijn eID niet nodig gehad? Ik heb de itsme app geinstalleerd en mijn identiteit laten verifieren door de KBC mobile app die eveneens op mijn GSM stond. Pincode (geen fingerprint op Android, lame..) instellen en klaar..

Je kan er precies wel nog niet veel mee doen maar soit, als ik al niet meer mijn kaartlezer op mijn MacBook aan de praat moet krijgen enkel voor de jaarlijkse TaxOnWeb, dan is het mij wat mij betreft al een dikke win :).
E-ID is inderdaad niet nodig. Je kan bij de activatie kiezen om je account van een bank van voorkeur te gebruiken. Vermits deze reeds altijd beschikking hebben over je identiteitsgegevens. De app van de bank van voorkeur opent de bijhorende app op je telefoon, je voert je pincode in, en klaar, koppeling gebeurd! :-)

Lekker makkelijk! Makkelijker inderdaad als de eID-reader zoals Venqwish reeds aanhaalde!
Volgens mij is deze app weeral overbodig en de zoveelste bijkomende manier om te authenticeren.

Bedrijven zouden beter de huidige eID authenticatie mogelijkheden voorzien door de Belgische overheid beter integreren in hun websites.

Je kan perfect aan je eID een TOTP toekennen. (gestandaardiseerd algoritme)
Inloggen doe je dus met je userid/password en een app op je smartphone die de TOTP standaard implementeert zoals bijv Google Authenticator. Er zijn echter nog vele ander apps beschikbaar die ook gebruikt kunnen worden. Dus niet echt direct gelinkt aan de grotere non-EU spelers zoals Google/Facebook/Microsoft.

En geen eID kaartlezer nodig ! en gebruik makend van standaarden.

De mogelijkheid om aan je eID een TOTP toe te kennen is nog niet echt ingeburgerd in Belgie heb ik zo de indruk. De Belgische overheid zou beter hier wat meer reclame voor maken ipv een prive consortium weer te gaan steunen.

En inderdaad een pincode van 5 cijfers lijkt mij niet echt veiliger ipv one time passwords....

De link met een SIM-kaart, tja, rare kronkel, als ik zie hoe gemakkelijk het is om zo maar een GSM nummeroverdracht aan te vragen, zonder enige vorm van authenticatie/verificatie,.....
Dat is sowieso al niet meer nodig, je kan ook gewoon werken met een Authenticator code om aan te melden op Tax-on-web. :)
"De dienst komt voort uit Sixdots, een geflopte betaaldienst van de Belgische banken en providers."
Minder veilig zou ik niet zeggen. De app maakt gebruik van een unieke combinatie van je smartphone, simkaart en je itsme-code.

1 van die zaken die niet klopt, werkt het gewoon niet meer.

Toch maar eens geinstalleerd om te zien wat de mogelijkheden zijn, nu constant rondlopen met een eid reader (Belfius Card Reader) is een beetje van het zotte.

[Reactie gewijzigd door C-dude op 30 mei 2017 18:43]

De eID is al niet de veiligste oplossing en dit lijkt me nog een stuk minder veilig.
kun je dit onderbouwen? Waarom zou een eid niet veilig zijn en waarom dit nog minder?
Ik ga er wel aan mee doen, en wel zo snel mogelijk (de app staat al op mn gsm)

eID was een prima idee, zijn tijd vooruit, Bill Gates was er weg van..(http://www.standaard.be/cnt/dmf01022005_007). Helaas is de tech implementatie gedaan met de technologie van toen, chipcards, cardreaders, middelware, en een niet al te gebruiksvriendelijke interface. Het is normaal dat software op een gegeven moment "op" is. Zo ook deze software. Wellicht dat er grote stukken van de backend herbruikt kunnen worden, dat is geen slecht iets.

Ook de banken gebruiken een een systeem met een chipcard cardreaders. Die cardreaders heb je niet altijd bij, als je verschillende banken hebt( hier Fintro + KBC) dan heb je verschilde niet uitwisselbare cardreaders in huis.

Naar de toekomst toe dit systeem gebruiken om direct een betaling te doen bij pakweg bol.com? Automatisch inchecken op een luchthaven? ik zie dat zitten ja :)
Ik begrijp niet helemaal wat de bedoeling is. Maar ik verwacht dat er binnenkort grote commerciŽle sites dit gaan implementeren en waarmee je dan "gratis" en "veilig" hiermee moet inloggen. Dan weten ze direct alles van je.

De eID is te moeilijk of te "officieel" voor commerciŽle bedrijven om te gebruiken. Verder is het een log systeem dat niet gemaakt is voor commerciŽle toepassingen.

Achja, ik zal het anti-terrorisme woord ook maar vallen.
Ik ben benieuwd welke commerciŽle sites dit kunnen gebruiken. Welke data moeten ze van mij hebben. Enige terechte vraag zou kunnen zijn, bij het bestellen van alcohol, of ik boven de 18 ben, voor de rest hoeven ze alleen te weten dat ik betaald heb, mijn emailadres en waar het spul bezorgd moet worden.
Goksites zijn verplicht te controleren als je +18 bent en niet op de zwarte lijst van de kasspel commissie staat alvorens je toegang krijgt. zoniet krijgen ze geen toelating op de Belgische markt.
Hoe bedoel je toelating op de Belgische markt?

Internet doet niet aan grenzen. Als een goksite in Monaco of Malta is gehost en gevestigd, wie of wat voorkomt dan dat Belgische bezoekers daar (net als de rest van de wereld) ook gewoon kunnen gokken?
De Belgische Kansspelcommissie. Die houden een zwarte lijst bij van 'verboden' goksites, die dan door de ISPs geÔmplementeerd worden op DNS niveau (dus gewoon even Google DNS gebruiken en je komt terug op de goksite terecht ipv de Stop pagina van de overheid).
Bovendien ondersteunen de wat meer gereputeerde goksites ook de Belgische wetgeving hieromtrent door bvb Belgische spelers te weigeren als ze zelf geen licentie hebben voor de Belgische markt.
Internet doet niet aan grenzen, maar politiek wel, en de politiek heeft bepaald dat gokken onder de 18 verboden is op Belgisch grondgebied. Een goksite moet officieel een licentie hebben om in BelgiŽ te mogen opereren, en de kansspel commissie controleert dat.

houden ze alles tegen? neen
hebben de groten zich in regel gesteld? ja
Belgisch grondgebied? In BelgiŽ opereren? :?

Een Monegaskische website die opereert in Monaco, of in Macau of iets dergelijks. Wat heeft de Belgische politiek daarmee te maken? Zo'n site maakt toch geen onderscheid op afkomst van bezoekers? Er is geen sprake van "toelaten op de Belgische markt", er is sprake van Belgen die zich nu eenmaal op de internetmarkt bevinden.
Ben ook eens benieuwd wat dit gaat worden. Viel toch al op dat Janbon aan veiligheid niet veel woorden vuil maakte. Feit is dat implementatie nog jaren kan duren, en met al die overheidssites met eID-login zal het niet makkelijk worden. Typisch mens om iets nieuws te starten ipv bestaande zaken aan te passen/weggooien.

Bedankt Blokker_1999 voor de achtergrondinformatie. Zulke zaken zal men tuurlijk niet melden aan de gewone man. Zet alles direct in een ander perspectief.

[Reactie gewijzigd door Henry_01 op 30 mei 2017 19:51]

Ze werken ook aan het ondertekenen van documenten of zelfs betalingen. Het doel zal overigens zijn dat je op termijn kan aanmelden op de websites van de banken zonder kaartlezer.

Dit samen met PSD2 wilt dit zeggen dat je perfect een multibanciar systeem kan maken gebruikmakend van 1 token. PSD2 zal de banken verplichten om andere partijen de mogelijkheid aan te bieden om betalingen uit te voeren en rekeninginformatie weer te geven zonder dat de derde partij hiervoor moet betalen. PSD2 schrijft een KYC (know your customer) voor wat het de derde partij zal bemoeilijken. Dit product zal het dus voor derde partijen vele malen eenvoudiger en gebruiksvriendelijker maken om betalingen te laten uitvoeren of te zorgen voor een authenticatie.
Hoe goed of hoe slecht het ook is - ik zal dit NIET gebruiken. Ik ben tegen het gegeven dat een bankenconsortium mijn identiteit gaat bewaken - ik en ik alleen doe dat zelf.
Een smartphone die inherrent onveilig is koppelen aan zoiets - hoe zot kunt ge zijn?
We lezen toch de gigantische massa's aanvallen - we lezen toch hoe goed die AI werkt - en hoe goed die stemherkenning is - hoe geweldig die vingerafdrukken te kraken zijn, hoe goed de irisscan omzeild wordt. Als dan niet-it-ers promo maken voor zoiets geweldigs - dan heb ik vooral zoiets van - laten we absoluut erover waken dat er geen bit van mijn gegegevens in dat soort systemen terecht komt.
Ik ben ze dus voor geweest - mijn bank - die onlangs door een ernstig incident - die weten al dat ik er niet mee lummel - is er bij - die weten meteen dat ze dat bij mij niet mogen!
De voorwaarden zijn reeds eenzijdig opgelegd - ge moogt gerust zijn! En dat kan ik - omdat ik dat kan. Het is MIJN identiteit - ik beslis daarover. Zeker geen bank - ik ben 2007-2008 nog NIET vergeten, u misschien wel - dat is uw goed recht. Ik ga mijn identiteit niet in de handen leggen van een bende kwakzalvers - soit -
Kort samengevat : ik zal eerder m'n identiteitsbewaking toevertrouwen aan een eencellig organisme dan aan m'n bank!
En haal alvast een standbeeld van Mr. Farraday in huis + een fijnmazig zakje voor uw e-speeltjes in op te bergen - het wordt een vereiste!!! Dit dankzij de domheid van enkelen.
Jou bank weet al wie jij bent, want jij hebt je identititeitkaart al lang aan jou bank gegeven...

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*