Een op tien Nederlanders met DigiD maakt gebruik van DigiD-app

Sinds de introductie van de DigiD-app, in maart 2017, maakt tien procent van de Nederlanders met DigiD er gebruik van. Logius, de organisatie achter DigiD, wil dat dit percentage tegen 2022 is gestegen tot 60 procent.

Digid app Logius meldt er samen met de op DigiD aangesloten organisaties flink op in te zetten om meer mensen de app te laten gebruiken, voor bijvoorbeeld tweetrapsauthenticatie. Daarnaast streeft de organisatie ernaar dat meer mensen met de app hun identiteitskaart of rijbewijs scannen voor authenticatie, wat nog veiliger zou zijn.

Het probleem is dat dit alleen mogelijk is bij smartphones met nfc. "We onderzoeken manieren om identiteitsbewijzen te controleren voor mensen die geen geschikte telefoon hebben", aldus Lisenka Impens, productmanager DigiD. De organisatie denkt aan DigiD-zuilen bij gemeentehuizen of bibliotheken. Een jaar geleden hadden 1,2 miljoen mensen de DigiD-app gedownload.

Het bericht komt op een moment dat MijnOverheid waarschuwt voor phishingpogingen: "Het ging hier om een phishingmail waarin gevraagd werd via een link in te loggen op MijnOverheid met uw DigiD", aldus de overheid op een ingevoegde waarschuwingsmelding op de homepage van DigiD. Logius meldt dat er 361 mensen in de phishingmails trapten. Die accounts zijn geblokkeerd en ze hebben bericht gekregen.

Het is onbekend hoe Logius erachter kwam dat er 361 slachtoffers waren. Bij een eerdere geslaagde phishingpoging bij DigiD in juni, leek dit via detectie van een malafide script te gebeuren. Toen de slachtoffers inlogden op de phishingsites, werden de ingevoerde gegevens via een script gebruikt om met DigiD in te loggen bij MijnOverheid, schreef de staatssecretaris toen.

Reacties (150)

Jazco2nd 4 december 2018 16:30

Het is natuurlijk onzin dat je een aparte app nodig hebt van de serviceprovider om gebruik te maken van tweetraps authenticatie.

Waarom kan dit niet gewoon via 1 enkele app voor alles, zoals de Authy app prima werkt voor Gmail en heleboel andere diensten. Ik gebruik dus ook niet Google Authenticator. Authy werkt prima.

Als DigiD dat gewoon mogelijk maakt, scheelt het ons allen weer €50.000 aan app ontwikkel- en onderhoudskosten.

alexiooo @Jazco2nd • 4 december 2018 16:42

Het is eigenlijk helemaal geen tweetrapsauthenticatie, want als je de DigiD app gebruikt heb je je normale wachtwoord helemaal niet meer nodig.

Daar tegenover staat dat je pas goedkeuring uit de app krijgt als je een 4 cijferige pincode hebt ingevoerd, wat vermoedelijk de reden is dat ze geen standaard oplossing gebruiken.

MadEgg @alexiooo • 4 december 2018 16:45

Dat zijn toch twee trappen? Iets wat je hebt en iets wat je weet. Dat je daardoor je wachtwoord niet meer op de website van digid hoeft in te vullen maar op je telefoon doet daar niets aan af.

murkienl @MadEgg • 4 december 2018 17:59

Wel twee trappen maar niet op twee verschillende apparaten. Wat volgens mij wel redelijk de bedoeling van two factor zou (moeten) zijn.

Los daarvan is de app van Digid een logge draak. Veel beter zou zijn als je gewoon een OTP kan genereren met een van de vele daarvoor reeds bestaande apps.

Ikzelf gebruik Microsoft Authenticator, maar die van bijvoorbeeld Google doet hetzelfde.

PostHEX @murkienl • 4 december 2018 18:26

Veel beter zou zijn als wij helemaal en overal van het OTP model afstappen. Gewoon een approve/deny prompt via de DigiD app (zoals a.o. Google, Blizzard, Microsoft en DUO aanbieden voor hun diensten), of nog beter: FIDO2, zodat met zelf kan kiezen hoe zij zich passwordless willen authenticeren (conform met de FIDO2/WebAuthn standaard natuurlijk). Veiliger, makkelijker.

[Reactie gewijzigd door PostHEX op 22 juli 2024 14:33]

murkienl @PostHEX • 4 december 2018 18:38

True, alleen voor elk website/platform een eigen app hoeft dan weer niet wat mij betreft.

PostHEX @murkienl • 4 december 2018 18:50

Semi mee eens. Ik vind het op zich niet heel erg, zolang de prompt maar als een push notificatie verschijnt, zodat ik niet door mijn apps hoef te bladeren, en zolang de app klein is en blijft.

Maar wederom: FIDO2/WebAuthn ondersteuning heeft mijn voorkeur, maar ik heb het vertrouwen niet dat onze overheid de waarde van die standaard kan in zien. Althans niet op korte termijn.

ExtendedCaesar @PostHEX • 4 december 2018 22:17

Authenticator standaard in os, dan de dienst die je wilt gebruiken toestemming geven een cert/configpckg in een centrale store voor die authenticator te dumpen. Liefst open source en Cross platform natuurlijk. Maar wel standaard geïnstalleerd.

PostHEX @ExtendedCaesar • 4 december 2018 23:55

Open standaard.
crossplatform
Standaard in OSen en browsers ingebakken.

Dat is FIDO2 dus.

Franckey @murkienl • 4 december 2018 21:58

Wel twee trappen maar niet op twee verschillende apparaten. Wat volgens mij wel redelijk de bedoeling van two factor zou (moeten) zijn.

Nee dat is niet zo. Je hebt 3 verschillende factoren:
- wat je weet (pincode, wachtwoord)
- wat je hebt (pasje, smartphone, sleutel)
- wie je bent (vingerafdruk, iris)
Een check op 2 van de 3 verschillende factoren is 2FA.

wjn @Franckey • 5 december 2018 09:42

Ja, en alle 3 factoren zijn tegenwoordig opgeslagen op een smartphone. Of dat nu zo veilig is, er zijn vast "slimme" mensen die daar gebruik (misbruik) van kunnen maken (koffiedik kijken, toegegeven).

alexiooo @MadEgg • 4 december 2018 21:09

In zekere zin ja, maar niet op de standaardmethode. Een 4 cijferige pincode is totaal niet vergelijkbaar met een normaal wachtwoord, wat een lang door een password manager beheerd iets kan zijn.

Verder is dat de reden dat ze niet "zomaar" een standaard OTP kunnen gebruiken (met het huidige systeem), dan zou het helemaal geen tweetraps meer zijn.

sjettepetJR. @Jazco2nd • 4 december 2018 16:42

waarschijnlijk zijn ze bang dat veel Nederlanders het dan niet meer begrijpen. je kan beter iets hebben wat heel duidelijk en heel specifiek is voor DigiD.

turniphead

@sjettepetJR. • 4 december 2018 17:02

Ze zouden natuurlijk voor mensen die het niet snappen een app kunnen maken die de zelfde technische implementatie heeft, maar wel "dedicated" lijkt voor DigID. Zo laat je ruimte voor aparte universele apps, maar kun je ook duidelijkheid bieden.

Franckey @turniphead • 4 december 2018 22:14

Ja precies. Google en Microsoft hebben ieder een eigen app, maar gebruiken hetzelfde systeem. Ik gebruik de app van Microsoft voor 2FA bij Google. Waarom willen DigiD en de banken een eigen systeem met eigen apps?

Turdie @Franckey • 5 december 2018 04:00

Misschien extra beveiliging of verificatiestappen in de app

Bij de Microsoft Authenticator hoef je bijvoorbeeld alleen een QR code te scannen, ik kan me voorstellen dat je voor Digid wat meer verificaties wil doen(zoals bijvoorbeeld bij NFC supported devices je ID kaart er tegen aan houden, waar in het artikel aan gerefereerd wordt). Of twee verificaties niet alleen een QR code maar ook nog andere verificatie (denk aan ID kaart scan via NFC, SMS met code op telefoonnummer)

[Reactie gewijzigd door Turdie op 22 juli 2024 14:33]

Ge Someone @Turdie • 6 december 2018 20:01

Inderdaad is het een stuk lastiger bij DigiD. Om je telefoon voor DigiD aan te melden, moet je, na het scannen van een QR-code, wachten op een brief (ja in de brievenbus) met de bevestigingscode.

Jazco2nd @sjettepetJR. • 4 december 2018 16:45

Authy werkt anders simpeler en met minder handelingen. Plus je kan zelf een app ervoor kiezen. Volgens mij is Authy opensource.

sjettepetJR. @Jazco2nd • 4 december 2018 16:48

ik, als Tweaker, zou dat zeker handiger vinden, ik gebruik bijvoorbeeld toch al de Authenticator app van Google. maar de gemiddelde Nederlander vind dat alleen maar ingewikkeld.

GekkePrutser @sjettepetJR. • 4 december 2018 18:15

Maar geef het dan als losse mogelijkheid. Ik zit ook niet te wachten op zo'n Digid app, ik heb mijn digid een jaar of 2 voor het laatst gebruikt. Dus zonde om daar een hele app voor te installeren.

De SMS code kan ik niet als alternatief gebruiken omdat ik geen Nederlands mobiel nummer heb.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 14:33]

psy

@GekkePrutser • 4 december 2018 22:53

Je moet toch elk jaar aangifte doen?

triflip @psy • 5 december 2018 00:33

Belasting aangifte is niet voor iedereen verplicht. Als je een vast inkomen hebt en geen hypotheek dan zul je niet snel een brief krijgen. Maar het kan bijna nooit kwaad om het wel te doen, tot nu toe altijd geld terug gekregen.

GekkePrutser @psy • 5 december 2018 01:20

Nee, ik woon al een paar jaar in het buitenland. Vandaar dat ik ook geen Nederlandse mobiel heb.

mmjjb @GekkePrutser • 5 december 2018 15:29

De SMS code kan ik niet als alternatief gebruiken omdat ik geen Nederlands mobiel nummer heb.

Exact! En je kan de DigID app ook niet activeren als je niet ingeschreven staat in Nederland

Resultaat, formulieren per post.

Ook dat de applicatie geen Engelse taal ondersteunt is een flop naar mijn mening

Patoer @GekkePrutser • 5 december 2018 15:39

Heb jij dan geen ,,, berichten van de overheid,, voor gemeenten en Rijksoverheid en provincialestaten?

GekkePrutser @Patoer • 5 december 2018 15:40

Niet echt. Ik krijg ze alleen van pensioenfondsen en vroeger van de belastingdienst.

Ik woon al sinds 2010 in het buitenland dus met de meeste instellingen heb ik niks meer te maken.

murkienl @sjettepetJR. • 4 december 2018 18:01

Dan zou er eerder aandacht aan die tekortkoming besteed moeten worden dan slechte alternatieven ontwikkelen om een ondermaats niveau in stand te houden.

Franckey @sjettepetJR. • 4 december 2018 22:17

Voor elke dienst een andere app vind ik pas ingewikkeld. Laat iedereen het systeem gebruiken wat Microsoft en Google ook hebben of stuur gewoon de code via SMS.

bilbob @sjettepetJR. • 4 december 2018 19:15

de gemiddelde Nederlander vindt alles ingewikkeld.. jammer voor ze.

JapyDooge @Jazco2nd • 4 december 2018 16:49

Authy is een specifieke implementatie, maar dat is inderdaad een voorbeeld van een Software token.

Er zijn heel veel authenticator-apps die bruikbaar zijn met dit soort systemen.

TheVivaldi @sjettepetJR. • 4 december 2018 17:00

Dus? Als ze het niet begrijpen, dan maken ze gewoon gebruik van de SMS-code.

Krulliebol @TheVivaldi • 5 december 2018 01:59

... hetgeen een stuk onveiliger is.

Anoniem: 444127 @Jazco2nd • 4 december 2018 19:24

De betere vraag is waarom er een "app" voor gebruikt moet worden? Gewoon een simpele code sturen via een SMS en klaar is Kees. Ze houden zich niet aan het KISS-principe. Misschien omdat het extra geld oplevert als je het op de moeilijke manier doet?

LankHoar @Anoniem: 444127 • 4 december 2018 20:40

SMS is zo lek als een zeef. Dat maakt je 2FA ineens eerder 1,5FA ofzo.

Anoniem: 444127 @LankHoar • 4 december 2018 20:58

Je bedoelt dat iemand je SMS-bericht kan onderscheppen. Dat kan maar liever 1,5FA dan 1FA en je kan ook nog de e-mail-account als extra beveiliginsmiddel gebruiken (naast SMS ook een e-mail-bericht wat aan die account is gekoppeld). Als je dan ook nog voor het aanvragen van een DigiD-account met paspoort bij de overheid langs moet en op dat moment je e-mail-adres en telefoonnummer opgeeft (ook voor elke wijziging) dan heb je een behoorlijk veilig systeem.

Franckey @LankHoar • 4 december 2018 22:08

SMS is zo lek als een zeef. Dat maakt je 2FA ineens eerder 1,5FA ofzo.

Dat lees ik vaak, maar ik ken geen voorbeeld waarbij 2FA mis ging omdat de code via SMS werd verstuurd.

ninjazx9r98 @Anoniem: 444127 • 4 december 2018 22:46

De app is wat mij betreft simpeler en gebruiksvriendelijker dan een code overtikken uit een sms. Dat hoor ik ook in mijn omgeving van mensen die overgestapt zijn naar de app.

Anoniem: 444127 @ninjazx9r98 • 4 december 2018 22:56

Ik klaag er dan ook niet over dat die app beschikbaar wordt gesteld, al is het mogelijk zonde van het geld, afhankelijk van hoeveel de overheid ervoor heeft betaald, ik klaag erover dat het enkel via een smartphone kan terwijl niet iedereen een smartphone heeft, laat staan een met NFC.

ninjazx9r98 @Anoniem: 444127 • 4 december 2018 23:05

Voor die mensen is er nog steeds sms en vooralsnog zie ik geen berichten dat dat in de nabije toekomst afgeschaft gaat worden.

pblom @Anoniem: 444127 • 5 december 2018 06:42

Bij SMS (of OTP) tikt de gebruiker (binnen dezelfde browser-sessie) iets van een code over. De app daarentegen neemt zelf contact op met de systemen van DigiD (aparte communicatie sessie). SMS (of OTP) is daarom meer vatbaar voor phishing aanvallen. Een aanvaller kan met alleen een fake-website, in het geval van SMS/OTP, zowel gebruikersnaam, wachtwoord als SMS/OTP onderscheppen. En dat is voldoende om binnen te komen. Als aanvaller de communicatie van de app succesvol naar je systemen leiden is vele malen lastiger.

Sando @Jazco2nd • 4 december 2018 16:51

€50.000? Ik denk dat er veel meer kosten mee gemoeid zijn dan je denkt. Denk ook aan die 2-jarige pilot met Idensys.

Digitale Overheid: Pilot met Idensys stopt per 31 december 2018

Nu doet het DigiD-team wellicht weer even een inhaalslag om de kaas van het brood van team Idensys te eten. Of ben ik nu wel erg pessimistisch?

TheVivaldi @Sando • 4 december 2018 17:02

Ik denk dat die €50.000 gewoon als voorbeeld bedoeld was, zodat duidelijk is hoeveel het minimaal scheelt

McRegt @Jazco2nd • 4 december 2018 19:27

Ik weet niet precies wat de reden is, maar ik kan mij zo voorstellen dat het vertrouwen in third party apps hier een probleem kan zijn. Er zullen vast apps rondslingeren die vrolijk je OTP codes doorzetten naar buitenstaanders.

Franckey @McRegt • 4 december 2018 22:20

En wat dan nog? De code is maar zo kort geldig dat een ander er niets aan heeft.

JapyDooge @Jazco2nd • 4 december 2018 16:34

DigiD is inderdaad niet heel speciaal - onder water is het allemaal simpelweg SAML2.0 (en een aantal andere opties), dus gebruik maken van open standaarden kunnen ze wel.

Gebruik maken van een standaard authenticator zou ik dan ook wel 'n uitkomst vinden.

edit:

De organisatie denkt aan DigiD-zuilen bij gemeentehuizen of bibliotheken.

Dat is toch ook niet meer van deze tijd.

[Reactie gewijzigd door JapyDooge op 22 juli 2024 14:33]

Qlusivenl

@Jazco2nd • 4 december 2018 17:30

Het lijkt mij dat die kosten veeeele malen hoger liggen dan 50.000 euro. Zet er maar een nulletje achter.

RoestVrijStaal @Jazco2nd • 5 december 2018 00:36

Met heel die 2Factor-auth apps heb ik het idee: Het werkt fantastisch, totdat je telefoon reset of een brakke update krijgt. Oeps, data van de app weg waardoor je niet meer kan inloggen. MITS je niet de data hebt gebackupt EN ook nog eens niet een ellelange key hebt opgeschreven mocht het ooit mis gaan. MITS je daaraan (nog) NIET gedacht had.

Maar ja, waar laat je die backups en ellelange key dan? Op de meest veilige plek in je huis? Het zal maar net op vakantie zijn dat zoiets je overkomt.

Headshrinker @Jazco2nd • 5 december 2018 12:14

Je hebt helemaal gelijk, nog een stapje verder zou je gebruik kunnen maken van blockchain technology om identiteit te verzekeren. Zodra ze dit zouden toepassen zouden ze ook digitaal stemmen e.d kunnen implementeren.

En 50.000 euro aan kosten is echt te laag, zet er maar een 0 achter, we hebben het hier over de overheid..

Zonder te shillen hier twee interessante projecten die aan elkaar gelinked zijn:
https://www.antum.be/

Antum maakt gebruik van Digibyte Blockchain en is gebaseerd op https://www.digi-id.io/getstarted.html

Er zijn veel van dit soort apps tegenwoordig op de markt maar die lopen dan meestal over een Ethereum Netwerk (ERC20) of Alternatief . MS is er ook mee bezig maar omdat het niet echt Open Source project is een beetje controversieel:
https://bitcoinexchangegu...ity-verification-systems/

Blockchain is niet voor alles een wondermiddel zoals de mainstream media laat geloven, maar voor identiteit- en logistieke processen over een paar jaar de standaard imho

Mathi159 4 december 2018 16:25

Ik ga geen app installeren voor iets wat ik misschien 5x per jaar gebruik. Geef mij lekker een authenticatie code die ik in elke authenticatie app kan gebruiken.

Palomar @Mathi159 • 4 december 2018 16:38

idd, een sms'je of mailtje met een code lijkt me net zo veilig. Op een gegeven moment heb je anders wel 30 apps voor dit soort doeleinden op je telefoon, die allemaal ingesteld en bijgewerkt moeten blijven worden.

Of er moet een generieke app gebruikt worden voor authenticatie-doeleinden waar meerdere platformen gebruik van maken. Zoiets als google authenticator.

Wim-Bart @Mathi159 • 4 december 2018 17:08

Dat is verschillend voor een ieder. Maar de app neemt weinig ruimte in en is nuttiger dan Facebook, Instagram. Maar sinds ik de app gebruik ben ik geneigd om meer frequent in te loggen en zaken te regelen in plaats van alles opsparen tot einde kwartaal, nu gewoon ff op het werk snel iets doen en van het lijstje afkrassen. Verzekeringen, pensioenen, belasting en gemeente zaken, alles met DigiID + App.

349686 @Wim-Bart • 4 december 2018 18:38

Maar nog steeds nutteloos zolang een SMS ook werkt.

Wim-Bart @349686 • 4 december 2018 19:10

Ik vind het persoonlijk heel handig werken. App openen code scannen en klaar. Eigenlijk net zo makkelijk als bin de ING app met betalen op het net en niet zo onhandig als de Steam app.

ASS-Ware @349686 • 5 december 2018 02:06

Maar nog steeds nutteloos zolang een SMS ook werkt.

Nee, want met de app heb je geen password nodig, bij SMS wel.

349686 @ASS-Ware • 6 december 2018 17:01

Dus het is nog onveiliger ook.

ASS-Ware @349686 • 6 december 2018 20:28

Dus het is nog onveiliger ook.

Nee, want om de app te gebruiken heb je de telefoon nodig waarop jouw DigiD is geactiveerd en moet je een pincode invoeren.

vinkjb @Mathi159 • 4 december 2018 17:04

in sommige gevallen wordt je ertoe gedwongen omdat je anders geen inzicht krijgt in dingen die voor jou belangrijk kunnen zijn. In mijn geval Zilverenkruis, zonder dat appie kom ik er niet meer in.

ninjazx9r98 @vinkjb • 4 december 2018 18:00

Onzin, zonder app maar met sms controle kom je probleemloos binnen bij Zilveren Kruis.

hp-got @Mathi159 • 4 december 2018 17:34

Helemaal eens, sterker nog, ik ga sowieso geen app installeren als ik wat ik doen wil gewoon in een browser op een website af kan.

ninjazx9r98 @hp-got • 4 december 2018 18:04

De app gebruik je om in te loggen, niet om dingen te doen en zonder de app (of sms controle) kun je op een aantal sites helemaal niets doen omdat je dan niet kunt inloggen.

cdwave @Mathi159 • 4 december 2018 20:03

5x? Da's vijf keer vaker dan ik... Alleen de jaarlijkse belastingopgaaf. En elk jaar opnieuw activeren (met een papieren brief) omdat ik tegen die tijd de login wel kwijt ben, of die is spontaan verlopen.

ArawnofAnnwn @Mathi159 • 5 december 2018 12:01

Je gebruikt je Digid 5x per jaar? Wat doe je er dan mee? Ik moet elk jaar mijn belastingaangifte doen en dan moet ik goed zoeken naar mijn Digid gegevens. Een paar jaar geleden heb ik een huis gekocht, toen had ik het wel 3x ofzo nodig maar daarna was alles geregeld.

the_leonater 4 december 2018 16:28

Ik heb de app ook uitgeprobeerd, maar vind deze niet bepaald handig.

Vaak krijg je ook berichten in je berichtenbox waarvoor je weer naar de site van de belastingdienst, uwv, rdw etc. wordt doorgestuurd.

Het is makkelijker om er op een zondag eens rustig de tijd voor te lezen en alle documenten door te nemen op de pc, dan snel even erdoorheen scrollen op de telefoon.

Keypunchie @the_leonater • 4 december 2018 16:33

De DigidApp en de BerichtenboxApp zijn twee verschillende apps.

De berichtenboxapp is nauwelijks nuttig, maar dat komt dan ook vooral doordat de mails zelf nooit informatie bevatten, behalve de melding dat er ergens anders informatie staat.

Het is wel al een stap ertussenuit, want voorheen was het een mail met "er staat een bericht klaar" en dan naar het bericht met "ga naar MijnPensioenFonds voor informatie" of whatever.

De DigidApp zelf gebruik je om te authenticeren (bvb. bij "mijn pensioenfonds" of "mijn overheidssite". Dat werkt echt supersoepel. Camera op de QR-code richten, pincode en hij logt je automatisch door.

Dus, de ene is wat jammer, maar dat is meer de aard van het beestje, maar de authenticatie-app zelf is naar mijn mening juist ontzettend gebruiksvriendelijk.

Koffiebarbaar @Keypunchie • 4 december 2018 18:16

De berichtenboxapp is nauwelijks nuttig, maar dat komt dan ook vooral doordat de mails zelf nooit informatie bevatten, behalve de melding dat er ergens anders informatie staat.

Huh? Ik kan gewoon het bericht openen en de attachment (en dus de aanslag of whatever) zien in die berichtenbox app hoor.

[Reactie gewijzigd door Koffiebarbaar op 22 juli 2024 14:33]

Keypunchie @Koffiebarbaar • 4 december 2018 19:48

Ik heb even gecontroleerd net en ik zie dat Belastingdienst het idd wel bijvoegt, maar dat de meeste van mijn pensioenfondsen (jobhopper, dan krijg je dat*) dus niets bijvoegen, of dezelfde tekst maar dan in pdf-formaat.

De BGHU maakt in 1 bericht wel heel bont, die voegt een PDF toe bij een bericht over WOZ, waar in de PDF staat waar ik moet zijn voor mijn WOZ.

Een mixed bag, dus.

*van tijd tot tijd probeer ik waarde-overdracht te laten plaatsvinden, maar erg makkelijk is dat niet en vervolgens krijg ik dan weer vaak de melding: onze dekkingsgraad staat het niet toe... ik zorg maar zelf dat ik nog wat appeltjes voor de dorst heb

bilbob @Keypunchie • 4 december 2018 19:16

ik had anders vandaag keurig in mijn berichtenbox app de pdf staan voor de zorgtoeslag. Ook per mail gehad natuurlijk.

McRegt @Keypunchie • 4 december 2018 19:28

Cool! Ik wist niet dat er een app was voor de berichtenbox. Ga ik morgen eens naar kijken. :-)

mmjjb @Keypunchie • 5 december 2018 15:19

Dus, de ene is wat jammer, maar dat is meer de aard van het beestje, maar de authenticatie-app zelf is naar mijn mening juist ontzettend gebruiksvriendelijk.

Alleen in het Nederlands, geen taal ondersteuning voor Engels
Activeren in het buitenland niet mogelijk
Weer een aparte applicatie

De meeste mensen gebruiken het inloggen van DigID een paar keer per jaar. In ruil daarvoor moeten ze dus speciaal een applicatie installeren op de telefoon?

Niet mijn definitie van gebruiksvriendelijk

[Reactie gewijzigd door mmjjb op 22 juli 2024 14:33]

Berrie92 4 december 2018 16:28

Mooi, van mij mogen ze helemaal over per morgen (ik begrijp dat dit niet zo maar kan). Ik begrijp het niet dat je bij de ene ook met je gebruikersnaam en wachtwoord kan aanmelden. Bij de andere ook met gebruikersnaam, wachtwoord en sms verificatie en bij weer een andere alleen met de Digid app. Soms vraag ik me wel eens af of deze diversiteit veilig genoeg is.

ThomasG @Berrie92 • 4 december 2018 16:40

Bij DigiD is het in principe zo dat de dienst waar je voor inlogt kiest welke beveiliging nodig is. Maar je kunt bij jouw DigiD account instellen (als je inlogt op digid.nl, en bij inlogmethoden het voorkeur inlogniveau wijzigen) dat voor jouw account sms verificatie altijd benodigd is, ook als de dienst waarvoor je inlogt dat niet vereist. Dat vergroot de veiligheid van je DigiD.

ninjazx9r98 @Berrie92 • 4 december 2018 18:14

Alleen de app ben ik nog niet tegen gekomen, kun je een voorbeeld noemen? Kiezen tussen app en sms is wat ik normaal gesproken zie.

Berrie92 @ninjazx9r98 • 4 december 2018 19:08

Wanneer ik bij bijvoorbeeld Mijnoverheid.nl inlog krijg ik de opties:

Ik wil inloggen met gebruikersnaam en wachtwoord
Ik wil inloggen met de DigiD app

Op een aantal andere overheidspagina is dit ook zoals bijvoorbeeld CJIB

ninjazx9r98 @Berrie92 • 4 december 2018 19:14

Dan heb je toch een keuze? Je had het over alleen de app en komt nu met voorbeelden waar je ook kunt kiezen om zonder app in te loggen.
Was zelf ook incompleet, dacht aan sites waar je niet met user en password kunt inloggen maar altijd sms of de app moet gebruiken.

FJB @Berrie92 • 4 december 2018 19:49

En bij je voorkeuren bij Digid kan je aangeven dat je altijd 2-trams authenticatie wil.
Dan is alleen id en ww niet meer voldoende om in te loggen en moet je altijd of sms of de Digid app gebruiken

Edit: verduidelijkt

[Reactie gewijzigd door FJB op 22 juli 2024 14:33]

jvd-nl 4 december 2018 17:16

Deze app wordt gezien als een hoger niveau authenticatiemiddel dan SMS-verificatie, wat verplicht is voor sommige diensten. Dat zal ongetwijfeld helpen in de adoptie.

Het vreemde is dat deze app met diezelfde SMS-verificatie geregistreerd kan worden. Ik zie niet hoe deze app veiligheid toevoegt ten opzichte van wachtwoord+SMS.

Koffiebarbaar @jvd-nl • 4 december 2018 17:51

Sowieso is de heisa rond eventuele veiligheidsproblemen rond SMS verificatie een beetje overtrokken.
Als je "hoog" figuur bent ala Rutte of directeur van DNB, moet je dat niet gebruiken omdat het onderschept kan worden, maar als Jan Doorsnee is SMS als two factor helemaal dikke prima.

[Reactie gewijzigd door Koffiebarbaar op 22 juli 2024 14:33]

Napsju 4 december 2018 18:11

Nu lijkt het in dit artikel net alsof het alleen Nederlanders met DigiD betreft. Hoe zit het dan met mensen van een andere nationaliteit? Iedere inwoner van Nederland die ingeschreven staat bij een Nederlandse gemeente, ongeacht nationaliteit, heeft namelijk een DigiD.

burne @Napsju • 4 december 2018 19:46

Nee. Iedereen die een BSN heeft kan een DigiD krijgen, maar je moet 'm wel zelf aanvragen. En als je buitenlander bent zonder Nederlands BSN kun je natuurlijk via eIDAS met je eigen nationale inlogmiddel inloggen. Bijvoorbeeld bij het Omgevingsloket. (Gelukkig zijn alleen Duitsland en Nederland zover..

)

slow whoop 4 december 2018 16:29

Ik heb die app, maar ik vind hem omslachtig. Een smsje is makkelijker, en ik overweeg daarom ook de app weer te verwijderen.

TheVivaldi @slow whoop • 4 december 2018 17:03

Ik blijf ook lekker bij SMS-authenticatie. Ik snap niet waarom ze vinden dat die app veiliger is dan een sms'je.

Niekleair @TheVivaldi • 4 december 2018 17:25

Omdat SMS via de mobiele netwerken verstuurd worden en niet bijster sterk versleuteld is (als het al versleuteld is) en dus door derden met de juiste apparatuur onderschept kan worden.

TheVivaldi @Niekleair • 4 december 2018 17:34

De app kan ook gehackt worden als er een lek wordt gevonden (of er kan een keylogger op je systeem gezet zijn). Of je telefoon wordt gestolen en ze weten/raden de pincode van je app, dan heb je ook een probleem. Met die SMS niet want je kunt je simkaart heel makkelijk en snel blokkeren en een nieuwe simkaart activeren in je nieuwe telefoon. Dus zoveel veiliger is het dan toch niet?

[Reactie gewijzigd door TheVivaldi op 22 juli 2024 14:33]

Koffiebarbaar @Niekleair • 4 december 2018 18:25

Dat is wel allemaal tamelijk theoretisch exploitabel en sowieso geen sinecure. Je moet wel iemand zijn waarvoor men door die hoepels wil want je moet wel het e.e.a. bij elkaar social engineeren en dus specifiek targeten.
Voor Kees Doorsnee zijn Digid account die 1x per jaar uit het stof getrokken wordt voor de belastingaangifte zie ik het onderscheppen van SMS traffic niet als een bijzonder realistisch gevaar.

Ik vind dat die losse app het verhaal te complex maakt. Waarom ze niet gewoon een bestaande beproefde authenticator gebruiken mag joost weten maar ik zet het pas aan als ik het gewoon kan toevoegen aan Authy. Dat is namelijk de enige manier waarop ik two-factor een beetje beheersbaar vind buiten SMS.

Ik heb tig diensten waar ik iets moet of wil doen met two factor maar ik ga daar gewoon niet allemaal verschillende apps voor voeren.

[Reactie gewijzigd door Koffiebarbaar op 22 juli 2024 14:33]

Blizz @TheVivaldi • 4 december 2018 19:02

Sms is namelijk niet veilig. Nooit geweest. Zal het ook nooit zijn.

Franckey @Blizz • 4 december 2018 22:27

Sms is namelijk niet veilig. Nooit geweest. Zal het ook nooit zijn.

Heb je een voorbeeld waarbij een code via SMS werd onderschept en misbruikt? Ik ken het niet. Omdat de code maar een korte tijd geldig is en altijd een onderdeel van 2FA is dat volgens mij veilig genoeg.

TheVivaldi @Blizz • 4 december 2018 19:54

Die app is nog minder veilig. Nooit veilig geweest en zal het ook nooit zijn. Zo, net zo lekker onderbouwd als jij.

Bzztoh @slow whoop • 4 december 2018 16:56

Ik heb hem ook gehad en weer verwijderd. Zeer onhandig.
Als ik thuis op mijn werk inlog, krijg ik gewoon een SMS met een code waarmee ik het netwerk in kan. Geen app nodig.

ninjazx9r98 @Bzztoh • 4 december 2018 18:16

Geen app nodig maar nog steeds iets nodig om een sms op te ontvangen. Wat maakt het uit of je een sms krijgt of de app gebruikt?

Koffiebarbaar @ninjazx9r98 • 4 december 2018 18:19

Die SMS werkt gewoon op wat voor toestel ook.
Die app moet je instellen, en is tevens "weer" een app op je telefoon.
Zeker als je je telefoon nog wel eens reset of vervangt is dat laatste meer een probleem dan je zou denken.

[Reactie gewijzigd door Koffiebarbaar op 22 juli 2024 14:33]

ninjazx9r98 @Koffiebarbaar • 4 december 2018 18:33

Alhoewel je letterlijk genomen gelijk hebt komt het op mij een beetje vergezocht en overdreven over.

Koffiebarbaar @ninjazx9r98 • 4 december 2018 18:35

Ik vind het prima dat je dat vergezocht vind maar het is gewoon eigen ervaring die ik je geef.
Ik heb die app vorig jaar aangezet, en vorige week had ik hem eindelijk weer eens nodig en toen werkte hij gewoon niet meer omdat ik ergens in de tussentijd een nieuwe telefoon hebt gekocht en dus niet dat hele rideltje opnieuw gedaan heb om die app aan mijn digid account te koppelen.

Kan je roepen dat dat mijn fout is en ik toen maar die app had moeten activeren maar ik heb geen zin (of breincapaciteit) om van twintig verschillende obscure apps te onthouden wat ik er mee moet doen als ik mijn telefoon vervang. Daar stuit ik pas op als ik ze ga gebruiken. En in het geval van digid is dat rete irritant want dat stagneert op dat moment hetgeen wat je aan het doen was.

[Reactie gewijzigd door Koffiebarbaar op 22 juli 2024 14:33]

ninjazx9r98 @Koffiebarbaar • 4 december 2018 18:43

Deactiveren, installeren op de nieuwe telefoon en activeren.
Is dat dan het hele riedeltje? Zoals ik al zei, letterlijk heb je gelijk maar het komt overdreven over.

Koffiebarbaar @ninjazx9r98 • 4 december 2018 18:44

Of gewoon een SMS krijgen en helemaal geen gezeik hebben.

[Reactie gewijzigd door Koffiebarbaar op 22 juli 2024 14:33]

theastamana 4 december 2018 16:45

Wat ik erg storend vind is dat ik niet van de app gebruik wil maken, maar dat de inlog omgeving ons forceert om deze app te gebruiken om het ineens standaard te maken dat je via de app moet inloggen. Persoonlijk wil ik helemaal niet overal een appje van hebben en gebruik dit ook niet. Heb genoeg twee factor apps op mijn telefoon staan.

ninjazx9r98 @theastamana • 4 december 2018 18:35

Dan kies je voor sms controle. Ik heb vooralsnog geen enkele site gezien waar dat niet mogelijk is naast de app.

theastamana @ninjazx9r98 • 4 december 2018 20:27

Neemt niet weg dat ik het storend vind dat ze graag willen dat je die app gebruikt (ook als een website een sms niet nodig acht).

ninjazx9r98 @theastamana • 4 december 2018 20:34

Ik volg je niet helemaal. Als een website sms niet nodig acht dan is de app ook niet nodig/verplicht en log je in met username en password. Zodra een site meer eist dan alleen username en password kun je kiezen tussen sms of de app.
Dit zie je onder andere bij Zilveren Kruis, sms of de app.

theastamana @ninjazx9r98 • 4 december 2018 22:18

Niet helemaal waar, maar ik snap wat je bedoelt. De berichten inbox van mijn overheid heb je geen sms nodig, maar kan je wel met de app.

ninjazx9r98 @theastamana • 4 december 2018 22:30

Wat is niet helemaal waar? Kom eens met een voorbeeld van een site om je punt duidelijk te maken.
Bij mijnoverheid kun je kiezen tussen username/password (inclusief sms mocht je dat aangezet hebben) of de app, ik volg je dan ook niet helemaal.

i7x 4 december 2018 16:37

"[...] DigiD, wil dat dit percentage tegen 2022 is gestegen tot 60 procent."

Ik was onder de indruk dat het hele DigiD de komende jaren juist vervangen zou gaan worden voor iets nieuws (Idensys). Dit staat ook op de Wikipedia pagina. Echter, verder hoor ik hier nooit meer iets over. Iemand die toevallig meer weet?

burne @i7x • 4 december 2018 19:24

De organisatie heet DigiD, het protocol wat ze nu gebruiken is SAML. Als je het protocol vervangt, ga je dan de organisatie anders noemen?

i7x @burne • 4 december 2018 20:51

Dat weet ik niet, vandaar ook mijn vraag. Er is ook nog een test met inloggen via je bank ofzo geloof ik. Ik vind het allemaal maar wat onoverzichtelijk.

burne @i7x • 4 december 2018 20:55

iDIN. Commercieel plannetje van de banken wat je dus enkel bij bedrijven kunt gebruiken en wat 'acceptanten' ook geld kost. Dat zal sowieso niet door de overheid gebruikt gaan worden.

Trommelrem 4 december 2018 19:43

Ik gebruik alleen de Microsoft Authenticator. Ik koppel alles aan SAML. Als iets niet compatible is met Microsoft Authenticator of SAML, dan fuck it en ik gebruik het niet. Zo ga ik mijn DigiD ook stopzetten. De overheid had DigiD ook gewoon compatible kunnen maken met AzureAD, dan hadden ze niet zelf het wiel hoeven uitvinden.

[Reactie gewijzigd door Trommelrem op 22 juli 2024 14:33]

burne @Trommelrem • 4 december 2018 20:48

DigiD is SAML 2.0 dus wat is je probleem?

SleutelMan

@burne • 4 december 2018 22:36

Voor aansluitende partijen (overheden, zorgverzekeraars). Niet voor gebruikers ;-).

Op dit item kan niet meer gereageerd worden.

Een op tien Nederlanders met DigiD maakt gebruik van DigiD-app

Lees meer

Reacties (150)

Sorteer op:

Weergave: