Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Logius blokkeert 203 DigiD-accounts na MijnOverheid-phishingactie

Logius heeft maandag 203 DigiD-accounts geblokkeerd, nadat was vastgesteld dat de eigenaren op een link in een phishingmail hadden geklikt en hun MijnOverheid-gegevens op een kwaadaardige website hadden ingevuld.

Logius meldt dat de phishingmails op 22 juni zijn verstuurd en dat mensen in 203 gevallen hun inloggegevens hebben ingevuld. Staatssecretaris Raymond Knops schrijft in een Kamerbrief dat er op zaterdag 1040 meldingen van burgers binnenkwamen over verdachte mails, waarna de overheid twee kwaadaardige websites offline heeft gehaald. Maandag zijn toen de betreffende accounts geblokkeerd. Op dinsdag vond aanvullend onderzoek plaats.

In de Kamerbrief staat: "Wanneer de betreffende burgers inlogden op de valse websites, werden de ingevoerde gegevens direct middels een script gebruikt om via DigiD in te loggen bij MijnOverheid. Na inloggen via een malafide script werd MijnOverheid doorzocht. In drie gevallen werd met succes 2-factorauthenticatie toegepast. Aannemelijk hierbij is dat persoonsgegevens werden verzameld." Hoe dat in zijn werk ging, vermeldt de brief niet. Een passage stelt alleen dat 'de website de hand legde op authenticatiegegevens, inclusief sms van de getroffen burgers'.

Er is een melding gemaakt bij de Autoriteit Persoonsgegevens en aangifte gedaan bij de politie. Logius schrijft dat ook het UWV, de Belastingdienst en de SVB op de hoogte zijn gebracht, omdat de mogelijkheid bestond met de gegevens uitkeringen en toeslagen aan te vragen. De organisatie benadrukt dat er vanuit MijnOverheid nooit e-mails met links worden verstuurd en dat de overheid 'continue voorlichtingsacties' voert.

Staatssecretaris Knops schrijft in de Kamerbrief verder dat dit soort acties nooit volledig zijn uit te sluiten. Er wordt onderzocht 'welke aanvullende acties nog meer mogelijk zijn om phishing verder te bemoeilijken, de veiligheid van gegevens te garanderen en tegelijkertijd de beschikbaarheid van digitale overheidsdienstverlening te waarborgen'. Zo zou er op lange termijn naar technische oplossingen worden gezocht.

Door Sander van Voorst

Nieuwsredacteur

29-06-2018 • 20:27

133 Linkedin Google+

Reacties (133)

Wijzig sortering
In 3 gevallen werd succesvol 2-factor.....
Eigenlijk vreemd dat 2-factor zo weinig wordt toegepast. Ondanks dat het zo bewezen veilig is.
Het infasering van 2-factor voor DigiD is een beetje een hoofdpijndossier geworden. Het is al een tijd beschikbaar als opt-in, bijvoorbeeld via de app, maar men schijnt het 'irritant' te vinden.
Vind de app idd niet erg intutief. Ben er altijd mee aan het worstelen of is dat nou op die website van zilveren kruis.

De oude 2fa dat je een vijfcijfers code krijgt als sms werkt veel makkelijker. Die wil ik wel aanzetten al die ik dat liever niet bij elke site want dan kunnen die bedrijven me ook anoniem voor allerlei onzin bellen. Erg irritant als je tig keer gebeld als je bezig bent of het niet hoort onderweg wordt met tussenpozen van enkele dagen en niet weet wie het is. Dus mijn nummer hou ik graag geheim
Het probleem is dat SMS eigenlijk niet veilig genoeg is voor 2 factor authenticatie: de response code wordt unencrypted naar je gezonden, en het schijnt in sommige landen eenvoudig te zijn om een nieuwe SIM-kaart voor een bestaand nummer te krijgen met wat social engineering.
Zal best, maar blijkbaar is de 2fa-methode van DigiD ook redelijk makkelijk te kraken.

We weten natuurlijk niet precies hoe de phishers te werk zijn gegaan, maar er van uit gaande dat ze alleen het emailadres en niet het telefoonnummer van hun slachtoffers hebben, vermoed ik dat 2fa met sms in dit geval veiliger zou zijn geweest.
Als ik dit artikel goed lees is er door de gebruiker een 2FA ingevoerd op de tussenliggende site, welke door het script is ingevoerd op de echte site voordat deze verlopen was. Vandaar dat ik het een man-in-the-middle aanval noem. Helaas kan 2FA een man-in-the-middle aanval alleen moeilijker maken door het tijdswindow te reduceren, maar niet voorkomen.
Er bestaat nooit meer dan 1 valide simkaart per telefoon nummer. Op het moment dat iemand dit doet weet je dat onmiddelijk omdat je niet bereikbaar meer bent. Je hebt dan zat tijd om actie te ondernemen
Duo simkaart bestaat gewoon en dan heb je twee valide simkaarten op 1 nummer. Wat niet kan is beide gelijktijdig actief hebben maar twee simkaarten kan.
Maar dat moet wel bij je provider zijn, en niet een sim van een andere provider...
Ik kan mijn beide SIMS anders gewoon gelijktijdig gebruiken. Welliswaar een data SIM (iPad), maar SMSjes ontvang ik ook gewoon op mijn iPad. Eveneens als telefoontjes. Ik weet dat dit een doorschakeling is via de iPhone/iCloud, maar dat neemt niet weg dat het op zo’n manier ook perfect bruikbaar is voor dergelijke aanvallen.
Dat zijn dat niet sims met een identiek nummer. Als dat wel het geval zou zijn zouden je iphone and ipad continue 'vechten' om verbinding met het netwerk, wat je accu's leeg zou trekken. In dit geval gaat het zeer waarschijnlijk om jou eigen nummer in je telefoon en een 097 nummer voor je ipad. De provider koppelt die achter de schermen wel aan elkaar. Doorschakeling mogelijkheden van Apple staan hier verder compleet los van.
Zo’n vermoeden had ik al wel. Want de iPad geeft ook geen “telefoonnummer” aan bij het Info scherm. Ik wist niet dat deze in werkelijkheid dan een 097 nummer had. Wel gaaf om te weten. :)
Ik ben bang dat ik dat niet met je eens ben: het duurt even voordat ik door heb dat mijn telefoon niet werkt, het duurt wat langer voor ik door heb dat het mijn SIM-kaart is, nog weer wat langer voordat ik mijn provider te pakken heb. De rest van de aanval kun je al prepareren voordat je de SIM-kaart verwisselt.
Als je als provider een nieuwe SIM-kaart naar een klant opstuurt, ga ik er van uit dat de oude eerst deactiveerd wordt. Als ze nou ook nog een SMS zouden sturen voordat dat gebeurt, zou dat zeker kunnen helpen.
[q]Die wil ik wel aanzetten al die ik dat liever niet bij elke site want dan kunnen die bedrijven me ook anoniem voor allerlei onzin bellen.[\]

Het probleem is daarmee dan dus weer voorlichting. De website die digid inlog heeft krijgt nooit toegang tot de ingevulde gegevens. De inlog portal is en gescheiden stuk code van Logius en zorgt ervoor dat authenticatie op het DigID backend gebeurt en de website alleen een goedkeuring krijgt. De website gebruikt op haar beurt alleen een library waarvan ze aangeven waar het venster moet staan en krijgt uiteindelijk een sessie terug.

De website komt dus nooit aan de ingevulde gegevens en het mag uberhaupt niet eens daarvoor gebruikt worden.
Goed punt dat wist ik niet overigs zou ik liever iets als Googles authenticator gebruiken dan heb ik n app voor alles.
En die werkt vooral erg gebruiksvriendelijk.
Die DigiD app moet je eerst weer via een brief een code krijgen.
Na paar dagen pas een brief ik had al eerder een vijf cijfer code gemaakt en die was volgens de app fout. Wat volgens mij klopte maar soit. Kon ik weer nieuwe brief laten sturen weer wachten.
Ok daarna ging het wel goed. Maar ik was een dikke week verder voor ik mijn betaalde eigen bijdrage kon opvragen.
Maar zet daar authenticator tegenover en je merkt wel een heel verschil in gemak.
Met Google Authenticator kan je geen back-up maken. Dus als je je telefoon kwijt bent, of hij kapot is, dan kan het soms moelijk zijn om weer toegang te krijgen tot jouw accounts.

Kies dan een authenticator waar je een back-up van kan maken. Ja, dat is potentieel iets onveiliger, want de back-up gaat naar de cloud, maar als je de cloud beveiligd hebt met 2FA, is het extra risico minimaal.
Sterker nog als je een app als AndOTP gebruikt kan je een lokale en encrypted backup maken. Maar ik gok dat dit dan als te lastig gezien wordt voor de gemiddelde gebruiker, waar ik overigens best een punt in zie.

Feit blijft dat de DigiD app best omslachtig en irritant is voor veel mensen en dat er geen rock solid oplossing is.
Op het moment dat je de Google authenticator app ergens aanmeldt, krijg je een QR code. Maak een backup van die code en je kunt extra en nieuwe apparaten gebruiken voor 2FA codes. Ideaal :)
Maar waarom moet dat via Google lopen?
Google die de verificatie van Digid uitvoerd????

Klinkt als Facebook die games authenticeert.
What can go wrong....
Nee, dat loopt niet via Google. Google heeft een applicatie, Google Authenticator, waarmee je accounts kan beveiligen met 2FA.

Hoe het precies werkt weet ik niet, maar het loopt niet via Google.
Voor de QR code wordt de volgende URL benaderd:
"https://www.google.com/chart?chs=200x200&"
"chld=M|0&cht=qr&chl=";


Verder is het OTP. Het zou google inderdaad niet nodig moeten hebben... Zie ook:
https://en.wikipedia.org/wiki/Google_Authenticator

Dit is mogelijk een beter alternatief:
https://en.wikipedia.org/wiki/FreeOTP

omdat Google Authenticator source code nu niet meer gebruikt wordt en vervangen is door een closed source variant.

[Reactie gewijzigd door tweaknico op 2 juli 2018 19:00]

Dit loopt niet via Google. Er is een open standaard afgesproken voor OTP's, en Google heeft een app waarmee dit kan. Zo zijn er tientallen apps die dit kunnen.
True. Het probleem is alleen dat DigID wordt gebruikt voor identificatie en daarna autorisatie. DigID wordt gebruikt als digitale tussenstop voor identificatie van een persoon terwijl allerlei andere accounts daadwerkelijk de identiteit zijn.

Daar zit het grote verschil waarom het zo onhandig moet. De enige mogelijkheid om nu een BSN nummer aan een digitaal accountje te hangen waarbij die koppeling ook gemaakt kan worden is een brief opsturen naar het adres wat bij de gemeente staat ingeschreven voor dat bsn nummer. Daarom is dat nodig.
Wat is er niet intutief aan een QR-code scannen en daarna een pincode intypen ?
Ik heb het al een tijdje en het werkt als een zonnetje :)
Zo'n app is ook bloedirritant, Kan niet eens zonder PC worden geactiveerd. Moet met PC en mobiel omdat er zo nodig een hippe QR code moet worden gescand.
Nee, het moet met pc en mobiel omdat het 2fa (2 factor authenticatie) is.
Als alles op n en het zelfde apparaat gebeurt, voegt die tweede factor erg weinig toe.
Nu moet een kwaadaardige aanvaller twee apparaten binnendringen ipv slechts n.
Ik vind in combinatie met de app de 2fa van digid eigenlijk heerlijk werken. Afgelopen twee weken moest ik heel veel van digid gebruik maken op een kleine 15 sites en ben zeer te spreken over het gemak.

Het enige wat mij dwars zit, is dat er 2 sites waren die geen 2fa afdwingen, echter in digid site dat even aangepast.
Wat bedoel je met afdwingen? Kennelijk hadden die sites dus met minder toegangsrechten afdoende (zonder sms code kon je namelijk vroeger alleen naam en leeftijd opvragen ofzo) gegevens om zijn werk te kunnen doen.

Dan dwingen ze het niet af, want ze weten niet van te voren dat jij het wel zo hebt opgegeven
Je kan 2fa wel instellen, maar dan moet je het ook even "verplicht" maken in de digid site.
Ja maar dat is dus niet hoe de digid library werkt. Degene die de lib gebruikt geeft aan welke info hij nodig heeft (en dit wordt ook geverifieerd) en waar het digetje getoond mag worden. Vervolgens zoekt de achterkant uit welke rechten hier voor nodig zijn en welke factoren daarvoor gebruikt worden (1 of 2fa dus). Zolang er nog een tussenfase is weet het systeem pas tijdens het inloggen wat jouw voorkeur is. Dus moet hij ze allemaal tonen.
Klopt, hij toont ze, maar op het moment van aanmelden wordt de verkeerde keuze al geweigerd.
Dat is het ook. Dat hele digid is irritant. Met dezelfde "account" tig keer moeten inloggen als je eens in een keer bij meerdere diensten wat wilt regelen, constant wachten op een sms die soms nooit komt en geen generieke app kunnen gebruiken voor je codes.
constant wachten op een sms die soms nooit komt en geen generieke app kunnen gebruiken voor je codes.
Alleen die generieke app voor je codes is er dus wel (verrassing: de DigiD-app), heb je ook dat hele gedoe met sms niet. Bij 't inloggen op een website van de overheid is 't echt supersimpel. Gebruikersnaam opgeven, app opstarten, op scherm richten en in de app je eigen 5-cijferige wachtwoord intoetsen. Voila, ingelogd. Weldegelijk supersimpel.
Ik vind het echt een rot app. Was bij mij veel minder betrouwbaar dan de sms'jes.

Ik snap niet dat ze niet gewoon gebruik maken van soft tokens zoals je bij bijna ieder teddy bedrijf kan en het in Google authenticator (of een andere) aap kunt gebruiken.
Nog geen issues mee gehad, laatste twee weken, met vandaag meegerekend een kleine 50 keer ingelogged met de app en 100% succes, dus 0 faal. En om nu te zeggen dat ik een high end telefoon heb, nee.
Bij mij op verschillende platformen was het niet bruikbaar. Als ik de reviews in de appstore lees, hebben meer mensen er last van.
Ja, maar hoe veel meer, is je toestel geroot, zijn er andere condities die de werking verstoren zoals overlays.
Ik maak geen gebruik van jailbreak of root. Ik krijg de indruk dat de app naar slecht of helemaal niet getest is...
Vandaag weer 2 keer zonder problemen gebruikt. Dus moet het iets zijn wat het bij jou niet werkend maakt. Vandaag gebruikt bij een verzekeraar en de belastingdienst.
Was bij mij veel minder betrouwbaar dan de sms'jes.
Waarom was die minder betrouwbaar dan de smsjes? Er kan volgens mij vrij weinig mee mis gaan.
Ik snap niet dat ze niet gewoon gebruik maken van soft tokens zoals je bij bijna ieder teddy bedrijf kan en het in Google authenticator (of een andere) aap kunt gebruiken.
Omdat hier best grote nadelen aan zitten, die je met de huidige oplossing niet hebt. Zou het kunnen ja, maar het is minder veilig.
Het werkte gewoon niet. Ik kon er niet mee inloggen. Het is me enkele keren gelukt, maar meestal werkte het niet. Inlog pogingen kwamen niet aan, of veel te laat. Opnieuw installeren werkte ook niet. Ik heb 't op zowel iOS als Android geprobeerd.


Welke nadelen zitten er volgens jou aan deze standaard? En hoe is dat minder veilig?
Welke nadelen zitten er volgens jou aan deze standaard? En hoe is dat minder veilig?
Je kan gebruik maken van 3de partij applicaties, inclusief applicaties die backups op de gegevens in de cloud bewaren. Niet alle applicaties zijn te beschermen met een pincode. Er kunnen backups gemaakt worden, welke ook in verkeerde handen kunnen vallen.
En het is een simpele code die een x periode geldig is, dus eventueel op een andere site te misbruiken.
Er is geen feedback mogelijkheid van de autorisatie voor welke dienst je deze aanmelding is.

belangrijke eigenschappen voor zo iets als DigiD.

Google authenticator vind ik persoonlijk een aardige methode. Ik gebruik hem ook voor diverse authenticatie methodes. Maar voor een DigiD is die niet geschikt.
De App is niet echt UX-vriendelijk. Het doet zn werk wel echter.
ik vind die app juist geweldig werken om in te loggen
2-factor uitsluitend via telefoon is verschrikkelijk. Ik ga regelmatig van werelddeel naar werelddeel, met iedere keer een andere sim-kaart en moet iedere keer vlak voor vertrek al mijn accounts op een ander telefoonnummer overzetten om berhaupt nog in te kunnen loggen?
Dan neem je toch gewoon de grootste provider, Vodafone? Alle business-accounts op de zaak gebruiken het. Of wil je geen roaming charges betalen? Is maar een smsje.
D'r is geen Vodafone in Timbuktu en Singapore. Als je 30 verschillende accounts hebt (ik chargeer een beetje maar het gaat ook om het principe) moet ik voor elke vlucht de nummers omzetten, ls ik al een sim heb, of anders 30 x roaming costs betalen.
Goed dat een aantal nog email accepteren voor de tfa.
Ik heb het even nagekeken maar de roaming charges voor Vodafone in Singapore zijn inderdaad niet mals. 56 cent per sms om een indicatie te geven. Relatief goedkoop voor DigiD, duur anderszins.
Ik heb het even nagekeken maar de roaming charges voor Vodafone in Singapore zijn inderdaad niet mals. 56 cent per sms om een indicatie te geven. Relatief goedkoop voor DigiD, duur anderszins.
Ik weet niet waar je dat gevonden hebt, maar als ik op hun site kijk *) kom ik uit op https://www.vodafone.nl/s...voorwaarden.shtml#prepaid waar een PDFje staat met de tarieven. Ik ben het met je eens dat de opmaak onleesbaar is (waarom wordt "ontvangen" uitgesplitst op waar je naartoe sms't!?), maar daar staat toch echt dat het ontvangen van SMS overal gratis is.

Wel moet je even opletten in China, als je het document vlug even doorleest dan zie je ze bij "uitzonderingen" (lees: "afzichtelijk duur") staan, maar daarnaast staan ze in de voetnoot ook nog eens vermeldt... onder "Landen waar je geen gebruik kan maken van onze mobiele diensten"...).

*) Is het een overtreding van de AVG als je cookiemelding knoppen "Ja, ik wil een goede website" en "Nee, liever niet" gebruikt? Telt het dan nog als "vrijelijk" toestemming geven?
De gang van zaken bij @ajolla is meer uitzondering dan regel. En zoals je zelf al suggereerde kan hij/zij prima een prepaid nummertje hebben voor dit soort dingen
Daar zou je dus een dual Sim voor moeten gebruiken. Lijkt me toch ook wel fijn dat je naaste omgeving je op 1 nummer kan bereiken?
Daar hebben we Skype etc. voor.
Inderdaad, met $20 Skype credit geraak je een pak verder dan met een mobiel abonnement.
Mijn 'naaste omgeving' heeft k Skype; dat maakt het opeens kosteloos. :P
2-factor uitsluitend via telefoon is verschrikkelijk.
Best goed dat je met een dual sim of een tweede phone voor een paar tientjes iets verschrikkelijks kan verhelpen! Meestal zijn 'verschrikkelijke' dingen toch wat moeizamer.

Wil je een oude iphone van me overnemen voor 35 euro? Blijtt een week op standby als je alleen maar SMS hoeft te ontvangen.
En de roaming kosten?
In jouw situatie is het verschrikkelijk. Maar voor de overige miljoenen Nederlanders voldoet het.
2-factor uitsluitend via telefoon is verschrikkelijk [..]
... in een extreem zeldzaam scenario. Laten we eerlijk zijn, voor hoeveel mensen geldt dit nou helemaal? Daarnaast zijn er meerdere oplossingen, bijvoorbeeld dual-sim of (als jouw favoriete toestel niet in zo'n uitvoering beschikbaar is) een prepaid sim-kaart in een derdehands dumbphone. Als je elke paar maanden (??) intercontinentaal vliegt, dan kunnen die twee tientjes (plus een paar euro per jaar om je prepaid geldig te houden) het probleem ook niet zijn. Zeker als je daarmee een "verschrikkelijke" frustratie volledig op kunt lossen, zonder in te leveren op veiligheid.
Je snapt het niet helemaal. Het zijn de roaming kosten die het duur maken, en het ongemak van iedere keer voor het vliegen in al je accounts een nieuw telefoonnummer ingeven (als je berhaupt al weet) om die kosten te voorkomen.
Het zijn de roaming kosten die het duur maken
Vandaar dat ik zeg dual sim of een tweede telefoon. Als ontvangen van sms gratis is en je verder niets met die tweede sim / tweede telefoon doet (geen sms versturen, niet bellen, niet gebeld worden (omdat niemand dat nummer kent) en geen dataverkeer), dan heb je helemaal geen roamingkosten. De tarieven kunnen zo absurd zijn als de provider ze wil maken, maar daar heb je in deze specifieke situatie geen last van.
Je vergeet het ongemak van het overzetten van al je tfa accounts naar je nieuwe telefoonnummer, ls dat al bekend is, voor iedere reis.
Het is f veel kosten, f veel werk.
Jouw oplossing reduceert de kosten, maar genereert werk.
En als je nog geen SIM kaart hebt voor je nieuwe bestemming zit je sowieso op die kosten. Snap je?
Nee nee, je begrijpt het verkeerd, de tweede sim is een Nederlandse. Dus in plaats van alles elke keer naar een lokale sim over te zetten, zet je alles n keer over naar een prepaid sim die je speciaal voor dat doel gebruikt en blijft gebruiken, elke reis opnieuw. Het ontvangen van sms op een Nederlandse sim is gratis, waar in de wereld je ook bent (even er vanuit gaande dat je berhaupt bereik hebt). Dus dan heb je n keer werk om het op te zetten (maar die hoeveelheid werk is hetzelfde als die je nu voor elke reis hebt, dus na n reis heb je dat er al uit.

Dus (vanaf de tweede reis met deze oplossing) heb je geen werk en slechts zeer bescheiden kosten (hooguit elk jaar tien euro beltegoed ophogen om de prepaid sim geldig te houden; mogelijk minder als je het beltegoed (en daarmee, het nummer) op een andere manier geldig houdt). Dan heb je geen hoge kosten, niet veel werk en je hoeft niet vooruit te plannen (je wil waarschijnlijk nog steeds een lokale sim voor normaal gebruik van je telefoon, maar die hoef je niet van tevoren aan te schaffen; je hoeft het nummer niet van tevoren te weten). Voor zover ik in kan schatten is het probleem daarmee helemaal opgelost.
Het ontvangen van SMS is overal ter wereld gratis?!?
Waarom wist ik dat nog niet? |:(
In drie gevallen werd met succes 2-factorauthenticatie toegepast.

Dus hierbij lees ik dat er bij de 203 accounts die geblokkeerd zijn en er dus 'in zijn getrapt', ook nog eens drie gevallen zijn waarbij het zelfs gelukt is via de 2-factorauth. in te loggen... Wil niet zeggen dat dit weinig wordt toegepast en bovenstaande stuk bewijst juist dat het dus ook al minder veilig is...

Of lees ik dat nu verkeerd?

edit:
Het zou wel weinig zijn inderdaad als er van die 203 accounts daadwerkelijk maar 3 gevallen 2FA gebruiken. Echter weten ze van deze 203 gevallen dat het 'gelukt' is, het is onbekend hoeveel er niet gelukt zijn, door 2FA.

[Reactie gewijzigd door ShAd0w op 29 juni 2018 21:06]

Als ik de onderliggende bron bekijk lees ik het als: er zijn 3 gevallen geweest waarbij er ondanks de 2-factor authenticatie toch is ingelogd. Ik ga er van uit dat ook de juiste response door het script is doorgesluisd. Dan zou dit dus meer man-in-the-middle attack zijn.

edit: aanpassing verwoording

edit2: ik denk dat het wel redelijk uit kan: de 2FA is opt-in, en ik denk dat de overlap tussen mensen die kiezen voor extra beveiliging en die "in phising trappen" vrij klein is

[Reactie gewijzigd door 92458-37017-EB op 29 juni 2018 21:21]

Maar hadden de 3 accounts geforceerde 2-stap authenticatie? Je hebt namelijk helemaal geen 2-staps(SMS/DigiD app) authenticatie nodig bij MijnOverheid als je dit niet eerst aanzet. Ik snap werkelijk niet waarom het een opt-in is. Alleen bij het DUO is 2-stap geforceerd.

[Reactie gewijzigd door NotCYF op 29 juni 2018 22:23]

Ik werk zelf voor een overheidsinstantie, en ik heb mij laten vertellen door collega's dat het forceren van 2-staps authenticatie in de planning staat, maar men aan het twisten is over het exacte moment. De reden het gevoelig ligt is dat men de burger "verplicht" een smartphone te bezitten, wat vanuit een overheidsperspectief lastig is. Dit is allemaal waterkoelerpraat, dus er moet wel een gepast korreltje zout bij.

edit: Ik had geen smartphone moeten zeggen, maar 'apparaat dat in staat is de DigiD app te installeren'. Mijn fout.

[Reactie gewijzigd door 92458-37017-EB op 29 juni 2018 22:37]

Mijn broertje heeft geen telefoonnummer en geen telefoon, maar wel een Wifi tablet, en die heeft gewoon een DigiD app code in de mail binnengekregen. Je hebt dus helemaal geen smartphone nodig voor 2-staps authenticatie.
kan ook gewoon met een bekabelde telefoon op een landlijn, dan krijg je de code dus door via spraak
Sms voor de app-lozen dan? Of wen spraak gestuurde boodschap per telefoon.
De reden het gevoelig ligt is dat men de burger "verplicht" een smartphone te bezitten, wat vanuit een overheidsperspectief lastig is. Dit is allemaal waterkoelerpraat, dus er moet wel een gepast korreltje zout bij.

edit: Ik had geen smartphone moeten zeggen, maar 'apparaat dat in staat is de DigiD app te installeren'. Mijn fout.
De overheid kan ook TOTP implementeren in plaats van het wiel weer opnieuw uit te vinden. Geen verplichting voor een smartphone. Het kan ook op andere apparaten werken.
Ik had geen smartphone moeten zeggen, maar 'apparaat dat in staat is de DigiD app te installeren'.
Telt een sms-code ("Ik wil inloggen met een controle via sms") niet als 2FA dan? Een password en een sms-code (of, strikt genomen, password en toegang tot het gekoppelde telefoonnummer) zijn toch ook twee factoren? Mensen verplichten om een telefoon te bezitten is veel minder ingrijpend dan mensen verplichten een smartphone of tablet te bezitten (of, NotCYF's reactie lezende, is het eigenlijk nog beter: telefoon of app vereisen). Ik werk zelf niet voor de overheid, dus heb er geen goed zicht op of dat wel acceptabel is, of toch nog steeds te ingrijpend, maar dacht dat het wel goed was om het even te vermelden.
Wat ik nog vreemder vind: als je 2FA hebt ingeschakeld, kun je dat alsnog omzeilen door gewoon te kiezen voor alleen inloggen met wachtwoord. Een aanvaller kan dat ook gewoon doen.
Je kunt ook instellen dat je altijd wilt dat 2FA wordt gebruikt, ook als dat niet verplicht is. Dan wordt het afgedwongen bij elke inlogpoging.
Voor de volledigheid, als je dat aanzet, dan kun je bij het inloggen nog steeds de optie selecteren om met alleen een wachtwoord in te loggen (logisch, want op het moment dat de inlogpagina getoond wordt weet de site nog niet wie er gaat proberen in te loggen en kan die instelling nog niet geladen worden). Als je het correcte wachtwoord invult zul je echter op een tweede inlogpagina uitkomen met een melding dat je ook nog een sms-code in moet vullen (ik vermoed dat het op dezelfde manier werkt voor iemand die de app als tweede factor gebruikt, maar dat heb ik niet getest).

Wat mij betreft is dit correct gemplementeerd (strikt genomen zou je via Ajax op kunnen vragen of er voor de zojuist ingevulde naam verplichte 2FA geldt, maar dan lek je informatie). Tegelijkertijd kan ik me echter voorstellen dat het voor gebruikers verwarrend is en de verkeerde indruk geeft.
Als het goede is kun je dan bepaalde diensten niet meer gebruiken.
Ik meen dat het zo werkt dat het de uiteindelijke diensten zijn die bepalen of 2FA verplicht is.
Zonder 2FA kun je nog steeds op DigiD inloggen om andere diensten te gebruiken.
Het aantal diensten dat 2FA verplicht heeft is echter nogal klein, als gewoon burger kom je daar niet zo snel mee in aanraking.
Het probleem met 2FA voor publieke diensten is dat je iedereen (die dat wil) een 2e factor moet geven. Je mag er niet van uit gaan dat iedereen een mobiele telefoon heeft.
Je moet het wel afdwingen, dat kan in de digid site, waar je beveiligingsniveau omhoog moet zetten.
Ook bij het zilveren kruis is 2 stap verplicht voor een aantal zaken. Gebruik je 1 stap krijg je minder functionaliteit op de site.
De implementatie van 2FA op mijnoverheid is zo mank als maar kan. In het inlogscherm kun je nl. kiezen of je 2FA wel of niet wilt gebruiken. Daarmee versla je het hele doel van 2FA.

Ik ben van mening dat je 2FA simpelweg verplicht moet stellen voor inloggen op alle overheidsdiensten. Nu kun je als kwaadwillende met alleen een username en password bij bv belastingdienst inloggen en heel veel info achterhalen zoals:

Persoonsgegevens, incl. BSN nummer
Inkomsten
Hypotheekschuld
Bankrekeningnummer

Bij andere instanties kun je ook nog andere informatie achterhalen (b.v. uitkeringen bij UVW).
Als je in het inlogscherm kiest voor geen 2FA terwijl je dat op je account wel hebt ingesteld, dan wordt 2FA wel afgedwongen.
Heb even moeten zoeken maar je hebt helemaal gelijk.

Wel raar dat die instelling niet gewoon direct onder "instellingen" staat maar dat je daarvoor door twee andere schermen moet navigeren alvorens je dit kunt instellen.
Het grappige is dat je vaak mag kiezen bij inloggen of je 2-factor of 1-factor wilt gebruiken bij veel overheids instanties. Ik heb me daar al tijden over verbaast en nu gebeurd er een simpele sociale hack en de rapen zijn gaar. Zo typisch... :P

edit: spelfoutjes

[Reactie gewijzigd door mikesmit op 29 juni 2018 21:46]

Het grappige is dat je vaak mag kiezen bij inloggen of je 2-factor of 1-factor wilt gebruiken bij veel overheids instanties.
In plaats van 2-factor verplichten. Bij verplichting moet men wel duidelijk maken hoe de onwetenden de tweede factor thuis krijgen. Per brief, per email, per gesproken bericht. Sms werkt niet als je geen mobiel hebt. Ja, hij kan worden voorgelezen maar vertellen ze dat ook ?

MijnOverheid.. ze mailen me nooit. De eerste keer zou ik het meteen afdoen als spam en/of phishing.
Dat mailen van mijn overheid is mijn grote irritatiepunt. De kleinste onbelangrijke dingen vereisen ze een login voor. Ze mogen in mijn ogen best onderscheid maken tussen belangrijke en onbelangrijke berichtgeving

En ja, van mij mogen ze 2-factor authenticatie verplichten. Zij het via sms, app of gesproken bericht. Veel te veel mensen zijn digibeet en die moeten in bescherming worden genomen
je kan alle mails van mijn overheid meteen automatische laten verwijderen door je mail programma, moet je wel natuurlijk eens per 2 weken even inloggen om te controleren of je mail heb ontvangen. je moet er naar kijken al een een extra service, je hoeft er dus geen gebruik van te maken.
Mijn Overheid stuurt weldegelijk een email op het moment dat er een nieuw bericht in je inbox zit.
Al staat er nooit een link in, het is puur een notificate, net zoals de meeste banken het doen. Het is niet echt rocket science.
Dat klopt, maar dit is puur ter informatie. Er zit geen link in zoals ze zeggen.
De organisatie benadrukt dat er vanuit MijnOverheid nooit e-mails met links worden verstuurd en dat de overheid 'continue voorlichtingsacties' voert.
Is dat niet een instelling die je moet activeren?
Recent als in meerdere jaren geleden? Ik heb dat ding al jaren actief en vanaf dag 1 komt er keurig een e-mail als er een nieuw bericht klaar staat. Uit eigen ervaring zou ik bijna zeggen dat het een broodje aap is of dat er meer aan de hand is.
Waarschijnlijk zijn de mails gewoon genegeerd/niet gelezen door de gebruikers. Uit mijn vroegere ervaring van een support afdeling weet ik wel dat veel mensen amper lezen, al zet je dingen nog zo duidelijk in een mail.

Als je bijvoorbeeld als website een mail stuurt met instructie hoe men een wachtwoord kan veranderen inclusief grote rode knop met link, dan krijg je de dag erna nog 100 support vragen van mensen die vragen hoe ze hun wachtwoord kunnen veranderen.
Waarschijnlijk zijn de mails gewoon genegeerd/niet gelezen door de gebruikers. Uit mijn vroegere ervaring van een support afdeling weet ik wel dat veel mensen amper lezen, al zet je dingen nog zo duidelijk in een mail.
Je kunt het ze niet kwalijk nemen, gezien de hoeveelheid onzin die verstuurd wordt en de onzekerheid of de afzender wel is wie het lijkt. Ik neem helemaal niets meer serieus wat via e-mail binnenkomt, tenzij ik het verwacht (bv een registratie bij een website).
Ik heb mails van MijnOverheid uit begin 2016, dus dat is zeker geen recente wijziging.
MijnOverheid mailde altijd al. Alleen het is pas recent verplicht dat je een e-mail moet invullen. Als iemand nooit mail kreeg was dat omdat ze geen geverifieerde en of valide mail hadden ingevuld.
nog steeds spelfoutjes: vebaasd en nu gebeurt 8-)
Ik zie het nu ook ja. Jammer dan :9
Als het werkt... Van Paypal bijv krijg ik gewoon helemaal geen sms meer binnen voor 2FA en heb ik het noodgedwongen uit moeten zetten.
Of het duurt kwartier of langer voordat sms aankomt. Meeste gebruikers hebben dan alweer een nieuwe poging gedaan en dan moet er dus weer een nieuwe sms komen. n grote chaos bij paypal wat dat betreft.
Nou, in dit geval kun je dus zien dat 2-factor helemaal niet zo veilig is.. Maar wat mij betreft mag er vaker 2-factor middels oa google authenticator (ipv eigen domme zooi te bedenken).
Sorry dat ik het zeg, maar dit is pure onzin. De toegevoegde waarde van 2FA is enorm, en maakt het uitvoeren van een dergelijke aanval veel complexer.
Ik ontken dat ook niet, ik geef alleen maar aan dat het tegenwoordig met fishing dus zover gaat dat zelfs 2-factor niet meer veilig is voor dit soort praktijken.. Tuurlijk is 2-factor altijd beter dan maar 1 simpele login. en 3-factor is dan NOG weer beter en 4-factor en en en en en….
Ik ontken dat ook niet, ik geef alleen maar aan dat het tegenwoordig met fishing dus zover gaat dat zelfs 2-factor niet meer veilig is voor dit soort praktijken.. Tuurlijk is 2-factor altijd beter dan maar 1 simpele login. en 3-factor is dan NOG weer beter en 4-factor en en en en en….
Ah, hier is duidelijk een techneut aan het woord. Technische spielerei boven bruikbaarheid.
Mits goed uitgevoerd balanceert 2FA op het randje van bruikbaarheid. Alles daarboven (of slecht uitgevoerde 2FA) levert meer problemen op dan het oplost.

Elke techneut/ programmeur/ ontwikkelaar die zijn mond vol heeft over 2FA moet zijn ogen uit zijn kop schamen dat hij/ zij niet in staat is een gebruiksvriendelijke beveiliging te bedenken.
Wat is er niet gebruiksvriendelijk aan? Wat vindt jij dan hoe je dit soort beveiliging nog gebruiksvriendelijker kunt maken? Beveiliging is een noodzaak, dus is gebruiksvriendelijkheid een bijzaak.
Om te beginnen werkt elke 2FA anders, waarvoor je verschillende apps nodig hebt altijd een smartphone bij je moet hebben.
Beveiliging is een noodzaak, dus is gebruiksvriendelijkheid een bijzaak.
En daar gaat het dus mis, door gebruiksvriendelijkheid als bijzaak te beschouwen. Natuurlijk is beveiliging noodzaak, maar gebruiksvriendelijkheid is nit, nit, nit bijzaak!!!!! Het is op z'n minst even belangrijk als beveiliging (wat weer op z'n minst even belangrijk is als gebruiksvriendelijkheid is, wat ze op gelijke hoogte brengt). Wanneer je beveiliging gebruiksonvriendelijk maakt, zie je dat mensen het proberen te omzeilen of dat het op andere punten fout gaat. Dat is geen kwestie van opvoeden tot het beter gaat, maar een kwestie van een fundamentele menselijke eigenschap, waarmee bij de ontwikkeling rekening gehouden moet worden.

Hoe het wel moet? Ik weet het niet, ik ben geen ontwikkelaar. Ik ben 'slechts' gebruiker die keer op keer constateert dat ontwikkelaars in hun eigen bubbel leven en denken dat wanneer de rest van de wereld zich maar aan hen aanpast alles een stuk beter zou gaan.
Ontwikkelaars zijn ook maar mensen, en die denken echt wel na over watvolgens hun gebruikersvriendelijk is, maar zoveel mensen, zoveel wensen, en wat jij misschien bescjouwd als gebruikersvriendelijk hoeft een ander weer niet te vinden. Usability is all in the eye of the beholder...
2FA is gewoon geen allesomvattende oplossing voor het probleem van identiteitsverificatie, maar dat wil niet zeggen dat het daarom niet meer de moeite waard is.

edit: Anders gezegd: het hebben van sloten op mijn voordeur zorgt er niet voor dat er nooit meer ingebroken wordt, en sleutels zijn eigenlijk best een hoop gekloot als je er over nadenkt. Toch heb ik wel gekozen voor een voordeur met een slot er op.

[Reactie gewijzigd door 92458-37017-EB op 29 juni 2018 23:23]

Dat is alleen in praktische zin bijna niet uitvoerbaar.

Factor 1: iets dat je weet (gebruikersnaam en wachtwoord)
Factor 2: iets dat je hebt (vertrouwd apparaat als een simkaart of app)
Factor 3: ...

In z'n algemeen is dat 'iets dat je bent' (vingerafdruk/irisscan enzovoorts) maar hoe controleer je dat los van de tweede factor. Men heeft geen zin om continu en soort 'door de overheid goedgekeurd apparaatje' mee te sjouwen.

Factor 4? Een tweede persoon die bevestigd dat jij jij bent na ontvangst ook zelf factor 1 2 (en 3) te doorlopen?

Google authenticator is overigens met een MITM even onveilig als elke andere 2fa-laag.

Edit: taalfoutje

[Reactie gewijzigd door lenwar op 29 juni 2018 23:26]

Iets complexer. Ik kan mij voorstellen dat de mensen na het invullen van hun inloggegevens ook hun mobiel nummer moesten invoeren en dat ze daarna een SMS kregen met een link waar ze de 2-factor authentication code moesten invullen.

Als ze in het invullen van de inloggegevens trappen dan zie ik ze de tweede ook wel doen.
2FA responsecodes zijn meestal slechts beperkt geldig. Dat is al met al redelijk complexer voor een aanvaller.
Maar wat mij betreft mag er vaker 2-factor middels oa google authenticator (ipv eigen domme zooi te bedenken).
Misschien om dat google authenticator (GA) niet geschikt is voor dit soort doeleinden? De eigenschappen welke een DigiD nodig heeft, zijn niet mogelijk met de google variant. Bijvoorbeeld terugkoppeling voor welke dienst je nu de authenticatie gaat doen? GA kan in 3de partij applicaties bewaard worden, kan gebackuped worden, waarbij je overheids authenticatie in eens in verkeerde handen kan vallen.
GA heeft ook geen PIN code beveiliging (3de apps hebben wel weer deze mogelijkheid).
ipv eigen domme zooi te bedenken
De overheid heeft er dus juist over nagedacht..... Want er GA is geen geschikte mogelijkheid, het voldoet niet aan de benodigde requirements.
Onzin, GA is gebaseert op een open standaard, en 'de pin' is de beveiliging van je telefoon. Er is geen tfa te bedenken die veilger/praktischer zal zijn (en met veiliger bedoel ik niet dat GA zo veilig is).
GA is gebaseert op een open standaard,
Dus? Dat wil niet zeggen dat het voor alle doeleinden geschikt is?
en 'de pin' is de beveiliging van je telefoon.
Grote aanname... Wat als een device niet beveiligd is met een pin code? Assumption is the mother of all fuckups..... En we hebben het wel over een identificatie voor de overheid. Je kan en mag dan niet zomaar iets aannemen.

Of als die overruled kan worden door iemand, zeker icm mobiele device management software kan ik zo iemand iphone code resetten.
Dus niet een erg sterk tegen argument, sterker nog, eerder een zwak argument.
Er is geen tfa te bedenken die veilger/praktischer zal zijn
Ik zou zeggen verdiep je eens in Azure MFA. Zit heel goed in elkaar.
GA is heel praktisch, maar het is in de standaard oplossing gewoon niet veilig genoeg. Mijn argumenten heb ik hierboven al een keer genoemd, en je hebt er nog geen 1 ontkracht. Afgezien je aanname dat er een PIN op het device zit.

Maar je argumenten zijn niet erg sterk.
De methode van digId (via de app) is ook eigenlijk geen 2-factor. Je hoeft geen wachtwoord meer in te vullen, alleen het invullen van de code op de DigiD app is al genoeg om in te loggen.
ja het helpt ook niet echt dat je bij bepaalde sites kunt kiezen om met gebruiker/wachtwoord in te loggen of met gebruiker/wachtwoord/sms voordat je ingelogd bent
Ik was ook verward. Ik had 2FA ingesteld en tot mijn verbazing kon ik bij mij pensioenoverzicht.nl inloggen zonder 2FA. Ik dacht WTF. Toen wees een collega er op dat je het dan ook nog moet afdwingen in de site van DigiD. En dat vind ik heel onlogisch, wanneer je 2FA instelt moet je er van uit kunnen gaan dat het overal wordt afgedwongen.
ja ik vond het ook heel raar, zo heeft het totaal geen nut. misschien zit er toch ergens logica achter, maar ik kon niet bedenken wat dat dan zou zijn.
maar, wat ik mis in dit bericht, zijn de eigenaren van deze accounts op de hoogte gesteld van het blokkeren en de eventuele risicos die ze hebben gelopen? /acties die ze kunnen ondernemen?
Je merkt het vanzelf als je niet meer kan inloggen. Maar ik denk van wel ja.
kweenie hoe vaak jij inlogt middels digid, maar bij mij is dat maar zeer zelden..
Aangifte ib, brieven van waterschap, gemeente, eventueel toeslagen meldingen van de RDW en dan alle aanslagen van de belasting. Regelmatig dus. En daarnaast nog de zorgverzekeraar, pensioenverzekering etc.

En het kan me niet schelen hoe lastig het wordt om in te loggen, liever dat de veiligheid daarmee goed is gewaarborgd en ik het via 4 staps verificatie moet doen dat dat er gegevens uit lekken. Er staat zo ontzettend veel aan gekoppeld, direct via mijn overheid in te zien.
Een paar keer per jaar dus.... Niet elke dag..
Wel grappig.. Enige keer dat ik dit doe is bij aangifte ib. De rest komt allemaal als herinnering danwel rekening binnen vallen. Ergo: letterlijk eens per jaar.
Nouja met dank aan het nieuwsbericht is wel weer eens bevestigd dat mensen nog steeds in phishing trappen.
Klopt. Dat zal ook nooit veranderen.
Alle waarschuwingen ten spijt. Want die waarschuwing komt van zoveel kanten en is iedere keer weer net iets anders. Daardoor glijden dergelijke waarschuwingen na verloop van tijd ongemerkt aan de meeste mensen voorbij. (Want zeg nu eerlijk, wanneer zijn de laatste drie keer geweest dat jij zo'n waarschuwing hebt gezien?)
Hier op Tweakers, waar de meeste mensen net even iets meer van dit soort zaken weten, is dat geen probleem. Na de eerste paar keer is de essentie duidelijk en zit dat in je doen en laten verwerkt, mar voor de rest van de mensheid werkt dat anders.
En voordat je denkt dat het dan hun eigen schuld is, dit is een puur menselijke eigenschap. Boodschappen die vaak herhaald worden hoor je op een gegeven moment niet meer en wanneer de boodschap je niet op een bepaalde manier beroepsmatig of interessematig raakt, gaat de inhoud van de boodschap na verloop van tijd volkomen verloren, hoe vaak deze dan nog herhaald wordt.

Dat is een eigenschap die voor iedereen geldt, alleen liggen de interesses voor iedereen anders, waardoor iedereen andere dingen niet meer opmerkt of binnenkrijgt. De n vindt het onbestaanbaar dat de boodschap over fishing bij sommigen maar niet aan komt, terwijl hijzelf zaken negeert die een ander weer onbestaanbaar vindt.

Punt is dat zolang je op technische oplossingen vertrouwt terwijl je de onderliggende menselijke eigenschappen/ psychologie negeert, je het probleem nooit op zult lossen.
Dat is ook de reden waarom de overheid zo huiverig is om mails te versturen.
En veel semi-overheid dit niet snappen en wel email met links versturen.
Slechte ICT afdeling, slechte communicatie jongens en meisjes, en slechte adviseurs.
Als DigiD een concurrent had gehad, dan hadden ze misschien een reden gehad om de veiligheid en het gemak te verhogen. Ik mijd DigiD zo veel mogelijk, want het is ook nog eens irritant. Helaas verplichten sommige overheidsinstanties het gebruik van DigiD, wat in mijn ogen verkeerd is. DigiD zou optioneel moeten zijn, niet verplicht.
Hoe ga je anders gebruikers toegang geven als niet via DigiD? Er zijn wat alternatieven, maar die zullen het op ten duur gaan vervangen. En die gaan dit ook niet afvangen of makkelijker maken. Als mensen vrijwillig hun gegevens afstaan is er vrij weinig aan te doen.
Echt schokkend dat zoveel mensen er nog intrappen.

Volgens mij moet de overheid 2-factor authentication gewoon verplicht stellen.

[Reactie gewijzigd door ArtGod op 1 juli 2018 08:49]

Yep, maar het artikel geeft juist aan dat 2fa in 3 gevallen ook niet voldoende was.
De MITM heeft hier namelijk geen last van want alle login 2fa wordt netjes doorgegeven van jou via de hackerssite naar mijnoverheid. Daarna wordt jij er uitgegooid en gaan de hackers verder.


Om te kunnen reageren moet je ingelogd zijn


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True