Aantal logins via tweetrapsauthenticatie bij DigiD stijgt sterk

Het aantal logins met tweetrapsauthenticatie bij DigiD is afgelopen jaar fors gestegen. Desondanks is 85 procent van de logins altijd nog alleen met een gebruikersnaam en wachtwoord, zo blijkt uit recent gepubliceerde cijfers.

Een grote meerderheid van de mensen met een DigiD hebben wel de mogelijkheid om via tweetrapsauthenticatie in te loggen. Meer dan 70 procent van de accounts kan dat, blijkt uit cijfers uit het rapport Monitor Digitale Overheid 2019. Het inloggen via tweetrapsauthenticatie is met zo'n account niet verplicht, waardoor veel mensen inloggen met alleen een gebruikersnaam en wachtwoord, zo blijkt uit de cijfers.

In totaal gebeurde zo'n 260 miljoen van de 309 miljoen logins via DigiD met alleen een wachtwoord. Bijna 37 miljoen logins gebruikte sms als tweede factor. Dat is een stijging van 28 procent ten opzichte van 2017. Daarnaast verliepen 10,9 miljoen logins via de DigiD-app die een code kan weergeven om in te loggen.

Behalve inloggen met een wachtwoord en inloggen met een wachtwoord en tweede factor is er nog een derde variant, die Substantieel heet. Daarbij is ook de DigiD-app te gebruiken, maar daarin hebben gebruikers zich geïdentificeerd met hun paspoort of id-kaart. Die manier van inloggen is bijvoorbeeld om bij medische gegevens te komen. Het aantal logins daarmee lag op 186.000 keer.

Reacties (69)

SmiGueL 3 juli 2019 17:27

Gek he... Als je de vraag krijgt om in te loggen met OF zonder 2FA, waarom zou je dan met doen?
*Er van uitgaande dat je 2FA gewoon hebt ingesteld.

Ik vind het verontrustender dat het niet verplicht is om in te loggen met 2FA, dan dat men bij elke inlog kiest voor: 'nee, vandaag niet'..

[Reactie gewijzigd door SmiGueL op 23 juli 2024 06:37]

Noxious @SmiGueL • 3 juli 2019 17:37

Dat is afhankelijk van de serviceprovider. Bijv. een gemeente of zorgverzekeraar kan het vereisen.

Bij mijn eigen zorgverzekeraar kan ik kiezen, maar als ik inlog zonder 2FA (basis) is de meeste informatie verborgen en kan ik geen wijzigingen aanbrengen.

Zie bijv. ook hier de niveau's: https://www.logius.nl/diensten/digid/hoe-werkt-het

Edit: Er is meen ik ook nog een 4e niveau, maar dat is niet bedoelt voor burgers en voor zo ver ik weet in de praktijk ook (nog) niet in gebruik.

[Reactie gewijzigd door Noxious op 23 juli 2024 06:37]

Djordjo @Noxious • 3 juli 2019 18:16

Het 4e niveau is Hoog, zie Koppelvlakspecificatie.

Noxious @Djordjo • 4 juli 2019 00:09

Ah yep exact, dat document kan ik helaas bijna dromen

kozue @SmiGueL • 3 juli 2019 17:54

Ik zou het pas verontrustend vinden als ik perse een telefoon nodig zou moeten hebben als ik ergens in wil loggen. Ik weet dat 2FA veiliger is, maar die extra veiligheid vind ik niet opwegen tegen het moeten weggeven van een telefoonnummer en vervolgens vast zitten aan dat ding (of nog erger, weer zo’n nutteloze app moeten gebruiken). Geef mij maar gewoon een sterk wachtwoord, werkt veel handiger en privacyvriendelijker. DigiD heeft niets met mijn telefoon te maken.

[Yellow] @kozue • 3 juli 2019 20:15

De reden om geen 2FA te nemen is: stel dat je je telefoon even niet kunt gebruiken (kapot, kwijt, leeg, verkeerde software update, etc, etc) wat dán? Ik denk dat de meesten niet weten wat er dan gebeurt en het daarom niet instellen.

Ik heb het overigens wel ingesteld en bij DigiD is het aanvragen van een nieuwe code redelijk simpel. Bij andere diensten is dat overigens wel eens anders!

P_Tingen @[Yellow] • 3 juli 2019 20:44

Dan log ik op een andere computer in op mijn LastPass kluis en lees ik daar mijn wachtwoord.

[Yellow] @P_Tingen • 4 juli 2019 09:10

Dan moet je die via de 2e factor bevestigen....vandaar 2FA...Geen oplossing dus

[Reactie gewijzigd door [Yellow] op 23 juli 2024 06:37]

mr_evil08 @[Yellow] • 4 juli 2019 07:32

Net alsof je dagelijks op digid zit, maar snap je bedoeling.

Per mail zou ook kunnen ipv SMS.

[Yellow] @mr_evil08 • 4 juli 2019 09:19

Nee dat niet. Maar het gaat natuurlijk pas fout als je het net die ene keer per jaar nodig hebt. Mijn opmerking was ook meer gericht op 2FA in het algemeen, niet alleen wat betreft DigiD.

SmiGueL @kozue • 3 juli 2019 18:02

Daarom is het ook jammer dat apps als Google Authenticator niet worden ondersteund.
Geen telefoonnummer voor nodig. Alleen een eenmalige key of QR code invoeren.

En uiteraard snap ik dat niet iedereen zit te wachten op deze extra stappen. Het hoeft ook echt niet voor elke inlog op elke website die gebruik maakt van DigiD verplicht te worden.

Mijn punt was meer dat ik 2FA aan heb gezet, maar elk willekeurig persoon die mijn gebruikersnaam/wachtwoord raadt of onderschept en mijn telefoon niet heeft kan OOK gewoon inloggen op bijvoorbeeld de belastingdienst..

[Reactie gewijzigd door SmiGueL op 23 juli 2024 06:37]

Milky Way @SmiGueL • 3 juli 2019 19:29

Je kan in de DigiD instellingen het voorkeur inlogniveau op "midden" zetten. Je kan dan niet meer zonder sms en/of app inloggen.

mikesmit @SmiGueL • 3 juli 2019 18:37

Jij maakt je druk om Google authenticator en ik maak me weer druk over het feit dat je op IOS geen gebruik kan maken van faceid of de vingerafdruk

Eagle Creek

@kozue • 3 juli 2019 23:02

Ook sterke wachtwoorden kunnen uitlekken. En dan maakt het niet uit hoe sterk je het gemaakt hebt.

m3gA @kozue • 3 juli 2019 17:59

Je snapt wel de consequenties als je dat wachtwoord kwijtraakt? Iemand kan op bergen overheidsdiensten inloggen en dit kan gigantische consequenties hebben. Doe mij maar 2FA.

mr_evil08 @m3gA • 4 juli 2019 07:35

Dan vraag je een nieuwe wachtwoord en krijg je netjes toegestuurd, tenzij je weer wacht op het allerlaatste moment met zaken regelen en opeens achterkomt dat het wachtwoord niet werkt.

m3gA @mr_evil08 • 4 juli 2019 07:37

Of je merkt het niet en iemand ontvangt een jaar lang onterecht toeslagen die jij terug mag betalen.

mr_evil08 @m3gA • 4 juli 2019 08:02

Ik snap niet wat dat met wachtwoord vergeten te maken heeft.

Je bedoelt iemand woont op hetzelfde adres en vraagt een nieuw ww aan en gaat met jouw account toeslagen aanvragen?

m3gA @mr_evil08 • 4 juli 2019 08:03

Ik bedoel dat als iemand je wachtwoord onderschept, omdat je bv mallware/keylogger op je pc hebt. Als je dit niet door hebt kan dus iemand heel lang misbruik van je digid maken.

_ferry_ Moderator CM @kozue • 3 juli 2019 19:33

2FA hoeft technisch gezien niet verplicht met een telefoon. Kan ook met een reeks codes welke je op papier hebt staan en eenmalig kan gebruiken, alleen zullen ze dat niet ondersteunen.

.oisyn Moderator Devschuur® @SmiGueL • 3 juli 2019 17:34

Ik vind het ook raar dat je de keuze hebt bij het inloggen, dan heb je er compleet niets aan

. Je kunt overigens wel bij de instellingen afdwingen dat een wat sterkere login vereist is (door de voorkeur inlogniveau op "midden" te zetten).

Wat mij betreft moeten ze de vraag niet stellen en gewoon altijd gaan voor het maximum van wat de site vereist en wat in je instellingen staat. Dus als je op de site met basis in kan loggen, en dat is ook wat je account toestaat, dan krijg je gewoon basis, klaar.

[Reactie gewijzigd door .oisyn op 23 juli 2024 00:02]

SmiGueL @.oisyn • 3 juli 2019 17:38

Exact.

Het instellen van 2FA zou ook automatisch moeten betekenen dat deze elke keer* verplicht is.
Op de huidige manier voegt het echt niets toe en is het alleen maar omslachtig..

Edit:
Ik bedoelde met dat het 'elke keer verplicht is' eigenlijk dat je voor de diensten waar jij het bewust op activeert niet bij elke inlog de keuze moet krijgen om het WEL of NIET te doen. Want iemand anders dan jij zal dan altijd voor NIET kiezen.

[Reactie gewijzigd door SmiGueL op 23 juli 2024 06:37]

WoutervOorschot

@SmiGueL • 3 juli 2019 19:33

Het kan door een dienst verplicht zijn, duo is verplicht, berichtenbox niet, zorgverzekeraar ook niet volgens mij.

Ligt aan de gegevens erachter, logisch wat mij betreft.

WhizzCat @WoutervOorschot • 4 juli 2019 07:07

Dat is niet helemaal waar. De Belastingdienst mág geen two factor afdwingen omdat het toegankelijk moet zijn voor alle burgers, dat heeft niet zoveel met het type data te maken.

.oisyn Moderator Devschuur® @SmiGueL • 3 juli 2019 17:41

Het instellen van 2FA zou ook automatisch moeten betekenen dat deze elke keer verplicht is

Niet mee eens, want een specifieke dienst kan de 2FA wel vereisen en daarvoor moet je 'm dus ingesteld hebben. Maar dat hoeft niet meteen te betekenen dat je vervolgens overal met 2FA moet inloggen terwijl je dat niet wenst.

Goed, je zou natuurlijk kunnen stellen dat 2FA eigenlijk sowieso verplicht zou moeten zijn, maar dat is een losstaand punt

Citroentjuh @SmiGueL • 3 juli 2019 18:55

Je kunt instellen dat 2FA altijd verplicht is. Ik heb dat gedaan, ik kan nu nergens meer op komen zonder 2FA via digid

rgom @SmiGueL • 3 juli 2019 18:03

Ja, dat heb ik inderdaad ook altijd nogal bijzonder gevonden. Ik zie ook niet zo 1-2-3 in hoe dat je account veiliger gaat maken.

Als je je eigen account veiliger wilt maken kun je dat doen door in Mijn DigiD in te stellen dat je áltijd minimaal met niveau "midden" wilt inloggen. Log je vervolgens in bij een website die slechts niveau "basis" vereist, dan moet je tóch je SMS-code invullen.

Zo kun je als je OpSec minded bent je account beter beveiligen. Maar, zoals het artikel ook duidelijk maakt, doet bijna niemand dat.

Luchtbakker @SmiGueL • 3 juli 2019 18:12

Gek he... Als je de vraag krijgt om in te loggen met OF zonder 2FA, waarom zou je dan met doen?
*Er van uitgaande dat je 2FA gewoon hebt ingesteld.

Ik vind het verontrustender dat het niet verplicht is om in te loggen met 2FA, dan dat men bij elke inlog kiest voor: 'nee, vandaag niet'..

Er zijn zat mensen die niet met een telefoon om kunnen gaan. Daarom is het niet verplicht.

mr_evil08 @Luchtbakker • 4 juli 2019 09:29

O ja en van die lui dat bijna elke maand wel een nieuw telefoon nummer hebben enzo, geen idee waarom.

Uiteindelijk gaan ze uit mijn lijst als ze dat tevaak flikken.

ppl

Overheid

@SmiGueL • 3 juli 2019 19:14

Die keuze tussen wel of geen 2FA is niet alleen de oorzaak. Veel accounts worden ook gebruikt door bijv. een bewindvoerder. Daarnaast hebben veel mensen ook alleen maar DigiD omdat ze geen andere mogelijkheid hebben om iets te regelen. Dan kun je er wel 2FA tegenaan gooien en overal gaan verplichten maar daarmee biedt je geen oplossing in deze eerder genoemde situaties. Enige wat je daarmee bereikt is een nog hogere drempel en dat maakt het er alleen maar onveiliger van.

Er moet echt veel meer gebeuren dan 2FA verplicht stellen. Er is een systeem nodig dat op Jip en Janneke niveau werkt en ook goed uitgelegd wordt door de instanties die gebruik maken van DigiD. Dat gebeurd niet. Het zal mij dan ook niets verbazen dat het gros van deze accounts zonder 2FA ÉN niet weten dat je 2FA in kunt schakelen ÉN niet weten wat het is. Waarom iets inschakelen/gebruiken dat je niet kent/snapt/begrijpt?
Zelfs hier op tweakers.net kun je in de reacties op de DigiD nieuwsgeving vaak mensen terugzien die niet eens wisten dat je 2FA kunt instellen. Hier zit tech savvy publiek en mensen die zich er ook voor interesseren. Als daar een deel het al niet eens van weet...

Dit is een nationaal systeem, houdt dan ook rekening met ALLE lagen van de bevolking en niet alleen (bij wijze van spreken) het tweakers.net publiek.

Tadsz @SmiGueL • 4 juli 2019 10:34

Wat ik daarbij ook frustrerend vind is dat je berichtenbox app alleen kan inloggen zonder 2FA en ik mijn account dus overal minder veilig moet maken om een beetje makkelijk mijn berichten te kunnen lezen. (Je kan inloggen met alleen wachtwoord uitschakelen maar dan mag je de app dus niet meer gebruiken)

leuk_he @SmiGueL • 3 juli 2019 22:22

Waarom zou je 2fa gebruiken voor je mail? Omdat het veliger is. En aangezien je digid ook over geld gaat(belastingen, rekening nummer voorlopige teruggaaf b.v.) , zou wat veiligheid geen kwaad kunnen.

Je kunt het nivo zelf op midden zetten. Dan is digid/sms verplicht.

(En niet vergeten dan een pin op je sinkaart zetten, anders is telefoon verliezen, account verliezen)

[Reactie gewijzigd door leuk_he op 23 juli 2024 06:37]

Orama @SmiGueL • 4 juli 2019 00:06

Je kunt bij instellingen van DigiD gewoon instellen dat je altijd 2FA moet gebruiken om bij je account te komen.

AceAceAce 3 juli 2019 17:36

Pagina 8
Behoorlijk wat accounts die nog op Basis zitten en dus nog geen eens optioneel een 06 of app ondersteuning hebben als 2FA

WoutervOorschot

@AceAceAce • 3 juli 2019 19:35

Het is altijd een optie, je kunt het ook verplichten in je eigen account, de betreffende diensten vereisen het alleen niet.

flowerp 4 juli 2019 14:17

Waarom blijft Tweakers dit stug "Tweetrapsauthenticatie" noemen, terwijl echt helemaal niemand dit in de praktijk gebruikt als term? Overal is het 2FA of Twee factor authenticatie.

SMGGM 3 juli 2019 17:38

Ik België doen we het anders, daar implementeren we eerste iets dat in 50% van de gevallen niet werkt (eID met Java plugins) en dan komen we af met itsme om het gebruiksvriendelijke te maken. De adoptierate van itsme is dan bijgevolg gigantisch.

Aanmelden met username + wachtwoord was nooit mogelijk (wel in combinatie met Google authenticator).

kozue @SMGGM • 3 juli 2019 17:58

(wel in combinatie met Google authenticator)

Ben ik de enige hier die het schandelig vind dat de overheid je richtig Amerikaanse spywarediensten duwt? De overheid zou imho niet eens Google (of Facebook) logins aan mogen bieden wegens privacyredenen.

.oisyn Moderator Devschuur® @kozue • 3 juli 2019 19:49

Google Authenticator is een implementatie van TOTP - Time-based One Time Password. Het heeft geen enkele netwerkverbinding nodig, en het is bovendien een open standaard dat door tal van andere vergelijkbare apps wordt ondersteund. Het gaat dus niet om een Google login

C0rnelis @kozue • 3 juli 2019 18:52

Google authenticator is ook maar een middel. Toevallig ook populair en wordt daarom vaak genoemd. De authenticatiemethode is niet op basis van je Google account en er zijn ook apps die niet van Google zijn, maar wel werken. Die kunnen gewoon een 2FA - of juister een (T)OTP - token genereren na 1 keer te zijn gekoppeld tijdens het inschakelen van 2FA.

pjlgt @kozue • 3 juli 2019 19:06

Dan pak je Authy ipv de Google Authenticator. Die kan ook nog eens synchroniseren en is ook te gebruiken als app op de desktop. Wel zo handig als je veranderd van telefoon.

Cartman!

@kozue • 3 juli 2019 19:16

Klok en klepel...het is een open protocol waar diverse apps beschikbaar zijn die dit ondersteunen.

Riwe89 3 juli 2019 17:52

Ben benieuwd hoe snel ze dan een update uitbrengen. Heb iOS13 Beta 3 Hier en daar crashed de app direct bij opstarten. Hopelik wachten ze niet tot na Sept/Okt met het updaten, anders zal dit nog een leuke aan worden op iOS

Aaargh! @Riwe89 • 3 juli 2019 17:57

Beta's moet je alleen installeren op test-toestellen. niet op toestellen die je daadwerkelijk nodig hebt. Dit wordt IIRC ook duidelijk aangegeven als je het beta profiel installeert.

Riwe89 @Aaargh! • 3 juli 2019 18:00

Dat klopt, staat ook op een test-toestel. Maar ik zie dat 99% van de apps vlekkeloos werkt, en DigID niet. Vandaar ook dat ik hoop dat ze hiermee op tijd mee gaan en niet wachten, want op dag 1 wordt de nieuwe iOS door veel mensen geïnstalleerd, en gezien 2FA steeds meer gebruikt word lijkt het mij dan ook belangrijk dat het vanaf dat punt goed werkt ipv achteraf de boel proberen te fixen.

[object Object] 3 juli 2019 17:29

Er is altijd veel te zeggen over de de combinatie overheid en ICT maar ik ben als gebruiker erg te spreken over DigiD. Het op naam zetten van een tweedehands auto via de app was echt een eitje!

Korvaag

@[object Object] • 3 juli 2019 17:41

Het systeem werkt goed, maar het STORK beveiligingsniveau is te laag geweest vanaf het begin. Als ze daar wat meer over hadden nagedacht was het nu niet nodig geweest om allerlei aanpassingen te doen om nu ook aan eIDAS betrouwbaarheidsniveau's substantieel en hoog te voldoen.

Nou is het op zich niet zo erg dat je simpel begint en het daarna beter beveiligt, maar dat er voor zo'n systeem vanaf het begin niet een 2e factor per defintie wordt afgedwongen is in mijn (professionele) optiek onbegrijpelijk.

Je kan te veel met een digid (ook vanaf het begin) om alleen maar te vertrouwen op username/password.

[Reactie gewijzigd door Korvaag op 23 juli 2024 06:37]

hjs 3 juli 2019 17:44

Gebruikte altijd de app maar sinds ze donkere QR-codes gebruiken lukt het inloggen niet meer

mexicanburribo @hjs • 3 juli 2019 18:31

+1. Wat bij mij het geval lijkt te zijn is dat mijn scherm te hard spiegelt met een donkere achtergrond. Dit zorgt er dan voor dat er geen QR-code meer herkend wordt lijkt t.

peschinl 3 juli 2019 17:27

ehm het is verplicht sinds mei?

henkbiertank @peschinl • 3 juli 2019 17:30

In het artikel staat:

Het inloggen via tweetrapsauthenticatie is met zo'n account niet verplicht

Ik vermoed van niet?

[Reactie gewijzigd door henkbiertank op 23 juli 2024 06:37]

DeathMaster @henkbiertank • 3 juli 2019 17:35

Bij mijn zorgaanbieder is het sinds juli verplicht. Bij neme een Belastingdienst zie ik niet eens de optie voor 2FA (maar ipv met de DigiD app).

[Reactie gewijzigd door DeathMaster op 23 juli 2024 06:37]

henkbiertank @DeathMaster • 3 juli 2019 17:40

Ah oke! Heb nog even gezocht en kwam in ieder geval dit bericht tegen: nieuws: Overheid gaat inloggen bij DigiD met alleen wachtwoord afschaffen

Daarnaast zag ik ook een verplichting (SMS of app) bij UWV: https://www.uwv.nl/partic...phone-of-mobiele-telefoon

Ik log overigens overal met behulp van de app in.

stresstak @henkbiertank • 3 juli 2019 19:26

Overheid gaat inloggen bij DigiD met alleen wachtwoord afschaffen

Tot die tijd is naam en wachtwoord dus genoeg en erna verzinnen ze vast wel iets voor mensen zonder app of telefoon.

Finger @peschinl • 3 juli 2019 17:33

Nee hoor, ik gebruik het niet.

Merik @peschinl • 3 juli 2019 19:25

Sommige instellingen stellen 2FA verplicht sinds korte tijd. Zo ook het UWV (afgelopen mei), dus waarschijnlijk zal het percentage DigiD log-in's met 2FA nog een stuk hoger worden.

DeathMaster 3 juli 2019 17:30

Dat is toch niet vreemd? Je krijgt bij het inloggen twee opties, waarvan er een misschien ietsje veiliger is maar een veelvoud aan tijd kost. Ik kies in ieder geval altijd de makkelijke, snelle weg - totdat die optie mij ontnomen wordt.

StefanJanssen 3 juli 2019 17:48

Op mijn telefoon zie ik de exacte getallen niet, maar het aantal keren ingelogd met alleen wachtwoord is ook hoger.
Hoe zit het dan in verhouding?

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (69)

Sorteer op:

Weergave: