×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Overheid gaat inloggen bij DigiD met alleen wachtwoord afschaffen

Door , 443 reacties, submitter: AnonymousWP

Het inloggen met alleen een gebruikersnaam en wachtwoord op sites van de overheid zal op termijn niet meer kunnen. Het beveiligingsniveau van deze manier van inloggen is te laag en de overheid acht het niet veilig om dit zo te blijven doen.

DigiD zal wel blijven werken met naast het wachtwoord een code uit een sms of uit de app van DigiD. Die methoden bieden extra beveiliging ten opzichte van inloggen met alleen een gebruikersnaam en wachtwoord. Ook komen er een rijbewijs en id-kaart met DigiD-chip uit. Het rijbewijs zal beschikbaar zijn in de eerste helft van 2018, de identiteitskaart volgt daarna, zegt demissionair minister Ronald Plasterk van Binnenlandse Zaken in een rapport over de voortgang van nieuwe manieren van inloggen op overheidswebsites.

Volgens de huidige versie van de aankomende wet GDI die toegang tot digitale dienstverlening bij de overheid regelt, mogen overheidsinstanties nog drie jaar nadat die wet van kracht geworden is inloggen mogelijk maken met gebruikersnaam en wachtwoord. Die wet is nog niet van kracht, maar het lijkt erop dat de overheid de minst veilige manier van inloggen sneller wil afschaffen. Laatst bleek dat 90 procent van de huidige succesvolle inlogpogingen gebeurt zonder sms-authenticatie.

De overheid is al jaren bezig met eID, een systeem van inloggen met meerdere systemen op websites van de overheid en bedrijven. Naast DigiD moeten er daarom meer systemen komen om in te loggen, die de overheid indeelt in betrouwbaarheidsniveaus. Hoe gevoeliger de gegevens zijn waar het inloggen toegang toe geeft, hoe hoger het betrouwbaarheidsniveau moet zijn. Het inloggen met gebruikersnaam en wachtwoord is van het laagste niveau, de optie met een chip op het rijbewijs is onderdeel van een hoog niveau.

Door Arnoud Wokke

Redacteur mobile

23-06-2017 • 12:44

443 Linkedin Google+

Submitter: AnonymousWP

Reacties (443)

-14430432+1172+226+31Ongemodereerd204
Wijzig sortering
Hopelijk stellen ze de SMS mogelijkheid open voor de Nederlanders die elders in Europa wonen & werken want nu is de melding:
"Uw adresgegevens in de Basisregistratie Personen zijn niet actueel of u woont niet in Nederland. U kunt daarom nu online geen extra sms-controle aanvragen."
Logisch omdat er voor SMS een activeringscode naar een NL adres gestuurd moet worden.
Er zal wel iets gebruiksvriendelijkers op verzonnen worden, maar je kan moeilijk verwachten dat de overheid door heel Europa brieven gaat sturen met activeringscodes. Overigens heb je ook een baliecode nodig en daarmee moet je dan naar de ambassade. Dus ook in het buitenland werkt het.
Met de verkiezingen sturen ze brieven met stempassen de hele wereld rond. Waarom zou zo'n activeringscode ineens een probleem zijn?
Simpel gezegd, bij de stempas zijn de potentiele gevolgen nagenoeg verwaarloosbaar (I frauduleuze stem), bij de bevestigingscode niet (identity theft).
Logisch omdat er voor SMS een activeringscode naar een NL adres gestuurd moet worden.
Argument was altijd dat ze adresgegevens in het buitenland niet kunnen verifiëren. Lijkt me dat als ze dat gewild zouden hebben dat inmiddels wel mogelijk geweest zou zijn.
Overigens heb je ook een baliecode nodig en daarmee moet je dan naar de ambassade. Dus ook in het buitenland werkt het.
Leuk dat het dan inmiddels ook in het buitenland werkt, maar de afstand naar de ambassade is meestal fors groter als hier (de meeste landen zijn groter) en we laten ook hier niet iedereen naar Den Haag komen voor het paspoort af te halen. In veel landen betekent het naar de ambassade afreizen dat je met het vliegtuig moet, overnachting moet boeken, en ook dat je een afspraak moet maken waarbij je soms zelfs verschillende telefoonnummers moet bellen afhankelijk van de regio waar dat je je bevindt.
Ik krijg anders regelmatig post van de Nederlandse overheid hier in het buitenland, hoor. Stemmen, belasting, etc.

[Reactie gewijzigd door JSQuareD op 14 juli 2017 23:25]

Hopelijk gaan ze SMS ook snel uitfaseren. Je kunt het zelf ook zo googlen,.. maar:
https://www.wired.com/2016/06/hey-stop-using-texts-two-factor-authentication/
TLDR; Het telefoon systeem is niet veilig genoeg om je account echt te beveiligen. Voor een toegewijde aanvaller is dit makkelijk te omzeilen. ofwel social engineering, of onderscheppen van slecht geencrypt telefoonverkeer.
SMS deel in het bericht klopt niet. Sms heeft geen toekomst en wordt afgeschaft. Daarnaast is het ook te duur.
Daarnaast betekent het ook dat je altijd een werkende telefoon bij je moet hebben.
1) Accu leeg of telefoon defect en je bent buitengesloten.
2) Telefoon verloren (of bij defecte telefoon, deze verwijderd en voor je een nieuwe had je sim verloren) of sim kapot (al komt dit nauwelijks voor) dan ben je voor altijd buitengesloten.
Nieuw account aanmaken kost weer minimaal een week.

Rijbewijs of id-kaart met chip is beter want die zal nauwelijks kapot gaan en omdat de meeste mensen die beide hebben is er, als ze het goed regelen, altijd een tijdelijk alternatief. Nadeel daar is dan weer dat je een kaartlezer of nfc-apparaat (telefoon) nodig hebt en daarmee weer vatbaarder wordt voor malware (drivers)

Ook vraag ik me af hoe ze dat gaan doen met een paspoort. komt daar dan ook een chip in? Wie een paspoort heeft, heeft meestal geen id-kaart.
Wat? Ik heb en ik wil geen mobiele telefoon. Niet enkel omdat ik het nooit gebruik of wens te gebruiken, maar bovenal. om financiële redenen. Betekent dit dat iedereen nu indirect verplicht wordt er een aan te schaffen? Al dan niet prepaid - ook dat kost meerdere tientjes per jaar aangezien je eens in de zoveel tijd opnieuw moet opladen al heb je 0,0 tegoed gebruikt. Ik heb zo de indruk dat de extra, ongewenste onkosten niet vergoed zullen worden.

EDIT:
Daar komt bovenop, als toevoeging dus, dat veel mensen slechtziend zijn en het gebruik voor een mobieltje niet voor hen is weggelegd. Ik ben daar, als gevolg van polyneuropathie (waardoor beschadiging oogzenuwen) een van. Ik gebruik een groot computerbeeledscherm. Daarop kun je goed inzoomen zodat je i.i.g. wel kunt internetten. DigiD was dan ook prima bruikbaar. Met SMS verandert dat. Dat is dan ook reden waarom ik geen mobieltje wil., Ook de vingers zijn nagenoeg gevoellos door polyneuropathie waardoor gebruik mobieltje gewoonweg geen optie is. Daar komt OOK nog eens bij dat ik slechthorend ben, wat een probleem is bij regulier telefoongebruik. Redenen genoeg voor geen mobieltje. Men mag hier nu lopen minnen wat men wilt, maar behalve dat er weer onnodig indirect geld wordt afgetroggeld (dat is het netto effect nu eenmaal), maakt men het de mensen moeilijker en moeilijker, tot zelfs onmogelijk, om zelfstandig dingen te doen die ze voorheen nog wel zelfstandig konden doen.

[Reactie gewijzigd door CoreIT op 23 juni 2017 13:41]

Dat is helemaal jouw keuze, net zoals het in het verleden persoonlijke keuze was om geen bankrekening nummer te kiezen. En toch wordt er in de huidige maatschappij toch verwacht dat je er 1 hebt.
Het is helemaal niet mijn keuze. Een mobiele telefoon kost geld. Ook enkele tientjes per jaar is geld. Wellicht is het je ontgaan, maar armoede bestaat in Nederland. Maar whatever, laat maar, ik zie al dat het gemind wordt. Waarom logde ik uberhaupt in...
Enkele tientjes is overdreven. Een oude telefoon van iemand krijgen (desnoods 1 kopen, eenmalig enkele tientjes). Daarna een simyo prepaid sim kaart voor eenmalig ¤5, met ¤7,50 beltegoed. Het enige wat je hoeft te doen om je simkaart niet te laten verlopen is 1x per 6 maanden 1 sms (¤0,10) te versturen. Met die ¤7,50 kan je dus 37,5 jaar vooruit.
Te goed blijft helaas niet altijd geldig, dus je argument gaat niet helemaal op..
De telco`s spelen het inderdaad zo dat ze dan verwachten van de gebruiker om eens in de zoveel tijd beltegoed op te waarderen.
Bij Simyo hoef je alleen 1x per half jaar een sms te sturen of te bellen. Lees de voorwaarden maar na :)
Beltegoed is onbeperkt houdbaar, bij minimaal één uitgaand gesprek of sms'je elke 6 maanden

[Reactie gewijzigd door LordSinclair op 24 juni 2017 10:55]

Voor de DigiD app heb je vziw geen beltegoed nodig.
Ja maar als je te lang niet smst of belt dan wordt je nummer afgesloten.
Ik weet niet hoe de DigiD app werkt, maar voor zo ver ik weet kun je die zelfs zonder simkaart gebruiken, of zit ik nu helemaal fout?
Nu wel, maar ze willen dus die sms bevestiging verplicht maken, dan wel.
Dat staat zo niet in het artikel?

Er staat enkel dat inloggen met "alleen een wachtwoord" niet meer kan.
En ook: "DigiD zal wel blijven werken met naast het wachtwoord een code uit een sms of uit de app van DigiD"
Ah, een smartphone zonder sim zal ook wel werken. Maar ik weet niet of dat goedkoper is dan een actieve simkaart hebben.
Het enige wat je hoeft te doen om je simkaart niet te laten verlopen is 1x per 6 maanden 1 sms (¤0,10) te versturen. Met die ¤7,50 kan je dus 37,5 jaar vooruit.
Bij de meeste providers moet je één keer binnen de zoveel tijd (meestal 6 maanden, soms 3) opwaarderen. Verbruiken hoef je dan niets. Simyo is daarin klaarblijkelijk anders, maar dat is echt een uitzondering.
Een mobiele telefoon kost geld.
Een bankrekening hebben ook (ergens tussen de 16 en 30 euro per jaar), maar ik heb zomaar het idee dat ik heel erg vreemd aangekeken word als ik aan mijn baas ga vragen om mij vanaf nu contant uit te betalen. Er moet bij keuzes uitgegaan worden van een bepaalde basis, en in de basis (uitzonderingen daargelaten) is er in ieder huishouden wel een telefoon beschikbaar die SMSjes kan ontvangen.
[...]
Een bankrekening hebben ook (ergens tussen de 16 en 30 euro per jaar)
ING rekent 50 cent per maand, er van uitgaand dat de andere banken enigsinds vergelijkbare tariefen hebben kom je dan rond de 6 euro per jaar uit. Komt trouwens ook nog bij dat een bankrekening verder ook nodig is, als jij dus een mobiel moet aanschaffen alleen voor DigiD dan betaal je voor het gebruik van DigiD dus effectief minstens een tienje per jaar terwijl dit eerst gratis te gebruiken was.
Het is 4 euro en een beetje per kwartaal bij ING
Edit: Na even checken blijkt het 1,97 per maand, dus 5,91 per kwartaal.

[Reactie gewijzigd door OttoNL op 24 juni 2017 17:47]

Sterker nog, jouw baas mag je salaris niet (geheel) contant uitbetalen. Het is sinds 1 januari 2015 verplicht om op zijn minst het wettelijk minimumloon giraal uit te betalen.

Je bent dus als je legaal wilt werken min of meer verplicht om een bankrekening te openen. En een uitkering krijg je ook niet contant betaald, denk ik. :)
Mooi he, hoe de banken het de afgelopen 30-40 jaar met goede lobbies etc het helemaal voor elkaar gekregen hebben dat de hele maarschappij en overheid in dienst van hun staat.. I.p.v. rente op je rekening nu gewoon betalen, hypotheekrente aftrek zodat de huizenprijzen en hypotheken enorm stegen en als het dan fout dreigt te gaan staat de overheid ook weer garant voor ze met belastinggeld.. Alleen maar winst zonder enig risico..
Een betaalrekening is ook niet gratis.
En zo dwingt de overheid dit maal af dat je een moderne mobiele telefoon moet hebben. Ik ben het helemaal met CoreIT eens. De overheid neemt het niet zo nouw met op kosten jagen voor de burgers.
Ik denk dat er voor mensen zonder telefoon, of computer wel een oplossing komt. Wellicht langsgaan bij het gemeentehuis o.i.d.
Grapjas. Bij het gemeentehuis kun je alleen nog terecht als je eerst een afspraak maakt via de website.
Dat hangt af van je gemeente. Bij de gemeenten die ik ken kan je gewoon bellen voor een afspraak of even langs gaan om er 1 te maken.
Nee hoor, elke gemeente heeft verplicht open inloop uren
Arnhem heeft bijv. helemaal geen open inloop uren.
En online afspraken duren een week.

https://www.arnhem.nl/alg...ngstijden_gemeente_arnhem
wauw, blijkbaar geldt die verplichting niet meer. Slechte zaak in mijn ogen. Bedankt voor je toevoeging!

EDIT: heb nog even verder gekeken. Stel dat je een nieuw paspoort wilt hebben en je gaat dat NU aanvragen.

Bij Arnhen moet je dan wachten tot 5 juli (!) voor je een afspraak kunt maken, en vervolgens duurt het een week (als je geluk hebt dat er dan nog ruimte is) om hem af te halen. Dus dat zijn 18 dagen voor je je paspoort hebt. Dit terwijl een spoedprocedure in 1 dag aangeboden wordt (maar dan nog moet je die afspraak maken die dus al meer dan 10 dagen duurt!!!)

Jeetje, waar halen ze zulk idioot gedrag vandaan? Heeft iedereen lokaal voor bezuinigen op de gemeente gestemd, en is dit het resultaat? Ben jij bekend met de reden van dit soort beleid?

[Reactie gewijzigd door Arokh op 25 juni 2017 15:04]

Daar is denk ik wel wat bewegingsruimte in. heb vorige week een nieuw paspoort opgehaald in Enschede. Ook hier werd aangegeven op de website dat je zelf eerst een afspraak online moest maken, maar eenmaal op het gemeente huis aangekomen was er gewoon een balie waar je direct terecht kon om persoonlijk afspraken te maken of anderszins geholpen te worden.

Doet me ook denken aan een geval circa 5 jaar geleden in Apeldoorn: kom aan om een rijbewijs aan te vragen. Aanvraag rijbewijs/paspoort kan alleen met afspraak via site. Er was een openbare computer in de lobby. Snel op website afspraak gemaakt op de eerste mogelijkheid; die dag over 4 uur. Daarna gewoon naar het nummer paaltje gelopen, mijn geldige afspraak gegevens ingevuld, en meteen een nummertje gekregen. stond 20 minuten later weer buiten met ingediende aanvraag.
Daarna gewoon naar het nummer paaltje gelopen, mijn geldige afspraak gegevens ingevuld, en meteen een nummertje gekregen. stond 20 minuten later weer buiten met ingediende aanvraag.
Dan moet er wel een nummerpaaltje zijn waar je je afspraakgegevens kunt invoeren.
En als het rustig is, dan kan het, maar als het druk is zit je daar dus 4 uur te wachten.
Nee hoor, elke gemeente heeft verplicht open inloop uren
Onze gemeente niet.
Ja als je binnenloopt kun je nog wel ter plaatse een afspraak maken, meestal voor de week daarop.
Dat hangt echter af van de dienst waarvoor je wilt komen.
Check mijn reactie op robert rijkers iets hierboven. Je hebt helemaal gelijk, en ik vind het geen beste zaak.
Als je de tijd neemt om even te Googlen, dan kom je daar vanzelf achter. In Den Haag is het meestal s ochtends tussen 9 en 11. En op afspraak gewoon ergens tussen 9 en 5. Oh en vrijdag zelfs tot 20:00 uur.
Ongetwijfeld zijn er gemeentes met slechtere service, maar het algemene "alles is altijd klote geregeld" is echt nonsens.

[Reactie gewijzigd door blissard op 23 juni 2017 16:11]

In Amsterdam maandag t/m vrijdag van 8:00 tot 20:00. Afspraken maken doen ze alleen voor lastige dingen zoals trouwen, bouwvergunningen en naturalisaties..
Jij hebt het over minuten, ik over uren. Bij onze gemeente is het 2 dagen van 8:00-17:00 en 4 avonden met afspraak (1 avond vrije inloop). Overige dagen ook afspraak.
In Eindhoven zjn de vrije inloop tijden op weekdagen van 9 tot 13 uur. De 'afspraaktijden' zijn van 13 tot 1630 uur, en op maandag en vrijdag tot 19 uur in de avond.
Tip: maak een afspraak, anders zit je lang te wachten met je nummertje in je hand.
Tip 2: Zit je toch te wachten, bekijk dan eens de geniale klokkentoren in het Stadskantoor.
Je kan ook SMS sturen naar een vast nummer.
Je kan ook SMS sturen naar een vast nummer.
Mits je een betaald nummerherkennings-abonnement hebt.
Geen idee wat dat is en ook nooit bewust afgesloten maar met ons alles in een abonnement werkt het gewoon.
ja bij ziggo ook, dan krijg je gesproken sms op je huis tel.
Ik ben het helemaal met je eens en ik hou wel van non conformisten. Ben zelf ook zo iemand.
Internetbankieren heb ik bijvoorbeeld geweigerd totdat de rabobank met zijn random reader uitkwam.
Een smartphone zie ik niet als een veilig platform voor 2FA, sms op een conventionele telefoon is wat beter alleen krijg ik wanneer ik in zuid Amerika ben nooit betrouwbaar sms' jes uit europa door.
Een simpel hardware token gebaseerd op je id kaart hoe moeilijk kan dat nou zijn, banken doen het al twee decennia.
Vanaf 2018 dus. Dan hebben we als het een beetje meezit echte 2FA voor Digid (via rijbewijs en ID-kaart, geen idee of het paspoort dit ook gaat kunnen).

Omdat de overheid verder wenst dat we niet alleen met Digid, maar het hele eID-stelsel kunnen inloggen bij zaken zoals overheidswebsites en zorgdossiers, kun je als het een beetje meezit ook via iDIN met de random reader van de Rabobank inloggen. De overheid wil namelijk af van Digid als single-point-of-failure, dus heb je straks DigiD, Idensys, en iDIN.
Moet de hele maatschappij dan wachten op jou?
Nee. Je doet alsof dit de enige mogelijke optie zou zijn. Zoiets als het telebankiersysteem van bijv. Rabobank werkt toch ook hartstikke prima (al is het display veel te klein voor slechtzienden). Ik zie niet in waarom ik er vrede mee moet hebben dat iedereen nu verplicht zo'n ding moet aanschaffen en, wederom, er jaarlijks geld aan moet uitgeven ook al wordt het niet eens gebruikt. Weer zo'n wansysteem om geld af te troggelen.

[Reactie gewijzigd door CoreIT op 23 juni 2017 13:42]

Ik denk niet dat het bedoeld is om geld af te troggelen, en een telefoon heb je echt al voor een tientje met een sim only van een paar euro per jaar.
Desalniettemin ben ik het volledig met je eens. Het gaat om identificeren, en hiermee ga je er vanuit dat een telefoon onderdeel is van je identiteit. Ik ben het daar niet mee eens. Ik begrijp ook echt niet wat er mis is met een goed wachtwoord. TFA is mijns inziens veel te onhandig. Je telefoon kan je vergeten of toevallig net kwijtgeraakt of gestolen zijn en dan kan je meteen dagenlang niet meer inloggen.
Mensen zijn niet instaat veilig om te gaan met wachtwoorden, dus dan maar "kwaadschiks" zeg maar. En dan moeten mensen maar minder stomme keuze voor wachtwoorden maken.
Ze hebben al een redelijk scherpe password policy, dus het heeft ongetwijfeld met password diefstal te maken. Het gebeurt helaas.. Ik ben op zich wel benieuwd naar hoe vaak er ingebroken wordt in een digid account, als dat bij 10 personen per jaar gebeurt met somewhat serieuze gevolgen, dan lijkt mij dat niet hoog genoeg voor zo'n rigoreuze wijziging in het beleid.
Zelfs al is het maar 10 keer per jaar - je kan ook bedenken dat de passwords steeds verder zullen uitlekken en dat plotseling misschien een greep in de kas wordt gedaan.
Bovendien is het fijn als duidelijk is wie heeft ingelogd, zodat men bijvoorbeeld bij fraude zich niet makkelijk kan verschuilen achter 'het zal een hacker geweest zijn'.
Je kan ook gewoon op meerdere devices de TOTP laten genereren (als je er meer dan 1 hebt, dat is natuurlijk wel een dingetje).
Zo heb ik alle 2FA codes op mijn telefoon en op mijn pc staan, juist voor het scenario dat ik mijn telefoon kwijtraak. Zo kan ik zonder mijn telefoon toch nog bij mijn TOTP en dus mijn accounts.

Tot nu toe is het enige irritante eraan dat 1 van de 5 accounts alleen met QR-codes werkt en niet de secret code als alternatief, wat niet echt te doen is met een PC zonder webcam (of ander device zonder camera).
Er zijn genoeg (Android) apps die zo'n QR code weer kunnen omzetten naar een tekststring.
... wauw, dat ik daar nooit aan heb gedacht 8)7
Dank voor de tip!
Dan heb je toch weer die telefoon nodig die in het scenario kwijtgeraakte telefoon ontbreekt.
Voor die toepassing kun je er ook wel even een lenen.
Dus jij gaat iedere keer een telefoon lenen als je iets moet regelen bij zorgverzekering, belastingdienst (toeslagen) of andere overheidsinstelling. In een studentenhuis is dat prima te doen maar er zijn genoeg mensen die niet zo'n groot netwerk meer hebben hoor (ouderen, werklozen)
Nee, die tekststring heb je maar een keer nodig en kun je dan invoeren in een OTP programma op je PC. Daarna kun je het af met de codes die dat programma genereert.
Volgens mij heb je geen sim-only voor een paar euro per jaar.
Je kunt alles nog steeds op papier doen hoor.

Ik ken iemand die geen mobiel heeft, geen PC, en geen bankrekening. Allemaal dingen op je geld af te troggelen. Ook die man functioneert verder OK.
Iemand die moet inzoomen op een groot scherm, geen mobieltje kan lezen of hanteren wegens zenuwschade, kan al zeker geen papier lezen. Laat staan nog een pen hanteren. Maar, wederom, laat maar. Vooruit met de techniek en blijf die vooruitgang vooral verdedigen zonder even logisch na te denken over hoe het zelfredzaamheid voor behoorlijk wat mensen bemoeilijkt en zelfs onmogelijk maakt. Met vooruitgang behoort levenskwaliteit te verbeteren, niet te verslechteren.
We zijn hier toch om oplossingen te bedenken? Dan is het jammer dat je steeds 'laat maar' zegt.

Wat zou voor jou en goede oplossing zijn?

Via mobiel niet (te duur)
Via computer niet (te duur voor anderen)
Via papier niet (onleesbaar)

Wat dan wel?
In mijn visie: voorop staat dat er geen sprake kan zijn van vooruitgang terwijl het netto-effect is dat er mensen zijn wiens zelfredzaamheid wordt bemoeilijk tot zelfs onmogelijk gemaakt. Dat is geen stricte vooruitgang, maar wel srticte achteruitgang voor die mensen..

Principieel gezien heb ik niets tegen het SMS-systeem, mits er ook andere mogelijkheden zijn. Er zijn genoeg mensen die, door een combinatie van [medische] omstanigheden, niets [meer] kunnen met een telefoon; vast of mobiel. Daar heb ik geen harde cijfers voor, maar ik kijk naar mezelf en lotgenoten en berust me verder op logica. Velen, waaronder ikzelf en lotgenoten, kunnen wel nog uit de voeten met een PC, welliswaar met hulpmiddelen (groot toetsenbord, groot beeldscherm, etc).

Wat voor mij persoonlijk ideaal zou zijn is als ik een derde code (bijv. zoals verkregen middels SMS) op het beeldscherm zou kunnen aflezen. Groot dus, middels zooming. Hetzelfde geldt voor de code van de RaboScanner (telebankieren). De RaboScanner (met die kleurcodes) werkt qua systeem echt ontzettend prettig, maar het display is gewoonweg te klein voor velen. Tevens zijn de toetsen te klein voor mensen met zenuwbeschadiging / gevoelloze vingers. Het apparaatje zou groter kunnen zijn. Het zou ook in twee componenten gesplitst kunnen worden: card-reader met daarin de kleurenscanner, terwijl de resulterende code gewoon groot op het beeldscherm verschijnt. (usb, wifi) De code kan dan handmatig ingevoerd worden middels het aangepaste toetsenbord. Om te voorkomen dat we duizend-en-een verschillende readers en pasjes zouden krijgen, vind ik de genoemde chip in de ID-kaart een prima idee — een pasje, een chip, voor al die diensten (zie ook iDIN). Al kan ik me voorstellen dat daar de benodigde veiligheidsrisico's en technische uitdagingen bij komen kijken.

Al met al zal nooit iedereen ten alle tjden geholpen kunnen worden, maar in deze casus, vind ik gewoon niet dat enkel SMS een oplossing kan of mag zijn. Om de simpele reden dat het, tegen mijn wil in, mijn zelfraadzaamheid nog verder bemoeilijkt. Dat geldt niet enkel voor mij maar voor vele mensen. Dat is geen vooruitgang, maar achteruitgang en zou nooit wenselijk geacht mogen worden. Met een knipoog naar de 2017-meneer in dit draadje: "Temeer niet omdat we inderdaad in 2017 leven".

[Reactie gewijzigd door CoreIT op 23 juni 2017 14:40]

Dit is een goede inhoudelijke post, en dit soort berichten zijn belangrijk.
De ING had ook een alternatief voor de SMS Tan codes, en die werden op papier verstrekt. Die kun je met de loep goed aflezen, en werken opeenvolgend. Dan kun je EN in de gaten houden of iemand ingelogd heeft, en je bent onafhankelijk van digitale middelen om hem te raadplegen. Dit zou voor een deel van de doelgroep die jij beschrijft een goede oplossing kunnen zijn.

De zelfredzaamheid vind ik ook van enorm groot belang. Maar feit ia denk ik wel dat er IETS moet gebeuren om de veiligheid te vergroten. Iedereen zal naar de overheid wijzen als het misgaat.
Ik zou zeggen: kijk eens hoe de Belgen het gedaan hebben.
Een kruising tussen een ID-kaart en een bankpas.

Werkt prima: je moet iets hebben - het pasje en je moet iets weten - de pincode

Uit het verhaal begrijp ik dat ook onze overheid voor een dergelijke oplossing gaat kiezen, alleen dat men in de tussentijd loopt te sukkelen met een halfslachtige tussenoplossing via SMS, wat voor een behoorlijk aantal Nederlanders een probleem kan zijn. Bovendien: SMS controleert het het hebben van een 06-nummer wat zwaar onvoldoende is.

Ik zou zeggen:
- Voeg de rijbewijs info toe aan de ID kaart en ruil de ID kaarten gratis om / neem rijbewijzen in (dat is sneller dan wachten totdat iedereen zijn bijna verlopen ID kaarten en eventueel rijbewijzen heeft omgeruild en zie af van SMS als tussenoplossing.
- Bezuinig niet op opslagcapaciteit van de ID kaart. Misschien zijn er nog meer systemen die hiervan gebruik kunnen maken. Bijvoorbeeld: Medische basisgegevens: bloedgroep, allergieën, suikerziekte, donor,.. In case of emergency gegevens.. Vingerafdrukken.. Juridische zaken: uitreisverbod, veroordeling voor rijden onder invloed..

Je kunt met zo'n geheugenblokje aardig wat regelen.
Je moet alleen zeer goed nadenken (vóórdenken, dus) over wie en hoe de toegang tot deze gegevens te regelen.

Tussen haakjes: om de chip op ID kaart en rijbewijs te kunnen uitlezen, zal toch nog geïnvesteerd moeten worden in een voorziening om de chip te kunnen uitlezen of een vingerafdruk te kunnen scannen.. Anderzijds worden door de combinatie van functionaliteit andere zaken weer goedkoper.
Je hoeft niet én je ID kaart én je rijbewijs up te date te houden.

Afterthought: Een complicerende factor is dan weer wel dat de indeling/toegang tot de gegevensverzameling in Europees verband zou moeten worden geregeld..
Te veel op die kaart zelf zetten is niet nodig. Ze gaan wel je vingerafdruk zetten op die eid maar buiten wat persoonlijke gegevens zoals adres, naam, geboortedatum , certificaten moeten ze er niet te veel opzetten.

Als de politie of mijn belastingscontroleur mijn kaart uitleest, die heeft geen zaken met welke zaken ik naar de dokter ga. En als het gestolen wordt is het nog slechter. De gegevens op de eid moeten vrij leesbaar zijn. Als je dokter snel je medische gegevens moet raadplegen op je eid als je hartfalen hebt, dan denk ik niet dat je je nog een pincode kan geven. Als politie strafblad wil zien op eid, dan geef ik gewoon mijn pincode niet.

Dat aanloggen met kaart is de belangrijkste methode, de andere methoden vind je hier.
https://www.youtube.com/watch?v=Ds1rv6ngnT0

We gaan mee met onze tijd hoor ^^
Het zou natuurlijk al flink helpen als je naar het gemeentehuis zou kunnen om je daar officieel te legitimeren met je legitimatie bewijs (id kaart, paspoort, rijbewijs, etc) en dat je daarmee vervolgens op het gemeentehuis kunt inloggen op DigiD/eId waarbij de SMS code komt te vervallen en de gemeente garant staat voor jouw identiteit waarbij je zelf alleen nog maar de username en password hoeft op te geven om zo zaken te kunnen doen met de overheid..

Dat je als overheid zaken afstemt op basis van kenmerken van ruim 95% van de bevolking is prima. Zelfs lovenswaardig. Maar men dient wel voor alternatieven te zorgen zodat iedereen met de overheid kan blijven communiceren..

Later in 2018/2019 kan men dan overstappen op authenticatie met de DigiD chip op je legitimatie bewijs zodat er geen gemeentehuis medewerker meer nodig is.

Bibliotheken en buurthuizen zouden een soortgelijke functie kunnen vervullen.
Ik vind dat ook wel iets waar ze bij de bank bij kunnen helpen. De bankkantoren (ja ze zijn er in de grote stad) helpen in ieder geval wel met internetbankieren en met pinnen.
Overigens is er altijd een speciaal geval te vinden van iemand die niet zomaar verder kan. Maar die heeft wellicht vrienden of familie. Is in het dagelijks leven overigens ook zo: winkels verhuizen of gaan weg, de wegen worden drukker, en ga maar door.
Dan denk ik dat het gepruts met de OV-chipkaart meer schade heeft gedaan dan mensen met een mobiel laten rondlopen.
Iemand die moet inzoomen op een groot scherm, geen mobieltje kan lezen of hanteren wegens zenuwschade, kan al zeker geen papier lezen. Laat staan nog een pen hanteren. Maar, wederom, laat maar. Vooruit met de techniek en blijf die vooruitgang vooral verdedigen zonder even logisch na te denken over hoe het zelfredzaamheid voor behoorlijk wat mensen bemoeilijkt en zelfs onmogelijk maakt. Met vooruitgang behoort levenskwaliteit te verbeteren, niet te verslechteren.
Ik heb nu een aantal van je berichten gelezen. Ik kan mij op een aantal van je standpunten best inkomen maar moet wel zeggen dat je wel ongelooflijk op zoek naar problemen bent, niet oplossingen. Alleen maar zeuren, nergens iets bijdragen. Als jij zo ongelofelijk veel beperkingen hebt waardoor je helemaal niets kan met een mobiel. (Naar mijn idee onzin omdat je prima met een laptop + extra hulp overweg kan, vergelijkbare hard/software is er ook voor telefoons.. Het lijkt bij jou gewoon onwil.. Er zijn zoveel mogelijkheden waarmee jij prima een SMSje kan lezen, er zijn zelfs hulpmiddelen voor blinde mensen om SMS te lezen.. En al was dat er niet...) Misschien moet je dan gewoon eens wat vaker om hulp van anderen vragen i.p.v. de maatschappij en alle veranderingen afkeuren omdat jij de uitzondering op de regel bent. Nee volgens jou willen ze je geld aftroggelen, wie precies? Welk baat heeft DigiD er bij om jou een goedkoop toestel + sim-only te laten kopen? Niets, daar krijgen ze geen stuiver van. Je bent verschrikkelijk onredelijk, maar dat is helaas wel vaker zo met mensen die aan zoveel zelfmedelijden doen. Iedereen heeft broers, zussen, neven nichten, collega's, buren, instanties, etc waar ze prima even om hulp kunnen vragen. Ga je niet mee met de technologie dan zal je jezelf alleen maar verder vervreemden van de samenleving, het gat tussen jou en de rest wordt groter, je ergernissen worden groter, je vermogen om voor je zelf te zorgen wordt kleiner etc etc. Het is een neerwaartse spiraal waar je steeds moeilijker uit komt. Dit doe je zelf, niet boos worden op de rest van de wereld omdat jij niet mee wil. Alle punten die jij aanhaalt zijn te weerleggen, dove mensen kunnen lezen, blinde mensen kunnen horen (text naar spraak), blind en dove mensen kunnen braille leren of gewoon hulp vragen, het zelfde geld voor mensen met een spierziekte. Je zoekt gewoon de problemen i.p.v. oplossingen op, het zit je allemaal tussen de oren. Zelfs iemand zo verlamd als Stephen Hawking kan zich juist door techniek beter zelfstandig redden. Hoe beperkt moet je wel niet zijn om een SMSje niet te kunnen behandelen? Ik typ dit overigens niet om je rot te laten voelen maar een beetje back to reality kan geen kwaad.

[Reactie gewijzigd door Typecast-L op 24 juni 2017 18:37]

Hoezo niets bijdragen? Ik droeg hier twee keer een oplossing aan die voor mij en lotgenoten zou werken. Hoezo dan niets bijdragen? En wat om hulp vragen betreft. Dat is opzich geen probleem, naar ik schreef duidelijk over het bemoeilijken van "zelfredzaamheid". Het is niet prettig om alsmaar afhankelijker te worden van derden, temeer omdat het gewoon niet nodig is als er genoemde oplossing zou zijn. Verder heeft het ook weinig van doen met zelfmedelijden. Ik zit nu eenmaal in die situatie. Wanneer ik dan tegen iets aanloop waarvan ik denk dat het anders kan, dan maak ik daar melding van. Dat mensen daar kritiek op hebben, zeggen dat er niets bijgedragen wordt terwijl er twee keer bijdrage is gedaan, is mij een raadsel.

[Reactie gewijzigd door CoreIT op 24 juni 2017 13:46]

Allemachtig, we weten nu wel dat je zielig en verzuurd bent. Feit is nu eenmaal dat we met heel veel mensen in Nederland zijn en er bij dit soort zaken geen rekening kan worden gehouden met elke uitzondering. Daarnaast, met hulp van anderen desnoods lijkt me dit ook voor jou geen probleem.
Geen bankrekening geloof ik niet. Elke instantie werkt via bankrekening.
Ik ken die man nu 10 jaar, en hij zweert dat hij dat niet heeft. Hoe hij zijn zaakjes rooit weet ik niet (in het buitenland is dit trouwens minder raar dan hier, zelfs in Amerika komt het relatief vaal voor).
Idd werkt het systeem van de Rabobank ook goed. Toch heb ik er begrip voor dat organisaties ervan uitgaan dat 99,99999% van de mensen de beschikking hebben over een mobieltje en daar hun beleid op afstemmen. Er is altijd wel iemand wiens oude afdankertje je kan krijgen. Daarbij een prepaidkaartje van AH of Kruidvat en je bent er. Als je dit niet kan of wil denk ik dat je het jezelf heel moeilijk maakt. Maar dat mag natuurlijk.
Toch heb ik er begrip voor dat organisaties ervan uitgaan dat 99,99999% van de mensen de beschikking hebben over een mobieltje en daar hun beleid op afstemmen.
Met zo'n coverage heeft 1,7 Nederlander(s?) geen mobiel. Ik denk dat je percentage veel te hoog is.
Er is altijd wel iemand wiens oude afdankertje je kan krijgen. Daarbij een prepaidkaartje van AH of Kruidvat en je bent er.
Was dat maar zo. Als je, zoals ik, DigID alleen gebruikt voor belastingaangifte, zijn die simkaartjes na een jaar vervallen wegens niet op tijd saldo ophogen. Dan moet je dus weer de molen in om je telefoonnummer veranderd te krijgen bij DigID. Kost je een week, minstens. Dat hadden we een paar jaar geleden ook toen je wachtwoord verviel als je hem een jaar niet gebruikte.
Werkt die DigiD app niet zonder beltegoed? Dan ben je van de helft van het probleem af, lijkt me?

En wellicht Android emuleren op je PC, al weet ik niet of DigiD dat allemaal gewoon prima vindt.
Werkt die DigiD app niet zonder beltegoed? Dan ben je van de helft van het probleem af, lijkt me?
Ik had het niet over een app, maar over een SMS. En nee, dat werkt niet als je telefoonnummer is vervallen.

Ik heb geen idee hoe dat met een app zou zijn. Een twee factor authenticatie is over het algemeen gebaseerd op iets wat je weet (je wachtwoord), en iets wat je hebt (bij SMS je simkaart, telefoonnummer). Als een app zou kunnen werken op een virtuele machine, wat hèb je dan?
Zo'n prepaid kaart zou een oplossing zijn ware het niet dat de provider je nummer kan schrappen als je er te lang niet mee belt (is mij overkomen). Zelf heb ik dus ook noodgedwongen een 4eu/maand abonnement genomen om ervan verzekerd te zijn dat ik het nummer niet kwijtraak.

Naar mijn mening zou iedere burger op een gemeentehuis of andere openbare faciliteit de voorzieningen moeten aantreffen waarmee alle zaken met de overheid afgehandeld kunnen worden. Een afhankelijkheid van een mobiel nummer is prima mits hier ook een alternatief voor beschikbaar is.
Datzelfde systeem zijn ze dus mee bezig.. staat ook in het artikel (rijbewijs/idkaart met chip)
Achteroven zitten en huilebalken? Heb je uberhaupt mijn bericht gelezen? Je reageerde een paar minuten na mijn edit, waarin ik schrijf over ernstige beperkingen door ziekte. Reden te meer voor geen mobieltje. Ik vind het gewoon niet ok dat zelfstandig functioneren wordt bemoeilijkt, tot zelfs onmogelijk gemaakt, terwijl er andere denkbare oplossingen zijn. N.b. oplossingen die niet ieder jaar opnieuw geld hoeven kosten.

[Reactie gewijzigd door CoreIT op 23 juni 2017 14:30]

Moet de hele maatschappij dan wachten op jou?
Je kunt efficiëntere methodes ontwikkelen waar de meerderheid gebruik van gaat maken maar toch de oude werkende procedure in stand houden voor wie de nieuwe methode geen optie is.
Uiteraard moet je geen 10 oude procedures in stand houden, maar steeds meer is de trend dat alles wegbezuinigd wordt zonder rekening te houden met degenen die niet meekunnen.
Ontzettend kut om te horen dat je zo gehindert zou, ook jammer dat er zo negatief wordt gereageerd op je kritiek op het systeem.
Ik weet trouwens niet of het een optie zou zijn, maar zou je, in het ergste geval niet kunnen proberen om met bluestacks (of vergelijkbaar) een telefoon te emuleren op je pc en daar op de een of andere manier een nummer aan te koppelen wat je vervolgens voor je digiD gebruikt? het is een beetje een omweg, maar dan zou je geen mobiel hoeven te kopen en kan je ook gewoon zien wat er staat.
Aye. Je voorstel ligt in lijn met wat ik inderdaad al voorstelde. Iets dat de weergegeven code (van mobiel of bijv. cardreader/kleurenscanner) weergeeft op het PC-beeldscherm en het mogelijk maakt die code in te voeren middels toetsenbord of stemherkenning. Ik kan me een generic card reader voorstellen (zoiets als iDIN-systeem, ID-kaart met daarin chip voor bijv. bank, DigiD, rijbewijs, etc). die middels USB, BlueTooth of WIFI gewoon direct kan interfacen met een programma op de PC (welke de reeds aanwezige, benodigde hulpmiddelen biedt zoals groot scherm, zooming, aangepast toetsenbord, etc.) Dat zou alles oplossen; althans voor mij en lotgenoten.

[Reactie gewijzigd door CoreIT op 24 juni 2017 13:26]

Ik weet trouwens niet of het een optie zou zijn, maar zou je, in het ergste geval niet kunnen proberen om met bluestacks (of vergelijkbaar) een telefoon te emuleren op je pc en daar op de een of andere manier een nummer aan te koppelen wat je vervolgens voor je digiD gebruikt?
\
DigiD vereist een Nederlands GSM-nummer. Je moet dus een NL sim hebben, met een Belgische sim gaat het bijvoorbeeld niet werken.
Er bestaan gratis sms inboxen op het net. Sommigen zijn helemaal open zodat iedereen de inhoud kan lezen. Maar ook al is het betaald. Je hoeft geen mobieltje te hebben.
Moeten we dan ook de mensen die om wat voor reden dan ook weigeren een telefoon te gebruiken een postduif blijven sturen? Rooksignalen?
Kom op zeg, dit is 2017.
Neen we moeten mensen niet dwingen sms te gebruiken als het zonder ook al jaren goed gaat.

2017. Al was het 2037, ik heb nog nooit sms nodig gehad.
Hoe werkt het voor mensen die buiten Nederland wonen en geen Nederlandse nummer hebben? Ik kom de volgende problemen tegen:

Ik ga na digid.nl en probeer inloggen met digid-app te activeren (zodat het niet meer alleen wachtwoord is). Probleem nummer 1:
Voor het kunnen activeren van de DigiD app, moet u de optie 'controle via sms' geactiveerd hebben.

Dus stap 2, ik wil graag controle via sms activeren, en dan komt dit:
Uw adresgegevens in de Basisregistratie Personen zijn niet actueel of u woont niet in Nederland. U kunt daarom nu online geen extra sms-controle aanvragen. Wanneer u woonachtig bent in Nederland kunt u bij uw gemeente uw adresgegevens laten actualiseren. Hierna kunt u online de extra sms-controle aanvragen.

Nog geen antwoord op mijn emails. Fijn..
Typisch overheid. Pak de methode die door de overgrote meerderheid van de gebruikers gebruikt wordt, schaf hem af en maak het moeilijker (ja, zéker moeilijker voor Henk en Ingrid, of Beppie uit het bejaardentehuis!) zonder een significante verbetering van de veiligheid.
SMS wordt 9/10 keer op een lockscreen getoond, een App is te gebruiken als je iemands accountgegevens weet (Google vereist bijvoorbeeld geen 2FA).

Henk, Ingrid en Beppie zullen nu nog eerder hun gegevens met iemand delen terwijl ze om hulp vragen.
Dus de overheid moet omwille van het gebruikersgemak maar simpelere en onveiligere methodes blijven gebruiken? Internet bankieren werkt ook niet met enkel een wachtwoord. Voor dit soort belangrijke zaken is een goede beveiliging gewoon essentieel.

Dat een SMS op een lockscreen getoond wordt maakt niet uit want een hacker op afstand heeft over het algemeen enkel je wachtwoord en niet ook toegang tot je telefoon. Dit geldt ook voor je argument over de app (de hacker heeft hoogstwaarschijnlijk naast je DigiD wachtwoord niet ook toegang tot je Google account). 2FA zorgt dus wel degelijk voor een verbeterde veiligheid.

Het wordt inderdaad wat lastiger om in te loggen. Maar als je kijkt naar hoeveel accountgegevens er op straat liggen (volgens enkel deze database al bijna 4 miljard) en hoe vaak mensen die gegevens hergebruiken dan is 2FA verplichten een logische stap.

[Reactie gewijzigd door AgamemnonZ op 23 juni 2017 15:32]

Ik wordt anders ook niet blij van een koppeling tussen mijn mobiele telefoon en mijn Digid identiteit. dat levert weer andere risico's op. (privacy met name, vanwege weer meer koppelingen, maar ook het risico's van hacken van mobiele telefoons.)
Als veiligheid echt zo belangrijk is dan is het ook wat geld waard en moet de overheid een Security Token beschikbaar stellen.
Als ik het de gelinkte kamerbrief lees dan verbaas ik me (niet) over zaken die er bij gehaald worden:

Zoals reeds bekend was, zijn voor een grootschaliger gebruik nieuwe voorzieningen nodig – in de vorm van onder meer een verbeterd BSNkoppelregister en een Inzageregister.

Een kaartlezer waar je je rijbewijs met chip in kan stoppen a la de Raboscanner zou volstaan, maar blijkbaar vindt men het gebruik van telefoons een beter idee..

Het gebruik van die app op het Android-platform zal worden bevorderd in verband met de invoering van DigiD op het niveau “substantieel” (vanaf september 2017).

[Reactie gewijzigd door biomass op 23 juni 2017 21:59]

Er moet wel een afweging zijn tussen veiligheid en gebruikersgemak. En ik heb hier ook niet zomaar het antwoord op. Maar of 2FA nou echt nodig is om mij het bericht te geven dat mijn auto een APK nodig heeft, betwijfel ik ook nogal.

[Reactie gewijzigd door Sissors op 23 juni 2017 17:01]

Mee eens.
Veel (oudere) mensen worden anders verplicht een mobieltje/smartphone aan te schaffen.

[Reactie gewijzigd door JantjeKlaasen op 23 juni 2017 17:02]

Internet bankieren werkt ook niet met enkel een wachtwoord
Inloggen bij internetbankieren gaat met gebruikersnaam en wachtwoord. Een betaling vereist dan nog bijvoorbeeld een Tan-code.

[Reactie gewijzigd door JantjeKlaasen op 23 juni 2017 17:05]

Bij jouw bank misschien, bij de onze niet. Wij kunnen alleen inloggen met een code die gegenereerd wordt met de combinatie authenticator, pincode en bankpas.
Dus als mijn telefoon gejat zou worden ben ik ineens nog veel verder in de problemen dan.
En hoe gaan ze dit probleem oplossen ?
Dus de overheid moet omwille van het gebruikersgemak maar simpelere en onveiligere methodes blijven gebruiken? Internet bankieren werkt ook niet met enkel een wachtwoord. Voor dit soort belangrijke zaken is een goede beveiliging gewoon essentieel.
Als je kijkt naar de gebruikersgroep van deze inlogmethodes (Iedere nederlander, jong,oud, digibeet, analfabeet, autochtoon, allochtoon) dan is het zinloos om te geloven dat iedereen die nieuwe inlogmethodes kan gebruiken. Je maakt hele doelgroepen nog meer afhankelijk van derden. Waardoor het voor derden nog makkelijker wordt misbruik te maken van deze mensen.

Immers een hoger beveiligingsniveau betekend dat je meer acties achter die (schein)veiligheidheidsmuur kan plaatsen.

Het klink opzichzelfstaand prima. Voor mij zal het ook geen probleem zijn. Maar lang niet iedereen heeft een mobieltje. Laat staan dat ze weten hoe de app op een smart phone werkt. Je geeft gewoon nog meer prive dingen aan derden die daar misbruik van kunnen maken.

Hou gewoon de simpele login voor de basis dingen. Voor extra dingen pak je een hoger beveiligingsniveau.
Dus de overheid moet omwille van het gebruikersgemak maar simpelere en onveiligere methodes blijven gebruiken? Internet bankieren werkt ook niet met enkel een wachtwoord. Voor dit soort belangrijke zaken is een goede beveiliging gewoon essentieel.
Er wordt altijd gezocht naar de goede balans tussen veiligheid en gebruiksgemak.DigiD wordt echter steeds vaker gebruikt waardoor al die nodige rompslomp met verschillende authenticatie methodes (met name bij ouderen) voor veel ongemak kan zorgen. Blijft lastige keuze dus.

[Reactie gewijzigd door tweaker2010 op 23 juni 2017 16:58]

Dat de overheid 2FA implementeert is het probleem niet.
Het probleem is dat de overheid 2FA implementeert op een device dat van mezelf is, en waarmee ik niet bij en door de overheid geidentificeerd wil worden.
Dus laat de overheid zelf een device met service uitbrengen waarmee ik kan aantonen dat ik, ik ben.
Zoals hieronder wordt aangedragen door TheNephilim .
Ik gebruik inderdaad een publieke virtuele machine die gehost wordt in een niet bevriende buitenlandse natie via een ge-encrypte vpn verbinding (prepaid creditcard) met een op marktplaats gekochte smarttelefoon en een gratis wegwerpsim, maar alleen als ik mijn bivakmuts en aluhoedje op heb...
Als ze nou gewoon iets regelen zoals wat de Rabobank gebruikt. Een scanner, je ID-kaart erin, pincode intypen en klaar.

Volgens mij is dat een prima oplossing, waar iedereen mee overweg kan. Je hebt niet per se een smartphone nodig, hoeft geen wachtwoorden te onthouden en door het fysieke component (ID-kaart) is altijd duidelijk wanneer er stront aan de knikker is. Immers; bankpas (of in dit geval de ID-kaart) gestolen betekend dat je actie moet ondernemen!
En dan weer elke keer op zoek gaan naar de stomme scannertje? En iets willen lezen/regelen on the road wordt dan al helemaal moeilijk. Mijn vriendin moet ook rondlopen met zo'n rabo kastje in haar handtas. Alleen al om die reden zou ik het niet willen.
Dat verschilt misschien, maar die ene keer in de maand (2, 3 maand?) dat ik even wat moet doen met een DigiD ga ik gewoon achter mijn PC zitten en ligt die scanner (net als die van de Rabo) ernaast.

Wellicht geeft je vriendin erg veel geld uit dagelijks, maar anders kom je met de Rabo-app een heel eind toch, zonder scanner?
Geef mij maar een goed werkende app. Als er voor alle systemen verschillende kastjes komen is ook niet ideaal.
Gelukkig ondersteund onze overheid apps voor alle systemen; NOT!
Windows heeft men weer links laten liggen. Op dit moment kan ik gelukkig offshore zonder SMS inloggen. Wordt straks zonder Windows app en SMS best lastig.
Al die apps, ik heb geen smartphone.
Henk en Ingrid zullen ook hun bankgegevens online moeten regelen. Of je werkt met een kastje, zoals bij de meeste banken. Of je werkt met een sms verificatie, zoals bij de ING. Mijns inziens de gemakkelijkste methode om de beveiliging te verbeteren. Ook voor Henk en Ingrid.
Of je werkt met een sms verificatie, zoals bij de ING
Er bestaan nog lijsten met TAN codes, volgens mij.
[Er bestaan nog lijsten met TAN codes, volgens mij.
En die werken uiterst simpel dus, voor de grote groep mensen die de digitale ontwikkelingen niet kunnen volgen is Digid al moeilijk genoeg, dan zou een tanlijst ( keuze ) een alternatief zijn.
Lekker negatief deze reactie.. Kom dan met een beter voorstel!
Voor zover ik weet moet je de notificatieinstelling aanpassen om de content op het lockscreen te krijgen. Dan zijn Beppie en Henk&Ingrid al best wel ver in het menu van hun smartphone geweest....
Gebruikersnaam en een (sterk) wachtwoord, die af en toe wordt aangepast, voldoet.
Dat voldoet helemaal niet. Een aanvaller die toegang tot je computer heeft (malware of een virus) heeft beide. Volledig onveilig dit.
Het feit dat 90% inlogt op Digid zonder sms authentificatie geeft aan dat mensen sms authentificatie niet zien zitten...dan moet je ze het niet door de strot gaan duwen!!. Je moet daar als overheid naar luisteren en met een andere oplossing komen. Ik vind sowieso dat als ik zoiets als een politieaangifte doe, of mij beklaag bij de gemeente dat dit op een eenvoudige wijze moet kunnen, bijvoorbeeld via mail met vermelding van naam en telefoon. Het ziet erna uit dat de politiek de drempel verhoogt waardoor er weer een hoop mensen bijvoorbeeld afzien van aangifte, wat hun weer een hoop vernedering bespaard (je hebt 50,000 aangiftes laten liggen klinkt beter dan je hebt 100,000 laten liggen :+ ).
Het feit dat 90% inlogt op Digid zonder sms authentificatie geeft aan dat mensen sms authentificatie niet zien zitten...dan moet je ze het niet door de strot gaan duwen!!
Dit is geheel onterecht; het feit dat 90% inlogged zonder SMS authenticatie komt simpelweg omdat beide opties geboden worden.

Als je twee deuren naast elkaar zet, waarvan de ene een dubbel slot heeft en de ander een enkel slot; zal de gemiddelde gebruiker altijd voor de deur met het enkele slot gaan; dat is immers sneller en makkelijker.

Dit zelfde heb ik op de werkvloer wel eens gezien bij de introductie van Follow Me printing; de oude methode van direct afdrukken naar een printer bleef beschikbaar, waardoor het overgrote merendeel gewoon op de oude methode bleef printen waarbij de printjes er direct uit kwamen rollen. Na enige tijd besloot het management Follow Me printing maar weer af te schaffen, want er was duidelijk geen behoefte aan vond men.
Na veel gedoe het voor elkaar weten te krijgen dat we follow me aanhielden en direct naar de printer printen uit schakelden; toen moesten mensen wel op het follow-me systeem over en begon men de voordelen in te zien; ze konden bij elke printer al hun printjes in 1 keer eruit halen; geen stapels met printjobs van verschillende gebruikers meer, geen vergeten vertrouwelijke info bij de printers meer. Men vond het geweldig en het is tot op de dag van vandaag tot volle tevredenheid nog steeds in gebruik.

Het feit dat het bij de overheid tot op heden mogelijk is om beide opties te gebruiken; zowel met als zonder 2 factor authenticatie, maakt de waarde van 2FA defacto 0; het is immers een optie en geen verplichting. Waarom zou je de deur met de twee sloten gaan openmaken terwijl de deur met 1 slot in dezelfde kamer uit komt?

Mensen gaan altijd voor de bekende en in hun optiek makkelijkste weg; die weg simpelweg niet langer aanbieden is de juiste manier als het gaat om beveiliging introduceren; want zeg nou zelf; jij hebt toch ook sloten op je voordeur en het touwtje niet langer uit de brievenbus hangen?

[Reactie gewijzigd door Pruttelpot op 24 juni 2017 10:11]

Ik voeg daar nog bij dat het heel raar is om de inlogger te laten kiezen hoe veilig zijn sessie zal zijn. Ik hoef niet beveiligd te worden voor mijn eigen login, maar voor iemand anders die zich als mij uitgeeft. Als hij mijn wachtwoord heeft, heeft hij geen SMS nodig! Wachtwoord moet ik toch intoetsen, waarom zou ik het mezelf dan moeilijk maken. Ik zou juist op Digid willen aangeven dat op mijn account niet zonder sms kan worden ingelogd, dat lijkt me veel veiliger!
Die oplossing hebben ze met die app dacht ik. Naar convenience wensen luisteren is op security gebied vaak een relatief slecht plan.
Die oplossing hebben ze met die app dacht ik.
Geen app op Windows toch.
Het geeft eerder aan dat mensen lui zijn en zich niet beseffen wat de mogelijke gevaren zijn. Normaal ben ik niet zo'n voorstander van door de strot duwen maar in dit geval is het zeer begrijpelijk.
Wat zijn dan de mogelijke gevaren? Je leest regelmatig over gegevens die op straat liggen van patienten enzo wat dan te maken heeft met de SLORDIGE overheid.
Wat dacht je van fraude met toeslagen om maar eens wat te noemen?
oke. maar als 90% niet gebruikt maakt van SMS authentificatie dan had dit toch allang kunnen gebeuren op grote schaal dan?
Ik wil gewoon fatsoenlijke 2 factor. Die sms berichten komen bijvoorbeeld vrolijk op m'n lockscreen en een simkaart raak je soms kwijt.

M'n telefoon kom je echter niet in en zelfs al kom je erin heb je nog een wachtwoord of m'n vinger nodig om de code uit te lezen.
Two-factor authentication gaat over iets weten en iets hebben. Je wachtwoord weet je, je telefoon heb je.
Volgens mij is het geen probleem dat de SMS op je homescreen verschijnt omdat je met enkel de SMS niets kunt.
Het verplichten van een wachtwoord op je telefoon maakt er feitelijk three-factor authentication van. Veilig maar niet noodzakelijk.
SMS is niet echt meer een goeie 2FA methode. SIM kaarten kunnen mee gerommeld worden, vaak maar één telefoontje naar de telco nodig. De app is een veel betere oplossing, al had ik graag een standaard implementatie gezien.
NIST adviseert tegen gebruik van SMS. Erg slim van onze overheid om dit nu te gaan implementeren.
Last July NIST declared that sending one-time passwords to mobile phones was insecure.
The organisation wrote in its advisory that the likelihood of interception makes TXT unreliable.
https://www.theregister.co.uk/2016/12/06/2fa_missed_warning/

Een soft-token zou veel beter zijn. Maar niet iedereen heeft een smartphone.
SMS-authenticatie is er al. Enkel de alleen gebruikersnaam/wachtwoord mogelijkheid wordt afgeschaft. De overheid is via Digid juist bezig met het implementeren van echte 2FA via rijbewijs en ID-kaart, en via de banken (iDIN) kun je straks ook inloggen met de 2FA van je bank bij overheidswebsites en zorgdossiers.

Idensys hoort ook nog in dat rijtje thuis, maar voor de gewone burger lijkt die niet zoveel toegevoegde waarde te hebben (omdat Digid ook blijft).
Met als notitie dat het een aanvulling is op een loginnaam/wachtwoord (en deze laatste niet vervangt).
hoe gaat ik een app op mijn dumb-phone gebruiken? krijg ik van overheid nu ook nieuw mobieltje?
Want je dumb-phone kent ook geen SMS? :/
Lezen is blijkbaar erg lastig, maar dat is precies wat Himlims bedoelt. Zijn dumbphone herkent wel SMSjes, maar niet de app. Hij is daarom voor het gebruik van SMS verificatie ten opzichte van iets ans een authenticator app.
@himlims_ stelt het alsof de overheid nu al van de SMS methode afstapt (terwijl het enkel een suggestie is van iemand hier) en hij dus nu van de overheid een nieuw mobieltje zou moeten krijgen. Zit in het woordje 'nu'. Dus met dat lezen heb ik niet zo heel veel moeite.... O-) Er kan nu gewoon nog gebruik gemaakt worden van SMS authenticatie en dat zal ook nog wel even zo blijven vermoed ik.
@himlims_ stelt het alsof de overheid nu al van de SMS methode afstapt (terwijl het enkel een suggestie is van iemand hier) en hij dus nu van de overheid een nieuw mobieltje zou moeten krijgen. Zit in het woordje 'nu'. Dus met dat lezen heb ik niet zo heel veel moeite.... O-)
Dat woordje "nu" kun je in de gebezigde zin ook lezen als "dan" of "in dat geval".
Zal de autist in mij wel zijn die dat er echt niet van kan maken ;)
Verder niet zo heel nuttige discussie trouwens... Misschien begreep ik de opmerking van himlims_ inderdaad verkeerd. Kan ook gebeuren. ;) En weer door.
Als mensen over een mogelijke situatie heeft dan wordt er heel vaak automatisch over "nu" gepraat aangezien met die "nu" de mogelijke situatie bespreken.
..De app is een veel betere oplossing, al had ik graag een standaard implementatie gezien.
Vind je het heel vreemd dat ik, en met mij nogal wat mensen, geen 'overheids-app' op hun telefoon wil? Zo geweldig is de reputatie van onze overheid nou ook weer niet als het gaat om goede software, en omgaan met privacygevoelige gegevens.
Je kan de SMS optie uitschakelen, zodat je alleen met de DigiD app kan inloggen.
Best, maar waarom moet die draak van een app bijna 30MB zijn? Er zijn zat authenticators (Google, MS, diverse open source oplossingen), laat ze daar een regel aan toevoegen in plaats van (tegen hoge kosten) het wiel opnieuw uit te vinden.
Precies dat. Weer een app erbij die constant op de achtergrond actief is. Dus weer continu ietsje meer accuverbruik om anderhalve keer per kwartaal eens te kijken.
In dit geval maakt DigiD inloggen zonder wachtwoord (QR-scan en pincode) mogelijk. Er zullen daarvoor ongetwijfeld andere oplossingen voor zijn, maar ik denk dat een hoop burgers zullen overstappen op wachtwoordloos inloggen zodra dat kan.

2FA TOTP kan ook zoals veel websites het nu gebruiken en ik vind het ook jammer dat er niet voor deze oplossing is gekozen. Ik kan echter wel begrijpen dat de overheid hun eigen app pusht gezien veel 'gratis' apps gebruik maken van data verkoop. Zie bijv. DigiD app, Tiqr, Surf etc. waar de overheid op in zet juist omdat ze privacy als uitgangspunt hebben.

En dat de app bijna 30MB is lijkt inderdaad ook erg veel. Ik ben zelf geen android developer maar heb de apk van mijn telefoon overgezet naar PC en wat rondgesnuffeld. Het viel mij op dat het grooste deel Xamarin bestanden waren (programma waarin je android apps kan ontwikkelen) en daar weer op gaan zoeken: https://developer.xamarin.../advanced_topics/linking/ Ik zou willen zeggen dat ze wat meer aandacht kunnen besteden aan optimaliseren, maar ik kan er volledig naast zitten. Weet iemand er meer over?
De MS georienteerde softwarehuizen die overheidsopdrachten krijgen zullen Xamarin wel gepusht hebben. Overigens is protocol van Google en MS authenticator open, als die er opeens mee ophouden zou de overheid nog steeds een eigen app kunnen aanbieden. Google Authenticator heeft wel internet permissie maar werkt gewoon als ik de toegang tot internet blokkeer en ik zie ook geen geblokkeerde internet calls van het programma.
TOTP is een veel betere 2FA methode.
Top of the Pops? ;-)
Time-based One-Time Password
Nou ja, als je ervan uitgaat dat je wachtwoord gestolen kan worden en daarom 2FA hebt aangezet. Als iemand je telefoon steelt zou ik niet denken mijn DigiD wachtwoord te veranderen eerlijk gezegd. Dan ben ik veel te druk met mijn Google account e.d. DigiD gebruik ik daar te weinig voor.

Tip: je kunt de meldingen van gevoelige content vervagen vanaf Android 5, hieronder valt o.a. SMS.
het is juist wel een probleem dat die sms op je homescreen verschijnt, want dan kun je die code lezen zonder de telefoon te hoeven ontgrendelen. als het zover is dat iemand in wil loggen op je digid en je login weet, zal die ook moeite willen doen om dan op je telefoon te kunnen kijken
Hoe je een simkaart kwijt raakt, ben ik wel benieuwd naar. Daarnaast kan je het tonen van SMS berichten op je homescreen uitzetten. SMS is een fatsoenlijke 2 factor naar mijn mening en betrouwbaarder dan dat Google mee zit te kijken bij Nederlandse overheidszaken.
SMS is geen veilige tweede factor. Al een jaar niet: https://techcrunch.com/20...ctor-authentication-over/
Agreed. SMS wordt niet meer als secure geacht, maar de combinatie met ww blijft nog altijd veiliger dan alleen ww.
Het blijft een compromis tussen gebruiksvriendelijkheid en veiligheid en wat dat betreft is dit voor de gewone gebruiker al een flinke stap voorwaarts...

Ps. Je zou voor de grap de reviews op de DigiD app eens moeten lezen om te beseffen wat de weerstand op MFA is bij het normale volk...

[Reactie gewijzigd door RobbieB op 23 juni 2017 13:02]

Volgens mij gaan die reviews over het feit dat de app zo slecht werkt, niet over MFA zelf.
Heb ze zelf niet gelezen maar dat verbaast me helemaal niets. Gewoon omdat de overheid doet als de overheid is. Er wordt vanalles opgetuigd en voor de burger verplicht gesteld zonder dat er veel wordt nagedacht over hoe de burger er tegenaankijkt of wat die wil. De burger moet gewoon doen wat hem opgedragen wordt. Zo "transformeert" de overheid "digitaal".

Ondertussen is het bij de overheid zelf nog een stevig zooitje, kijk naar de belastingdienst met hun spectaculair dysfunctionele familie systemen en het chronisch oplopende gebrek aan personeel. En dat is maar één overheidsafdeling.

Merk op dat door "gewoon wachtwoord" te verbieden en die superchip nog niet beschikbaar te hebben, het hebben van een mobieltje practisch verplicht gesteld wordt. Dat is alweer een extra eis om nog te kunnen "communiceren met de overheid", wat de meeste mensen toch niet zo gek vaak doen en dus een vermoeiend karwei.

Dat is makkelijk te vergeten als je wel vanalles digitaal doet, totdat het een keer goed misgaat en je de boel opnieuw moet opzetten. Voor de mensen die dat niet doen is het zelfs nog meer werk. Zodat je eens in de zoveel maanden zucht om je wachtwoord op te diepen, of te resetten via email, en hopen dat je dat emailadres nog hebt, en dan erachter te komen dat je SMSverificatienummer veranderd is sinds de laatste belastingaangifte en dan moet je dat eerst weer eens zien op te lossen, voordan je kan doen waar het eigenlijk om begon.

Als je niet iemand bent die veel dingen "digitaal getransformeerd" doet en daar al helemaal geen voeling mee hebt is het al snel gewoon makkelijker om op de fiets te springen en even naar de gemeente te peddelen, zelfs al moet je ondertussen twee dorpen verderop zijn wegens fusies. Dit soort nuchterheid mis ik een beetje erg veel bij de overheid.
Grootste gedeelte van die reviews is terecht die Digid App werkt echt ontzettend slecht ik kan hem niet eens gebruiken omdat er continu crashes zijn. Ik ga het over een tijdje nog eens proberen maar slaat gewoon nergens op zo'n slecht product.
Hier geen enkel probleem met de app, werkt prima.
Let wel dat die NIST alleen maar ergens een mening over hoeft te hebben en verder niet te maken heeft met bijvoorbeeld implementatie, usability en fiscale vraagstukken rondom alternatieve vormen van two factor authenticatie. Ten opzichte van beschikbare alternatieven zoals authenticators en apps kan ik me voorstellen dat ze deze mening hebben vanuit een strict security oogpunt maar ik denk niet dat je de adoptiegraad van zo'n digid gaat verbeteren door vol in te zetten op security en het hele land gaat confronteren met zo'n doffe authenticator die je nooit bij je gaat hebben en doorlopend gezeik te hebben elke keer als je moet inloggen.
Uiteindelijk moet het ook "gewoon werken". Ik denk dat een SMS two-factor voorlopig afdoende genoemd kan worden voor het beschermen van je belastingaangifte accountje. Eventueel controleren ze nog op gecompromitteerde wachtwoorden door de wachtwoord input van gebruikers tegen zo'n "have i been pwned" achtige database aan kletsten.

[Reactie gewijzigd door Ton Deuse op 23 juni 2017 14:39]

en betrouwbaarder dan dat Google mee zit te kijken bij Nederlandse overheidszaken.
Google kan helemaal niet meekijken (niet met hun Authenticator althans ;)). Het enige wat het doet is een code genereren aan de hand van een sleutel en de huidige tijd. Die sleutel (en wat andere eigenschappen) is wat gedeeld wordt met de QR code die je in moet scannen. Er zijn tal van apps die hetzelfde protocol implementeren.

[Reactie gewijzigd door .oisyn op 23 juni 2017 12:56]

Google kan helemaal niet meekijken (niet met hun Authenticator althans ;)).
Mja... en nee. Het is niet nodig dat Google meekijkt, het protocol kan prima zonder, en ik denk ook niet dat ze het doen... maar het kan wel. Het blijft hun app die op hun OS draait. Als ze onder de motorkap kwaad willen en de app bewust saboteren dan kunnen ze wel degelijk kwaad.
Principieel is dat dus ook geen perfecte oplossing.
Praktisch gezien is het minder erg, het hele idee van 2FA is nu juist dat een enkele gecompromiteerde factor niet genoeg is.

Dat probleem is natuurlijk veel groter. Het on-screen toetsenbord van m'n telefoon moet ik ook maar vertrouwen, om een willekeurig voorbeeld te noemen.

Vrije software helpt, maar ook dat is (alleen) nog niet genoeg.

PS. Ik heb het over theoretische mogelijkheden, ik denk niet dat het echt zo gaat. Maar als er iets te kiezen valt heb ik natuurlijk liever het middel met de minste theoretische problemen.
De authenticator app is niet verplicht. Je kan ook een andere app gebruiken, een telefoon zonder internet (moet je wel handmatig je tijd rechtzetten eens in de zoveel maanden) of een programma op je PC. (Je zou het zelfs handmatig (met wat hulp van een rekenmachine/excel) kunnen proberen, maar dan is je tijdscode niet meer geldig)

Het vertrouwen van je on-screen toetsenbord is inderdaad een probleem, maar niet iets wat veranderd is ten opzichte van je fysieke toetsenbord, wat ook afgeluisterd kan worden middels je OS. Het is dus nog steeds een probleem, maar niet een probleem waarom je geen 2FA via TOTP zou inzetten.

Sterker nog, het loggen van je keystrokes is juist een reden dat er 2FA is - aan alleen je wachtwoord hebben ze niks en je TOTP code is maar eenmalig bruikbaar en veranderd elke 30 seconden.
(Je zou het zelfs handmatig (met wat hulp van een rekenmachine/excel) kunnen proberen, maar dan is je tijdscode niet meer geldig)
Tenzij je de code uitrekent voor een tijd in de toekomst.
De authenticator app is niet verplicht. Je kan ook een andere app gebruiken,
<knip>
Het is dus nog steeds een probleem, maar niet een probleem waarom je geen 2FA via TOTP zou inzetten.
Correct, maar in deze discussie had ik het nu net over het verschil tussen Google Authenticator (die ene specifieke app) en TOTP in het algemeen.
Het klopt dat Google in het algemeen niet mee kan kijken met TOTP, maar bij hun eigen app zouden ze dat in theorie wel kunnen doen.
Sterker nog, het loggen van je keystrokes is juist een reden dat er 2FA is - aan alleen je wachtwoord hebben ze niks en je TOTP code is maar eenmalig bruikbaar en veranderd elke 30 seconden.
Je moet op enig moment een code instellen om jouw TOTP-client te synchroniseren met de server. Ik wilde het toetsenbord op dat moment afluisteren. :)

Het klopt dat je dat probleem net zo zeer hebt met een fysiek toetsenbord, maar het blijft een (theoretisch) probleem.
Correct, maar in deze discussie had ik het nu net over het verschil tussen Google Authenticator (die ene specifieke app) en TOTP in het algemeen.
Het klopt dat Google in het algemeen niet mee kan kijken met TOTP, maar bij hun eigen app zouden ze dat in theorie wel kunnen doen.
Excuus! Daar heb je helemaal gelijk in. Wanneer jij je secret scanned of invoert, kunnen zij die prima op hun eigen server plaatsen.

Over de code voor het synchroniseren: daar heb ik nog niet eerder van gehoord. Hoe werkt dat? Ik dacht dat de synchronisatie verliep op basis van de NTP-server en je alleen dezelfde tijd hoefde aan te houden.
Als het alleen maar op tijd gebaseerd zou zijn dan was het niet veilig, de tijd is immers voor iedereen hetzelfde (koest Einstein!). Het werkt dus op een basis van de tijd plus een geheime code. Die moet je een keertje doorgeven. Op dat moment kun je het toetsenbord afluisteren.
Het blijft hun app die op hun OS draait
En dat is precies het punt. Je logt typisch niet in op je telefoon (dat zou het doel van 2FA ook een beetje teniet doen), en Google kan met hun app op je telefoon niet meekijken met wat jij op de PC aan het doen bent.
Ooit langere tijd buiten Europa geweest en daar een simkaart gekocht voor mobiel internet? En weet je hoe klein zo'n simkaart is? Nou, daar is dus waar je die kwijtraakt. Bovendien moet je dan weer gaan klooien met je sim wisselen op het moment dat je op digid moet wezen.
Ik koop zo'n kaart en doe hem in de telefoon. Geen idee hoe ik em kwijt zou moeten raken.
En waar laat je op dat moment je andere SIM. Dat is het punt.
Dual sim telefoon.
die je provider je niet wil verkopen omdat hem dat geen vette winst oplevert.
die je provider je niet wil verkopen omdat hem dat geen vette winst oplevert.
Dan koop je hem niet bij je provider. Mijn laatste 3 telefoons waren alle drie dual-sim.
De eerste kwam van Aldi (qwerty keyboard)
De tweede kwam van The Phone House want ik wilde hem dezelfde dag hebben.
De derde kwam van belsimpel.nl

Alleen de derde heeft een tray waarbij je moet kiezen tussen een 2e sim en een sd-kaart maar ook daar is iets te knutselen. Mijn volgende telefoon wordt weer dual-sim, zonder tray en met verwisselbare accu.
Die zijn er helemaal niet voor alle telefoons, dat weet jij ook wel. Iphones mis je dan al (en die zijn bij ons op werk verplicht), maar ook heel veel andere merken zijn er niet te krijgen.
Veel telefoons missen basisfunctionaliteit, zoals de headphone-jack en in dit geval een dual-sim tray. Ik snap dat sommige werkgevers bijvoorbeeld een iPhone verplicht stellen, maar dat dit dan extra ellende meebrengt, is de schuld van uw werkgever, niet van het gebruik van meerdere simkaarten.
Klopt, maar ik ven wel degene die ermee zit ;-)
Uhh, waar precies stop je 'm dan in je telefoon? Op de plaats van je DigID-gekoppelde, Nederlandse simkaart toch?
Inderdaad. Dus naast de mogelijkheid voor SMS zouden ze ook de ondersteuning voor het gebruik van een Authenticator App (een van de vele) moeten gaan ondersteunen.
Aan de overheidskant zit je dan wel vast aan een aantal apps die allemaal anders zijn maar in principe hetzelfde doen. Verschillende code bases, dus nieuwe app, nieuwe kansen op beveiligingsellende en usabilityproblemen.

En aan de burgerkant zit je dan vast aan een "app", die het wellicht niet doet bij de volgende telefoon (zie banken en hun niet langer ondersteunen van "apps" voor windows phone, of apple met hun alleen-nog-maar-64bit push, dus als je app 32bit was doet'ie het niet meer, of noem maar op).

Of je gaat over op een nieuwe telefoon, je sim gaat mee maar de app blijft achter. "Oeps" als je de telefoon doorverkoopt, of verliest en de niet zo eerlijke vinder danwel dief blijkt jouw digid ook wel leuk te vinden, en zo verder.

Dit soort gein betekent voor mij dat een goed beheerd, goed wachtwoord een beter idee is dan een slecht wachtwoord en "2FA" fratsen. Probleem is dan veeleer dat het gros van de gebruikers met een slecht wachtwoord blijft zitten en dat de overheid in "one size fits allnone" blijft denken. Dus zonder onderscheid veiligheidssaus over het hele zelfgebouwde feest heen poogt te gieten.

En als we eerlijk zijn, dat hele inloggen per website is op zichzelf al hopeloos gelimiteerd. Als ik zelf wil "digitaal transformeren" dan heb ik daar niets aan, dan heb ik meer nodig. Veel beter als ik een versleuteld-en-gesigneerd emailtje kon versturen, in plaats van dat gehannes met dat heruitgevonden wiel genaamd "mijnoverheid". Maarja, overheid.
De grootste Authenticators zijn uitwisselbaar. Google Authenticator en Microsoft Authenticator maken allebei gebruik van dezelfde standaard.
De Google Authenticator app heeft geen Internet nodig, en je kunt ook een alternatieve Authenticator app gebruiken. Die techniek werkt gewoon op basis van het eenmalig uitwisselen van een code en vervolgens op basis van datum/tijd. Dat kan dus een offline device zijn.

Ik zeg daarbij niet dat die Google App niet iets doorstuurt naar Google, maar het is niet noodzakelijk voor de werking van de app en er zijn dus alternatieve apps beschikbaar.
Ik wil gewoon fatsoenlijke 2 factor. Die sms berichten komen bijvoorbeeld vrolijk op m'n lockscreen en een simkaart raak je soms kwijt.

M'n telefoon kom je echter niet in en zelfs al kom je erin heb je nog een wachtwoord of m'n vinger nodig om de code uit te lezen.
En een telefoon raak je niet soms kwijt?
Je kunt natuurlijk ook je telefoon zo instellen dat deze info niet op je lockscreen terecht komt.

[Reactie gewijzigd door rvt1 op 23 juni 2017 12:51]

Als jij jouw simkaart eerder kwijt raakt dan de telefoon waar hij in zit dan vind ik dat heel knap ;)
Bijvoorbeeld wisselen op vakantie. Heb ook een telefoon met 1 SIMslot gehad, en in Thailand en Indonesië extra kaarten gekocht. Maar elke dag alleen even kaarten wisselen wanneer ik die nodig had. Ik wilde wel op mijn NL nummer bereikbaar zijn.

Koop er geen los toestel bij, maar ik kan me indenken dat men zo zinnetjes verliest.
Je simkaart raak je soms kwijt? :/
+1 voor U2F. Een 'app' is even onveilig.
Waarom heb je je telefoon dan zo ingesteld dat het bericht op je lockscreen komt?
Ik heb het altijd al vreemd gevonden dat ze two-factor authenticatie hebben uitgewerkt voor DigID en dat je bij het inloggen als gebruiker kon kiezen of je enkel met wachtwoord wilt inloggen of met two-factor authenticatie. Een aanvaller zal natuurlijk altijd enkel voor wachtwoord authenticatie kiezen, dus het aanbieden van die two-factor authenticatie biedt dan nauwelijks meerwaarde.

Wel is het zo dat bepaalde delen van de DigID site weer de two-factor authenticatie verplicht stellen. Dan moet je opnieuw inloggen met two-factor authenticatie wanneer je dit bij de eerste login niet gekozen had.
Je kunt DigiD forceren altijd te vragen naar SMS-code.

Ga naar: Mijn DigiD ---> Inlogmethoden
https://mijn.digid.nl/inloggen_voorkeur

Hier kun je kiezen voor 2 niveaus:
Basis, ik wil inloggen met gebruikersnaam en wachtwoord tenzij de dienst anders vereist.
Midden, ik wil inloggen met een extra controle via sms, ook wanneer Basis vereist is

Kies voor midden om altijd two-factor authenticatie via sms-code te gebruiken.
Klopt, maar weinig mensen zullen dat aanzetten simpelweg omdat nergens op een duidelijke manier wordt aangegeven dat je dat zo kan instellen.
Je kunt DigiD forceren altijd te vragen naar SMS-code.
Andersom was prettiger geweest, dan had het voorstel,, dit artikel en alle comments niet nodig geweest.

:+
Inderdaad. Gelukkig hebben ze na enige tijd de optie toegevoegd dat je in kunt stellen dat er altijd gebruik gemaakt moet worden van de tweede factor bij het inloggen. In dat geval is de keuze niet meer relevant: er wordt altijd om een extra code gevraagd.
Uiteraard, en dat zou je ook moeten doen. Ik snap alleen niet welke mafkees het heeft bedacht om je ook op het logischerm te laten kiezen tussen die twee. Wie gaat er vrijwillig kiezen voor optie 2 als optie 1 dus gewoon werkt.
dit heb ik dus ook altijd gedacht, wat heeft 2 factor login voor nut als je gewoon kunt kiezen om dit niet te gebruiken voor het inloggen
Als je hebt ingesteld dat je altijd sms wilt gebruiken dan werkt optie 1 dus gewoon niet. Je krijgt dan de melding dat je gekozen hebt voor sms en ontvangt ook een sms.
Maar als het systeem die melding kan geven... Waarom dan niet gelijk die actie uitvoeren? Dat is toch heel erg dom in elkaar gezet?
Welke actie gelijk uitvoeren? Het sturen van die sms als je dat ingesteld hebt? Dat is precies wat er gebeurt.
Oké, dat was even onduidelijk voor mij. Maar dat beantwoordt nog steeds niet de vraag waarom er op het inlogscherm een keuze wordt aangeboden. Want:

- 2FA verplicht aan: beide opties hebben hetzelfde resultaat.
- 2FA uit: wie gaat er voor een inlogscherm bewust die optie kiezen als het zonder kan? Dat is raar...
Die optie wordt bewust gekozen voor sites/instanties waar de sms verplicht is en het dus niet zonder kan. Je kiest die optie, vult een telefoonnummer in en krijgt vervolgens een sms zodat je kunt inloggen.
Het is ook mogelijk om in te stellen dat je voor alle diensten de tweestapsauthenticatie vereist. Hierdoor moet je ook voor de 'simpele' zaken met SMS inloggen. Waarom je, wanneer je dit niet geactiveerd hebt, wel de mogelijkheid krijgt om met SMS in te loggen terwijl je ook kunt kiezen om dit niet te doen, is mij ook nog steeds een raadsel.
Omdat er diensten zijn waar sms verplicht is, daar werkt inloggen zonder sms dus niet en dan kun je voor die diensten een sms laten sturen en de rest zonder doen.
Je kunt ook aangeven dat je altijd met 2FA in wil loggen. Krijg je alsnog een SMS ook al heb je dat niet geselecteerd.
Je kan als gebruiker op de centrale site aan geven dat je altijd met sms/app wilt inloggen en dan dwingt ie het af.
Je beantwoordt toch je eigen vraag al? Voor sommige toepassingen wordt (werd) inloggen zonder 2FA veilig genoeg geacht, voor andere toepassingen is besloten dat een hoger veiligheidsniveau gewenst is.

Ik moet wel zeggen dat (zo op het eerste gezicht in ieder geval) het gemaakte onderscheid tussen toepassingen/diensten wat arbitrair lijkt.
Zou beter zijn als het optioneel is, zoals nu. Ik gebruik keepass met een zeer sterk wachtwoord. Alle andere wachtwoorden zijn random gecodeerd en vrijwel niet te onthouden. Twee factor authenticatie heb ik dus zelf niet nodig en is voor mij overbodig. Ik voel meer aan de huidige oplossing, waarbij het optioneel is. Misschien een idee om het wat meer aan te raden ipv te verplichten.
De overheid kan echter niet weten dat jij je sterke wachtwoord niet ook op andere websites gebruikt en dat 2FA voor jou overbodig is. Dus is het verplichten van 2FA een logische stap.
Wat is er mis met gebruikelijke 2FA (TOTP) authenticatie (denk Google Authenticator, Authy, etc) ipv het wiel opnieuw uit te vinden :?

[Reactie gewijzigd door Jarpse op 23 juni 2017 13:03]

Afhankelijkheid van het bedrijfsleven wil je niet als overheid. Als Google besluit om de stekker uit z'n Authenticator te trekken, dan heb je een probleem als je daarvan afhankelijk bent.
Er is niets speciaals aan Google Authenticator. Die implementeert gewoon het publieke TOTP algoritme. Er zijn tal van authenticator apps naast die van Google.

Het grote nadeel van het ontwikkelen van een eigen app is dat er altijd mensen buiten de boot mee gaan vallen, omdat dergelijke apps meestal beperkt blijven tot Android en iOS. En dat terwijl er wel TOTP alternatieven voor andere platforms bestaan.

[Reactie gewijzigd door .oisyn op 23 juni 2017 13:33]

Eens. Dat is een crime van de overheid. Als het een beetje wil en SMS niet ondersteund wordt, mag ik alles op papier gaan doen omdat ik geen Apple eb Google gebruik...
Van wat ik ervan begrijp moet het mogelijk zijn om je rijbewijs of ID-kaart straks ook met een USB-NFC-scanner te gebruiken op een normale computer met een modern desktop-OS. Je bent dan gelukkig dus niet gebonden aan een IOS of Android smartphone.

Of ze bij Digid dit ook een beetje fatsoenlijk gaan faciliteren is een tweede, maar technisch lijkt het mogelijk.
Ik zie de overheid er rustig voor aan om dan alleen Windows applicaties te maken die met die scanner werkt -_-'
Of nog erger, IE of Edge verplicht stellen.
brrrr the horror.
Ik heb nog niet eens native Windows machines thuis.
als ze dan ook die scanner gratis leveren, anders moet je nog gaan betalen om in te kunnen loggen
Waarschijnlijk wordt er voor het gemak van uitgegaan dat iedereen wel een geschikte smartphone heeft (in ieder geval Android, misschien IOS als die de read/write-toegang tot je eigen NFC-chip toestaan tegen die tijd), en dat de wens om in te loggen met een normale computer dus betekent dat je zelf voor de kosten opdraait.

Geldt ook voor het rijbewijs of de ID-kaart met de chip; mag je lekker zelf betalen, en als je pech hebt ben je nog net voor de invoering van de nieuwe kaarten aan vervanging toe, en mag je vijf jaar wachten of wederom zelf de portemonnee trekken.

Hangt ook een beetje van het politieke klimaat af.
Dat klinkt wel prettig inderdaad. En de NFC lezer in de telefoon kun je dan ook gebruiken
Hoe ik het begrepen heb is Google Authenticator een open protocol en kan je verschillende apps hiervoor gebruiken. Lijkt me dus niet dat iemand hier de stekker uit kan trekken.
helaas is Google Authenticator enkel voor android/ios beschikbaar en niet meer voor Windows. je kan het dus niet gebruiken zonder smartphone. Daardoor valt het voor mij af.
Google authenticator heeft een verkorte keylengte van 80 bits in vergelijking met de door de RFC 4226 vereiste lengte van 128 bits (160 bits aangeraden). Ik zou dan ook eerder gaan voor een standaard TOTP authenticatie, zodat men ook met opensource/gratis clients als FreeOTP aan de slag kan. Sowieso zou de overheid er verstandig aan te doen om niet al te veel wielen opnieuw uit te vinden. Wel begrijp ik hun wantrouwen voor externe systemen. Alles beter dan bedrijven vertrouwen die ook nog eens gebonden zijn via de wet om vijandige acties tegen hun klanten in het buitenland te ondersteunen. Zelfs opensource, alhoewel beter dan proprietary, is geen garantie voor betrouwbare code. Daar moeten dan nog wel voldoende betrouwbare en gekwalificeerde mensen naar hebben gekeken. Sommige projecten hebben domweg te weinig developers en reviewers.
De Microsoft Authenticator werkt gelukkig ook en is beschikbaar voor Windows 10 mobile en 8(.1) voor gebruik met TOTP :)
WinAuth al eens geprobeerd? Werkt prima op Windows (ook Windows10) en is te beveiligen met bv een wachtwoord.
Dan gebruik je een andere applicatie zoals WinAuth, wat gewoon op de desktop draait. Zelfde protocol.

[Reactie gewijzigd door Cilph op 23 juni 2017 13:15]

Google authenticator kun je ook via een browser plugin gebruiken.
Helaas is dat alleen allemaal 3rd party. Er is geen officiele ondersteuning meer.
Het is een Amerikaans bedrijf. Wil je echt authenticatie van je overheidszaken in het buitenland leggen? Nee bedankt
Google maakt inderdaad zoals @reneflo aangeeft met een open standaard. Dit is TOTP time-based One-Time Password protocol. Google Authenticator kun je dus gebruiken met een aan serverside zelf ontwikkelde tool om dit te berekenen. Aan de client side zou je dus zelf ook de tool kunnen ontwikkelen.
De RFC is hier te vinden:
https://tools.ietf.org/html/rfc6238

Ik heb de DigiD app zelf niet gezien maar kan me voorstellen dat ze dit hierin hebben verwerkt.
Het is een protocol, de overheid kan een eigen app ervoor maken als ze willen
T hele internet hangt aan elkaar van protocollen van Amerikaanse komaf... maar niet meer gebruiken dan?
Het is een open protocol. Google kan er verder helemaal niks mee.
Dat nu in dit geval alle mobiele telefoonnummers bij de gebruikers worden geregistreerd?
Bestaan anonieme SIMs nog? In een hoop landen al niet meer...
In Nederland wel. Maar je gaat 2FA natuurlijk niet op je burner aanvragen, om niet op te vallen heb je ook een telefoonnummer dat bij de overheid bekend is.
Juist dat is mijn gedachte ook, ik wil helemaal geen aparte app op mn telefoon voor digid, ding staat al vol genoeg door dat soort onzin.
En wat gaat we nu doen met mensen die geen mobiele telefoon hebben?
Dat zijn mensen die nu waarschijnlijk ook al door een ander hun overheid zaken laten doen (lees: bejaarden).
Dat zijn mensen die nu waarschijnlijk ook al door een ander hun overheid zaken laten doen (lees: bejaarden).
De enige overheidszaak is mijn belastingaangifte jaarlijks. Daar ga ik geen telefoon voor aanschaffen.
Een telefoon is voor meerdere dingen bruikbaar dan belastingaangifte hoor.
Een telefoon is voor meerdere dingen bruikbaar dan belastingaangifte hoor.
Maar ik bel amper. Net als belastingaangifte dat is ook maar eens per jaar.
Ik was helemaal vergeten dat je ook nog kan bellen met een telefoon ;).
Navigeren, internetten, whatsapp, facebook/twittter/etc, games, agenda, licht office gebruik, emailen, whatever.
Ik was helemaal vergeten dat je ook nog kan bellen met een telefoon ;).
Kan allemaal niet met mijn telefoon en heb ik ook niet nodig. Wat cijfers, een hekje en een sterretje. Meer zit er niet op.
Hmm ik geloof dat wanneer je een sms bericht naar een vaste lijn stuurt deze gewoon voorgelezen wordt.
Hmm ik geloof dat wanneer je een sms bericht naar een vaste lijn stuurt deze gewoon voorgelezen wordt.
Dat zeggen er meer hier. Maar meld dan ook dat het geld kost. Er schijnt een nummerherkennings-maandabonnement voor nodig te zijn. Voor die ene sms in maart. :+

Dus niet, ze verzinnen maar wat anders.
Ik heb geen idee, weet alleen dat ik er wel eens een gekregen heb.
Daar is de Belastingdienst niet echt rouwig om. Die hebben je meeste gegevens toch al, maken gewoon een schatting van je belastbaar inkomen en leggen je vervolgens een aanslag op.

Of dacht je dat de Belastingdienst zou zeggen: "Oh, u heeft geen telefoon, dan laat maar?"
Daar is de Belastingdienst niet echt rouwig om. Die hebben je meeste gegevens toch al, maken gewoon een schatting van je belastbaar inkomen en leggen je vervolgens een aanslag op.
Daar zitten wel wat meer haken en ogen aan. Ze willen mijn handtekening voordat ze me die jaarlijkse duizenden euro's terugstorten. :)
En wie heb je ermee wanneer je de handtekening niet zet? Jezelf. Dure telefoon om niet te kopen. En geloof maar niet dat de Belastingdienst je handtekening afwacht wanneer zij geld van jou moeten krijgen.
Vaste telefoon werkt ook. De sms-code wordt dan voorgelezen.
Als in, je wordt gewoon gebeld? Of wordt SMS op vaste toestellen zo ondersteund?
Yep, je wordt gebeld en het bericht wordt voorgelezen.
Je hebt ook sms inboxen op het net. Zelfs gratis.
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*