×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Inloggen met DigiD-app kan bij alle Nederlandse overheidsorganisaties

Door , 77 reacties

De DigiD-app van overheidsdienst Logius kan nu gebruikt worden om bij alle Nederlandse overheidsorganisaties in te loggen. Dit was eerst alleen mogelijk bij een paar diensten. Logius wil ook nfc-verificatie met de app mogelijk maken.

Logius maakte dit via een nieuwsbericht bekend. De DigiD-app, die in maart uitkwam, kon eerst alleen gebruikt worden om in te loggen bij een beperkt aantal overheidsdiensten, waaronder de Dienst Uitvoering Onderwijs, Studielink en de Belastingdienst Toeslagen. Bij andere diensten moesten een gebruikersnaam, wachtwoord en eventueel sms-bericht gebruikt worden om in te loggen. Nu is het mogelijk om de app te gebruiken bij alle overheidsorganisaties die DigiD-verificatie ondersteunen. Hieronder vallen bijvoorbeeld gemeentewebsites, zorgverzekeraars en het Donorregister. Op de website van DigiD staat een lijst van de organisaties die DigiD-diensten gebruiken.

Bij sommige overheidsdiensten is het nog mogelijk om zonder sms-bericht of DigiD-app in te loggen; dit verschilt per organisatie. In juni werd al bekend dat inloggen met alleen een gebruikersnaam en wachtwoord op termijn niet meer mogelijk zal zijn. Met de DigiD-app kan een gebruiker inloggen door een qr-code te scannen en zijn of haar eigen pincode in te voeren.

In het nieuwsbericht vermeldt Logius ook dat de organisatie in de toekomst nfc-verifcatie mogelijk wil maken. Zo zou een identiteitsdocument zoals een paspoort, waar een rfid-chip in is verwerkt, via de nfc-lezer van smartphones gecontroleerd kunnen worden. Hiermee moeten gebruikers beter kunnen worden geïdentificeerd.

Door Andrew Kambel

Stagiair nieuwsredactie

18-07-2017 • 17:16

77 Linkedin Google+

Reacties (77)

Wijzig sortering
Allereerst fijn en terecht dat er naast SMS een tweede 2FA-mogelijkheid wordt toegevoegd, alhoewel ik me afvraag waarom Logius niet iets op basis van HOTP/TOTP heeft geïmplementeerd. Genoeg draagvlak en er zijn zelfs verschillende apps voor te krijgen.
My point exactly, je bent me net voor. :)
Waarom het wiel opnieuw uitvinden als HOTP/TOTP al op zoveel plekken gebruikt wordt en heel veel mensen hier al een app voor hebben? Nu moet ik weer een nieuwe app installeren!
Voor de mensen die niet gelijk weten wat HOTP/TOTP is, lees hier maar even mee ...
Ik denk dat ze dat doen vanwege de veiligheid van de software. Ik denk dat de techniek erachter misschien TOTP is maar dat deze niet zichtbaar is en in een applicatie is gestopt.
Gevalletje 'Security through Obscurity' dan aangezien de huidige 'open' implementaties voldoende veiligheid bieden.
Met de app kun je direct inloggen. Het is wel 2FA, in de zin dat je iets moet hebben (telefoon) en iets moet weten (pin).
Oh ik beweer ook niet dat dat niet zo is, er zijn alleen open standaarden voor te vinden, en het zou de overheid sieren (en misschien wel kosten besparen) als ze daar gebruik van zouden maken :). Maar ik ben niet bekend met de daadwerkelijk gebruikte techniek dus verder is 't speculeren.
Allereerst: Ik ben blij met deze inlog methode... een stuk prettiger...
Ik had al sms verplicht aangezet voor inlogs met digiD, een stukje veiliger, soms komen die sms-jes alleen wat laat aan. (best irritant).

Maar ik ben het eens dat het jammer is, dat er geen OTP mogelijkheid is en dan bij voorkeur volgens rfc4226. :)

Ook jammer is dat je maar 1 device kan activeren.

Ik ben zelf fan van 2FA en gebruik authy op mijn telefoons, tablets, etc. Ik voeg 1 nieuwe 2FA key toe en tadaaah op al mijn apparaten gesynchroniseerd, versleuteld en wel...

Maar het is een vooruitgang en die omarm ik! _/-\o_
Heeft iemand al gezien dat de optie "Verzamel statistieken" standaard aanstaat? Dat is wel een hele slechte zaak. Wordt niet eens om gevraagd, alsof je ongevraagd cookies door je neus gedrukt krijgt! Waar de overheid juist zo tegen is ... of zo. :+

Daarnaast werkt heel het scannen van een QR bij mij niet (DUO b.v.). De verhouding van de QR in de App kloppen niet, het geheel wordt uitgerekt. Gaat weer lekker ;)
En wat mij betreft mag SMS er per direct uit. Niet van deze planeet en er waren ook twijfels over de veiligheid. Dit is hedendaags, modern en in mijn ogen safe. Prima ontwikkeling van het rijk, dat mag ook weleens gezegd worden. Ik zat me al te verzetten tegen de SMS die min of meer verplicht werd gesteld, maar dit lijkt me een meer dan uitstekend alternatief.

De extra optie @Twam , die komt er, dat is de optie met een NFC chip ...

[Reactie gewijzigd door Houtenklaas op 18 juli 2017 17:51]

Nou, nee, dus. SMS is een prima alternatief voor mensen die geen Android-telefoon of iPhone hebben, om wat voor reden dan ook. Inderdaad goed dat er ingezet wordt op dergelijke moderne oplossingen, maar als het doel is dat iedereen dergelijke online-omgevingen gaat gebruiken, kan het niet zo zijn dat dat gekoppeld wordt aan de Play Store en de Apple-variant daarvan. Dan maak je je hele infrastructuur ten eerste veel te afhankelijk van twee (buitenlandse) bedrijven, en ten tweede sluit je effectief de markt voor alles dat niet 1 van die 2 OS'sen draait - door de staat opgelegde duopoliepositie, iemand?

Nee, het lijkt me bar onwenselijk om al je systemen van 1 verificatiemethode afhankelijk te maken, eigenlijk.
HOTP/TOTP is een goede manier hiervoor. Deze codes zou je technisch gezien gewoon met een rekenmachine kunnen berekenen al zit er door de beperkte geldigheid van de codes altijd een probleem. Je hoeft dus geen telefoon te hebben maar een simpel apparaatje zoals een Random Reader zou hier al voldoende voor zijn. Hier zou de overheid dan iets voor moeten aanbieden waarbij dan de keuze bij de consument ligt of ze deze staatsauthenticator gaan gebruiken of een eigen applicatie op de telefoon.
Ik zou toch liever een SMS code preferen boven HOPT. Want een SMS code verandert steeds. ;)
Bovendien is het nu inloggen met alleen app (QR code). Ik vond de manier van inloggen dmv username + password + SMS toch iets veiliger aanvoelen. Alsof deze app onkraakbaar is.
HOTP veranderd ook steeds, de manier waarop het werkt (simpel uitgelegd). Bij het registreren krijg je een random code. Deze code scan je door middel van een camera op je telefoon (of ander device). Elke 30 seconde wordt er een nieuwe code gegeneerd waarmee je kan inloggen. Waarschijnlijk gebeurd exact hetzelfde met een smsje alleen wordt de code niet op je telefoon maar op een server gegeneerd. Deze code moet dan naar je telefoon gesmsd worden (wat weer tijd kost). Deze code is dus langer geldig dan de normale HOTP code en daarnaast is het ook nog te onderscheppen.

SMS code voelt misschien veiliger maar is het zeker niet. De app is vast en zeker een stuk veiliger dan een sms code.
https://medium.com/@CodyB...coinbase-com-ba75fb8d0bac

Waarom SMS ook niet fijn is. Te weinig authenticatie bij je telecomprovider en je 06 kan worden overgezet op een andere IMSI (SIM kaart)

[Reactie gewijzigd door AceAceAce op 19 juli 2017 11:18]

Helemaal mee eens. Ik gebruik al meer dan een jaar, tot grote voldoening, een Ubuntu phone. Deze draait uiteraard geen native Android Apps. SMS is voor veel inlog sites een goed 2factor alternatief en het werkt op elke smart phone. Het wordt wereldwijd door diverse banken gebruikt en o.a. ook door Binck Bank.
SMS code heeft als nadeel dat als je naar het buitenland (buiten EU dan) gaat en daar een lokale SIM koopt, vanwege de schofterige roaming tarieven,, dat je dat buitenlandse nummer niet kunt registreren.
Dus helemaal dicht is het niet.
En ik ben niet van plan om nog een telefoon met mijn NL simkaart er in mee te nemen.

Van mij mogen ze zowel NFC van paspoort, SMS en evt. QR code met app naar keuze ondersteunen. Er zijn eenmaal veel smaken en mensen.

[Reactie gewijzigd door skatebiker op 19 juli 2017 09:02]

Voor het SIM-kaart probleem zijn er juist dual-sim telefoons, die steeds meer in opmars raken.

Verder vind ik het juist niet goed als er een grote diversiteit aan authenticatiemethodes is. SMS en 2FA is goed, maar om nou nog meer toe te voegen, lijkt me geen goed idee. Dan worden de minder gebruikte methodes waarschijnlijk ook minder goed doorontwikkeld waardoor die in veiligheid achteruit gaan.

En de gehele beveiliging hangt af van de zwakste schakel, zekee als iemand zelf mag kiezen welke methode hij of zij per keer wil gebruiken...

En natuurlijk moet je alles ook weer uitleggen aan digibeten, waarbij een platform al moeilijk genoeg is.
Tijdje in het buitenland gewerkt, waar ik dan een lokale SIM koop. De Nederlandse SIM hou ik bij me en gebruik ik als er een brakke SMS authenticatie nodig is. Zelfde verhaal als buitenlandse banken SMS authenticatie vereisen en ik inmiddels in een ander land ben. Zo heb ik inmiddels een stuk of 8 buitenlandse SIMs. Wel belangrijk om te weten is dat ze ontkoppeld worden zodra je X maanden/jaar niet meer online bent geweest (meestal 1 jaar), dus af en toe een rondje simkaarten en je telefoon starten is wel handig.

[Reactie gewijzigd door AceAceAce op 19 juli 2017 11:22]

Ik ben voorstander van de oplossing met een NFC chip als extra optie. Daar heb je een workaround op dat moment, het RDW ondersteunt deze optie al om zelf thuis een auto te kunnen overschrijven. Die vind ik NOG beter dan SMS of QR-code. Maar tot die tijd ben ik het met je eens, niet op één methode leunen. Maar als het zover is, heeft SMS in mijn ogen geen waarde meer. Punt wat dan overblijft, wie betaalt de reader voor de NFC chip? Met een dumbphone gaat je telefoon daar ook niet bij helpen, daarnaast ondersteunen ook lang niet alle smartphones NFC.

En de optie die @StefanJanssen geeft, ook prima. In principe zou het eigenlijk zo moeten zijn dat je geen eigen middelen nodig hebt die geld kosten voor dit soort dingen. Een random reader is een uitstekende oplossing die ik ook gebruik bij mijn bank. En Stefan slaat m.i. de spijker op zijn kop, geef de keuze waarvan er één een staatsauthenticator is. Uitstekende oplossing!

[Reactie gewijzigd door Houtenklaas op 18 juli 2017 18:33]

Die RFID readers kosten ook niet zo veel. In Duitsland hebben ze die bijvoorbeeld ook al om zaken te doen met de overheid. Kosten daar vanaf 22 euro (of wat duurdere modellen zoals deze). Deze werken nu al met een Nederlandse ID kaart. Op AliExpress kan je ze nog goedkoper vinden.

Ook heb je de fysieke chip-optie zoals in Belgie (eID) en Spanje (DNI) gebruikt wordt, die je naast de RFID chip kan gebruiken. De readers daarvoor zijn nog veel goedkoper en zitten zelfs in veel zakelijke laptops. Ik gebruik dit soort kaarten zelf ook om in te loggen op bijv. SSH (je zet dan je private key op zo'n kaart). Voordeel is dan dat de kaart nooit te kopieren is en na 3 pin pogingen gelockt wordt. Veel veiliger dan een paswoord want het kan niet afgekeken worden.

Helaas heeft Nederland deze optie niet in de ID kaarten gezet, hoewel er wel al jaren een uitsparing zit in het ontwerp op die plek :? Zelfs in verschillende generaties grafisch design is er door de jaren heen rekening mee gehouden in de ID kaart. Vroeger op de voorkant en nu zit die uitsparing er op de achterkant op. Vreemd dat die chip er nooit is gekomen. In het paspoort kan dit sowieso niet vanwege de afmetingen.

Ik ben het er mee eens dat SMS geen veilige methode is, al is het gevaar in dit geval niet zo groot (anders dan bij bijv. toegang tot een bankrekening is er niet zonder meer direct financieel gewin uit te halen dus dat maakt het minder interessant).

[Reactie gewijzigd door GekkePrutser op 18 juli 2017 18:28]

Indentiteitsfraude is wellicht nog erger dan "slechts" een bankrekening plunderen ... Ik dacht dat ik mijn bankrekeningnummer bij de belastingdienst kan wijzigen met je DigiD. Dan vloeit er toch iets financieels ... Of de studiefinanciering omhangen ...

[Reactie gewijzigd door Houtenklaas op 18 juli 2017 18:41]

Gebeurt inderdaad regelmatig dat brieven met daarop DigiD gegevens bij mensen uit de bus werden ontvreemd... dan is het leed echt niet te overzien. Jouw identiteit overgenomen door een ander.
De toeslagenfraude was anders toch een lucratieve business. En als je iemands DigiD hebt, werkt dat volgens mij in principe nog steeds.

In andere opzichten is het gewin misschien minder groot, maar de potentiele schade voor veel mensen veel groter.
SMS was een prima alternatief, het is alleen achterhaald door de techniek en niet meer als veilig te beschouwen. Er moet uiteraard wel een alternatief zijn voor mensen met een alternatieve of zelfs geen telefoon, maar SMS is gewoon niet goed genoeg meer om te dienen als beveiliging.
Nou, nee, dus. SMS is een prima alternatief voor mensen die geen Android-telefoon of iPhone hebben, om wat voor reden dan ook. .
..
Dan maak je je hele infrastructuur ten eerste veel te afhankelijk van twee (buitenlandse) bedrijven, en ten tweede sluit je effectief de markt voor alles dat niet 1 van die 2 OS'sen draait - door de staat opgelegde duopoliepositie, iemand?
Klopt, je blokkeert niet alleen Dumbphones, Windows Phone/Windows 10 Mobile, Blackberry, Sailish en Tizen maar ook alle mogelijke toekomstige platformen.
Nee, het lijkt me bar onwenselijk om al je systemen van 1 verificatiemethode afhankelijk te maken, eigenlijk.
Klopt. Als er een beveiligingsgat in blijkt te zitten of er is een storing, dan heb je het hangen.
Snap niet waarom dat die app zo gigantisch word gepusht. Sms werkt toch ook prima? Werkt altijd en scheelt weer een app
Omdat sms onveilig is en gespooft kan worden.
En je kan niet 'meekijken' met een telefoon? Alles is te kraken, de grens is tot waar het nuttig is. Waar genoeg mensen blijkbaar zonder sms inloggen met naam/ww al meer dan genoeg vinden (wat op papier 'de minst veilige methode' is), zouden mensen bergen werk verzetten om een code te krijgen die amper 10 minuten geldig is, vervolgens ook hun naam/ww hebben..

En daar zit stukje ironie, het activeren van je app gaat juist via de 2FA via sms..
En het installeren van apps vind ik van mijn kant dan weer onveilig. Je weet nooit wat zo'n app allemaal uitspookt op de achtergrond en welke data er over jou de lijn over gaat. De overheid kun je hier ook niet mee vertrouwen want die hebben al vaak bewezen dat ze zich niet in kunnen houden met het verwerken data (parkeergegevens misbruiken, data van camera's doorspelen aan de belastingdienst, etc). Zo'n app komt er bij mij niet in. Dan zou een TOTP oplossing beter zijn want dan kun je zelf een TOTP implementatie kiezen die je vertrouwt.
Maar dat is voor de grootste gebruikersgroep niet weggelegd. Ik word altijd wat obstinaat als "het rijk" een app dwingend oplegt. Ik vind QR codes zelf wel OK, maar als ik dwars ben (en dat gebeurt) dan denk ik: "Zak er maar in" en lever maar iets wat bruikbaar is zonder dat ik daar privé spul bij moet inbrengen of iets op MIJN telefoon moet installeren. Het gebruik van een PC, daar heb ik me bij neergelegd, anders boek je nooit vooruitgang, maar met een random reader of NFC lezer zou ik prima kunnen leven. En dan wel graag één die inzetbaar is voor meer dingen, ook voor bankzaken bijvoorbeeld. Dat is in mijn ogen pas ECHT vooruitgang. Of doe allebei zodat je een keuze hebt. Ook best.
In noorwegen heb je dat. Daar heb je een token generator die werkt voor alles met je bsn. Bsn, Wachtwoord, en token. Ik snap niet waarom wij dat niet kunnen door onze fijne overheid. Tevens als je geen token wil kan het nog daar met sms.

edit sms toegevoegd

[Reactie gewijzigd door thijsjek op 18 juli 2017 19:32]

Omdat sms onveilig is en gespooft kan worden.
Nee, deze app is zo veilig dat hij niet gekraakt kan worden? Vreemd standpunt, want wie deze DigiD-app kan kraken heeft de beschikking over een enorme hoeveelheid gevoelige informatie. Het is niet dat SMS oud is dat het per definitie onveilig is. Zelfde als met die oude Rabocard reader.
Noem eens een concreet voorbeeld waarbij een 2FA SMS onderschept is.
Sms is niet zo veilig... Daarom willen ze mensen een veiligere optie bieden
En toch is techindustriegigant Google druk bezig om de authenticatie voor Allo in te richten met sms als belangrijkste methode.
In Amerika SMS'sen ze nog een HEEL stuk meer dan wij en wellicht in andere landen ook nog. Het linkje is een tikje gedateerd, maar toch maar 2 jaar oud. Lees en huiver. 100% van de 18-29 jarigen SMS't daar minimaal 1 keer per week |:(

Toegift met allemaal "text messaging statistics"

[Reactie gewijzigd door Houtenklaas op 18 juli 2017 18:49]

De ironie van Google, geen sms bij 2FA, maar het dus blijkbaar wel goed genoeg vinden om bedrijven met klanten te laten praten via Allo of SMS te laten praten.
Is toch logisch? Een sms sturen is niet op zichzelf een veiligheidsrisico, want de meeste informatie die via sms wordt verstuurd is irrelevant ("waar ben je nu?", "wat heb je gegeten?"), maar een wachtwoord heeft een hoger beveiligingsniveau nodig. Net zoals je geen wachtwoorden via email moet versturen, of op een publieke plek luidop roepen.
Wat wil je met een bedrijf waar 70k mensen werken, meerdere afdelingen met elk hun prioriteiten. Voor de context van dit nieuwsbericht maakt het niet uit: SMS is toe aan vervanging. Ik kijk zelf uit naar https://www.w3.org/TR/webauthn/ - de opvolger van U2F, maar dan ingebouwd in je toekomstige hardware.
Leuk, maar deze app is rete-traag. Duurt een eeuwigheid voor dat ie een response code geeft na het scannen van de QR code. 2FA met SMS is veel sneller.

Programmeurs hebben nog wat huiswerk of er is wat mis met de gekozen cloud service, server park etc. waar het back-end draait.
Het is Xamarin. Maar hier net getest en na 1 seconde ofzo na t scannen kon ik verder. Niets gemerkt van traagheid dus.
De overheid heeft dus het wiel nogmaals uitgevonden, dat is efficient! (TOTP is inmiddels al de standaard)
Tsjah, Logius.. Laatst voor een zekere aangifte binnen een stuk middleware wat handelingen moeten doen met interfacing op basis van een officieel inrichtingsdocument van Logius. Het mooie ervan is dat er een einddatum staat voor wanneer je het up en running moet hebben. Minder mooi is dat vervolgens 3 mensen van 3 aparte consultancy bedrijven er samen naar moeten kijken, interne contacten bij de overheid aan moeten wenden om erachter te komen dat je certificaten van een zekere 3e partij MOET gebruiken en het nooit en te nimmer zal gaan werken met de certificaten waarnaast gerefereerd wordt in de officiële docu en die Logius ter download aanbiedt. De officiële documentatie nadat wij het eindelijk up and running hadden, werd online pas aangepast lang nadat de uiterste opleverdatum verstreken was. Hadden wij het later up en running gehad, dan had dit naar alle waarschijnlijkheid geresulteerd in een fikse boete.
Schijnbaar is dit het niveau van onze overheid en ict binnen onze overheid.
nfc voegt enkel een zinloze handeling toe aan het proces, en wat als iemand het weet te bemachtigen.
volgens mij begrijp je niet waarvoor de NFC functie bedoelt is in deze context
Staat er ook niet duidelijk geschreven.
Waarschijnlijk dat wanneer je op een website inlogt, dat de app het verzoek ontvangt om NFC in te lezen.
Ja zoiets. Auhtenticatie naar het hoogste niveau is nog in ontwikkeling, maar het idee is dat als je heel gevoelige acties wilt doen (zoals een auto op een andere persoon wilt registreren), je naast de reguliere login ook nog je NFC-chip in je paspoort, ID-kaart, rijbewijs en/of kentekenbewijs moet scannen, als bewijs dat je die ook in je bezit hebt.
Ik heb even vlug in "The App Store" (Arnie) gezocht.
1,5 ster aan reviews.
De laatste update van de Digi-(dubbel)D App, versie 1.05, was 27 juni 2017. Dat is 3 weken geleden. Ik wacht wel even af, want de problemen die er staan (voor de huidige versie) ga ik niet vrijwillig downloaden en installeren.
Volgens mij kan ik nog niet inloggen via deze methode bij mijn ziektekostenverzekeraar, waar ik nog steeds mijn gewone DigID naam en wachtwoord moet gebruiken.
Voorlopig werkt de app niet op iOS. Volgens de helpdesk een onbekend probleem welke de aandacht heeft :(
Net geïnstalleerd, werkt prima op mijn telefoon met iOS 10.3.2
Met mijn iPad mini echt niet

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*