Logius voert beveiligingsniveau DigiD op met paspoortcontrole via nfc in app

De Nederlandse organisatie achter DigiD, Logius, heeft het mogelijk gemaakt om in te loggen met een hoger beveiligingsniveau door een eenmalige controle van een paspoort, rijbewijs of id-kaart toe te voegen aan de app. Daardoor kunnen gebruikers veiliger inloggen dan tot nu toe mogelijk was.

Door de controle is het mogelijk om met de Android-app van DigiD in te loggen met beveiligingsniveau Substantieel. Gebruik van de DigiD-app zonder de controle geldt als beveiligingsniveau Midden. Met een hoger niveau van beveiliging hebben organisaties meer zekerheid over de identiteit van degene die inlogt en kunnen zij dus toegang geven tot gevoeligere gegevens dan tot nu toe mogelijk was.

De controle van het paspoort, id-kaart of rijbewijs is eenmalig, blijkt uit het stappenplan. Het rijbewijs moet van na 14 november 2014 zijn, omdat vanaf die datum het Nederlandse rijbewijs een chip kreeg met nfc. Gebruikers hebben voor de controle een Android-telefoon met nfc nodig, draaiend op Android 4.4 of hoger. DigiD ondersteunt alleen de 'meest gebruikte Android-telefoons', maar een lijst is niet beschikbaar.

De DigiD-app verscheen een half jaar geleden en is in gebruik als tweede factor bij het inloggen bij overheidsdiensten. Daarvoor moeten gebruikers de app en het account eerst koppelen. De controle van het identiteitsbewijs is niet mogelijk in de iOS-versie van de app, omdat Apple dergelijk gebruik van de nfc-chip in iPhones niet toestaat.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 01-11-2017 18:07
63 • submitter: Meyiox

01-11-2017 • 18:07

63

Submitter: Meyiox

Lees meer

Identiteitskaart om in te loggen met DigiD-niveau 'hoog' verschijnt in januari
Identiteitskaart om in te loggen met DigiD-niveau 'hoog' verschijnt in januari Nieuws van 2 oktober 2020
DigiD-app kan voortaan ook identiteitsbewijzen scannen met iPhones
DigiD-app kan voortaan ook identiteitsbewijzen scannen met iPhones Nieuws van 11 november 2019
Nederland en Canada testen grenscontrole met app die paspoort vervangt
Nederland en Canada testen grenscontrole met app die paspoort vervangt Nieuws van 27 juni 2019
Overheid geeft Nederlanders seintje als inloggen bij DigiD via rijbewijs kan
Overheid geeft Nederlanders seintje als inloggen bij DigiD via rijbewijs kan Nieuws van 29 augustus 2018
Meer producten en artikelen
Politiek en recht Google Android Beveiliging Digid Nfc

Reacties (63)

-Moderatie-faq
63
59
27
6
0
20
Wijzig sortering
RJG-223 2 november 2017 08:45
De controle van het paspoort, id-kaart of rijbewijs is eenmalig.
En hoezo is dit extra veilig ? Er is nog steeds geen enkele onafhankelijke verificatie van de daadwerkelijke identiteit van de gebruiker. Alleen dat van het feit dat het ID-bewijs en de telefoon ooit bij elkaar in de buurt waren. Nadat bijvoorbeeld de telefoon gestolen is (al of niet in combinatie met ID-bewijs), is dit even (on)veilig als SMS-verificatie. En dan is het nog maar wachten op de persoon die dit hackt, en dan de paspoort-gegevens van één telefoon naar een andere kan kopiëren.
Verwijderd 1 november 2017 18:10
omdat Apple dergelijk gebruik van de nfc-chip in iPhones niet toestaat.
Incorrect, Apple staat schrijven naar de NFC chip niet toe (voor betalingen) maar vanaf iOS 11 is het mogelijk NFC chips te lezen. Dus dit zou gewoon op iPhones kunnen werken...
batjes @Verwijderd1 november 2017 18:14
Lezen is leuk, wil niet zeggen dat dit te implementeren is op de iPhones.

Het paspoort zal waarschijnlijk op dezelfde manier werken als een pinpas, je moet namelijk input geven, waar op de chip zelf mee gehocuspocust wordt om er een resultaat uit te geven. En niet dat het slechts als "BSN = 123456790" uit te lezen is. Ik mag toch hopen dat de data op het paspoort, minstens encrypted opgeslagen ligt.

Als je dus enkel NFC chips kan uitlezen, kan je er geen data, dus input, heen sturen.

[Reactie gewijzigd door batjes op 22 juli 2024 23:54]

Oeroeg @batjes1 november 2017 18:24
Ik mag toch hopen dat de data op het paspoort, minstens encrypted opgeslagen ligt.
Je kunt gewoon alle data (inclusief pasfoto) uitlezen.
Het enige wat je daarvoor nodig hebt is: documentnummer, geboortedatum en vervaldatum.
Dit is overigens alleen om "skimmen" te voorkomen. Je bent op deze manier zeker dat diegene die het paspoort uitleest ook fysiek toegang heeft.

Overigens zijn de datavelden waar de fingerprint en evt. irisscan (die voorbereiding is al getroffen) in opgeslagen liggen wel voorzien van een versleuteling die alleen met een key van de overheid te lezen is.

[Reactie gewijzigd door Oeroeg op 22 juli 2024 23:54]

SunnieNL @Oeroeg1 november 2017 21:23
En daarmee is de data dus versleuteld.
Met alleen uitlezen kom je er dus niet als je ook zaken moet doorgeven om de chip uit te lezen
GingerLionXx @Oeroeg1 november 2017 21:47
Als ik het goed heb kan je toch de machine readable code gebruiken die op je paspoort of id staat.

PS Leuke app om te zien wat er allemaal op de chip staat.
https://play.google.com/s...nnovalor.nfciddocshowcase
MisterJRF @GingerLionXx2 november 2017 17:18
coole app, werkt leuk.

Enig idee waar je een lijst met hash reg codes komt?
johnkeates @batjes1 november 2017 18:17
Een write commando mag niet, maar dat betekent niet dat alle andere commando's ook niet kunnen.
CtEkCoPx @batjes1 november 2017 18:49
Het sturen van zogenaamde APDU commando’s wordt niet ondersteund via de daarvoor opengestelde APIs.
Aaargh! @Verwijderd1 november 2017 19:05
Nee, zo werkt het lezen van een paspoort niet. De iPhone ondersteunt alleen z.g.n. NDEF tags. Om een paspoort uit te lezen is iso14443a/b support nodig. Het is ook niet een simpele leesactie, je moet eerst uit wat gegevens in de MRZ (de 2 regels onderaan je paspoort) een sleutel afleiden en hiermee een encrypted communicatie kanaal met de chip opzetten. Daarna kan je een aantal van de files op de chip uitlezen en nog wat andere checks doen, o.a. om te checken of het geen kopie is. Let wel dat je niet overal bij kan, voor het uitlezen van de vingerafdrukken heb je extra sleutels nodig.
Peetz0r @Aaargh!1 november 2017 23:29
je moet eerst uit wat gegevens in de MRZ (de 2 regels onderaan je paspoort)
De MRZ is gewoon (een subset van) dezelfde data als op de rest van het document. De gegevens die je noemt zijn gewoon het documentnummer, geboortedatum en vervaldatum.

Ik vond het wel grappig dat er een kleurenversie van de pasfoto in die chip zit trouwens.
Aaargh! @Peetz0r2 november 2017 07:14
De MRZ staat exact zo in DG1, maar daar heb je natuurlijk niks aan voordat je eerst die 3 items uit de MRZ haalt, want je kan DG1 niet uit de chip lezen zonder die 3 gegevens.
Meg @Verwijderd1 november 2017 18:12
Ik zou dat hier melden. Maar dat wist ik niet, wel goed dat het mogelijk is.
MikeyMan 1 november 2017 19:06
Ik zie zowel het stappenplan als de optie om iets te wijzigen niet. Moet er nog een update volgen?
MavhRik @MikeyMan1 november 2017 19:11
https://www.digid.nl/over...ntrole-identiteitsbewijs/
Zapato 1 november 2017 18:31
Id van juni 2014, dus even wachten tot juni 2024.
Oeroeg @Zapato1 november 2017 18:34
Gaat alleen om rijbewijzen. Id-kaarten hebben dit al sinds 26 augustus 2006.
Zapato @Oeroeg1 november 2017 18:38
Bedankt! Dan vraag ik me wel af hoe ik het kan instellen. Ik gebruik de app al om in te loggen met de QR code, heb de nieuwste versie van 31 oktober, maar ik zie nergens de mogelijkheid om dit in te stellen. Het stappenplan zie ik niet.
BBrunekreeft @Zapato1 november 2017 19:02
Het stappenplan staat in het plaatje bij dit artikel
Cowamundo 1 november 2017 19:35
Dus een telefoon gebruiken met android 4.4, wat al zwaar out-dated en zo lek als een mandje is noemen ze veiliger?

Ik hou het wel gewoon op de 2 traps authenticatie via sms.
kaas-schaaf 1 november 2017 19:37
De enige reden dat dit gedaan is, is omdat eerst voor de belastingdienst het noodzakelijke niveau verlaagt is door aan te passen wat substantieel is. Je wilt eigenlijk hoog qua persoons identificatie garanties maar dat is met digid niet mogelijk, en dus lijkt dit een verbeterpunt maar stelt het weinig voor omdat er simpelweg te weinig mensen zijn die dit doen en en-persona froude nog steeds mogelijk is (pak het paspoort van je oma en je bent klaar). Het is echter wel makkelijk te implementeren.

DigiD kan nooit hoog halen zonder volledig op de schop te gaan, en dit is geneuk met de regels om niet direct een nieuw systeem in te voeren. DigiD zonder paspoort verificatie kan ook substantieel halen, maar dat vergt aanzienlijk meer implementatiekosten en dus kosten maar zou voor iedereen toegankelijk zijn ( dit vergt bijvoorbeeld face to face verificatie maar er zijn meer opties), en het liefst een eidas/eherkenning 4 (lees hoog tegenwoordig) approved cryptoprovider om dan direct het naar hoog te trekken als je toch bezig bent.
LOTG 1 november 2017 18:13
Klinkt een beetje nutteloos. Je kunt optioneel in de app het beveiligings niveau verhogen als je aan een berg eisen voldoet. Wat is dan het voordeel?
Wat kan ik niet als ik het niet doe (want geen NFC kaart/telefoon)?
Armin @LOTG1 november 2017 18:26
Wat kan ik niet als ik het niet doe

Dit is de kernvraag inderdaad, want omgekeerd, wat kan een crimineel niet als die wel mijn andere gegevens heeft maar niet mijn paspoort.

Ik laat me graag corrigeren, maar vooralsnog lijkt het erop dat het antwoord "niets" is, en het vooral een test is om in de toekomst wellicht NFC te gebruiken als alternatief/aanvulling.
AceAceAce @Armin1 november 2017 20:17
Overschrijven van auto's op naam van iemand anders is 1 van de use cases die Substantieel eisen
Armin @AceAceAce2 november 2017 00:25
Kijk dat is inderdaad handig. Tevens staat daar ook de rest van de informatie: het is ook mogelijk met behulp van een PC en losse USB kaartlezer.
RoL0 @LOTG1 november 2017 18:25
Je kunt instellen dat je een minimaal niveau vereist voor het gebruik van DigID diensten. Dit is dus eigenlijk hetzelfde als een gemiddelde 2FA: je kunt zelf instellen dat je een hoger niveau vereist. Daarnaast kunnen bepaalde diensten van de overheid óók een minimaal niveau vereisen om van die dienst gebruikt te kunnen maken. Zo kun je bij DUO (of was het Studielink?) niet zonder 2FA inloggen terwijl dit bij andere DigID diensten wel kan.
aadje93 @RoL01 november 2017 20:28
"vroeger" (lees enkele jaren terug) kon ik bij DUO zonder 2FA inloggen, al was het niet vaak nodig.
DonDaaf @aadje932 november 2017 07:16
Er zijn verschillende beveligingsniveau’s onderkend door de overheid: laag, midden, substantieel en hoog. Verschillende diensten vereisen verschillende niveau’s, Bij veel diensten waar de authenticatie wordt afgehandeld via DigiD is laag (inloggen met gebruikersnaam en wachtwoord) voldoende. Zodra de gevoeligheid van gegevens toeneemt (denk aan medische dienstverleners) zal ook het beveiligingsniveau omhoog moeten.

Deze nieuwe methode van inloggen wordt voor het eerst niveau ‘substantieel’ behaald. ‘Hoog’ komt later, bij de introductie van het eRijbewijs en de eNIK.
Batje4 @LOTG2 november 2017 07:25
In de zorg zitten we hier erg op te wachten. Patient-informatie heeft een hoge wbp-niveau. Door niveau substantieel te kunnen aanbieden, zal het ook mogelijk worden om een bi-directioneel contact tussen zorgverlener en patient aan te bieden dat voldoet aan eisen van privacy en regelgeving.

Of je er dan als patient op die manier gebruik van wil maken op je smartphone, of toch kiest voor een andere oplossing: dat is het voordeel. De keuze _is_ de meerwaarde.
CivLord @Batje42 november 2017 10:51
En vervolgens komt je info binnen bij een zorgaanbieder die nog een handjevol niet gepatchte XP-machines heeft staan, waar alle gegevens zonder veel moeite door iedereen in te zien zijn. O-)
Batje4 @CivLord2 november 2017 15:04
Daar staat het nu ook al, natuurlijk.
En niet iedere zorgaanbieder werkt meer op XP, dat is inmiddels een beetje broodje aap aan het worden. Maar dat de NEN nog niet overal goed geland is in de zorg, is me af en toe wel duidelijk. Ander issue, moet ook aandacht krijgen, maar mag innovatie niet in de weg staan. Stilstand is achteruitgang.
CivLord @Batje42 november 2017 15:34
Ik mag inderdaad hopen dat die XP machines inmiddels tot het verleden behoren.
Maar ik denk dat voor kwaadwillenden de systemen bij de zorgaanbieders een veel voor de hand liggender doelwit zijn dan het proberen te onderscheppen van het contact tussen zorgaanbieder en patiënt.
Batje4 @CivLord2 november 2017 19:49
Eens.
martijnsch @LOTG2 november 2017 15:24
Het voordeel is:
- Je kunt zelf instellen dat er, als er met jouw Digid account wordt in gelogd, altijd een niveau 3 inlog vereist wordt.
- Andere (overheids)diensten kunnen eisen dat je met met niveau 3 moet inloggen.

Op die manier kan de veiligheid voor bepaalde diensten en/of accounts worden opgeschroefd zonder dat dat voor het hele systeem (lees: alle diensten/accounts) nodig is. Dat is het voordeel.
mgizmo 1 november 2017 18:12
En kan Google vervolgens paspoort koppelen aan andere zaken? :Y)
DigitalExorcist @mgizmo1 november 2017 18:23
Sinds wanneer heeft Google toegang tot Digid dan?

even los van alle misère bij de Belastingdienst waar ook iedereen met USB-sticks met data in het rond liep te strooien.....
Verwijderd @DigitalExorcist1 november 2017 18:48
Dat laatste (over de belastingdienst) gebeurt in gewone bedrijven uiteraard ook aan de lopende band, maar dat komt niet in de media....
DigitalExorcist @Verwijderd1 november 2017 19:00
Met de AVG/GPDR wetgeving komend jaar wordt dat ook wel anders. Niet dat ze dan in de media moeten komen, maar het wordt knap streng allemaal.

De Belastingdienst is natuurlijk wel heel slecht. Die hebben data van pakweg 17 miljoen mensen in huis.
mgizmo @DigitalExorcist1 november 2017 18:36
Ik neem aan van niet (al kunnen ze SSL decrypten), maar Android zit tussen de hardware (NFC) en de app.
DigitalExorcist @mgizmo1 november 2017 18:42
Mja. Ik heb 2 weken geleden ook in een uurtje tijd met moeder de vrouw samen de Android Factory Reset Protection in Android 6 van een LG G4 gekraakt dus wat dat betreft.......
Verwijderd @mgizmo2 november 2017 09:35
Ik neem aan van niet (al kunnen ze SSL decrypten)
Leg uit.
mgizmo @Verwijderd2 november 2017 15:37
De endpoints moeten decrypten om de data te tonen. Sessiesleutels zijn immers bekend bij de endpoints.
Verwijderd @mgizmo2 november 2017 18:39
Ja, en hoe doet de NSA dat dan?
mgizmo @Verwijderd3 november 2017 11:21
NSA? Ik heb het over Google.
Verwijderd @mgizmo3 november 2017 11:41
Oh ok, maar dezelfde vraag. SSL kunnen decrypten als endpoint is logisch. Maar begrijp ik je goed, dat je denkt dat Google dat kan zonder endpoint te zijn?
mgizmo @Verwijderd5 november 2017 10:26
Het artikel gaat over een android-app. De endpoint is dus "van" Google.
Verwijderd @mgizmo1 november 2017 23:30
Theoretisch gezien is dat mogelijk voor alle browsers ongeacht welk OS je gebruikt. Maar alleen dan als ze tussen jouw browser en de HTTPS verbinding met Digid een tunneltje hebben gemaakt waarbij alles af te luisteren is.
_Thanatos_ 1 november 2017 22:07
Hoe doen de andere EU-landen dit? Ik krijg nml het gevoel dat dit weer een typsich "wij kunnen het beter ohnee toch niet" gevalletje is, voor iets dat op EU-niveau geregeld moet worden.
Mizgala28 1 november 2017 18:15
Maar stel dat dit verplicht wordt en je bent een buitenlander die in NL vast woont maar geen NL nationaliteit heeft, dan zou een buitenlandse EU document zoals ID of paspoort toch ook moeten voldoen?

Voor de rest, wel optioneel maar gezien het feit hoeveel mensen ik ken met een toestel die naar deze eisen niet voldoet misschien voorlopig maar beter ook.
Oeroeg @Mizgala281 november 2017 18:26
Alhoewel alle paspoorten volgens de ICAO standaard ontwikkeld zijn, is er toch een aantal verschillen.

Zo is Nederland bijvoorbeeld het enige land wat een Elliptic Curve-versleuteling heeft toegepast (i.t.t. RSA wat in de rest van Europa gebruikelijk is).
LOTG @Mizgala281 november 2017 18:23
Dit kan niet verplicht worden. Hoeveel mensen hebben een telefoon die werkt met dit? Zat mensen die geen eens smartphone hebben. Sowieso duurt het nog minstens 7 jaar voor dat iedereen een kaart met NFC heeft.

Heb je geen andere kaart als je NL inwoner bent zonder nationaliteit? Om aan te tonen dat je een visum hebt ?
iceheart @LOTG1 november 2017 19:55
Tja, als EU-burger heb je geen extra documenten nodig (dat *mag* ook niet) bovenop die waar je staatsburger bent. Dan zou dit dus óf EU-breed ingevoerd moeten worden, óf niet verplicht mogen/kunnen zijn.
ocf81 @LOTG1 november 2017 21:48
Nu nog niet nee, maar als ik straks als een van de weinige een telefoon met een niet mainstream OS gebruik en hier niks mee kan, maar de rest van het land doodleuk meegaat met android of een ander mainstream OS, dan ben ik inderdaad de pineut. Gezien het ondersteuningsbeleid van de overheid is dat geheel niet ondenkbaar.
thof @LOTG2 november 2017 08:08
Voor die mensen zonder ondersteund Android telefoon is er ook een USB nfc kaartlezer. Daar houden ze zeker wel rekening mee, lijkt mij.
Mizgala28 @LOTG1 november 2017 20:23
Daarom zeg ik specifiek EU burger, die hebben geen visum nodig alleen een paspoort of id.

Maar in dat geval zou dit niet verplicht kunnen worden, sowieso niet omdat meeste mensen überhaupt niet aan die smartphone eisen voldoen.
RoL0 @Mizgala281 november 2017 18:27
Dan kun je niet met DigID inloggen. Dit is nu met Studielink ook al het geval voor buitenlandse studenten. Deze studenten kunnen via een andere method inloggen.
Armin @Mizgala282 november 2017 00:25
Maar stel dat dit verplicht wordt en je bent een buitenlander die in NL vast woont maar geen NL nationaliteit heeft, dan zou een buitenlandse EU document zoals ID of paspoort toch ook moeten voldoen?

Rijbewijs en/of IND kaart wellicht?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq