Belgische providers en banken presenteren app voor identificatie op sites

Vier Belgische banken en mobiele providers Proximus, Telenet en Orange hebben itsme gepresenteerd, de marketingnaam voor Belgian Mobile ID. Met de techniek kunnen Belgen zich op sites van bedrijven en overheden aanmelden.

Om itsme te laten werken moeten gebruikers de app installeren en koppelen aan hun telefoon en mobiele nummer. Op sites kunnen ze vervolgens een melding laten sturen naar de app, waarna gebruikers het inloggen moeten goedkeuren en autoriseren met een code of vingerafdruk, blijkt op de site van itsme. De app stopt met werken als er een andere of geen simkaart in het toestel zit.

De dienst vereist dat gebruikers een simkaart hebben die kan werken met de dienst. Providers doen dat softwarematig en over-the-air, maar bij een op de vijf telefoongebruikers zal het een nieuwe simkaart vereisen.

Er zijn al enkele sites die werken met itsme. De bekendste daarvan is die van uitzendbureau Randstad, dat dinsdag een optie om in te loggen met itsme heeft toegevoegd. Het initiatief heeft de steun van de federale regering en het is de bedoeling om inloggen op overheidswebsites via itsme ook mogelijk te maken. De dienst komt voort uit Sixdots, een geflopte betaaldienst van de Belgische banken en providers.

IT-banen

Reacties (39)

SHFT 30 mei 2017 18:43

Overheidsdiensten raadplegen via een app aangeboden door een commerciële entiteit, disaster waiting to happen?

Is er ergens een meer technische uitleg over het security/privacy gedeelte, vraag me toch af, hoe betrouwbaar dit allemaal is en al zeker of het nut heeft.

Anoshky @SHFT • 30 mei 2017 19:21

Dat is nu ook al zo met MyDigipass van Vasco. Kun je ook op elke overheidsapplicatie gebruiken om in te loggen.

Ik heb het geïnstalleerd vandaag en er komen best wel veel foutmeldingen naar voor. Nog even afwachten dus :-)

biglia @SHFT • 30 mei 2017 19:27

Is er ergens een meer technische uitleg over het security/privacy gedeelte, vraag me toch af, hoe betrouwbaar dit allemaal is en al zeker of het nut heeft.

In de FAQ: https://www.itsme.be/nl/faq#faq-category-6 staan hierover wel grappige weetjes.

BeosBeing @SHFT • 5 juni 2017 16:03

Overheidsdiensten raadplegen via een app aangeboden door een commerciële entiteit, disaster waiting to happen?

In Nederland kun als privé-persoon je heel veel overheids-gerelateerde dingen digitaal regelen via DigiD maar als bedrijf moet je daarvoor ook bij een commeciële aanbieder zijn.

Is er ergens een meer technische uitleg over het security/privacy gedeelte, vraag me toch af, hoe betrouwbaar dit allemaal is en al zeker of het nut heeft.

Ik vraag me af wat het nit is naast de eID-chip op de Belgische identiteitskaart, en ook hoe dit systeem omgaat met dual-sim-toestellen.

algalid 30 mei 2017 19:54

Als ik die FAQ bekijk valt het woord eIDAS op en het project is een implementatie van EU regulering. Dus een erg origineel idee is het niet, je kan het niet kwalijk nemen dat het Sixdots project weer werd opgevist. De EU moedigt zelfs publiek-private samenwerking aan om die mobile ID op zoveel mogelijk plaatsen te kunnen gebruiken.

Duitsland wil zo vroeg mogelijk haar eID kunnen gebruiken in andere EU lidstaten om de administratie eenvoudiger te maken:
https://www.bsi.bund.de/E...AS_notification_node.html

Een andere EU verordening liberaliseert digitale bankdiensten en in hun paniek proberen die alternatieve spelers al voor te zijn. Dus die stonden natuurlijk te springen om daar met een stevige overheidssteun in de spotlight te staan. Die Payconiq is ook onderdeel van hun strategie.

Dus ik denk dat het niet lang zal duren voor Nederland ook "toevallig" met zo'n applicatie komt in de nabije toekomst... De EU push is niet te mijden...

RobinJ1995

30 mei 2017 20:24

Mischien beter om het EU-wide te proberen, maar gaat natuurlijk lastigworden gezien niet eens elk EU-land standaard aan elke inwoner een identiteitskaart uitrijkt.

Lijkt me opzich nog wel wat hebben, hoeel het een potentieel negatieve invloed op de privacy van de gebruiker kan hebben als dit een vereiste gaat worden (wat ik niet verwacht tbh).

Jace / TBL 31 mei 2017 00:21

Zeer kwalijke zaak. Het wordt zo steeds laagdrempeliger om overal identificatie verplicht te maken. Online anonimiteit en privacy vind ik een groot goed en fundamenteel recht, en zeer bedenkelijk als daar met dit soort initiatieven aan gesjoemeld wordt.

En daar komt nog bij dat banken wel de LAATSTE partij zijn van wie we ons nóg afhankelijker moeten maken dan we al zijn. Dit zou nog meer macht en controle naar banken brengen dan ze nu al hebben, dat is juist het tegenovergestelde van wat er moet gebeuren.

mrdemc 30 mei 2017 18:39

Websites kunnen een dergelijk systeem al gebruiken aan de hand van bijv. https://azure.microsoft.c...ti-factor-authentication/ En ook aan de hand van een notificatie vanuit de app de toegang verlenen. Met een fallback naar gebeld worden, sms, en TOTP. Wat is dan de meerwaarde van nog zo'n app van een andere leverancier die alleen in België werkt als je klant bent van een van die mobiele providers? Is dit dan niet gewoon weggegooid geld van de federale regering terwijl ze zelf ook al een dergelijk systeem hebben (dacht ik) met hun eID?

[Reactie gewijzigd door mrdemc op 23 juli 2024 12:52]

Blokker_1999

België
Politiek en recht

@mrdemc • 30 mei 2017 18:46

De meerwaarde bestaat net uit de koppeling met je eID (eigenlijk gewoon verificatie van je nationaal nummer) en dat je daarmee dus ook kunt aanmelden op o.a. overheidsdiensten ipv je identiteitskaart boven te halen, je kaartlezer te gaan zoeken en hopen dat je die pincode nog weet.

yabatopia @Blokker_1999 • 30 mei 2017 20:10

Als je er al niet in slaagt om de 4 cijfers van de pincode voor je eID te onthouden, dan is dit systeem al helemaal geen verbetering: voortaan moet je 5 (vijf!) cijfers onthouden. En die cijfercode van 5 tekens volstaat om toegang te krijgen tot alle overheidsdiensten, je bankrekening en wat nog meer. Een cijfercode die een groot deel van de gebruikers op een post-it zal schrijven dat samen wordt bewaard met de smartphone of de portefeuille.

Mr777 @Blokker_1999 • 30 mei 2017 22:33

De pincode voor mijn eID is precies dezelfde als die voor mijn bankkaart, dus onthouden is geen enkel probleem. Voorts hebben veel toetsenborden (Cherry) gewoon een ingebouwde kaartlezer, dus gedoe met zoeken of kabels is er ook niet.

Voor mij hoeft dat itsme voorlopig nog niet. eID voor overheidssites en Bancontact voor online shoppen (zelfs Aliexpress accepteert Bancontact), meer heb ik niet nodig.

DaemonAngel @Mr777 • 31 mei 2017 11:34

Probleem met de eID lezer is dat je java moet installeren.
Op mijn werk pc gaat dit dus al niet want wij gebruiken een specifieke (verouderde -kuch veilig kuch- versie).

Dus ik moet een andere computer opvissen en die heb ik niet altijd mee. Dus op zich is het nog wel handig.

Anoniem: 167912 @mrdemc • 30 mei 2017 19:11

Wat is dan de meerwaarde van nog zo'n app van een andere leverancier die alleen in België werkt als je klant bent van een van die mobiele providers?

Dat is uiteraard zo goed als 100% van de doelgroep. Er zijn maar weinig mensen die geen smartphone hebben maar wel willen inloggen op een website.De mensen die op een Belgische website willen inloggen zijn meestal ook gewoon belgen en belgen hebben nu eenmaal vaak een sim kaart van 1 van de 3 belgische providers.
Heel het punt van de app was ook om niet afhankelijk te zijn van facebook of google voor het gemakkelijk en semiautomatisch inloggen. Een nobel streven lijkt me.

Is dit dan niet gewoon weggegooid geld van de federale regering

gezien ze er niet in investeren lijkt me dat niet direct het probleem te zijn...

tc-t @Anoniem: 167912 • 31 mei 2017 10:26

Er zijn maar weinig mensen die geen smartphone hebben maar wel willen inloggen op een website.

Dan ben ik toch 1 van die weinigen

Los daarvan, zelfs àls mijn GSM een smartphone was, dan had ik nog steeds het probleem dat mijn SIM-kaart van mijn werkgever is, en niet van mijzelf.
(En mijn nummer technisch gezien ook, het zit in de bundel van mijn werkgever en ik krijg het terug als ikj het bedrijf verlaat/moet verlaten)

Ik zal vast niet de enige zijn die als enige telefoon een telefoon (met SIM) van de zaak heeft.
Zonder met te verdiepen in de technische details, lijkt het me onwenselijk om je login daaraan te verbinden.
Immers:
* De app stopt met werken als er een andere of geen simkaart in het toestel zit.
* De dienst vereist dat gebruikers een simkaart hebben die kan werken met de dienst... bij een op de vijf telefoongebruikers zal het een nieuwe simkaart vereisen.

BeosBeing @Anoniem: 167912 • 5 juni 2017 16:11

De mensen die op een Belgische website willen inloggen zijn meestal ook gewoon belgen en belgen hebben nu eenmaal vaak een sim kaart van 1 van de 3 belgische providers.

Er zijn genoeg uitzonderingen hoor. Ik ken iemand die via een Belgisch uitzendbureau werkt bij een bedrijfje net over de grens. En iedere keer als dat uitzendbureau het contract verlengde moest ze dat goedkeuren met de eID van haar Belgische ID-kaart, dat ze niet heeft omdat ze Nederlandse is en in Nederland woont.

Er zijn bij ons in de streek best veel mensen die over de grens werken en dus daar IB-aangifte moeten doen (en pas daarna dat in NL kunnen doen).,

Heel het punt van de app was ook om niet afhankelijk te zijn van facebook of google voor het gemakkelijk en semiautomatisch inloggen. Een nobel streven lijkt me.

Voor overheidsdiensten lijkt met dat afhankelijkheid van een Facebook of andere dergelijke partij niet alleen ongewenst is maar zelfs ontwettelijk.

ejabberd @mrdemc • 31 mei 2017 07:09

Is dit dan niet gewoon weggegooid geld van de federale regering terwijl ze zelf ook al een dergelijk systeem hebben (dacht ik) met hun eID?

Volgens de media is dit een initiatief van Belgische banken en telecombedrijven. De overheid heeft hier financieel niet veel mee te maken. Je hebt enkel wat politici die dit aangrijpen om zichzelf in the picture te zetten, wat voor verwarring kan zorgen op dat vlak...

koelpasta @mrdemc • 30 mei 2017 18:50

Wat is dan de meerwaarde van nog zo'n app van een andere leverancier die alleen in België werkt als je klant bent van een van die mobiele providers?

Nou, mischien dat het niet van een amerikaans bedrijf is dat er een gijzelingsstrategie op zn klanten voert?
Je moet dit soort diensten zien als basale infra in een land. Dat wil je in de eerste plaats zo veel mogelijk binnenshuis houden. Verder wil je dat het een open standaard is waar verschillende leveranciers aan meewerken en niet slechts 1 bedrijf dat ook nog eens aan de andere kant van de wereld gevestigd is en waaqr jij je als land dan maar aan moet schikken.

Blokker_1999

België
Politiek en recht

30 mei 2017 18:38

Maw, een poging om een gefaald miljoenen project deels te herbruiken. Ik die er allesinds niet aan mee. De eID is al niet de veiligste oplossing en dit lijkt me nog een stuk minder veilig.

Eagle Creek

@Blokker_1999 • 30 mei 2017 18:39

Hey Blokker,

Kun je aangeven wat je precies bedoeld met "hergebruiken"? Is het een architectuur/ infrastructuur die reeds voor een ander doel is gebruikt? En is het vergelijkbaar met het Nederlandse Idin?

[Reactie gewijzigd door Eagle Creek op 23 juli 2024 12:52]

Blokker_1999

België
Politiek en recht

@Eagle Creek • 30 mei 2017 18:42

Op het eerste zicht lijken ze inderdaad wel wat van elkaar weg te hebben. Met dat verschil dat het hier niet zozeer de bank is die je identiteit bevestigd maar dat de app gewoon vanuit een consortium komt bestaande uit de Belgische grootbanken en telecomproviders waarbij de verificatie niet gedaan wordt door de bank maar alsnog de eID noodzakelijk is voor de eerste verificatie van de identiteit.

--edit--

Het artikel geeft aan dat dit platform ontstaan is uit het geflopte Sixdots project. Het lijkt me dan ook dat ze het consortium achter dat project in leven hebben gehouden en het personeel en infrastructuur gewoon hebben ingezet voor de ontwikkeling van deze app. Die gedachte alleen al maakt mij niet blij.

[Reactie gewijzigd door Blokker_1999 op 23 juli 2024 12:52]

venqwish @Blokker_1999 • 30 mei 2017 20:11

Hmmm, ik heb mijn eID niet nodig gehad? Ik heb de itsme app geinstalleerd en mijn identiteit laten verifieren door de KBC mobile app die eveneens op mijn GSM stond. Pincode (geen fingerprint op Android, lame..) instellen en klaar..

Je kan er precies wel nog niet veel mee doen maar soit, als ik al niet meer mijn kaartlezer op mijn MacBook aan de praat moet krijgen enkel voor de jaarlijkse TaxOnWeb, dan is het mij wat mij betreft al een dikke win

Anthony @venqwish • 30 mei 2017 20:21

E-ID is inderdaad niet nodig. Je kan bij de activatie kiezen om je account van een bank van voorkeur te gebruiken. Vermits deze reeds altijd beschikking hebben over je identiteitsgegevens. De app van de bank van voorkeur opent de bijhorende app op je telefoon, je voert je pincode in, en klaar, koppeling gebeurd! :-)

Lekker makkelijk! Makkelijker inderdaad als de eID-reader zoals Venqwish reeds aanhaalde!

bertHobbes @venqwish • 30 mei 2017 23:43

Volgens mij is deze app weeral overbodig en de zoveelste bijkomende manier om te authenticeren.

Bedrijven zouden beter de huidige eID authenticatie mogelijkheden voorzien door de Belgische overheid beter integreren in hun websites.

Je kan perfect aan je eID een TOTP toekennen. (gestandaardiseerd algoritme)
Inloggen doe je dus met je userid/password en een app op je smartphone die de TOTP standaard implementeert zoals bijv Google Authenticator. Er zijn echter nog vele ander apps beschikbaar die ook gebruikt kunnen worden. Dus niet echt direct gelinkt aan de grotere non-EU spelers zoals Google/Facebook/Microsoft.

En geen eID kaartlezer nodig ! en gebruik makend van standaarden.

De mogelijkheid om aan je eID een TOTP toe te kennen is nog niet echt ingeburgerd in Belgie heb ik zo de indruk. De Belgische overheid zou beter hier wat meer reclame voor maken ipv een prive consortium weer te gaan steunen.

En inderdaad een pincode van 5 cijfers lijkt mij niet echt veiliger ipv one time passwords....

De link met een SIM-kaart, tja, rare kronkel, als ik zie hoe gemakkelijk het is om zo maar een GSM nummeroverdracht aan te vragen, zonder enige vorm van authenticatie/verificatie,.....

visualice @venqwish • 31 mei 2017 07:01

Dat is sowieso al niet meer nodig, je kan ook gewoon werken met een Authenticator code om aan te melden op Tax-on-web.

witchdoc @Eagle Creek • 30 mei 2017 18:44

"De dienst komt voort uit Sixdots, een geflopte betaaldienst van de Belgische banken en providers."

C-dude @Blokker_1999 • 30 mei 2017 18:42

Minder veilig zou ik niet zeggen. De app maakt gebruik van een unieke combinatie van je smartphone, simkaart en je itsme-code.

1 van die zaken die niet klopt, werkt het gewoon niet meer.

Toch maar eens geinstalleerd om te zien wat de mogelijkheden zijn, nu constant rondlopen met een eid reader (Belfius Card Reader) is een beetje van het zotte.

[Reactie gewijzigd door C-dude op 23 juli 2024 12:52]

Anoniem: 167912 @Blokker_1999 • 30 mei 2017 19:07

De eID is al niet de veiligste oplossing en dit lijkt me nog een stuk minder veilig.

kun je dit onderbouwen? Waarom zou een eid niet veilig zijn en waarom dit nog minder?

Yalopa @Blokker_1999 • 31 mei 2017 06:20

Ik ga er wel aan mee doen, en wel zo snel mogelijk (de app staat al op mn gsm)

eID was een prima idee, zijn tijd vooruit, Bill Gates was er weg van..(http://www.standaard.be/cnt/dmf01022005_007). Helaas is de tech implementatie gedaan met de technologie van toen, chipcards, cardreaders, middelware, en een niet al te gebruiksvriendelijke interface. Het is normaal dat software op een gegeven moment "op" is. Zo ook deze software. Wellicht dat er grote stukken van de backend herbruikt kunnen worden, dat is geen slecht iets.

Ook de banken gebruiken een een systeem met een chipcard cardreaders. Die cardreaders heb je niet altijd bij, als je verschillende banken hebt( hier Fintro + KBC) dan heb je verschilde niet uitwisselbare cardreaders in huis.

Naar de toekomst toe dit systeem gebruiken om direct een betaling te doen bij pakweg bol.com? Automatisch inchecken op een luchthaven? ik zie dat zitten ja

biglia 30 mei 2017 19:25

Ik begrijp niet helemaal wat de bedoeling is. Maar ik verwacht dat er binnenkort grote commerciële sites dit gaan implementeren en waarmee je dan "gratis" en "veilig" hiermee moet inloggen. Dan weten ze direct alles van je.

De eID is te moeilijk of te "officieel" voor commerciële bedrijven om te gebruiken. Verder is het een log systeem dat niet gemaakt is voor commerciële toepassingen.

Achja, ik zal het anti-terrorisme woord ook maar vallen.

niki_lauda @biglia • 30 mei 2017 20:40

Ik ben benieuwd welke commerciële sites dit kunnen gebruiken. Welke data moeten ze van mij hebben. Enige terechte vraag zou kunnen zijn, bij het bestellen van alcohol, of ik boven de 18 ben, voor de rest hoeven ze alleen te weten dat ik betaald heb, mijn emailadres en waar het spul bezorgd moet worden.

Yalopa @niki_lauda • 31 mei 2017 06:08

Goksites zijn verplicht te controleren als je +18 bent en niet op de zwarte lijst van de kasspel commissie staat alvorens je toegang krijgt. zoniet krijgen ze geen toelating op de Belgische markt.

Anoniem: 204567 @Yalopa • 31 mei 2017 08:51

Hoe bedoel je toelating op de Belgische markt?

Internet doet niet aan grenzen. Als een goksite in Monaco of Malta is gehost en gevestigd, wie of wat voorkomt dan dat Belgische bezoekers daar (net als de rest van de wereld) ook gewoon kunnen gokken?

Twixie @Anoniem: 204567 • 31 mei 2017 14:06

De Belgische Kansspelcommissie. Die houden een zwarte lijst bij van 'verboden' goksites, die dan door de ISPs geïmplementeerd worden op DNS niveau (dus gewoon even Google DNS gebruiken en je komt terug op de goksite terecht ipv de Stop pagina van de overheid).
Bovendien ondersteunen de wat meer gereputeerde goksites ook de Belgische wetgeving hieromtrent door bvb Belgische spelers te weigeren als ze zelf geen licentie hebben voor de Belgische markt.

Yalopa @Anoniem: 204567 • 31 mei 2017 21:39

Internet doet niet aan grenzen, maar politiek wel, en de politiek heeft bepaald dat gokken onder de 18 verboden is op Belgisch grondgebied. Een goksite moet officieel een licentie hebben om in België te mogen opereren, en de kansspel commissie controleert dat.

houden ze alles tegen? neen
hebben de groten zich in regel gesteld? ja

Anoniem: 204567 @Yalopa • 3 juni 2017 15:33

Belgisch grondgebied? In België opereren?

Een Monegaskische website die opereert in Monaco, of in Macau of iets dergelijks. Wat heeft de Belgische politiek daarmee te maken? Zo'n site maakt toch geen onderscheid op afkomst van bezoekers? Er is geen sprake van "toelaten op de Belgische markt", er is sprake van Belgen die zich nu eenmaal op de internetmarkt bevinden.

Henry_01 30 mei 2017 19:50

Ben ook eens benieuwd wat dit gaat worden. Viel toch al op dat Janbon aan veiligheid niet veel woorden vuil maakte. Feit is dat implementatie nog jaren kan duren, en met al die overheidssites met eID-login zal het niet makkelijk worden. Typisch mens om iets nieuws te starten ipv bestaande zaken aan te passen/weggooien.

Bedankt Blokker_1999 voor de achtergrondinformatie. Zulke zaken zal men tuurlijk niet melden aan de gewone man. Zet alles direct in een ander perspectief.

[Reactie gewijzigd door Henry_01 op 23 juli 2024 12:52]

SMGGM

België

30 mei 2017 19:56

Ze werken ook aan het ondertekenen van documenten of zelfs betalingen. Het doel zal overigens zijn dat je op termijn kan aanmelden op de websites van de banken zonder kaartlezer.

Dit samen met PSD2 wilt dit zeggen dat je perfect een multibanciar systeem kan maken gebruikmakend van 1 token. PSD2 zal de banken verplichten om andere partijen de mogelijkheid aan te bieden om betalingen uit te voeren en rekeninginformatie weer te geven zonder dat de derde partij hiervoor moet betalen. PSD2 schrijft een KYC (know your customer) voor wat het de derde partij zal bemoeilijken. Dit product zal het dus voor derde partijen vele malen eenvoudiger en gebruiksvriendelijker maken om betalingen te laten uitvoeren of te zorgen voor een authenticatie.

mutley69 30 mei 2017 21:46

Hoe goed of hoe slecht het ook is - ik zal dit NIET gebruiken. Ik ben tegen het gegeven dat een bankenconsortium mijn identiteit gaat bewaken - ik en ik alleen doe dat zelf.
Een smartphone die inherrent onveilig is koppelen aan zoiets - hoe zot kunt ge zijn?
We lezen toch de gigantische massa's aanvallen - we lezen toch hoe goed die AI werkt - en hoe goed die stemherkenning is - hoe geweldig die vingerafdrukken te kraken zijn, hoe goed de irisscan omzeild wordt. Als dan niet-it-ers promo maken voor zoiets geweldigs - dan heb ik vooral zoiets van - laten we absoluut erover waken dat er geen bit van mijn gegegevens in dat soort systemen terecht komt.
Ik ben ze dus voor geweest - mijn bank - die onlangs door een ernstig incident - die weten al dat ik er niet mee lummel - is er bij - die weten meteen dat ze dat bij mij niet mogen!
De voorwaarden zijn reeds eenzijdig opgelegd - ge moogt gerust zijn! En dat kan ik - omdat ik dat kan. Het is MIJN identiteit - ik beslis daarover. Zeker geen bank - ik ben 2007-2008 nog NIET vergeten, u misschien wel - dat is uw goed recht. Ik ga mijn identiteit niet in de handen leggen van een bende kwakzalvers - soit -
Kort samengevat : ik zal eerder m'n identiteitsbewaking toevertrouwen aan een eencellig organisme dan aan m'n bank!
En haal alvast een standbeeld van Mr. Farraday in huis + een fijnmazig zakje voor uw e-speeltjes in op te bergen - het wordt een vereiste!!! Dit dankzij de domheid van enkelen.

Yalopa @mutley69 • 31 mei 2017 21:44

Jou bank weet al wie jij bent, want jij hebt je identititeitkaart al lang aan jou bank gegeven...

Op dit item kan niet meer gereageerd worden.

Belgische providers en banken presenteren app voor identificatie op sites

Lees meer

IT-banen

Reacties (39)

Sorteer op:

Weergave: