Overheid wil open toelating voor bedrijven die overheidsinlogsystemen maken

De overheid wil dat bedrijven makkelijker zelf inlogapplicaties voor overheidsinstellingen kunnen maken. Het kabinet wil daarom het systeem voor toelating van zulke apps, nu een accreditatiemethode, vervangen door een open toelating.

Op dit moment moeten bedrijven nog vooraf een accreditatie krijgen als zij een inlogsysteem bouwen waarmee burgers bij overheidsinstanties kunnen inloggen. Staatssecretaris Knops van Binnenlandse Zaken wil dat veranderen in een systeem van open toelating, schrijft hij in een brief aan de Tweede Kamer. Bij zo'n systeem kan ieder bedrijf een eigen inlogsysteem maken, zolang dat maar voldoet aan bepaalde eisen op het gebied van privacy, veiligheid, betrouwbaarheid en gebruiksvriendelijkheid.

Knops keek voor de beslissing vooral naar het buitenland, schrijft hij in zijn brief. Volgens hem worden daar goede resultaten met de open toelating geboekt. Er ontstaat volgens hem meer innovatie en bedrijven kunnen zo makkelijker doelgroepen bedienen die anders niet met digitale inlogmiddelen in aanraking komen. Ook is een open toelating op lange termijn beter dan aanbesteding, omdat 'bedrijven beter kunnen meebewegen met de markt', schrijft Knops. Van de andere kant zouden er genoeg eisen aan die open toelating zijn die ervoor zorgen dat bedrijven kwaliteit blijven leveren.

De staatssecretaris zegt dat bedrijven zich moeten houden aan de Europese eIDAS-eisen. Daarin staan standaarden voor de beveiliging van digitale inlogmethodes, en voor de gebruikersvriendelijkheid ervan. Ook verwijst hij naar Nederlands eigen agenda, NL DIGIbeter, waarin 'kernwaarden' voor zulke inlogmethodes staan opgetekend. Die laatste gelden niet alleen voor de privacy en veiligheid, maar ook voor financiële aspecten van dergelijke projecten.

Knops dient binnenkort een wetsvoorstel in om de open toelating voor elkaar te krijgen. Daarvoor moet namelijk eerst de Wet Digitale Overheid worden aangepast.

Reacties (52)

Brilsmurfffje

8 juli 2019 21:32

Officieel horen bedrijven als een Google, Facebook, etc. Zich ook de te houden aan de Privacy wetgeving zoals deze geld voor Europa. Voor dit soort commerciële bedrijven is dit een spelletje, riskeren we de boete of blijven we geld investeren in betere beveiligingen?

Vaak pakt dit spelletje uit in, weetje we calculeren de boete wel gewoon in, dat is goedkoper:
nieuws: Facebook verwacht privacyboete van 3 tot 5 miljard dollar van FTC
nieuws: Facebook krijgt miljoen euro boete van Italiaanse privacytoezichthouder
nieuws: Facebook krijgt miljoenenboete in Duitsland voor onvolledig melden va...

de overheid kan dit ook niet alleen, dat is duidelijk:
nieuws: Belgische privacywaakhond legt eerste AVG-boete op van 2000 euro

Daarom zijn er partners nodig, de overheid zou 1 enkel systeem moeten nastreven, opensource, met ieder jaar een jaarlijkse Hackaton en uitgebreid bug beloningsprogramma. Dit is ook het pad dat veel van de online beschikbare password managers bewandelen:
https://1password.com/security/
https://www.lastpass.com/enterprise/security
https://hackerone.com/dashlane

Idealiter besteden we dit uit op Europees niveau, zolang het maar in handen blijft van een overheidsinstantie zonder winstoogmerk maar met een privacy oogmerk. Identiteit en authenticaties en niets meer.

droner 8 juli 2019 14:36

Alsof Knops op eigen houtje naar buitenlandse systemen heeft gekeken om te kijken of het niet losser kan, noem me cynisch maar ik neem aan dat hier gewoon een lobby achter zit van een bedrijf / groep bedrijven met een behoefte aan meer vrijheid, die hem die argumenten gevoerd hebben.

Gevolg van uiteenlopende vormen is echter dat het publiek niet weet wat te verwachten, steeds moet gaan kijken 'hoe werkt het hier precies' en dus ook gemakkelijker in fakes trapt want tsja als je niet meer weet wat te verwachten dan zou alles wel eens echt kunnen zijn.

i-chat @droner • 8 juli 2019 15:00

Alsof Knops op eigen houtje naar buitenlandse systemen heeft gekeken om te kijken of het niet losser kan, noem me cynisch maar ik neem aan dat hier gewoon een lobby achter zit van een bedrijf / groep bedrijven met een behoefte aan meer vrijheid, die hem die argumenten gevoerd hebben.

Gevolg van uiteenlopende vormen is echter dat het publiek niet weet wat te verwachten, steeds moet gaan kijken 'hoe werkt het hier precies' en dus ook gemakkelijker in fakes trapt want tsja als je niet meer weet wat te verwachten dan zou alles wel eens echt kunnen zijn.

waarschijnlijk willen met name banken extra dienstverlening kunnen bieden. waar ze nu miljoenen investeren in hypermoderne beveiliging en authenticatie en authorisatie methoden om inzicht en toegang te geven tot een paar eentjes en nulletjes op een database .... kan ik me voorstellen dat die heel graag zouden zien dat hun investeringen flink worden terugverdiend door anderen tot hun systemen toe te laten.

de belastingdienst zal denken: ha inloggen bij de bank doen mensen maandelijks, bij ons hooguit 1 a 2 keer per jaar... laten we het 'vertrouwder' maken ... de banken denken natuurlijk, als de overheid eenmaal om is. dan ook waternet, verzeraars, internet providers, telecom providers en uiteindelijk wellicht de albert heijn.

Persoonlijk verwacht ik er niet al te veel van, leuk als ik straks met mijn ING of Rabobank Account kan inloggen bij DigiD. maar het zou me evenzeer niet boeien als het andersom was dus inloggen BIJ de bank met mijn DigiD.

[Reactie gewijzigd door i-chat op 23 juli 2024 09:45]

walteij @i-chat • 8 juli 2019 15:20

de belastingdienst zal denken: ha inloggen bij de bank doen mensen maandelijks, bij ons hooguit 1 a 2 keer per jaar... laten we het 'vertrouwder' maken ... de banken denken natuurlijk, als de overheid eenmaal om is. dan ook waternet, verzeraars, internet providers, telecom providers en uiteindelijk wellicht de albert heijn.
Persoonlijk verwacht ik er niet al te veel van, leuk als ik straks met mijn ING of Rabobank Account kan inloggen bij DigiD.

Bedoel je e-ID of eherkenning soms?

ollie1965 @i-chat • 8 juli 2019 15:48

de belastingdienst zal denken: ha inloggen bij de bank doen mensen maandelijks, bij ons hooguit 1 a 2 keer per jaar... laten we het 'vertrouwder' maken ... de banken denken natuurlijk, als de overheid eenmaal om is. dan ook waternet, verzeraars, internet providers, telecom providers en uiteindelijk wellicht de albert heijn.

Juist dat wilt men dus bereiken 1 stelsel (eIDAS), meerdere inlogsystemen.
Bij de overheid zal het dan mogelijk DigiD + (plus) kunnen heten vanwege de naamsbekendheid.
Op de achtergrond is het dan wat anders want DigiD kraakt heel hard.
Maar de Belastingdienst heeft volgens mij al wel bewezen DigiD en eIDAS te kunnen routeren naar hun eigen portaal.

Verwijderd 8 juli 2019 16:00

Zijn er veel private partijen die inlogmethodes aanbieden, en zo ja, waar verdienen die dan hun geld mee? Het zou mij niet verbazen als hier een lobby van de banken achter zit. Volgens mij is de marktpenetratie van iDIN tot nu toe nog niet zo erg gelukt:
https://nl.m.wikipedia.org/wiki/IDIN

Komt het er straks op neer dat je makkelijk kan inloggen als je toegang geeft tot persoonlijke data of reclame te zien krijgt? En zo niet, dan moet je maar een ouderwetse inlogmethode van de overheid gebruiken?

Guneyd @Verwijderd • 8 juli 2019 18:10

Het zijn voornamelijk (voor DigiD, eHerkenning en eIDAS) de volgende NL makelaars en middelenleveranciers:

- KPN: Spreekt voor zichzelf, een BV.
- Reconi: Voorheen ook bekend als CreAim en recent overgenomen door KPN.
- Connectis: Dochteronderneming van stichting SIDN.
- iWelcome: Frans-NL bedrijf.
- Digidentity: NL bedrijf met een Britse connectie.
- Quovadis / zLogin: Internationaal actief.

Je kan de diensten samenvatten in drie onderdelen:
- Inlogmiddelen
- Aansluitingen (via de makelaar)
- PKIO certificaten

Sommige van de bovengenoemde bedrijven leveren alledrie de diensten en anderen maar één of twee van de genoemde diensten.

bron: ik werk zelf in deze branche.

[Reactie gewijzigd door Guneyd op 23 juli 2024 09:45]

Simon Weel 8 juli 2019 15:02

Lijkt op een voortborduursel op eHerkenning (bedrijven).
Verschillende inlogsystemen voor overheidszaken is wellicht niet handig. Maar.... als alle overheidszaken dezelfde inloggegevens gebruiken en iemands inloggegevens vallen in verkeerde handen, dan ben je de pineut. Met verschillende inlogsystemen liggen niet meteen al je gegevens op straat mocht iemand je je inloggegevens ontfutselen
Zou wel prettig zijn als de programmacode voor inloggen openbaar wordt gemaakt, zodat je kunt verifiëren hoe een bedrijf met je inloggegevens omgaat. Want aanbieders zullen dit niet 'gratis' gaan aanbieden.......

[Reactie gewijzigd door Simon Weel op 23 juli 2024 09:45]

ollie1965 @Simon Weel • 8 juli 2019 15:51

Nope is eIDAS

ollie1965 8 juli 2019 15:37

Dit verhaal moet je (o.a.) zien in het licht van de Wet Digitale Overheid (WDO)
Hierin wordt een voorstel gedaan om af te komen van de verschillende stelsels van authenticatie (DigiD, Idensys, eHerkenning, eIDAS).
Met dank aan Plassterk hebben we nu 4 stelsel, maar dat had er toen al 1 moeten zijn.
Dat probeert men in de WDO grootschalig te repareren.
Aan de hand van de kamervragen (waarom niet marktpartijen voor inloggen) heeft men nu gekozen voor open toelating.
En ik zet het even tussen haken "open toelating" is niet zomaar voor iedereen te doen.
En het is maar de vraag hoeveel partijen (of in ketensamenwerking) dit gehele proces kunnen doen.
In NL denk ik dat er nu 3 partijen zijn die volgens het eIDAS model kunnen gaan leveren, er zijn namelijk nog best wel wat uitdagingen om überhaupt te kunnen aansluiten in het netwerk.
En als ik dan zie hoe 1 van deze partijen moeite heeft met de laatste update van het eIDAS model.....

GeoBeo 8 juli 2019 16:34

Je krijgt mij niet uitgelegd, waarom toegang tot informatiedeling met de overheid uitbesteed wordt aan bedrijven.

Toen ik in Nederland een eenmanszaak had (met zo'n kafka BTW nummer met BSN erin) heb ik subsidie aangevraagd. WBSO/RDA

Daarvoor moest ik een extern bedrijf betalen (25 EUR per jaar) + mijn prive (paspoort scan, telefoonnummer, adres bewijs, mugshot, uit m'n hoofd) met dat bedrijf delen om te kunnen inloggen en subsidie aan te kunnen vragen bij het loket van de RVO (overheid).

Kortom: ik moet de overheid EN een extern bedrijf dat ik niet ken vertrouwen met mijn gegevens?!

Zijn er andere landen die dit zo doen? Waar ik nu woon (EU land) is het absoluut niet zo en neemt de overheid gewoon zelf de verantwoordelijkheid voor hun systemen.

Hoe kan het bestaan dat de Nederlandse overheid zo iets kritisch en essentieels uitbesteed?

Moeten eerst alle persoonlijke gegevens van alle Nederlanders uitlekken voor ze wakker worden?

[Reactie gewijzigd door GeoBeo op 23 juli 2024 09:45]

DSmarty @GeoBeo • 9 juli 2019 10:52

Exact het probleem.

Ik wil slechts zaken doen met de overheid, als bedrijf wordt je al VERPLICHT om met een commerciële partij te gaan om dit te kunnen. Dit is werkelijk absurd. Tenslotte is het de overheid die belanghebbende is bij een goede identificatie en hoort men dit als kerntaak te faciliteren.

Er dient altijd een door de overheid aangeboden, kosteloos, identificatiemiddel te zijn.

Bovendien kan ik de overheid democratisch controleren, bijvoorbeeld met een WOB. Bij het bedrijfsleven is dit geheel onmogelijk.

[Reactie gewijzigd door DSmarty op 23 juli 2024 09:45]

einreb73 8 juli 2019 14:43

UIt de brief de belangrijkste reden om dit te willen :

Redenen en overwegingen voor open toelating voor inlogmiddelen voor burgers
De feiten en omstandigheden waarbinnen een middel verworven moet worden zijn in het afgelopen jaar significant gewijzigd. De markt is op gang gekomen en lijkt niet meer afhankelijk van (start)subsidiering zoals eerder de verwachting was. Het innovatietempo ligt zeer hoog, de ontwikkeling van inlogmiddelen versnelt en het aantal partijen dat innovatieve oplossingen aanbiedt neemt toe. Hierbij past een meer wendbare en daarmee meer toekomstvaste toelatingssystematiek.

NEO256

@einreb73 • 8 juli 2019 16:42

Een partij zonder winst oogmerk, die hard verantwoordelijk kan worden gehouden bij problemen, overtuigd is van de voordelen en de gebruikers tracht te beschermen tegen de nadelen.

Klinkt voor mij als een WIN-WIN.
Ik juich dit toe. Klinkt als een goede manier om een systeem wat primair alleen voor overheidsinstellingen is ontwikkeld ook in te kunnen zetten voor andere plekken.

Afwachten of dit alles in praktijk ook zo is, maar ik ben (gematigd) positief.

Freeaqingme @Elefant • 8 juli 2019 19:29

Goed verhaal, lekker kort.

Je hebt nu het plan van de minister, en vervolgens een hoop gezwets over 'de corporate state'. Je vergeet(?) echter om op welke manier dan ook een relatie te leggen tussen die twee. Het enige wat je zegt is "En nu eens in mensentaal:".

Da's een mooi trucje. Kijken of ik het ook kan:

> Het Britse volk heeft gekozen om de EU te verlaten.

En nu eens in mensentaal:

Lang geleden waren er vikingen. Deze vikingen plunderden wel eens het VK. Dit deden ze op bootjes.

Gelukt! Ik kan het ook

[Reactie gewijzigd door Freeaqingme op 23 juli 2024 09:45]

EraYaN 8 juli 2019 14:31

Zie ik dit nou verkeerd, of willen ze er graag een heel stel hebben? Het lijkt me toch dat er maar 1 nodig is?

erikmeuk3 @EraYaN • 8 juli 2019 16:27

Zie ik dit nou verkeerd, of willen ze er graag een heel stel hebben? Het lijkt me toch dat er maar 1 nodig is?

Ze lopen aan DigID te sleutelen in meerdere levels.
Ze willen de chip in de ID kaart gaan gebruiken.
Ze willen een chip in het rijbewijs.
De belastingdienst wil ook iDIN gaan toestaan.
De belastingdienst heeft ook nog eHerkenning voor ondernemers.

CAPSLOCK2000

Beveiliging en antivirus
Nederland
Overheid
Digid
Marktontwikkelingen

@EraYaN • 8 juli 2019 14:41

En dan gaat die ene stuk of failliet en heb niks over, en anders ligt er heel erg veel macht, controle en informatie bij ene partij.

Ik denk dat je dit het beste kan voorstellen als dat je het inlogsysteem van je van bank gebruikt om bij de overheid in te loggen. Net zoals er ook sites zijn waar je met je Facebook-account op kan inloggen. Het grote voordeel voor de gebruiker is dat die niet nog een wachtwoord + 2fa-systeem hoeft te leren maar gebruik kan maken van een inlog-systeem dat toch al werd gebruikt.

De gewetensvraag is of die twee te combineren zijn. Zou je Facebook gebruiken om je aan te melden bij/met DigiD en/of de belastingdienst als dat mogelijk was? Vertrouwen we genoeg op de privacy-bescherming die deze techniek voorschrijft of denken we dat Facebook er toch op een of andere manier ge/misbruik van weet te maken?

i-chat @CAPSLOCK2000 • 8 juli 2019 14:56

facebook misschien niet, maar voor sommige mensen kan ik me voorstellen dat ze wellicht een inlog systeem zouden willen die én voor hun bank, én hun zorgverzekeraar, én ziekenhuizen EPD systeem, én ook nog eens voor verschillende overheidsdiensten te gebruiken is. wellicht zelfs nog voor hun email-dienst.

Je zou kunnen stellen dat een password-manager die functie deels al vervult, maar een open systeem lijkt me prima.

zou zo'n online ID-systeem door een eurpese google-concurent worden aangeboden, waarbij email, messaging, calendar en backup diensten werden gecomineerd met een federated login (online-ID) dan zou me dat best wat waard zijn...

Het jammere van dit alles is eigenlijk nog steeds dat de overheid hier niet zelf iets aan- of mee doet.

Waarom is er niet gewoon een reguliere mailbox waar alle overheden en andere DigiD diensten berichten heen kunnen mailen. op het www draait een door de overheid-gehoste keyserver en alle BSN's worden vervangen door pub-keys.

je private-key kun je bij je lokale gemeente kopen ophalen in een verzegelde envelop en na passende identificatie. de rest werkt in beginsel via redelijk standaard protocollen.

CAPSLOCK2000

Beveiliging en antivirus
Nederland
Overheid
Digid
Marktontwikkelingen

@i-chat • 8 juli 2019 15:10

facebook misschien niet, maar voor sommige mensen kan ik me voorstellen dat ze wellicht een inlog systeem zouden willen die én voor hun bank, én hun zorgverzekeraar, én ziekenhuizen EPD systeem, én ook nog eens voor verschillende overheidsdiensten te gebruiken is. wellicht zelfs nog voor hun email-dienst.

Ik zou het zelf het liefst helemaal los trekken en aparte bedrijven opzetten die niks anders doen dan een inlogssysteem beheren en koppelen met andere instanties. Dan kan ik zelf een leverancier kiezen die ik vertrouw en daarmee inloggen op alle diensten. Verschillende soorten gebruikers kunnen dan een leverancier kiezen die bij ze past. Bv eentje die extra veilig is, of eentje die zich richt op gezinnen (met ouderlijk toezicht en het delen van wachtwoorden), of mensen met bepaalde beperkingen (zoals slechtszienden). Dit voorstel maakt dat weer een stuk haalbaarder.

Waarom is er niet gewoon een reguliere mailbox waar alle overheden en andere DigiD diensten berichten heen kunnen mailen. op het www draait een door de overheid-gehoste keyserver en alle BSN's worden vervangen door pub-keys.

Omdat de meeste mail nog altijd onbeveiligd via internet wordt verstuurd en de meeste mensen en applicaties niet overweg kunnen met versleutelde mail en digitale sleutels.

je private-key kun je bij je lokale gemeente kopen ophalen in een verzegelde envelop en na passende identificatie. de rest werkt in beginsel via redelijk standaard protocollen.

Je beseft het misschien niet, maar dat heb je al gedaan! Op je paspoort zit een chip met daarop een private key die hier voor gebruikt zou kunnen worden.

kozue @CAPSLOCK2000 • 8 juli 2019 16:12

Je beseft het misschien niet, maar dat heb je al gedaan! Op je paspoort zit een chip met daarop een private key die hier voor gebruikt zou kunnen worden.

Alleen heb je zelf niets in huis om van die chip gebruik te kunnen maken, dus doet dat er voor het inloggen op websites niet toe...

CAPSLOCK2000

Beveiliging en antivirus
Nederland
Overheid
Digid
Marktontwikkelingen

@kozue • 8 juli 2019 16:24

Alleen heb je zelf niets in huis om van die chip gebruik te kunnen maken, dus doet dat er voor het inloggen op websites niet toe...

Wat voor verschil maakt dat voor het voorstel van i-chat? Een private key op een papiertje uitprinten en door de gebruiker laten overtikken is niet realistisch. Je de key op een USB-key kunnen zetten maar dan moet je die weer gaan beveiligen en veel mensen zullen niet in staat zijn om een USB-key op hun telefoon aan te sluiten zonder extra apparatuur.

Links of rechts om hebben we apparatuur nodig als de overheid digitale sleutels gaat verzorgen voor alle burgers. In tal van landen is dat overigens al heel gewoon en onze banken leveren ook al random-readers enzo.

Overigens is die chip op je paspoort uit te lezen met een gewone NFC-lezer, al weet ik niet of je dan ook gebruik kan maken van de cryptografische features.

EraYaN @CAPSLOCK2000 • 8 juli 2019 14:44

Maar waarom kan de overheid het niet gewoon zelf fixen, ik bedoel, inloggen is een vrij goed opgelost probleem. Ze hebben nu ook al DigiD, mocht daar nog wat fout aanzijn dan tweak je het een beetje en dan ben je weer klaar. Ik bedoel zo heel spannend is het allemaal niet, en we willen ook niet dan men dan maar in de naam van innovatie hun eigen cryptografische algoritmen of andere vage token uitwisselingsprocessen gaan bedenken, daar wordt het nooit echt beter van.

CAPSLOCK2000

Beveiliging en antivirus
Nederland
Overheid
Digid
Marktontwikkelingen

@EraYaN • 8 juli 2019 15:00

Ze hebben nu ook al DigiD, mocht daar nog wat fout aanzijn dan tweak je het een beetje en dan ben je weer klaar.

Veel mensen klagen omdat ze DigiD maar één keer per jaar gebruiken en dat het dan vaak fout gaat. Bijvoorbeeld omdat ze niet meer weten hoe het moet, omdat ze hun wachtwoord zijn vergeten, omdat ze een nieuwe telefoon en/of telefoonnummer hebben.
Daarom is het handig om mensen gebruik te laten maken van middelen die ze toch al gebruiken.

The Zep Man

Beveiliging en antivirus
Nederland

@CAPSLOCK2000 • 8 juli 2019 15:05

Veel mensen klagen omdat ze DigiD maar één keer per jaar gebruiken en dat het dan vaak fout gaat.

Gebruik dan het paspoort/de ID kaart als smartcard. Laat de gebruiker de bijbehorende PIN code wijzigen bij het gemeentehuis na conventionele controle dat de houder van het document ook de persoon is bij wie het document hoort.

Overheidszaken? Overheidsdocument.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 09:45]

Finraziel

@The Zep Man • 8 juli 2019 16:48

Ja, nog beter... Als je dan maar één keer per jaar er gebruik van hoeft te maken en de pincode vergeten bent dan mag je gelijk weer naar het gemeentehuis

The Zep Man

Beveiliging en antivirus
Nederland

@Finraziel • 8 juli 2019 18:51

Je kan natuurlijk de PIN code gelijk maken aan bijvoorbeeld een andere PIN code die je vaak gebruikt, bijvoorbeeld van een bankpas. Zolang je goed met je PIN code omgaat is daar niets mis mee.

Jorgen Moderator Beeld & Geluid @CAPSLOCK2000 • 8 juli 2019 15:29

Dat is dan hun fout en niet die van de overheid. We hebben nu 1 standaard manier van inloggen bij alle overheidsinstanties: je DigiD. Als dat vervangen wordt door tig verschillende dingen, krijg je uiteindelijk hetzelfde gedoe, maar dan veel meer, want nog meer wachtwoorden en inlognamen om te onthouden. Neem 1 goede, veilige passwordmanager, onthoud daarvan je sterke wachtwoord en DigiD is geen probleem meer.

CAPSLOCK2000

Beveiliging en antivirus
Nederland
Overheid
Digid
Marktontwikkelingen

@Jorgen • 8 juli 2019 16:16

Dat is dan hun fout en niet die van de overheid.

Wil je een schuldige aanwijzen of mensen helpen?
Mensen zijn geen perfecte machines. We hebben onze beperkingen, daar kun je maar beter rekening mee houden.

We hebben nu 1 standaard manier van inloggen bij alle overheidsinstanties: je DigiD. Als dat vervangen wordt door tig verschillende dingen, krijg je uiteindelijk hetzelfde gedoe, maar dan veel meer, want nog meer wachtwoorden en inlognamen om te onthouden.

Het punt is dat DigiD aangevuld wordt (niet vervangen) met diensten die mensen wel dagelijks gebruiken zodat ze meer kans hebben om het wachtwoord nog te weten (of wat er allemaal nog meer fout kan gaan).

Neem 1 goede, veilige passwordmanager, onthoud daarvan je sterke wachtwoord en DigiD is geen probleem meer.

Voor veel mensen is dat een prima oplossing maar niet voor iedereen. Een password-manager is ook geen oplossing voor wachtwoorden die na een jaar verlopen, zodat het iedere keer dat je het nodig hebt nét verlopen is. Nu zijn we wel aan het afstappen van snel wisselende wachtwoorden, maar het is nog steeds een probleem.

Jorgen Moderator Beeld & Geluid @CAPSLOCK2000 • 8 juli 2019 19:43

Snap ik, maar jij geeft aan dat juist dat ene wachtwoord zo lastig te onthouden zou zijn. Ik geef aan dat het juist fijn is dat alle overheidsdiensten diezelfde authenticatiemanier gebruiken. Wiens schuld het is, doet eigenlijk niet ter zake. Ik vind het zelf meer een non-probleem. Ik weet 95% van mijn wachtwoorden en inlognamen niet. Dat hoeft ook niet, omdat ik die pw-manager gebruik. Voor wachtwoorden die verlopen is een pw-manager nog steeds ideaal. Je krijgt de melding dat je een nieuw wachtwoord moet aanmaken; logt in met je oude; kiest een nieuwe en slaat deze op. Zie het probleem niet zo.

tweaker2010 @CAPSLOCK2000 • 8 juli 2019 15:19

Tegenwoordig kun je DigiD voor veel meer zaken gebruiken dan enkel je Belastingaangifte, dus dat punt gaat niet meer op. Zo heb je tegenwoordig de DigiD App, daarmee heb je alleen nog maar een pincode nodig en geen ingewikkeld wachtwoord.

CAPSLOCK2000

Beveiliging en antivirus
Nederland
Overheid
Digid
Marktontwikkelingen

@tweaker2010 • 8 juli 2019 16:10

Tegenwoordig kun je DigiD voor veel meer zaken gebruiken dan enkel je Belastingaangifte

Het kan, maar de meeste mensen doen het niet.

OxWax @EraYaN • 8 juli 2019 14:33

Zie ik dit nou verkeerd, of willen ze er graag een heel stel hebben? Het lijkt me toch dat er maar 1 nodig is?

Krijg je dan geen vendor lock waardoor er geen concurrentie meer is?

EraYaN @OxWax • 8 juli 2019 14:35

Tussen login systemen? Ik bedoel, ik hou ook wel een beetje van "maar de markt dan" roepen zo nu en dan, maar wat is er nou echt te concurreren. Dat betekend voor de burger gewoon een versnippert aantal inlogsystemen die allemaal hetzelfde doen en allemaal door dezelfde soort ondoorzichtige bedrijven gerunt worden.

OxWax @EraYaN • 8 juli 2019 14:45

Ik lees : Van de andere kant zouden er genoeg eisen aan die open toelating zijn die ervoor zorgen dat bedrijven kwaliteit blijven leveren.
Men zal zich dus aan specs moeten houden waardoor 'versnippering' wordt voorkomen.
Dit werkt reeds zo in BE , Digipolis zorgt voor de eenvormigheid maar bedrijven mogen open aanleveren

EraYaN @OxWax • 8 juli 2019 14:48

Dat betekent toch nog steeds dat ik dan weer lekker voor iedere instantie een ander account aan mag gaan maken? Iedere instantie zal wel weer een dealtje met een andere toko hebben. Dat ze eigenlijk allemaal OAuth of Aselect of iets dergelijks doen, ja dat zal me dan een worst wezen. Ik moet dan in ieder geval weer een heel stel account hebben, omdat men zo graag geld wilde verdienen aan een systeem wat eigenlijk alleen maar mijn gebruikersnaam en wachtwoord en misschien een tweede factor hoeft te verifiëren en dat doorgeven dat het goed is aan een andere partij.

OxWax @EraYaN • 8 juli 2019 14:58

Dat jij dat denkt, betekent niet dat het zo gaat zijn

Dat betekent toch nog steeds dat ik dan weer lekker voor iedere instantie een ander account aan mag gaan maken?

yhk123 @EraYaN • 8 juli 2019 14:35

Ze willen juist concurrentie (en ik veronderstel innovatie) vind digid goed werken dus 't nut hiertoe zie ik ook niet. Eenvormigheid lijkt me in dit geval juist een plus.

walteij 8 juli 2019 14:44

Ik heb liever dat DigID gewoon een Microsoft/Google/Apple Authenticator gaat ondersteunen als MFA provider.
Dat is toch veel praktischer? DigID kent heel NL ondertussen, MFA wordt al aangemoedigd, maar dan moet het nog via SMS of de DigID app gebeuren.

Overigens een leuke woordgrap: NL DigibeteR…..
De eerste keer dat ik het las, meende ik dat er op de plek van die R een N stond.

[Reactie gewijzigd door walteij op 23 juli 2024 09:45]

Soldaatje @walteij • 8 juli 2019 14:52

Dat zijn Amerikaanse bedrijven, daar wil je niet van afhankelijk worden.
Is ook niet nodig, digid werkt toch goed zo?

walteij @Soldaatje • 8 juli 2019 15:03

Deze apps gebruiken allemaal het TOTP principe. Daar zullen ook vast implementaties van niet USA-bedrijven voor zijn die dus net zo goed kunnen werken.

En nee, ik vind DigID dus niet zo heel goed werken. Op een moment dat ik met mijn telefoon een SMS moet ontvangen, terwijl ik op een locatie zit waar GMS ontvangst zeer slecht tot niet-werkend is (en dat komt vaker voor dan je denkt in mijn geval), kan ik niet inloggen op DigID, omdat ik de SMS niet kan ontvangen.
De DigID app wil ik gewoon niet op mijn telefoon hebben. Liever een universele HOTP/TOTP app, ik wil niet voor iedere online applicatie een aparte app installeren.

Paedar @walteij • 8 juli 2019 15:22

Gelukkig staat ook hier de techniek niet stil, er wordt gewerkt aan en getest met een methode om met de DigiD met je rijbewijs in te loggen:
https://www.rdw.nl/nrd/ni...en-met-digid-vanaf-4-juni

Fraaank @walteij • 8 juli 2019 20:01

Dus geen GSM, wel internet om privédingen te kunnen doen? Ben benieuwd naar je unieke situatie, want dat is het. Je kunt niet iedereen tevreden houden met zo'n oplossing.

Caayn @Soldaatje • 8 juli 2019 15:04

Ik gok dat @walteij de (H/T)OTP standaard bedoelt, welke gewoon door iedereen geïmplementeerd kan worden en waar de gebruiker vervolgens vrij wordt gelaten om een OTP app* naar keuze te gebruiken. Aan de server kant moet enkel en alleen de OTP standaard worden geïmplementeerd hier is geen enkele regel vendor-specific code voor nodig.

*Zoals Google Authenticator, Microsoft Authenticator, Authy, etc.

robkorv @walteij • 8 juli 2019 15:06

Je bewoording is hier niet helemaal lekker. Je bedoeld volgens mij apps die de open standaard TOTP en HOTP ondersteunen. Deze standaard gaat niet via een provider. Ik was al een btje allergisch dat DigiID zelf iets had gedaan in een aparte app en niet gewoon een standaard heeft geïmplementeerd waarmee je zelf kan kiezen welke app je gebruikt om een token te genereren.

walteij @robkorv • 8 juli 2019 15:09

Ja, dat bedoelde ik inderdaad

bossanova 8 juli 2019 14:52

'Het buitenland' zal wel weer de VS zijn.
Vast niet Israel.

Cherrypicking wat Knops doet.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (52)

Sorteer op:

Weergave: