Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Een op tien Nederlanders met DigiD maakt gebruik van DigiD-app

Sinds de introductie van de DigiD-app, in maart 2017, maakt tien procent van de Nederlanders met DigiD er gebruik van. Logius, de organisatie achter DigiD, wil dat dit percentage tegen 2022 is gestegen tot 60 procent.

Logius meldt er samen met de op DigiD aangesloten organisaties flink op in te zetten om meer mensen de app te laten gebruiken, voor bijvoorbeeld tweetrapsauthenticatie. Daarnaast streeft de organisatie ernaar dat meer mensen met de app hun identiteitskaart of rijbewijs scannen voor authenticatie, wat nog veiliger zou zijn.

Het probleem is dat dit alleen mogelijk is bij smartphones met nfc. "We onderzoeken manieren om identiteitsbewijzen te controleren voor mensen die geen geschikte telefoon hebben", aldus Lisenka Impens, productmanager DigiD. De organisatie denkt aan DigiD-zuilen bij gemeentehuizen of bibliotheken. Een jaar geleden hadden 1,2 miljoen mensen de DigiD-app gedownload.

Het bericht komt op een moment dat MijnOverheid waarschuwt voor phishingpogingen: "Het ging hier om een phishingmail waarin gevraagd werd via een link in te loggen op MijnOverheid met uw DigiD", aldus de overheid op een ingevoegde waarschuwingsmelding op de homepage van DigiD. Logius meldt dat er 361 mensen in de phishingmails trapten. Die accounts zijn geblokkeerd en ze hebben bericht gekregen.

Het is onbekend hoe Logius erachter kwam dat er 361 slachtoffers waren. Bij een eerdere geslaagde phishingpoging bij DigiD in juni, leek dit via detectie van een malafide script te gebeuren. Toen de slachtoffers inlogden op de phishingsites, werden de ingevoerde gegevens via een script gebruikt om met DigiD in te loggen bij MijnOverheid, schreef de staatssecretaris toen.

Door Olaf van Miltenburg

Nieuwscoördinator

04-12-2018 • 16:22

150 Linkedin Google+

Submitter: Ryan_

Reacties (150)

Wijzig sortering
Het is natuurlijk onzin dat je een aparte app nodig hebt van de serviceprovider om gebruik te maken van tweetraps authenticatie.

Waarom kan dit niet gewoon via 1 enkele app voor alles, zoals de Authy app prima werkt voor Gmail en heleboel andere diensten. Ik gebruik dus ook niet Google Authenticator. Authy werkt prima.

Als DigiD dat gewoon mogelijk maakt, scheelt het ons allen weer ¤50.000 aan app ontwikkel- en onderhoudskosten.
Het is eigenlijk helemaal geen tweetrapsauthenticatie, want als je de DigiD app gebruikt heb je je normale wachtwoord helemaal niet meer nodig.

Daar tegenover staat dat je pas goedkeuring uit de app krijgt als je een 4 cijferige pincode hebt ingevoerd, wat vermoedelijk de reden is dat ze geen standaard oplossing gebruiken.
Dat zijn toch twee trappen? Iets wat je hebt en iets wat je weet. Dat je daardoor je wachtwoord niet meer op de website van digid hoeft in te vullen maar op je telefoon doet daar niets aan af.
Wel twee trappen maar niet op twee verschillende apparaten. Wat volgens mij wel redelijk de bedoeling van two factor zou (moeten) zijn.

Los daarvan is de app van Digid een logge draak. Veel beter zou zijn als je gewoon een OTP kan genereren met een van de vele daarvoor reeds bestaande apps.

Ikzelf gebruik Microsoft Authenticator, maar die van bijvoorbeeld Google doet hetzelfde.
Veel beter zou zijn als wij helemaal en overal van het OTP model afstappen. Gewoon een approve/deny prompt via de DigiD app (zoals a.o. Google, Blizzard, Microsoft en DUO aanbieden voor hun diensten), of nog beter: FIDO2, zodat met zelf kan kiezen hoe zij zich passwordless willen authenticeren (conform met de FIDO2/WebAuthn standaard natuurlijk). Veiliger, makkelijker.

[Reactie gewijzigd door PostHEX op 4 december 2018 18:27]

True, alleen voor elk website/platform een eigen app hoeft dan weer niet wat mij betreft.
Semi mee eens. Ik vind het op zich niet heel erg, zolang de prompt maar als een push notificatie verschijnt, zodat ik niet door mijn apps hoef te bladeren, en zolang de app klein is en blijft.

Maar wederom: FIDO2/WebAuthn ondersteuning heeft mijn voorkeur, maar ik heb het vertrouwen niet dat onze overheid de waarde van die standaard kan in zien. Althans niet op korte termijn.
Authenticator standaard in os, dan de dienst die je wilt gebruiken toestemming geven een cert/configpckg in een centrale store voor die authenticator te dumpen. Liefst open source en Cross platform natuurlijk. Maar wel standaard geďnstalleerd.
  • Open standaard.
  • crossplatform
  • Standaard in OSen en browsers ingebakken.
Dat is FIDO2 dus.
Wel twee trappen maar niet op twee verschillende apparaten. Wat volgens mij wel redelijk de bedoeling van two factor zou (moeten) zijn.
Nee dat is niet zo. Je hebt 3 verschillende factoren:
- wat je weet (pincode, wachtwoord)
- wat je hebt (pasje, smartphone, sleutel)
- wie je bent (vingerafdruk, iris)
Een check op 2 van de 3 verschillende factoren is 2FA.
Ja, en alle 3 factoren zijn tegenwoordig opgeslagen op een smartphone. Of dat nu zo veilig is, er zijn vast "slimme" mensen die daar gebruik (misbruik) van kunnen maken (koffiedik kijken, toegegeven).
In zekere zin ja, maar niet op de standaardmethode. Een 4 cijferige pincode is totaal niet vergelijkbaar met een normaal wachtwoord, wat een lang door een password manager beheerd iets kan zijn.

Verder is dat de reden dat ze niet "zomaar" een standaard OTP kunnen gebruiken (met het huidige systeem), dan zou het helemaal geen tweetraps meer zijn.
waarschijnlijk zijn ze bang dat veel Nederlanders het dan niet meer begrijpen. je kan beter iets hebben wat heel duidelijk en heel specifiek is voor DigiD.
Ze zouden natuurlijk voor mensen die het niet snappen een app kunnen maken die de zelfde technische implementatie heeft, maar wel "dedicated" lijkt voor DigID. Zo laat je ruimte voor aparte universele apps, maar kun je ook duidelijkheid bieden.
Ja precies. Google en Microsoft hebben ieder een eigen app, maar gebruiken hetzelfde systeem. Ik gebruik de app van Microsoft voor 2FA bij Google. Waarom willen DigiD en de banken een eigen systeem met eigen apps? :?
Misschien extra beveiliging of verificatiestappen in de app

Bij de Microsoft Authenticator hoef je bijvoorbeeld alleen een QR code te scannen, ik kan me voorstellen dat je voor Digid wat meer verificaties wil doen(zoals bijvoorbeeld bij NFC supported devices je ID kaart er tegen aan houden, waar in het artikel aan gerefereerd wordt). Of twee verificaties niet alleen een QR code maar ook nog andere verificatie (denk aan ID kaart scan via NFC, SMS met code op telefoonnummer)

[Reactie gewijzigd door shadowman12 op 6 december 2018 23:44]

Inderdaad is het een stuk lastiger bij DigiD. Om je telefoon voor DigiD aan te melden, moet je, na het scannen van een QR-code, wachten op een brief (ja in de brievenbus) met de bevestigingscode.
Authy werkt anders simpeler en met minder handelingen. Plus je kan zelf een app ervoor kiezen. Volgens mij is Authy opensource.
ik, als Tweaker, zou dat zeker handiger vinden, ik gebruik bijvoorbeeld toch al de Authenticator app van Google. maar de gemiddelde Nederlander vind dat alleen maar ingewikkeld.
Maar geef het dan als losse mogelijkheid. Ik zit ook niet te wachten op zo'n Digid app, ik heb mijn digid een jaar of 2 voor het laatst gebruikt. Dus zonde om daar een hele app voor te installeren.

De SMS code kan ik niet als alternatief gebruiken omdat ik geen Nederlands mobiel nummer heb.

[Reactie gewijzigd door GekkePrutser op 4 december 2018 18:15]

Je moet toch elk jaar aangifte doen?
Belasting aangifte is niet voor iedereen verplicht. Als je een vast inkomen hebt en geen hypotheek dan zul je niet snel een brief krijgen. Maar het kan bijna nooit kwaad om het wel te doen, tot nu toe altijd geld terug gekregen.
Nee, ik woon al een paar jaar in het buitenland. Vandaar dat ik ook geen Nederlandse mobiel heb.
De SMS code kan ik niet als alternatief gebruiken omdat ik geen Nederlands mobiel nummer heb.
Exact! En je kan de DigID app ook niet activeren als je niet ingeschreven staat in Nederland |:(
Resultaat, formulieren per post.

Ook dat de applicatie geen Engelse taal ondersteunt is een flop naar mijn mening
Heb jij dan geen ,,, berichten van de overheid,, voor gemeenten en Rijksoverheid en provincialestaten?
Niet echt. Ik krijg ze alleen van pensioenfondsen en vroeger van de belastingdienst.

Ik woon al sinds 2010 in het buitenland dus met de meeste instellingen heb ik niks meer te maken.
Dan zou er eerder aandacht aan die tekortkoming besteed moeten worden dan slechte alternatieven ontwikkelen om een ondermaats niveau in stand te houden.
Voor elke dienst een andere app vind ik pas ingewikkeld. Laat iedereen het systeem gebruiken wat Microsoft en Google ook hebben of stuur gewoon de code via SMS.
de gemiddelde Nederlander vindt alles ingewikkeld.. jammer voor ze.
Authy is een specifieke implementatie, maar dat is inderdaad een voorbeeld van een Software token.

Er zijn heel veel authenticator-apps die bruikbaar zijn met dit soort systemen.
Dus? Als ze het niet begrijpen, dan maken ze gewoon gebruik van de SMS-code.
... hetgeen een stuk onveiliger is.
De betere vraag is waarom er een "app" voor gebruikt moet worden? Gewoon een simpele code sturen via een SMS en klaar is Kees. Ze houden zich niet aan het KISS-principe. Misschien omdat het extra geld oplevert als je het op de moeilijke manier doet?
SMS is zo lek als een zeef. Dat maakt je 2FA ineens eerder 1,5FA ofzo.
Je bedoelt dat iemand je SMS-bericht kan onderscheppen. Dat kan maar liever 1,5FA dan 1FA en je kan ook nog de e-mail-account als extra beveiliginsmiddel gebruiken (naast SMS ook een e-mail-bericht wat aan die account is gekoppeld). Als je dan ook nog voor het aanvragen van een DigiD-account met paspoort bij de overheid langs moet en op dat moment je e-mail-adres en telefoonnummer opgeeft (ook voor elke wijziging) dan heb je een behoorlijk veilig systeem.
SMS is zo lek als een zeef. Dat maakt je 2FA ineens eerder 1,5FA ofzo.
Dat lees ik vaak, maar ik ken geen voorbeeld waarbij 2FA mis ging omdat de code via SMS werd verstuurd.
De app is wat mij betreft simpeler en gebruiksvriendelijker dan een code overtikken uit een sms. Dat hoor ik ook in mijn omgeving van mensen die overgestapt zijn naar de app.
Ik klaag er dan ook niet over dat die app beschikbaar wordt gesteld, al is het mogelijk zonde van het geld, afhankelijk van hoeveel de overheid ervoor heeft betaald, ik klaag erover dat het enkel via een smartphone kan terwijl niet iedereen een smartphone heeft, laat staan een met NFC.
Voor die mensen is er nog steeds sms en vooralsnog zie ik geen berichten dat dat in de nabije toekomst afgeschaft gaat worden.
Bij SMS (of OTP) tikt de gebruiker (binnen dezelfde browser-sessie) iets van een code over. De app daarentegen neemt zelf contact op met de systemen van DigiD (aparte communicatie sessie). SMS (of OTP) is daarom meer vatbaar voor phishing aanvallen. Een aanvaller kan met alleen een fake-website, in het geval van SMS/OTP, zowel gebruikersnaam, wachtwoord als SMS/OTP onderscheppen. En dat is voldoende om binnen te komen. Als aanvaller de communicatie van de app succesvol naar je systemen leiden is vele malen lastiger.
¤50.000? Ik denk dat er veel meer kosten mee gemoeid zijn dan je denkt. Denk ook aan die 2-jarige pilot met Idensys.

Digitale Overheid: Pilot met Idensys stopt per 31 december 2018

Nu doet het DigiD-team wellicht weer even een inhaalslag om de kaas van het brood van team Idensys te eten. Of ben ik nu wel erg pessimistisch?
Ik denk dat die ¤50.000 gewoon als voorbeeld bedoeld was, zodat duidelijk is hoeveel het minimaal scheelt ;)
Ik weet niet precies wat de reden is, maar ik kan mij zo voorstellen dat het vertrouwen in third party apps hier een probleem kan zijn. Er zullen vast apps rondslingeren die vrolijk je OTP codes doorzetten naar buitenstaanders.
En wat dan nog? De code is maar zo kort geldig dat een ander er niets aan heeft.
DigiD is inderdaad niet heel speciaal - onder water is het allemaal simpelweg SAML2.0 (en een aantal andere opties), dus gebruik maken van open standaarden kunnen ze wel. ;)

Gebruik maken van een standaard authenticator zou ik dan ook wel 'n uitkomst vinden.

edit:
De organisatie denkt aan DigiD-zuilen bij gemeentehuizen of bibliotheken.
Dat is toch ook niet meer van deze tijd.

[Reactie gewijzigd door JapyDooge op 4 december 2018 16:40]

Het lijkt mij dat die kosten veeeele malen hoger liggen dan 50.000 euro. Zet er maar een nulletje achter.
Met heel die 2Factor-auth apps heb ik het idee: Het werkt fantastisch, totdat je telefoon reset of een brakke update krijgt. Oeps, data van de app weg waardoor je niet meer kan inloggen. MITS je niet de data hebt gebackupt EN ook nog eens niet een ellelange key hebt opgeschreven mocht het ooit mis gaan. MITS je daaraan (nog) NIET gedacht had.

Maar ja, waar laat je die backups en ellelange key dan? Op de meest veilige plek in je huis? Het zal maar net op vakantie zijn dat zoiets je overkomt.
Je hebt helemaal gelijk, nog een stapje verder zou je gebruik kunnen maken van blockchain technology om identiteit te verzekeren. Zodra ze dit zouden toepassen zouden ze ook digitaal stemmen e.d kunnen implementeren.

En 50.000 euro aan kosten is echt te laag, zet er maar een 0 achter, we hebben het hier over de overheid..

Zonder te shillen hier twee interessante projecten die aan elkaar gelinked zijn:
https://www.antum.be/

Antum maakt gebruik van Digibyte Blockchain en is gebaseerd op https://www.digi-id.io/getstarted.html

Er zijn veel van dit soort apps tegenwoordig op de markt maar die lopen dan meestal over een Ethereum Netwerk (ERC20) of Alternatief . MS is er ook mee bezig maar omdat het niet echt Open Source project is een beetje controversieel:
https://bitcoinexchangegu...ity-verification-systems/


Blockchain is niet voor alles een wondermiddel zoals de mainstream media laat geloven, maar voor identiteit- en logistieke processen over een paar jaar de standaard imho
Ik ga geen app installeren voor iets wat ik misschien 5x per jaar gebruik. Geef mij lekker een authenticatie code die ik in elke authenticatie app kan gebruiken.
idd, een sms'je of mailtje met een code lijkt me net zo veilig. Op een gegeven moment heb je anders wel 30 apps voor dit soort doeleinden op je telefoon, die allemaal ingesteld en bijgewerkt moeten blijven worden.

Of er moet een generieke app gebruikt worden voor authenticatie-doeleinden waar meerdere platformen gebruik van maken. Zoiets als google authenticator.
Dat is verschillend voor een ieder. Maar de app neemt weinig ruimte in en is nuttiger dan Facebook, Instagram. Maar sinds ik de app gebruik ben ik geneigd om meer frequent in te loggen en zaken te regelen in plaats van alles opsparen tot einde kwartaal, nu gewoon ff op het werk snel iets doen en van het lijstje afkrassen. Verzekeringen, pensioenen, belasting en gemeente zaken, alles met DigiID + App.
Maar nog steeds nutteloos zolang een SMS ook werkt.
Ik vind het persoonlijk heel handig werken. App openen code scannen en klaar. Eigenlijk net zo makkelijk als bin de ING app met betalen op het net en niet zo onhandig als de Steam app.
Maar nog steeds nutteloos zolang een SMS ook werkt.
Nee, want met de app heb je geen password nodig, bij SMS wel.
Dus het is nog onveiliger ook.
Dus het is nog onveiliger ook.
Nee, want om de app te gebruiken heb je de telefoon nodig waarop jouw DigiD is geactiveerd en moet je een pincode invoeren.
in sommige gevallen wordt je ertoe gedwongen omdat je anders geen inzicht krijgt in dingen die voor jou belangrijk kunnen zijn. In mijn geval Zilverenkruis, zonder dat appie kom ik er niet meer in.
Onzin, zonder app maar met sms controle kom je probleemloos binnen bij Zilveren Kruis.
Helemaal eens, sterker nog, ik ga sowieso geen app installeren als ik wat ik doen wil gewoon in een browser op een website af kan.
De app gebruik je om in te loggen, niet om dingen te doen en zonder de app (of sms controle) kun je op een aantal sites helemaal niets doen omdat je dan niet kunt inloggen.
5x? Da's vijf keer vaker dan ik... Alleen de jaarlijkse belastingopgaaf. En elk jaar opnieuw activeren (met een papieren brief) omdat ik tegen die tijd de login wel kwijt ben, of die is spontaan verlopen.
Je gebruikt je Digid 5x per jaar? Wat doe je er dan mee? Ik moet elk jaar mijn belastingaangifte doen en dan moet ik goed zoeken naar mijn Digid gegevens. Een paar jaar geleden heb ik een huis gekocht, toen had ik het wel 3x ofzo nodig maar daarna was alles geregeld.
Ik heb de app ook uitgeprobeerd, maar vind deze niet bepaald handig.

Vaak krijg je ook berichten in je berichtenbox waarvoor je weer naar de site van de belastingdienst, uwv, rdw etc. wordt doorgestuurd.

Het is makkelijker om er op een zondag eens rustig de tijd voor te lezen en alle documenten door te nemen op de pc, dan snel even erdoorheen scrollen op de telefoon.
De DigidApp en de BerichtenboxApp zijn twee verschillende apps.

De berichtenboxapp is nauwelijks nuttig, maar dat komt dan ook vooral doordat de mails zelf nooit informatie bevatten, behalve de melding dat er ergens anders informatie staat.

Het is wel al een stap ertussenuit, want voorheen was het een mail met "er staat een bericht klaar" en dan naar het bericht met "ga naar MijnPensioenFonds voor informatie" of whatever.

De DigidApp zelf gebruik je om te authenticeren (bvb. bij "mijn pensioenfonds" of "mijn overheidssite". Dat werkt echt supersoepel. Camera op de QR-code richten, pincode en hij logt je automatisch door.

Dus, de ene is wat jammer, maar dat is meer de aard van het beestje, maar de authenticatie-app zelf is naar mijn mening juist ontzettend gebruiksvriendelijk.
De berichtenboxapp is nauwelijks nuttig, maar dat komt dan ook vooral doordat de mails zelf nooit informatie bevatten, behalve de melding dat er ergens anders informatie staat.
Huh? Ik kan gewoon het bericht openen en de attachment (en dus de aanslag of whatever) zien in die berichtenbox app hoor.

[Reactie gewijzigd door Koffiebarbaar op 4 december 2018 18:17]

Ik heb even gecontroleerd net en ik zie dat Belastingdienst het idd wel bijvoegt, maar dat de meeste van mijn pensioenfondsen (jobhopper, dan krijg je dat*) dus niets bijvoegen, of dezelfde tekst maar dan in pdf-formaat.

De BGHU maakt in 1 bericht wel heel bont, die voegt een PDF toe bij een bericht over WOZ, waar in de PDF staat waar ik moet zijn voor mijn WOZ.

Een mixed bag, dus.

*van tijd tot tijd probeer ik waarde-overdracht te laten plaatsvinden, maar erg makkelijk is dat niet en vervolgens krijg ik dan weer vaak de melding: onze dekkingsgraad staat het niet toe... ik zorg maar zelf dat ik nog wat appeltjes voor de dorst heb
ik had anders vandaag keurig in mijn berichtenbox app de pdf staan voor de zorgtoeslag. Ook per mail gehad natuurlijk.
Cool! Ik wist niet dat er een app was voor de berichtenbox. Ga ik morgen eens naar kijken. :-)
Dus, de ene is wat jammer, maar dat is meer de aard van het beestje, maar de authenticatie-app zelf is naar mijn mening juist ontzettend gebruiksvriendelijk.
  • Alleen in het Nederlands, geen taal ondersteuning voor Engels
  • Activeren in het buitenland niet mogelijk
  • Weer een aparte applicatie
De meeste mensen gebruiken het inloggen van DigID een paar keer per jaar. In ruil daarvoor moeten ze dus speciaal een applicatie installeren op de telefoon?

Niet mijn definitie van gebruiksvriendelijk ;)

[Reactie gewijzigd door mmjjb op 5 december 2018 15:26]

Mooi, van mij mogen ze helemaal over per morgen (ik begrijp dat dit niet zo maar kan). Ik begrijp het niet dat je bij de ene ook met je gebruikersnaam en wachtwoord kan aanmelden. Bij de andere ook met gebruikersnaam, wachtwoord en sms verificatie en bij weer een andere alleen met de Digid app. Soms vraag ik me wel eens af of deze diversiteit veilig genoeg is.
Bij DigiD is het in principe zo dat de dienst waar je voor inlogt kiest welke beveiliging nodig is. Maar je kunt bij jouw DigiD account instellen (als je inlogt op digid.nl, en bij inlogmethoden het voorkeur inlogniveau wijzigen) dat voor jouw account sms verificatie altijd benodigd is, ook als de dienst waarvoor je inlogt dat niet vereist. Dat vergroot de veiligheid van je DigiD.
Alleen de app ben ik nog niet tegen gekomen, kun je een voorbeeld noemen? Kiezen tussen app en sms is wat ik normaal gesproken zie.
Wanneer ik bij bijvoorbeeld Mijnoverheid.nl inlog krijg ik de opties:
  • Ik wil inloggen met gebruikersnaam en wachtwoord
  • Ik wil inloggen met de DigiD app
Op een aantal andere overheidspagina is dit ook zoals bijvoorbeeld CJIB
Dan heb je toch een keuze? Je had het over alleen de app en komt nu met voorbeelden waar je ook kunt kiezen om zonder app in te loggen.
Was zelf ook incompleet, dacht aan sites waar je niet met user en password kunt inloggen maar altijd sms of de app moet gebruiken.
En bij je voorkeuren bij Digid kan je aangeven dat je altijd 2-trams authenticatie wil.
Dan is alleen id en ww niet meer voldoende om in te loggen en moet je altijd of sms of de Digid app gebruiken

Edit: verduidelijkt

[Reactie gewijzigd door FJB op 4 december 2018 19:49]

Deze app wordt gezien als een hoger niveau authenticatiemiddel dan SMS-verificatie, wat verplicht is voor sommige diensten. Dat zal ongetwijfeld helpen in de adoptie.

Het vreemde is dat deze app met diezelfde SMS-verificatie geregistreerd kan worden. Ik zie niet hoe deze app veiligheid toevoegt ten opzichte van wachtwoord+SMS.
Sowieso is de heisa rond eventuele veiligheidsproblemen rond SMS verificatie een beetje overtrokken.
Als je "hoog" figuur bent ala Rutte of directeur van DNB, moet je dat niet gebruiken omdat het onderschept kan worden, maar als Jan Doorsnee is SMS als two factor helemaal dikke prima.

[Reactie gewijzigd door Koffiebarbaar op 4 december 2018 17:53]

Nu lijkt het in dit artikel net alsof het alleen Nederlanders met DigiD betreft. Hoe zit het dan met mensen van een andere nationaliteit? Iedere inwoner van Nederland die ingeschreven staat bij een Nederlandse gemeente, ongeacht nationaliteit, heeft namelijk een DigiD.
Nee. Iedereen die een BSN heeft kan een DigiD krijgen, maar je moet 'm wel zelf aanvragen. En als je buitenlander bent zonder Nederlands BSN kun je natuurlijk via eIDAS met je eigen nationale inlogmiddel inloggen. Bijvoorbeeld bij het Omgevingsloket. (Gelukkig zijn alleen Duitsland en Nederland zover.. :( )
Ik heb die app, maar ik vind hem omslachtig. Een smsje is makkelijker, en ik overweeg daarom ook de app weer te verwijderen.
Ik blijf ook lekker bij SMS-authenticatie. Ik snap niet waarom ze vinden dat die app veiliger is dan een sms'je.
Omdat SMS via de mobiele netwerken verstuurd worden en niet bijster sterk versleuteld is (als het al versleuteld is) en dus door derden met de juiste apparatuur onderschept kan worden.
De app kan ook gehackt worden als er een lek wordt gevonden (of er kan een keylogger op je systeem gezet zijn). Of je telefoon wordt gestolen en ze weten/raden de pincode van je app, dan heb je ook een probleem. Met die SMS niet want je kunt je simkaart heel makkelijk en snel blokkeren en een nieuwe simkaart activeren in je nieuwe telefoon. Dus zoveel veiliger is het dan toch niet?

[Reactie gewijzigd door Vistaus op 4 december 2018 17:38]

Dat is wel allemaal tamelijk theoretisch exploitabel en sowieso geen sinecure. Je moet wel iemand zijn waarvoor men door die hoepels wil want je moet wel het e.e.a. bij elkaar social engineeren en dus specifiek targeten.
Voor Kees Doorsnee zijn Digid account die 1x per jaar uit het stof getrokken wordt voor de belastingaangifte zie ik het onderscheppen van SMS traffic niet als een bijzonder realistisch gevaar.

Ik vind dat die losse app het verhaal te complex maakt. Waarom ze niet gewoon een bestaande beproefde authenticator gebruiken mag joost weten maar ik zet het pas aan als ik het gewoon kan toevoegen aan Authy. Dat is namelijk de enige manier waarop ik two-factor een beetje beheersbaar vind buiten SMS.

Ik heb tig diensten waar ik iets moet of wil doen met two factor maar ik ga daar gewoon niet allemaal verschillende apps voor voeren.

[Reactie gewijzigd door Koffiebarbaar op 4 december 2018 18:28]

Sms is namelijk niet veilig. Nooit geweest. Zal het ook nooit zijn.
Sms is namelijk niet veilig. Nooit geweest. Zal het ook nooit zijn.
Heb je een voorbeeld waarbij een code via SMS werd onderschept en misbruikt? Ik ken het niet. Omdat de code maar een korte tijd geldig is en altijd een onderdeel van 2FA is dat volgens mij veilig genoeg.
Die app is nog minder veilig. Nooit veilig geweest en zal het ook nooit zijn. Zo, net zo lekker onderbouwd als jij.
Ik heb hem ook gehad en weer verwijderd. Zeer onhandig.
Als ik thuis op mijn werk inlog, krijg ik gewoon een SMS met een code waarmee ik het netwerk in kan. Geen app nodig.
Geen app nodig maar nog steeds iets nodig om een sms op te ontvangen. Wat maakt het uit of je een sms krijgt of de app gebruikt?
Die SMS werkt gewoon op wat voor toestel ook.
Die app moet je instellen, en is tevens "weer" een app op je telefoon.
Zeker als je je telefoon nog wel eens reset of vervangt is dat laatste meer een probleem dan je zou denken.

[Reactie gewijzigd door Koffiebarbaar op 4 december 2018 18:20]

Alhoewel je letterlijk genomen gelijk hebt komt het op mij een beetje vergezocht en overdreven over.
Ik vind het prima dat je dat vergezocht vind maar het is gewoon eigen ervaring die ik je geef.
Ik heb die app vorig jaar aangezet, en vorige week had ik hem eindelijk weer eens nodig en toen werkte hij gewoon niet meer omdat ik ergens in de tussentijd een nieuwe telefoon hebt gekocht en dus niet dat hele rideltje opnieuw gedaan heb om die app aan mijn digid account te koppelen.

Kan je roepen dat dat mijn fout is en ik toen maar die app had moeten activeren maar ik heb geen zin (of breincapaciteit) om van twintig verschillende obscure apps te onthouden wat ik er mee moet doen als ik mijn telefoon vervang. Daar stuit ik pas op als ik ze ga gebruiken. En in het geval van digid is dat rete irritant want dat stagneert op dat moment hetgeen wat je aan het doen was.

[Reactie gewijzigd door Koffiebarbaar op 4 december 2018 18:41]

Deactiveren, installeren op de nieuwe telefoon en activeren.
Is dat dan het hele riedeltje? Zoals ik al zei, letterlijk heb je gelijk maar het komt overdreven over.
Of gewoon een SMS krijgen en helemaal geen gezeik hebben.

[Reactie gewijzigd door Koffiebarbaar op 4 december 2018 18:44]

Gemak versus veiligheid. Ik gebruik een wachtwoord-manager en ontvang de SMS-notificatie op mijn desktop. Het is zo voor mij vrij pijnloos om in te loggen, ook al zit mijn telefoon nog in mijn jaszak. Als je eenmaal een patroon hebt, ga je niet graag "moeilijk doen als het makkelijk kan".

Daarbij komt dat je tegenwoordig bij elke zucht of notificatie van de overheid, gemeente, zorgaanbieder of belastingdienst "in moet loggen om je post op te halen". Omdat je niet kunt aangeven dat je je eigen email als veilig beschouwd, en omdat je geen PGP key kunt opgeven om gewoon alle berichten in je inbox te ontvangen, moet je wel erg vaak door deze hoepel springen. Als je iedere keer je telefoon en je paspoort moet gaan zoeken, dan gaan mensen nóg minder vaak hun post "ophalen". Iets wat nu al problematisch is.

[Reactie gewijzigd door Redsandro op 4 december 2018 16:58]

Inderdaad, al die instanties die eisen dat je op hun halfbakken portal inlogt om hun mailtjes te lezen die ook nog vaak uit reclame bestaan ("nu nieuwe dienst beschikbaar blabla").

Het wordt zowat een dagtaak. Ik weiger die dus gewoon te openen. Als er wat belangrijks is dan sturen ze maar een brief.
Tja.... En als je wachtwoordmanager corrupt is..
.. dan moeten ze mijn telefoon hebben of mijn hele computer moet corrupt zijn. Gemak versus veiligheid. Een paspoort controle maakt dit systeem niet opeens waterdicht.

Er zijn zoveel manieren om dit systeem fijner te maken. Je kunt bijvoorbeeld per ip-adres eenmalig extra moeilijk inloggen, en daarna gewoon makkelijk. Het irritantste vind ik dat je veel post nog steeds niet kunt ontvangen, maar dat je het moet komen ophalen.

Ondanks dat bijvoorbeeld met FlowCrypt PGP-encryptie voor gmail wel heel makkelijk wordt gemaakt. Geef mij de mogelijkheid om een PGP-key up te loaden. Dat vind ik veilig genoeg voor het bericht dat ik ¤2 zorgtoeslag moet terugbetalen. Mensen die daar geen zin in hebben kunnen altijd nog hun post "ophalen".

[Reactie gewijzigd door Redsandro op 4 december 2018 16:40]

Dan zet je de backup terug?... Niet heel moeilijk dit ;)
Heb je een slechte wachtwoord manager geinstalleerd. :O
Wat ik erg storend vind is dat ik niet van de app gebruik wil maken, maar dat de inlog omgeving ons forceert om deze app te gebruiken om het ineens standaard te maken dat je via de app moet inloggen. Persoonlijk wil ik helemaal niet overal een appje van hebben en gebruik dit ook niet. Heb genoeg twee factor apps op mijn telefoon staan.
Dan kies je voor sms controle. Ik heb vooralsnog geen enkele site gezien waar dat niet mogelijk is naast de app.
Neemt niet weg dat ik het storend vind dat ze graag willen dat je die app gebruikt (ook als een website een sms niet nodig acht).
Ik volg je niet helemaal. Als een website sms niet nodig acht dan is de app ook niet nodig/verplicht en log je in met username en password. Zodra een site meer eist dan alleen username en password kun je kiezen tussen sms of de app.
Dit zie je onder andere bij Zilveren Kruis, sms of de app.
Niet helemaal waar, maar ik snap wat je bedoelt. De berichten inbox van mijn overheid heb je geen sms nodig, maar kan je wel met de app.
Wat is niet helemaal waar? Kom eens met een voorbeeld van een site om je punt duidelijk te maken.
Bij mijnoverheid kun je kiezen tussen username/password (inclusief sms mocht je dat aangezet hebben) of de app, ik volg je dan ook niet helemaal.
"[...] DigiD, wil dat dit percentage tegen 2022 is gestegen tot 60 procent."

Ik was onder de indruk dat het hele DigiD de komende jaren juist vervangen zou gaan worden voor iets nieuws (Idensys). Dit staat ook op de Wikipedia pagina. Echter, verder hoor ik hier nooit meer iets over. Iemand die toevallig meer weet?
De organisatie heet DigiD, het protocol wat ze nu gebruiken is SAML. Als je het protocol vervangt, ga je dan de organisatie anders noemen? :?
Dat weet ik niet, vandaar ook mijn vraag. Er is ook nog een test met inloggen via je bank ofzo geloof ik. Ik vind het allemaal maar wat onoverzichtelijk. 8)7
iDIN. Commercieel plannetje van de banken wat je dus enkel bij bedrijven kunt gebruiken en wat 'acceptanten' ook geld kost. Dat zal sowieso niet door de overheid gebruikt gaan worden.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True